Evgeny Morozov et le « domaine public » des données personnelles

Au début du mois, l’essayiste biélorusse-américain Evgeny Morozov a donné une interview pour l’émission Soft Power, dans laquelle il résume de manière intéressante les positions assez iconoclastes qu’il défend à propos des données personnelles. Là où les militants numériques mettent l’accent sur la défense de la vie privée, Evgeny Morozov explique que l’enjeu principal est d’ordre économique et que le bras de fer avec les géants du numérique (GAFAM et autres) passe par le fait de considérer les données personnelles comme un « bien public » et de les faire relever d’un « domaine public ». C’est une idée qu’il avait déjà avancée dans un article remarqué paru dans le Guardian en décembre 2016, traduit en français par le Monde Diplomatique sous le titre «Pour un populisme numérique (de gauche)».

Evgeny Morozov. Par International Journalism Festival. CC-BY-SA. Source : Wikimedia Commons.

Voilà ce qu’il en dit dans son interview à Soft Power (je retranscris ses propos) :

Je défends cette solution [du domaine public des données personnelles] parce que je ne pense pas qu’on puisse régler tous les problèmes que posent Google, Facebook et autres en utilisant les outils traditionnels de régulation du marché, c’est-à-dire en leur faisant payer des taxes et en mettant en place des lois anti-trust […] Cette industrie digitale a le pouvoir de transformer en profondeur tous les autres marchés, il serait naïf de croire que les données ne vont pas bouleverser fondamentalement les domaines de la santé, des transports, de l’éducation, etc. Autant accélérer ce processus d’automatisation et d’analyse des données, car tout n’est pas négatif. Il n’y a rien de mal à ce que bientôt les cancers soient dépistés plus tôt grâce aux données, mais nous ne devons pas le faire en donnant autant de pouvoir à des entreprises de la Silicon Valley qui sont détenues par quelques milliardaires.

La valeur principale à laquelle il faut s’attaquer, c’est la donnée. Si vous contrôler les données, vous pouvez développer l’intelligence artificielle, ce qui ne veut pas dire que les entreprises privées n’aient pas un rôle à jouer là-dedans. On peut tout à fait imaginer que les données soient dans le domaine public et que les entreprises puissent s’en servir en payant une licence. Il y a des pays où cela fonctionne comme cela avec les terrains. La terre appartient à l’Etat : vous ne pouvez pas en être propriétaire, mais vous pouvez la louer pour la cultiver et en faire quelque chose.

Ce système où les données seraient dans le domaine public aurait aussi l’avantage de démocratiser vraiment l’innovation. Aujourd’hui, on nous fait croire que l’innovation est à la portée de tous, mais ce n’est pas vrai. Vous avez quatre ou cinq entreprises aujourd’hui qui décident de qui peut innover et qui ne peut pas. Vous pouvez tout à fait développer une application rigolote dans votre garage, mais vous n’aurez jamais le pouvoir de construire des voitures autonomes ou d’inventer un système qui permet de détecter le cancer, puisque vous n’avez pas accès aux données.

Un système dans lequel les données appartiennent à la communauté permet à tout un chacun de se saisir de ces données pour en faire quelque chose. Même au niveau local, à l’échelle d’un quartier, pour mieux cibler les politiques publiques, je ne vois pas pourquoi toutes ces données devraient passer nécessairement par une grande entreprise aux Etats-Unis, qui les utilise pour créer de l’intelligence artificielle à grande échelle et en tirer de l’argent.

Il y a beaucoup de choses à dire sur ces différentes propositions, mais je voudrais commencer par souligner l’impression « épidermique » que doit ressentir toute personne qui entend pour la première fois l’expression « domaine public des données personnelles ». En droit de la propriété intellectuelle, le domaine public constitue ce statut auquel les œuvres accèdent à l’issue de la période d’exclusivité, pour devenir librement réutilisables (moyennant le respect du droit moral), y compris à des fins commerciales. Dès lors, dire que l’on veut faire entrer les données personnelles dans un « domaine public » est de nature à susciter un certain malaise, car on voit mal comment les données personnelles, qui touchent à la vie privée des individus et à leur intimité, pourraient relever d’un tel droit d’usage généralisé. Mais ce n’est pas vraiment à cette « métaphore » du domaine public de la propriété intellectuelle qu’Evgeny Morozov rattache ses propositions. Ce qu’il décrit ressemble davantage au régime dit de la domanialité publique, qui régit les biens possédés par les personnes publiques. C’est le système qui s’applique notamment à l’occupation des trottoirs et des places publiques par des commerces (occupation temporaire du domaine public), moyennant des conditions à respecter et le versement d’une redevance.

Dans ce billet, en combinant ce qu’a dit Morozov à Soft Power et son article dans le Guardian, je voudrais montrer qu’il propose en réalité une sorte de régime « hybride » empruntant à la fois des éléments à la domanialité publique et à la propriété intellectuelle, tout en s’inspirant de certains mécanismes des licences libres. Je voudrais aussi rappeler que, contrairement à l’idée intuitive que l’on s’en fait, le régime original des données personnelles, tel qu’il résulte de la loi Informatique & Libertés de 1978, instaurait bien déjà une forme de domaine public. J’essaierai ensuite d’expliquer en quoi l’évolution du droit des données personnelles, notamment avec le RGPD (Règlement Général de Protection des Données), s’écarte de cette conception initiale par la place qu’il accorde désormais au consentement de la personne. Et je terminerai en me demandant si les militants numériques n’ont pas stratégiquement intérêt à se pencher sur cette question du « domaine public des données personnelles », notamment parce qu’elle permet de reconsidérer en profondeur ce qui constitue une des grandes faiblesses de leur approche : la prise en compte des rapports entre l’individuel et le collectif.

Un régime « hybride », inspiré de la domanialité publique

Pour illustrer son propos, Evgeny Morozov prend l’exemple du régime de propriété foncière de certains pays reconnaissant l’existence d’une propriété collective du sol. C’est le cas notamment au Viet-Nam encore aujourd’hui où la terre est considérée comme «la propriété du Peuple tout entier», avec une gestion confiée à l’Etat. Celui-ci délègue aux habitants et aux entreprises des droits d’usage foncier, qu’il peut soumettre à conditions pour garantir des intérêts nationaux. On a aussi un exemple proche en Bolivie, où la Constitution prévoit depuis 2009 que les ressources naturelles du pays relèvent d’une «propriété sociale, directe, indivisible et imprescriptible du peuple». Sans aller jusqu’à ces formes poussées de collectivisation, il existe déjà chez nous un « domaine public » qui fonctionne d’une manière assez similaire à ce qu’Evgeny Morozov préconise pour les données personnelles.

Un régime de « domanialité publique » s’applique en effet à une partie des biens appartenant aux personnes publiques, lorsque celles-ci les affectent « à l’usage direct du public ». Ils deviennent alors « inaliénables » (la personne publique ne peut plus les vendre ou les donner) et elle doit utiliser ses prérogatives pour garantir que ces biens restent bien ouverts « à l’usage de tous ». C’est notamment le statut des places publiques, des trottoirs et des autres voies de circulation publique. Lorsque quelqu’un souhaite faire un usage « privatif » de ce domaine public, qu’ils s’agissent de citoyens dans le cadre d’une manifestation par exemple ou de commerces comme un café souhaitant installer une terrasse sur un trottoir, il faut se tourner vers la personne publique en charge du bien pour lui demander une « Autorisation d’Occupation Temporaire » du domaine public. La collectivité délivre alors une autorisation qu’elle peut soumettre au respect de certaines conditions, en contrepartie du versement d’une redevance en cas d’activité commerciale.

Morozov propose d’appliquer aux données personnelles un régime proche de celui… des terrasses de café ! (Image par Basilou. CC-BY-SA. Source : Wikimedia Commons)

Ce domaine public du droit administratif est donc un « domaine public payant » et il correspond assez bien à ce qu’Evgeny Morozov propose, puisque l’un de ses buts est de faire payer les grandes entreprises numériques pour l’usage des données personnelles. Il se rapproche ici aussi de certaines propositions émises par le passé, comme celle qui figurait dans le Rapport Colin & Collin publié en 2012 sur la fiscalité du numérique. Il y était suggéré de créer une taxe « base de données » sur les bénéfices réalisés sur le territoire français par les entreprises de l’économique numérique qui collectent et utilisent des données personnelles. Plus exactement, il s’agissait de s’inspirer de la taxe carbone et du principe « pollueur-payeur » pour moduler le paiement en fonction des bonnes pratiques mises en oeuvre par ces entreprises en matière de respect des droits fondamentaux, ainsi que de frapper plus lourdement celles qui « exercent une forme de captation exclusive des données qu’elles collectent ».

On va voir que ce souci d’éviter la captation exclusive existe aussi chez Evgeny Morozov, mais d’une manière encore plus forte, et que cela le conduit à rapprocher ses propositions du domaine public de la propriété intellectuelle, voire même de certains mécanismes des licences libres.

Mettre les données personnelles dans un « domaine public viral » ?

Ce problème de l’appropriation exclusive des données personnelles est au cœur du propos d’Evgeny Morozov dans l’article « Pour un populisme numérique (de gauche) » :

Un bien meilleur programme pour les populistes de gauche serait d’insister sur le fait que des données sont un bien essentiel, infrastructurel, qui devrait nous appartenir à tous ; elles ne devraient pas tomber entre les mains des sociétés. On permettrait bien sûr à celles-ci de les utiliser pour élaborer leurs services, mais une fois seulement qu’elles auraient payé leur dû. La possession de ces données — de même que l’IA avancée développée grâce à elles — devrait toujours relever du domaine public. De cette façon, les citoyens et les institutions s’assureraient que les compagnies ne nous prennent pas en otage, en nous imposant des droits d’accès à des services que nous-mêmes avons contribué à produire. Au lieu de payer à Amazon un droit d’accès pour utiliser ses capacités en IA — élaborées à partir de nos données — nous devrions réclamer à Amazon de nous payer ce droit.

On retrouve dans ce passage l’idée, qui existe aussi dans la domanialité publique, que si les données personnelles, prises dans leur globalité, constituent un « bien public » ou « infrastructurel », alors celui-ci doit posséder la qualité de « l’inaliénabilité ». Sauf que pour Morozov, l’aliénation à éviter en matière de données personnelles n’est pas uniquement liée à la revente, mais plutôt une question d’accès et d’usage. Ce qu’il propose, c’est que les entreprises collectant des données personnelles ne puissent pas interdire à des tiers – et notamment à d’autres sociétés – d’y accéder et de les réutiliser, de même que d’autres acteurs, comme les chercheurs ou des personnes publiques, qui voudraient les utiliser pour des raisons d’intérêt général.

L’inaliénabilité prend ici la forme d’un « accès garanti » et d’un droit d’usage général, qui doit toujours rester effectivement ouvert. D’une certaine manière, le « domaine public » de Morozov se rapproche des mécanismes de Copyleft ou de Share Alike (Partage à l’identique) que l’on trouve dans les licences de logiciels libres. Une licence comme la GNU-GPL impose par exemple que le code source du logiciel soit toujours maintenu accessible pour que des tiers puissent l’étudier et que le droit d’usage initialement conféré par la licence ne soit jamais supprimé, même par un acteur qui aurait produit une version dérivée ajoutant de la valeur au code original. Le domaine public de Morozov est donc de ce point de vue un « domaine public viral », qualité que ne possède pas le domaine public classique de la propriété intellectuelle : un éditeur qui réalise une nouvelle traduction d’une oeuvre littéraire appartenant au domaine public a par exemple le droit de lui réappliquer un droit exclusif en la soumettant à un régime de « copyright : tous droits réservés ».

Or ici, Morozov dit bien qu’une entreprise qui collecte des données personnelles ne devrait plus pouvoir empêcher leur réutilisation, ce qu’elle est pourtant actuellement fondée à faire en utilisant son droit de producteur de base de données ou des restrictions contractuelles fixées par ses CGU. Plus encore, Morozov ajoute «l’IA avancée développée grâce [aux données personnelles] — devrait toujours relever du domaine public», ce qui correspond à cette idée de « viralité » que l’on retrouve dans les licences libres. Non seulement, les bases de données constituées par les entreprises devront rester ouvertes, mais tout ce qu’elles seront capables de créer à partir des données personnelles, comme les logiciels d’Intelligence Artificielle, devront aussi être mis en partage. La qualité « d’inaliénabilité » des données personnelles se « communiquerait » donc par héritage à tout ce qui serait produit en les utilisant comme source.

Concrètement pour les bases de données, cela signifie que sous un tel régime, des plateformes comme Facebook, Twitter ou LinkedIn seraient obligées de mettre en place des API ouvertes permettant à des tiers d’utiliser les données sur lesquelles elles s’appuient. Certaines d’entre elles le font déjà, mais souvent en appliquant des restrictions techniques et contractuelles qui limitent ce droit de réutilisation, avec parfois même de brusques retours en arrière comme Twitter en a donné l’exemple. Pour Evgeny Morozov, un « domaine public des données personnelles » ne peut au contraire exister que si un système généralisé d’API ouvertes est mis en place entre les plateformes sans qu’elles puissent s’y dérober.

Notez que juridiquement, on trouve déjà dans notre droit, notamment depuis la loi République numérique, des éléments embryonnaires qui commencent à aller dans cette direction d’un « domaine public des données ». C’est le cas notamment pour les données de la recherche, avec une disposition qui interdit aux éditeurs scientifiques de restreindre la liberté de réutilisation de ces informations lorsqu’elles leur sont transmises avec un article scientifique et neutralise les cessions exclusives de droits qu’ils auraient pu obtenir. Par ailleurs, la loi République numérique a aussi consacré une exception au droit des bases de données en faveur du Text & Data Mining, qui va imposer aux éditeurs scientifiques de garantir aux chercheurs un accès à leurs bases afin de pouvoir se livrer à des activités de fouille de données. Le « domaine public des données » de Morozov pourrait se concrétiser par des mécanismes similaires : neutralisation du droit des bases de données et des restrictions contractuelles + obligation de garantir sur le plan technique un droit effectif de réutilisation par le biais d’API ouvertes.

La loi Informatique & Libertés reposait déjà sur un « domaine public » des données personnelles

Si cette idée de « domaine public des données personnelles » commence à s’éclaircir, j’imagine qu’elle doit encore choquer une bonne partie des lecteurs de ce billet, car Morozov explique que les données personnelles doivent faire l’objet d’un droit d’usage garanti, ce qui paraît à première vue incompatible avec la protection de la vie privée et de l’intimité.

Or cette impression est profondément trompeuse, car le régime instauré par la loi Informatique & Libertés de 1978, sous lequel nous vivions encore aujourd’hui, reposait bien sur le principe d’un droit d’usage des données personnelles. En un sens, on peut dire que les données personnelles relèvent déjà d’une forme de « domaine public », tel que Morozov l’envisage, et il ne fait en réalité que pousser plus loin une idée contenue en filigrane dans la législation. S’il en est ainsi, c’est parce que la loi de 1978 ne repose pas sur un principe de consentement préalable des individus pour le traitement des données personnelles. Le principe posé par ce texte est que le traitement est a priori possible sous réserve que le responsable respecte un certaine nombre de conditions posées par la loi : accomplir des formalités obligatoires – comme la déclaration préalable du traitement à la CNIL, respecter de grands principes protecteurs (précision de la finalité, pertinence du traitement, limitation de la conservation, sécurisation des données).

C’est seulement ensuite que la loi de 1978 reconnaît à l’individu des droits opposables aux responsables de traitement (droit à l’information, droit d’accès et de rectification, droit d’opposition). S’il existe bien dans la loi Informatique & Libertés un droit au consentement préalable, celui-ci est réservé à des hypothèses exceptionnelles, comme les traitements de données sensibles. La liste de ces exceptions est rappelée ici sur le site de la CNIL :

Données sensibles, changement de finalité de traitement, utilisation de traceurs, prospection commerciale : des cas exceptionnels où le traitement des données personnelles est soumis à un consentement préalable des individus.

De la même manière, le droit d’opposition des personnes n’est pas conçu de manière absolue dans la loi de 1978. L’individu a la faculté de s’opposer à la collecte et au traitement de ses données personnelles, mais seulement s’il peut se prévaloir d’un motif légitime dont il doit apporter la justification.

Il en résulte donc que d’après la loi Informatique & Libertés, les données personnelles sont bien déjà dans une forme de « domaine public », puisqu’elles relèvent d’un droit d’usage, certes étroitement encadré par la loi, mais reconnu comme un principe général. Du coup, être choqué par les propositions de Morozov, c’est ignorer la manière dont la législation s’est historiquement organisée en matière de données personnelles.

Pour Morozov, le problème n’est pas que les données personnelles soient inscrites dans un domaine public, mais au contraire que l’on ait pas tiré toutes les conséquences logiques de ce caractère « public ». Notamment, il plaide pour que le domaine public ne change pas de nature une fois que les données sont collectées par les entreprises, en leur imposant de laisser ouvert le droit d’usage dont elles ont elles-mêmes bénéficié (condition de réciprocité). Par ailleurs, Morozov veut renforcer encore la « publicisation » des données personnelles, en rapprochant leur régime de celui de la domanialité publique pour être en mesure de soumettre l’usage au paiement d’une redevance.

Le RGPD et la généralisation (problématique) du consentement

Depuis les années 90, le régime de protection des données personnelles a évolué sous l’influence de la législation européenne. Celle-ci a peu à peu étendu la condition du consentement des individus en soumettant à autorisation préalable un nombre croissant de traitements numériques (analyses des communications, géolocalisation, profilage commercial, etc). C’est notamment ces textes européens qui ont introduit l’obligation de recueillir le consentement de la personne en matière de cookies et de traceurs, même si cette exigence n’est en réalité pas très contraignante pour les sites Internet.

Cette montée progressive du consentement va culminer à partir de l’année prochaine avec l’entrée en vigueur du Règlement Général de Protection des Données (RGPD) qui prévoit un véritable renversement des principes applicables aux données personnelles en Europe. Désormais, le consentement s’appliquera bien de manière générale à tous les types de traitement (avec un renforcement de la notion même de consentement qui devra maintenant être accordé par les individus de manière « explicite » et au terme d’un choix « éclairé »). Cette mesure est présentée comme un des principaux acquis du texte en matière de renforcement des droits des personnes, même si en réalité le règlement comporte d’importantes failles. Il prévoit notamment que les responsables de traitement pourront bénéficier d’une dispense de consentement en invoquant un « intérêt légitime », défini de manière particulièrement floue dans le texte. Par ailleurs, alors que le Règlement n’est même pas encore entré en vigueur, les lobbies tentent déjà de faire revenir en arrière la législation par le biais de Règlement ePrivacy, un autre texte en cours d’adoption au niveau européen. Les industriels essaient notamment de faire sauter l’obligation de recueil du consentement en ce qui concerne la géolocalisation, l’analyse des télécommunications ou le pistage en ligne à des fins commerciales.

Il n’en reste pas moins qu’avec l’entrée en vigueur du RGPD en mai 2018, on ne pourra plus réellement parler d’un « domaine public des données personnelles » étant donné que l’usage de celles-ci relèvera en principe du consentement préalable des individus (ce qui est en train de se jouer avec le Règlement ePrivacy n’est en réalité que la fixation d’exceptions à ce nouveau principe général). Or Evgeny Morozov reste pour sa part dubitatif vis-à-vis de cette évolution législative et il critique en particulier la stratégie suivie par les associations de défense des libertés numériques (qui ont milité pour que cette exigence du consentement devienne le nouveau pivot du droit des données personnelles) :

Il faut rappeler qu’il a eu de vrais efforts aux débuts des années 70 aux Etats-Unis et en Europe pour lutter contre cette libéralisation des données, mais l’Europe a perdu cette bataille.

Et ce qui s’est passé, c’est qu’au fur et à mesure cette question du contrôle des données, qui est une question fondamentalement économique, n’a plus été perçue comme telle, mais comme une question qui relevait de la protection de la vie privée. C’est devenu un problème légal plus qu’un problème économique, et du coup, tous les acteurs traditionnels du conflit social, comme par exemple les syndicats, ont désinvesti cette question et l’on laissée aux associations de défense de la vie privée et aux ONG, qui n’ont absolument pas les mêmes moyens d’action et la même force de frappe.

Pour en revenir à ce règlement de protection des données qui verra le jour au Printemps, il a tous les défauts de la plupart des initiatives européennes. Il est impossible à comprendre parce qu’il a été écrit par des lobbyistes. Il appréhende le problème des données comme s’il fallait simplement défendre la vie privée et pas comme un enjeu économique. Plus on fait ça et plus c’est facile pour les champions digitaux de contourner les vrais problèmes.

Revoir notre stratégie sur les données personnelles ?

J’avoue être globalement d’accord avec ces analyses d’Evgeny Morozov et j’ai d’ailleurs déjà eu l’occasion de l’exprimer plusieurs fois sur ce blog, même si je n’avais pas exactement retenu le même angle d’attaque. Morozov critique le fait que la focalisation quasi-exclusive des militants numériques sur la défense de la vie privée leur fasse manquer les enjeux économiques inhérents à cette question et leur fasse engager la lutte sur un terrain où la victoire ne pourra sans doute jamais être remportée.

Personnellement, j’ai déjà eu l’occasion d’écrire que nous manquons cruellement de réflexions sur les enjeux collectifs autour des données personnelles, car nous n’envisageons cette question qu’à travers un « paradigme individualiste », en faisant de l’individu isolé l’échelle à laquelle le système tout entier devrait être régulé. Or c’est précisément ce que va provoquer le glissement vers le nouveau régime du RGDP articulé autour du mécanisme du consentement préalable : c’est à la décision individuelle des personnes que va être « sous-traitée » l’enjeu global que constitue la régulation de l’usage des données personnelles. Pourtant en la matière, l’individu est un «héautontimorouménos», pour reprendre ce mot magnifique créé par Charles Beaudelaire : son comportement est profondément ambivalent et il est autant la victime que son propre bourreau…

Je suis la plaie et le couteau !
Je suis le soufflet et la joue !
Je suis les membres et la roue,
Et la victime et le bourreau !

Faites le test : regardez votre téléphone et demandez-vous à combien d’applications intrusives vous avez accordé une autorisation de traitement de vos données personnelles ? Le savez-vous seulement ? Pensez-vous toujours être un gardien avisé de la vie privée et que c’est à vous, et à l’armée de vos semblables, que l’on devrait confier sa protection ?

La forme d’aliénation spécifique à laquelle nous expose l’exploitation des données personnelles est une déclinaison du drame de la « servitude volontaire ». Nous sommes des milliards à avoir accepté les conditions d’utilisation de Facebook, Google, Apple, Twitter à l’inscription à leurs services et c’est bien avec notre consentement qu’ils exploitent nos données. Renforcer les droits de l’individu peut paraître un but louable, mais systémiquement, c’est extrêmement dangereux. Car cela revient à renforcer notre capacité à prendre à une échelle individuelle des décisions qui, agrégées les unes aux autres, auront un redoutable impact global. C’est la raison pour laquelle je pense que ce combat pour la défense du consentement individuel est foncièrement ambigu et qu’il ne devrait pas nous dispenser d’une réflexion sur la dimension collective des données personnelles, à laquelle nous invite Evgeny Morozov.

J’irai même plus loin. Si j’ai commencé à m’intéresser à ces questions, c’est pour lutter contre des propositions de création d’un droit de propriété privée sur les données personnelles, qui me paraissaient incroyablement dangereuses. Or la propriété s’analyse essentiellement comme un droit exclusif qui se manifeste par la faculté reconnue au titulaire de contrôler les usages par le biais d’une autorisation préalable. Le consentement est donc « matriciellement » lié à la propriété, dans la mesure où c’est la « brique de base » qui permet juridiquement de construire un tel droit. Et de ce point de vue, c’est avec une certaine crainte que je vois le droit européen des données personnelles s’articuler à présent autour de la notion de consentement, car elle peut tout à fait servir de Cheval de Troie au retour des thèses « propriétaristes ».

J’avoue aussi que je ressens un profond malaise lorsqu’en matière de défense des données personnelles, j’entends employer des concepts comme « auto-détermination informationnelle » ou « souveraineté personnelle ». Car philosophiquement, ce type de notions exprimant une confiance absolue dans les décisions de l’individu se rattachent à une certaine pensée libertarienne, qui s’est précisément construite sur une conception de la liberté envisagée comme un droit de propriété privée sur soi-même (voir la vidéo ci-dessous).

Or il n’y a sans doute pas de philosophie dont je me sente plus éloigné, mais il faut bien avoir conscience que ce « libertarianisme » est un courant de pensée très répandu parmi les militants numériques (qu’ils en aient clairement conscience… ou non !). Et c’est bien symboliquement aussi un des enjeux politiques « cachés » autour de cette question – plus problématique qu’il n’y paraît – du consentement.

Repenser en profondeur l’articulation entre le collectif et l’individuel

La vie privée a cessé d’être un droit individuel pour devenir une négociation collective.

Cette phrase d’Antonio Casilli condense à mon sens une des réflexions les plus importantes de ces dernières années à propos des données personnelles. Evgeny Morozov se situe dans une optique similaire, dans la mesure où son « domaine public des données personnelles » vise justement à établir une base juridique pour engager cette négociation collective avec les grands acteurs numériques. La grande faiblesse de ses propositions, c’est qu’en se référant au modèle de la domanialité publique, il accorde dans son système une place centrale à l’Etat. Or au vu de la dérive sécuritaire gravissime de ces dernières années et de la collusion avec les entreprises privées, il n’est pas certain que l’Etat puisse encore être considéré comme un tiers de confiance à qui confier la gestion des intérêts collectifs liés aux données personnelles. Personnellement, une affaire comme celle du fichier TES l’an dernier a profondément et durablement affecté le crédit que je pouvais accorder aux autorités françaises en la matière…

Il n’en reste pas moins qu’Evgeny Morozov soulève des pistes intéressantes avec son « domaine public des données ». Je retiens notamment cette idée de pousser jusqu’au bout la logique de la domanialité en rendant les données inappropriables par les plateformes et en leur imposant de garantir un droit d’usage. De telles propositions rejoignent d’ailleurs celles des personnes qui ont essayé de repenser les données personnelles comme des « biens communs », en envisageant la distribution d’un faisceau de droits (Bundle of Rights) répartis entre différents acteurs (individus, Etats, entreprises).

Je terminerai en ayant recours à une distinction utilisée par le juriste Alain Supiot, un des grands penseurs du droit social (voir ici notamment). Ce dernier explique qu’on ne peut s’en ternir à la séparation habituelle entre les droits individuels et les droits collectifs. Il existe en effet selon lui des droits individuels qui ne peuvent s’exercer que collectivement (il prend l’exemple du droit de grève) et inversement, des droits collectifs qui s’exercent individuellement (on peut penser au droit à la formation, dont l’existence et les contours résultent une négociation collective, mais qui sont ensuite « activés » par les individus).

On gagnerait beaucoup à mon sens à appliquer cette grille de lecture à la question des données personnelles, partagées elles aussi entre droits individuels et droits collectifs. Par exemple, on voit bien qu’il est crucial de ne pas seulement consacrer de nouveaux droits au profit des individus, mais aussi de prévoir des mécanismes collectifs pour qu’ils puissent les exercer effectivement. C’est tout l’enjeu des recours collectifs (class actions) en matière de données personnelles, qui devraient être encore renforcés pour devenir de véritables leviers d’action en groupe pour la défense des droits. Mais symétriquement, si la vie privée n’est pas seulement un droit individuel, mais aussi un droit collectif, alors il est préjudiciable que la protection de cette valeur sociale soit uniquement renvoyée à des décisions individuelles. C’est pourtant ce qui va se produire avec la généralisation du consentement, qui ne peut pas être considéré comme un mode de régulation suffisant. De la même manière que la santé est un droit individuel, mais qu’il dépend d’une « hygiène publique », l’effectivité de la vie privée est liée à une « hygiène numérique publique », encore largement inexistante.

Pour reprendre le canevas proposé par Alain Supiot, la maîtrise des données personnelles constitue en réalité un droit collectif, mais il demeure aujourd’hui « activable » uniquement à titre individuel, ce qui le rend profondément infirme. Ce qui nous manque, c’est un moyen collectif d’exercer ce droit d’essence collective, dans le cadre d’une négociation globale à conduire à la fois avec les plateformes et avec les États : une forme de « protection sociale » de la vie privée. Or il n’existe pas aujourd’hui en droit positif de notion qui permette d’exprimer et de saisir cette dimension collective des données personnelles (même si des propositions intéressantes ont déjà été faites, notamment par Pierre Bellanger autour de la notion de «réseau de données personnelles liées»).

***

Je ne sais pas si le « domaine public des données personnelles » de Morozov constitue un moyen approprié pour arriver à ce résultat, mais sa proposition a au moins le mérite de faire apparaître clairement cet enjeu collectif et de nous inciter à un retour critique sur nos propres stratégies.

15 réflexions sur “Evgeny Morozov et le « domaine public » des données personnelles

    1. Oui, tout à fait. J’ai fait un lien vers vos propositions de reconnaissance du « réseau des données personnelles liées » comme un bien commun dans la dernière partie du billet.

  1. Remise en perspective passionnante, merci beaucoup !
    Un des bouts du sujet, il nous semble, est également de travailler à ce que les individus pourraient eux-mêmes faire de leurs propres données, pour leur propre usage – ce que nous essayons humblement d’explorer via le concept de « Self Data » : http://mesinfos.fing.org/selfdata-2/
    Mais cela ne pourra vraiment se réaliser que si des mécanismes collectifs se mettent en place, et il est clair là-dessus que Morozov ouvre des pistes pleines de promesses, qui en tout cas renversent bien les perspectives !

    1. Oui, il y a des liens intéressants à faire entre le projet MesInfos/SelfData de la FiNG et les propositions de Morozov que le domaine public des données personnelles. En effet, si les entreprises doivent garantir un droit d’usage sur les données qu’elles collectent, cela bénéficiera aussi aux individus qui veulent récupérer leurs propres données. Ce serait une manière de mettre en place un « droit général à la portabilité des données », là où la loi numérique et la RGPD ne prévoient la portabilité que sous un angle assez limité. Et dès lors, il faudra que les individus soient en mesure de pouvoir réutiliser effectivement leurs propres données, ce qui est loin d’être évident. D’une certaine manière, le projet MesInfos illustre ce que j’ai essayé de dire dans le billet : c’est bien de consacrer un droit individuel à la portabilité des donnés, mais sans une organisation collective qui mette en capacité les individus d’exercer ce droit, il y a de grandes chances qu’il reste lettre morte.

      1. Bonjour,

        Je suis Geoffrey, de l’équipe Innovation & prospective de la CNIL (linc.cnil.fr)
        Merci pour cet article, qui m’intéresse autant qu’il me perturbe (ce qui est bon signe) : il m’a fallu 2 lectures attentives et il y en aura d’autres !
        Je pense que sur la portabilité telle que nous nous la voyons (pas si limitée que cela), sur des projets comme Mes Infos ou sur la dernière partie de notre cahier IP5 « la plateforme d’une ville », il y a des points qui rapprochent nos réflexions…
        j’espère qu’on pourra en parler à l’occasion dans le futur si ça te dit !

  2. Excellente réflexion, c’est toujours un plaisir de vous lire. La piste de la dominalité publique est certes très prometteuse. Elle permet notamment de différencier les termes de la réciprocité en fonction de l’usage, ce qui d’un point de vue économique est à mon avis crucial pour casser les « datamonopoles » d’une manière efficace et socialement utile.

    J’avais écrit un article proposant d’aller dans ce sens, mais en appliquant par défaut des licences à réciprocité aux données. En rejoignant votre crainte de que l’État soit le seul gardien, la gouvernance des données serait définie par type de données et assurée par un consortium Etat/individus/entreprises.

    https://vecam.org/Data-as-a-common-in-the-sharing-economy-a-general-policy-proposal

    1. Bonjour Bruno,

      Effectivement, je n’ai pas fait références à vos travaux qui auraient tout à fait mérité d’être cités dans ce billet.

      Si vous vous inscrivez bien dans cette lignée « publiciste » de la gestion des données personnelles, vous apportez un élément essentiel par rapport à Morozov : l’idée de coupler la réutilisation du « Commons des données » sous garantie publique à une licence à réciprocité permettant de discrimer selon les usages (notamment de prendre en compte la réutilisation par les « vraies » plateformes coopératives pour les avantager).

      Par ailleurs effectivement, toute la question de ces modèles est de savoir comment sera organisée la gouvernance de ce « Commun de données sous garantie publique ». La manière dont la gestion de l’eau à Naples s’est organisée peut peut-être servir de modèles multipartites.

      C’est peut-être d’ailleurs à l’échelon local que ces « communs de données » ont de chances de voir le jour. Voir par exemple ce qui se passe à Barcelone : http://ajuntament.barcelona.cat/digital/en/digital-transformation/city-data-commons).

      A l’échelle étatique et dans le contexte sécuritaire qui est le nôtre, les risques que l’Etat capture la gouvernance me paraissent hélas extrêmement forts. La manière dont le gouvernement français a réagi aux critiques quasi-unanimes de la société civile face à la mise en place du fichier TES est assez significative…

      C’est terrible d’ailleurs, car on a besoin de pouvoir avoir confiance en l’état pour envisager un changement de modèle…

  3. Toto

    > Cette industrie digitale

    Apple a le doigt de certains, ou peut l’avoir facilement (une petite mise à jour d’iOS et hop). Mais ce n’est pas encore le cas de Google, Amazon, Facebook et Microsoft. Pour l’instant, ce sont des entreprises numériques, mais pas toutes digitales.

    > imaginer que les données soient dans le domaine public

    Et l’anonymat ? Même « anonymisé », il a été montré qu’il était possible de désanonymiser avec peu de données. Abattre les GAFAM et plus globalement le capitalisme, oui, mais cela en vaut il la peine si c’est pour permettre la surveillance de masse de toutes et tous par tout un chacun (qu’il soit une personne physique ou morale) ? « Belle » théorie, mais je reste fort septique de de ce que j’en lis de ton article, puisque la condition de possibilité me semble extrêmement dangereuse et que je vois mal comment il serait possible de significativement la diminuer ou la « contrôler » (avec un ou plusieurs contre-pouvoirs suffisamment forts).

    > Plus on fait ça et plus c’est facile pour les champions digitaux de contourner les vrais problèmes.

    L’irrespect des droits humains ne serait pas un « vrai » problème (selon lui) ? Prospérer économiquement mais dans une société sans liberté ? Encore une fois, je reste dubitatif (c’est un euphémisme).

    > si la vie privée n’est pas seulement un droit individuel, mais aussi un droit collectif, alors il est préjudiciable que la protection de cette valeur sociale soit uniquement renvoyée à des décisions individuelles.

    Néanmoins je suis d’accord avec cela. Certains défenses de la vie privée (comme celle qui mise à fond sur le consentement) et ce que tu décris dans cet article se base sur un postulat : il y a une collecte massive et centralisée de données personnelles qui est indépassable. Or toute concentration de données personnelles est un moyen de pouvoir, potentiellement très puissant. De plus, je suis très peu confiant sur la possibilité d’anonymiser des données personnelles sans que revenir en arrière soit possible.

    Du coup, plutôt que réguler l’usage et la collecte avec des pansements ou une transformation de régime, je suis en faveur de l’abolition de la centralisation massive de données personnelles tierces. Bien entendu, dans cette perspective, plein de choses disparaîtront : Google, Facebook, le système bancaire actuel (voire plus globalement les transactions monétaires électroniques pour le quidam), les réseaux mobiles (2G, 3G, 4G, etc, hormis pour cas de réel urgence), etc. C’est radical et je n’ai pas une solution pour y parvenir, même si en fait je pense que ça finira par arriver à cause du système. J’imagine 2 possibilités. La première est le passage par une société autoritaire basée sur la surveillance de masse (on peut déjà considérer que la France en est une ou au moins qu’elle est très avancée) et la libération qui finira un jour ou l’autre par arriver et aura fait comprendre l’importance de la vie privée au fer rouge (qui conduira à un rejet semblable au rejet du nazisme et de la dictature de l’URSS). La deuxième est qu’il se pourrait bien que ce soit écologiquement pas tenable (électricité, terre rare, etc). C’est très pessimiste, mais j’ai du mal à voir une possibilité positive au vu de la mollesse de la population, à moins qu’au moins un autre changement (comme l’explosion de la face économique de l’UE ou au moins retour à un protectionnisme économique) relance l’idée (chez beaucoup de gens) qu’il est possible de changer significativement les choses sans que ce soit quasi-nécessairement un chaos ou une ignoble régression, s’ils ne deviennent pas prêt à tout changer pour éviter le potentiel chaos écologique que le système actuel nourrit si bien.

    1. Bonjour,

      Il y a hélas beaucoup de fantasmes sur cette question de l’anonymisation des données personnelles. Dans la loi de 1978, l’anonymisation n’est requise que pour pouvoir utiliser des informations à caractère personnel sans le consentement de la personne. Or la plupart des données personnelles sont fournies aux grandes plateformes AVEC leur consentement pour toute une série de traitements prévus par les CGU des sites. Donc toutes ces données peuvent être utilisées par ces grands sites sans anonymisation, tout en étant parfaitement en règle avec la législation en vigueur.

      Il s’ensuit que ce qui serait dans la domaine public des données personnelles aurait la même nature, puisqu’il s’agirait en fait d’opérer une sorte de « réquisition » des données détenues par les plateformes. Et les individus ayant consenti à leur usage, elles pourront faire l’objet de traitements sans anonymisation. Sinon, ce que propose Morozov n’a juste pas de sens, puisque son domaine public ne vaut que s’il permet de faire les mêmes choses que les bases des GAFAM.

      Par ailleurs, notez que ce sera encore pire avec le RGPD européen, car il a remplacé l’exigence d’anonymisation par une simple pseudonymisation.

      Pour protéger son anonymat en ligne, c’est une autre voie qu’il faut suivre : celle des outils de chiffrement des communications ou des systèmes comme TOR.

      Mais à partir du moment où l’individu consent à diffuser ses données en acceptant des traitements liés, il faut qu’il fasse le deuil de son anonymat en ligne.

      Il y a un correctif dans le RGPD sous la forme du droit à l’oubli, mais ce n’est pas un droit absolu. On peut s’en prévaloir dans des cas déterminés (et heureusement, car toutes les demandes d’effacement des données ne sont pas forcément légitimes.)

  4. Ping : #0.26 | SWEETUX.ORG

  5. Tutu

    Bonjour

    Etre anonyme sur le Web ?
    Alors que chaque appareil est différent ?
    Alors que chaque IP est différente, que chaque chemin d’accès l’est et que l’on connaît ce chemin ?
    Alors que chaque OS, ou même chaque navigateur est différent ?

    Il n’y a pas d’anonymat sur le web.
    Même si on se fait passer pour un « Toto ou un Tutu », on laisse tellement d’empreintes derrière soi que l’anonymat n’existe pas.
    Rien que la façon d’écrire, les tournures de phrases récurrentes sont autant d’empreintes reconnaissables. Comme une empreinte vocale sur un téléphone portable.

    On n’est plus dans le domaine du fantasme, mais dans la capacité de collecter toutes ces données et de les traiter. Ce qui réserve déjà cette possibilité à des sociétés avec certains budgets et une certaine « intelligence » humaine ou artificielle.

    Morozov souligne des pistes intéressantes.
    Un domaine public des données personnelles obligerait les GAFA à montrer tout ce qu’elles collectent et peut-être à rendre les gens plus prudents.
    C’est vrai, il pourrait y avoir une certaine concurrence entre les acteurs, et une liberté de recherches dans plusieurs domaines.

    Sauf qu’il y a des revers à cette médaille. Qui sont déjà en cours pour certains.
    Si vous avez un certain « profil », on vous fournit des données (ou des crédits/assurances/prêts bancaires) « adaptées » à votre profil.
    On peut même vous marier à l’identique, par compatibilité de profils. (et de fortunes ?)

    Et si on définit votre profil, on pourra – à termes – exiger que vous vous y conformiez.
    On pourra « dresser » l’humanité à rentrer dans un moule parfait et bien formaté.
    Ce n’est pas juste une question de pouvoir et d’autorité, ou de contrôle par les autorités, ça va beaucoup plus loin.
    Il y a le Gattaca de l’ADN, il y a le Gattaca Web… derrière cette collecte massive de données.

    Les entreprises privées vivent de cette collecte des données (consentie ou pas) et quelque part, ça garantit une partie de notre liberté. On peut changer d’entreprise privée, on ne pourra pas en changer si toutes les données sont ouvertes à tous.

    C’est comme nos échanges sur le Web, si la machine corrige automatiquement tous nos pseudos en notre vrai nom… où, et à quelle castration, sera renvoyée notre « liberté » d’expression ?
    Et notre liberté tout court ?

    Car, si tout le monde peut tout savoir de nous, à tout moment… est-on vraiment libre, ou juste prévisible ?

    Prévisible ou manipulable, deux synonymes.

  6. 1684

    petite coquille « ternir » au lieu de tenir lors de la 1ère évocation de travail d’Alain Supiot. Sinon très bon article, bien documenté. Merci !

  7. Ping : Données personnelles et Communs : une cartographie des thèses en présence – – S.I.Lex –

  8. Ping : Evgeny Morozov and the «Public Domain » of Personal Information – ALLAHU HAQQ ALLAH IS TRUTH

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s