Données personnelles et Communs : une cartographie des thèses en présence

A la fin du mois dernier, j’ai écrit un billet intitulé «Evgeny Morozov et le domaine public des données personnelles», qui m’a valu un certain nombre de retours, notamment de la part de personnes découvrant ce type de thèses s’efforçant de rompre avec l’approche individualiste ou « personnaliste » qui sous-tend le droit actuel de la protection des données personnelles pour essayer d’en penser la dimension collective. En réalité, ces thèses sont multiples et on peut, à mon sens, les répartir en quatre grandes familles, comme j’ai essayé de le représenter sur la carte mentale ci-dessous (cliquer sur l’image pour la consulter).

Ces quatre grands groupes de thèses sont les suivantes (certaines font un lien direct entre les données personnelles et les Communs, tandis que d’autres établissement un lien seulement indirect) :

  • Les thèses libristes (Lien indirect) :  Les données personnelles ne sont pas directement des biens communs, mais il faut développer des Communs numériques (notamment des logiciels libres) pour reprendre la main sur leur contrôle. Par ailleurs, il faut revenir à une architecture décentralisée du web et promouvoir une économie servicielle si on veut préserver Internet comme un bien commun, éviter l’exploitation massive des données et limiter l’emprise de la surveillance étatique.
  • Les thèses « collectivistes » (Lien indirect) : Les données personnelles ne sont pas directement des biens communs, mais il faut permettre aux individus de les « mettre en communs » et de les partager de manière sécurisée ou instaurer des moyens d’action collective pour mieux défendre les droits individuels (action collective en justice, syndicalisme spécifique, etc.).
  • Les thèses « commonistes » (Lien direct) : Il faut changer le statut légal des données personnelles pour consacrer leur dimension collective et la reconnaître en tant que telle comme un bien commun (par exemple, en conférant un statut de bien commun au « graphe social » ou au « réseau des données liées »). Cela permettra notamment de repenser la gouvernance des données personnelles sous la forme d’un « faisceau de droits ».
  • Les thèses « publicistes » (Lien direct) :  Il faut changer le statut juridique des données personnelles et leur reconnaître la nature d’un « bien public ». Cela permettra aux États de peser à nouveau face aux grandes plateformes numériques et notamment de les soumettre à des nouvelles formes de taxation ou de créer des structures publiques qui amélioreront le contrôle collectif sur ces données.

Pour chacune de ces quatre thèses, j’ai essayé de faire des sous-distinctions et donner des exemples concrets, avec au bout de chacune des branches de la carte des liens hypertexte vers les sources pour aller plus loin.

Je ne prétends pas que cette typologie soit parfaite, mais elle m’a permis à titre personnel d’y voir plus clair parmi les nuances qui existent entre ces différentes positions. On note que certains auteurs peuvent se retrouver simultanément dans plusieurs quadrants de la carte, preuve que ces thèses peuvent s’avérer compatibles entre elles ou complémentaires.

A titre personnel, je dirais que je me situe plutôt dans la famille « commoniste », comme j’ai déjà eu l’occasion de l’exprimer à plusieurs reprises sur ce blog (voir ici, ou ).

N’hésitez pas à indiquer en commentaire si vous voyez d’autres exemples qui pourraient être intégrés à cette carte ou si vous pensez que cette typologie peut être améliorée d’une manière ou d’une autre.

 

Evgeny Morozov et le « domaine public » des données personnelles

Au début du mois, l’essayiste biélorusse-américain Evgeny Morozov a donné une interview pour l’émission Soft Power, dans laquelle il résume de manière intéressante les positions assez iconoclastes qu’il défend à propos des données personnelles. Là où les militants numériques mettent l’accent sur la défense de la vie privée, Evgeny Morozov explique que l’enjeu principal est d’ordre économique et que le bras de fer avec les géants du numérique (GAFAM et autres) passe par le fait de considérer les données personnelles comme un « bien public » et de les faire relever d’un « domaine public ». C’est une idée qu’il avait déjà avancée dans un article remarqué paru dans le Guardian en décembre 2016, traduit en français par le Monde Diplomatique sous le titre «Pour un populisme numérique (de gauche)».

Evgeny Morozov. Par International Journalism Festival. CC-BY-SA. Source : Wikimedia Commons.

Voilà ce qu’il en dit dans son interview à Soft Power (je retranscris ses propos) :

Je défends cette solution [du domaine public des données personnelles] parce que je ne pense pas qu’on puisse régler tous les problèmes que posent Google, Facebook et autres en utilisant les outils traditionnels de régulation du marché, c’est-à-dire en leur faisant payer des taxes et en mettant en place des lois anti-trust […] Cette industrie digitale a le pouvoir de transformer en profondeur tous les autres marchés, il serait naïf de croire que les données ne vont pas bouleverser fondamentalement les domaines de la santé, des transports, de l’éducation, etc. Autant accélérer ce processus d’automatisation et d’analyse des données, car tout n’est pas négatif. Il n’y a rien de mal à ce que bientôt les cancers soient dépistés plus tôt grâce aux données, mais nous ne devons pas le faire en donnant autant de pouvoir à des entreprises de la Silicon Valley qui sont détenues par quelques milliardaires.

La valeur principale à laquelle il faut s’attaquer, c’est la donnée. Si vous contrôler les données, vous pouvez développer l’intelligence artificielle, ce qui ne veut pas dire que les entreprises privées n’aient pas un rôle à jouer là-dedans. On peut tout à fait imaginer que les données soient dans le domaine public et que les entreprises puissent s’en servir en payant une licence. Il y a des pays où cela fonctionne comme cela avec les terrains. La terre appartient à l’Etat : vous ne pouvez pas en être propriétaire, mais vous pouvez la louer pour la cultiver et en faire quelque chose.

Ce système où les données seraient dans le domaine public aurait aussi l’avantage de démocratiser vraiment l’innovation. Aujourd’hui, on nous fait croire que l’innovation est à la portée de tous, mais ce n’est pas vrai. Vous avez quatre ou cinq entreprises aujourd’hui qui décident de qui peut innover et qui ne peut pas. Vous pouvez tout à fait développer une application rigolote dans votre garage, mais vous n’aurez jamais le pouvoir de construire des voitures autonomes ou d’inventer un système qui permet de détecter le cancer, puisque vous n’avez pas accès aux données.

Un système dans lequel les données appartiennent à la communauté permet à tout un chacun de se saisir de ces données pour en faire quelque chose. Même au niveau local, à l’échelle d’un quartier, pour mieux cibler les politiques publiques, je ne vois pas pourquoi toutes ces données devraient passer nécessairement par une grande entreprise aux Etats-Unis, qui les utilise pour créer de l’intelligence artificielle à grande échelle et en tirer de l’argent.

Il y a beaucoup de choses à dire sur ces différentes propositions, mais je voudrais commencer par souligner l’impression « épidermique » que doit ressentir toute personne qui entend pour la première fois l’expression « domaine public des données personnelles ». En droit de la propriété intellectuelle, le domaine public constitue ce statut auquel les œuvres accèdent à l’issue de la période d’exclusivité, pour devenir librement réutilisables (moyennant le respect du droit moral), y compris à des fins commerciales. Dès lors, dire que l’on veut faire entrer les données personnelles dans un « domaine public » est de nature à susciter un certain malaise, car on voit mal comment les données personnelles, qui touchent à la vie privée des individus et à leur intimité, pourraient relever d’un tel droit d’usage généralisé. Mais ce n’est pas vraiment à cette « métaphore » du domaine public de la propriété intellectuelle qu’Evgeny Morozov rattache ses propositions. Ce qu’il décrit ressemble davantage au régime dit de la domanialité publique, qui régit les biens possédés par les personnes publiques. C’est le système qui s’applique notamment à l’occupation des trottoirs et des places publiques par des commerces (occupation temporaire du domaine public), moyennant des conditions à respecter et le versement d’une redevance.

Dans ce billet, en combinant ce qu’a dit Morozov à Soft Power et son article dans le Guardian, je voudrais montrer qu’il propose en réalité une sorte de régime « hybride » empruntant à la fois des éléments à la domanialité publique et à la propriété intellectuelle, tout en s’inspirant de certains mécanismes des licences libres. Je voudrais aussi rappeler que, contrairement à l’idée intuitive que l’on s’en fait, le régime original des données personnelles, tel qu’il résulte de la loi Informatique & Libertés de 1978, instaurait bien déjà une forme de domaine public. J’essaierai ensuite d’expliquer en quoi l’évolution du droit des données personnelles, notamment avec le RGPD (Règlement Général de Protection des Données), s’écarte de cette conception initiale par la place qu’il accorde désormais au consentement de la personne. Et je terminerai en me demandant si les militants numériques n’ont pas stratégiquement intérêt à se pencher sur cette question du « domaine public des données personnelles », notamment parce qu’elle permet de reconsidérer en profondeur ce qui constitue une des grandes faiblesses de leur approche : la prise en compte des rapports entre l’individuel et le collectif.

Lire la suite

Ressources pédagogiques, Learning Analytics et données personnelles

J’ai eu la chance récemment d’être invité pour intervenir lors des rencontres 2017 de la communauté Scenari (un logiciel libre permettant de créer des chaînes éditoriales pour produire  – entre autres – des ressources pédagogiques). On m’avait demandé à cette occasion de traiter le sujet des Learning Analytics (analyse des données d’apprentissage, en français) dans leurs liens avec la protection des données personnelles et je vous propose la présentation ci-dessous, qui essaie de balayer les divers aspects de la question.

Les Learning Analytics constituent un enjeu important du numérique appliqué aux activités pédagogiques, que ce soit à l’école, à l’université ou dans le secteur privé. C’est typiquement le genre de technologies présentant une nature « pharmacologique » – pour reprendre la notion de Pharmakon développée par Bernard Stiegler.  A la fois remède et poison, l’analyse des traces laissées par les utilisateurs des ressources pédagogiques offre des perspectives révolutionnaires d’accompagnement et de personnalisation des enseignements, de manière à ce que chacun puisse bénéficier au mieux des contenus numériques en fonction de son profil et de ses besoins.

Mais évidemment, ces outils technologiques peuvent aussi se révéler passablement intrusifs et porter atteinte à la vie privée des utilisateurs, en favorisant le fichage ou le profilage des individus, ainsi que la marchandisation des données qu’ils produisent en contexte d’apprentissage. La CNIL a d’ailleurs publié le mois dernier un article intéressant sur la question des Learning Analytics qui souligne bien cette nature ambivalente :

Si elles sont utiles à l’amélioration globale de la plateforme, la production et la réutilisation de ces données interrogent : elles pourraient tout aussi bien être utilisées pour prédire des situations d’échec, détecter des élèves à risque, enfermer les élèves dans des parcours scolaires « adaptés à leur profil »,  prédire les abandons dans les Moocs, voire même fournir des profils adaptés à des employeurs potentiels… Des finalités qui pour certaines, si elles ne sont pas encadrées, pourraient aboutir à des formes de discrimination.

[…] Au-delà de l’aspect juridique, des questions seront certainement à soulever du côté de l’éthique, dès lors que l’on cherchera à classer les élèves dès leur plus jeune âge pour repérer des cas de déviance, avec le risque de les enfermer dans des bulles d’échec. Pour que les données de leur enfance ne les poursuivent pas tout au long de leur vie.

Le (controversé) rapport « Enseignement supérieur et numérique », publié il y a quelques semaines par l’Institut Montaigne, accorde lui aussi une large place aux Learning Analytics, en lien avec l’enjeu du pilotage des établissements académiques :

L’analyse des données d’apprentissage (learning analytics) a également une importance capitale, puisqu’elle permet à la fois aux professeurs de connaître les attentes de leurs étudiants et leurs difficultés, et aux étudiants d’individualiser leurs parcours, d’identifier leurs faiblesses et de bénéficier d’une pédagogie sur mesure. La généralisation de cette analyse quantitative pourrait notamment être un moyen de lutter efficacement contre le décrochage en licence. Rappelons en effet que près de 60 % des inscrits en première année de licence ne passent pas en deuxième année. Plus globalement, elle constitue un réel levier pour améliorer la performance générale du système éducatif.

Il y a donc beaucoup de gains à attendre des Learning Analytics, mais elles risquent aussi de générer de redoutables externalités négatives, notamment si les communautés d’apprentissage ne maîtrisent pas les outils et l’environnement numérique où ces pratiques se dérouleront. On pense bien sûr ici aux effets de bord du partenariat signé entre l’Éducation nationale et Microsoft. À ce sujet, je vous recommande de lire la transcription de l’émission Rue des écoles- France Culture  « Élèves, tous fichés ? Quel encadrement pour le numérique dans l’éducation ? » , publiée par l’April, dans laquelle Daniel Agacinski pointe les risques de dépossession des institutions liés à l’utilisation d’outils propriétaires externes :

Mais il y a cette question, que vous avez évoquée aussi tout à l’heure, des traces d’apprentissage. Quand vous faites faire des exercices ou des leçons à des élèves, ou des interactions entre enseignants, par un certain nombre d’outils numériques qui sont à la disposition du grand public, avec ou sans conditions spécifiques à l’Éducation, vous laissez des traces d’apprentissage qui n’appartiennent, au fond, ni aux enseignants, ni aux élèves eux-mêmes, ni à l’Éducation nationale en tant qu’institution, mais à l’entreprise, au fabricant de cet outil-là.

Au fond, après, qu’il soit français, étranger, et que les données soient hébergées ici ou là, qu’est-ce qui se passe ? Il se passe que quand vous fabriquez un outil pédagogique et que vous l’ouvrez à un grand nombre d’utilisateurs, vous récupérez précisément ces traces d’apprentissage qui vont vous permettre de le développer et de l’améliorer considérablement. Or si, à moyen terme, les élèves français, les enseignants français, à force d’utiliser des outils que l’institution ne connaît pas complètement, ne maîtrise pas complètement, eh bien le travail que font les enseignants et les élèves au quotidien va, non pas servir à améliorer directement les pratiques des enseignants et la connaissance que l’Éducation nationale a de ses élèves, parce que vous disiez tout à l’heure l’Éducation nationale en sait beaucoup sur ses élèves, eh bien peut-être pas tant que ça, finalement ! L’Éducation nationale n’a pas les traces d’apprentissage .

Dans la présentation ci-dessus, j’essaie de passer en revue quelles sont les règles de protection des données personnelles applicables à ce type de traitements, dans le cadre de la réglementation CNIL actuellement en vigueur. Mais je m’efforce aussi d’anticiper des évolutions importantes à venir, notamment celle de l’entrée en vigueur l’année prochaine du Règlement Général de Protection des Données (RGPD) d’origine européenne, qui va profondément bouleverser la matière.

Là où la législation française reposait essentiellement sur des formalités préalables de déclaration à la CNIL, le règlement européen les supprime pour mettre en place un principe de « redevabilité » (accountability) qui va imposer aux établissements de définir a priori des politiques de protection des données (études d’impact, privacy by design, sécurisation, etc.). Par ailleurs, le règlement va désormais nécessiter de recueillir le consentement éclairé des personnes intéressées par un traitement des données personnelles, là où la loi française antérieure ne réservait cette obligation qu’à des hypothèses bien déterminées (données sensibles, cookies, prospection commerciale) et se limitait en dehors de ces cas à un devoir d’information préalable des individus. Si le règlement paraît globalement renforcer la protection des données et consacrer de nouveaux droits (comme celui à la portabilité des données), il a aussi des effets plus ambigus dans la mesure où certains acquis du cadre français paraissent fragilisés (l’exigence d’anonymisation des données par exemple est remplacée par une simple pseudonymisation moins protectrice). Le règlement permet aussi de mettre en place des pratiques de profilage prédictif du comportement des individus, qui peuvent avoir leur intérêt dans le cadre des Learning Analytics, mais dont le caractère intrusif pose aussi de nombreuses questions.

Au-delà du Règlement européen, j’essaie également de voir quelles vont être les incidences de la loi numérique sur les Learning Analytics. A priori, ces données devraient être concernées par l’obligation d’Open Data par défaut que la loi Lemaire impose aux administrations (y compris les universités). Cela signifie qu’elles devront mettre en ligne et rendre librement réutilisables les données d’apprentissage, sans pouvoir fixer de redevances de réutilisation (y compris pour les éventuels usages commerciaux réalisés par des entreprises). Mais ces principes ne vaudront que pour les données anonymisées, car l’Open Data par défaut ne s’applique pas aux documents contenant des informations à caractère personnel. Et cela ne concerna pas non plus le contenu des ressources pédagogiques elles-mêmes, lorsqu’il est protégé par le droit d’auteur. Une licence libre peut bien sûr être appliqué pour entrer dans la logique des Ressources Educatives Libres (REL), mais ce n’est pas une obligation pour les établissements.

Au final, le cadre juridique n’empêche pas bien sûr pas de déployer des technologies de Learning Analytics, mais il impose de prendre des précautions pour garantir les droits des individus concernés (information, consentement, accès, effacement, portabilité) et la maîtrise de leurs données. La mise en place peut être relativement simple si l’on se contente de traiter des données anonymisées (à condition de garantir que les réidentifications indirectes soient impossibles, ce qui peut ne pas être si évident). Mais il faudra établir des politiques de protection précises et spécifiques pour être en mesure d’effectuer des traitements de données personnelles, ce qui paraît inévitable si l’on veut bénéficier à plein du potentiel des Learning Analytics.

Ce sujet est extrêmement intéressant, car il se trouve au carrefour de plusieurs évolutions juridiques importantes – et parfois contradictoires, puisque les administrations vont bientôt se retrouver à devoir gérer en même temps des exigences accrues de protection, mais aussi d’ouverture. Il faudra sans doute du temps et beaucoup d’expérimentations pour trouver où positionner le curseur de manière à tirer le meilleur parti de ces technologies, sans fragiliser les droits des individus.

 

Ériger le réseau des données personnelles en bien commun ?

Parmi les plus de 500 amendements déposés par des députés à propos de la loi numérique, il en est un qui n’a guère retenu l’attention, mais qui présentait pourtant un intérêt certain, au moins pour l’originalité de son approche de la notion de données personnelles. Il s’agit d’un amendement porté par les députés PS Delphine Batho et Laurent Grandguillaume, finalement rejeté, qui était formulé ainsi :

ARTICLE 26

L’alinéa 2 est complété par la phrase suivante :

« Les données à caractère personnel, lorsqu’elles forment un réseau indivisible de données liées qui concernent plusieurs personnes physiques, constituent un bien commun qui n’appartient à personne et dont l’usage est commun à tous, dont la protection et l’utilisation sont régies par la présente loi. »

EXPOSÉ SOMMAIRE

La loi informatique et libertés de 1978, dans sa rédaction actuelle, ne considère que les données personnelles solitaires, qui renseignent directement ou indirectement sur une personne.

Dans les faits, les données sont aujourd’hui totalement interconnectées, formant un réseau de données indivisible. Il convient d’adapter le cadre juridique à cette réalité en s’inspirant de l’article 714 du code civil afin d’assurer une protection collective des données en les considérant comme un bien commun.

Certes, cette manière d’appréhender les données personnelles à travers la notion de biens communs a de quoi surprendre au premier abord. Guillaume Champeau, rédacteur de Numérama, a d’ailleurs réagi ainsi sur Twitter en découvrant cet amendement :

Les données personnelles renvoient naturellement à la sphère de la vie privée, voire de l’intime des individus. Comment pourraient-elles être considérées comme des biens communs, « n’appartenant à personne » (passe encore), mais surtout « dont l’usage est commun à tous » ? Cela semble complètement contre-intuitif et à rebours de la manière dont le droit protège les données personnelles habituellement.

En réalité, cette contradiction n’est qu’apparente, car le but de cet amendement n’était pas de faire des données personnelles un bien commun en tant que telles, mais d’attribuer cette qualification au « réseau de données indivisible » qui se forment lorsque des données personnelles sont interconnectées entre elles. On peut penser par exemple pour visualiser ce réseau de données liées au graphe social que des plateformes sociales comme Facebook matérialisent et exploitent. Marc Zuckerberg en personne le définissait en 2007 comme : « le réseau de connexions et de relations entre les gens sur Facebook, qui permet la diffusion et le filtrage efficaces de l’information ».

J’ai déjà consacré, il y a deux ans, plusieurs billets à cette idée qu’un pont devrait être établi entre les données personnelles et la notion de biens communs, pour contrecarrer certaines thèses qui voulaient établir à l’époque un droit de propriété privée sur les données personnelles. Je n’étais pas le seul à l’époque à avoir cette intuition de ce rapport possible entre Communs et données personnelles. Silvère Mercier avait par exemple écrit ceci dans un billet sur son blog :

Ni privé, ni public comment penser des données personnelles en biens communs? Car c’est une piste peu étudiée : celle de faire de ces fameuses données personnelles des biens communs, quelque chose qui appartient à tous et à personne. Ne pas les sanctuariser par la loi, ni les commercialiser sans vergogne mais bien de repenser autour de leurs usages un faisceau de droits. Il ne s’agit pas de refuser de leur appliquer un régime de propriété mais d’en repenser la nature. Et s’il fallait inventer des creative commons des données personnelles, des privacy commons? Reste à définir une gouvernance partagée de cette ressource commune. La question est effroyablement complexe et je ne prétends bien sûr pas la résoudre ici…

On perçoit ici très bien la proximité avec l’amendement déposé cette semaine. Et Silvère insistait lui aussi sur l’importance du graphe, en tant que « réseau de données liées » :

Quelques éléments me semblent importants à prendre en compte pour tenter de clarifier ce sur quoi pourrait porter un faisceau de droits. Il nous faut comprendre la différence essentielle entre les données d’un individu et le graphe qui est exploité. Facebook et Google n’ont que faire des données prises séparément […]. Non ce qui est décisif, c’est le graphe, le croisement de ces données, les relations entre elles via des algorithmes et des vocabulaires de types de relations (ontologies).

Pour essayer de penser les données personnelles comme un commun, nous avions alors essayé d’envisager une analogie avec ce que les licences libres permettent en matière de propriété intellectuelle, en imaginant que les individus pourraient accepter de mettre en partage leurs données personnelles en fixant des conditions. Mais cette piste, même si elle paraît intéressante de prime abord, ne mène en vérité nulle part. Elle a en effet le même défaut que l’approche personnaliste qui gouverne aujourd’hui l’appréhension des données personnelles en droit français. Elle s’enracine en effet dans un paradigme individualiste qui masque la dimension collective essentielle résultant de la nécessaire interconnection des données personnelles entre elles.

Pour envisager pleinement cette dimension collective, il faut opérer un véritable renversement copernicien pour appréhender directement le réseau des données liées et l’ériger en tant que tel en un nouvel objet de droit, ce qui n’existe pas à ce jour dans la loi française (ni dans aucun autre droit à ma connaissance).

Le premier à avoir opéré ce renversement de perspective est Pierre Bellanger, fondateur de Skyrock et auteur en 2014 d’un ouvrage intitulé « La souveraineté numérique« . Après avoir été le champion de la thèse de la propriété privée sur les données personnelles, Pierre Bellanger a changé d’approche pour sortir justement du paradigme individualiste et appréhender la dimension collective des données personnelles. Et c’est de cette manière qu’il est arrivé à la notion de biens communs, dans le texte « Principes et pratiques des données personnelles en réseau » daté de septembre 2014 qui constituait sa contribution à l’étude du Conseil d’Etat sur les technologies numériques et les droits fondamentaux.

Ce texte introduit la notion de réseau de données, à partir d’une critique de l’approche personnaliste de la loi de 1978 :

Ainsi, les données personnelles ne sont plus granulaires mais réticulaires, c’est-à-dire organisées en réseau.  Les données personnelles ne sont plus séparées mais liées. Cette intrication forme le réseau des données personnelles qui se substitue, en fait, aux données personnelles isolées du passé.

Les données ne pourraient même plus être dites « personnelles » dans la mesure où les informations relatives à un individu renseignent aussi sur d’autres personnes. Une fois admis ce constat, la question est de donner une qualification juridique à ce réseau de données liées et c’est vers la notion de biens communs qu’on peut se tourner pour les faire bénéficier d’un régime qui évitera leur captation abusive :

Quelle est la nature juridique du Réseau de Données ? Il s’agit d’un objet sur lequel toutes les personnes, dont les données sont maillées, disposent de droits mais qui ne peut être matériellement divisé entre eux. Il est ni dissociable, ni individualisable par nature car chaque donnée personnelle renseigne sur les autres. C’est donc une forme d’indivision qui concerne toute la population.

Par ailleurs, les informations provenant du Réseau de Données sont d’un intérêt général majeur pour la collectivité, notamment, en matière de santé, de transports, de consommation, d’environnement ou encore de compétitivité économique.

Par son origine multi-personnelle, son impossibilité à le séparer, et son utilité collective, le Réseau de Données est donc un bien commun – res communis – : un bien qui appartient à tous mais ne peut appartenir à personne en particulier. Son statut est défini en droit français par l’article 714 du Code civil.

C’est aussi un bien où chacun dispose de droits spécifiques (retrait, opposition, oubli) sur son propre apport et ce, dès lors qu’il n’engage pas les droits d’autrui.

Le Réseau de Données répond donc de droits collectifs et de droits individuels.

Cette intrication de droits collectifs et de droits individuels correspond exactement au « faisceau de droits » – élément central de la théorie des Communs – dont parlait Silvère dans son billet.

Personnellement, je trouve assez remarquable la manière dont cette approche crée un nouvel objet de droit, d’emblée collectif, là où nous étions tous été restés prisonniers du paradigme individualiste en essayant de construire le Commun à partir de l’individuel. Ce réseau de données correspond au graphe social dont je parlais au début de ce billet. Et il est intéressant de relire cette déclaration citée par InternetActu que Marc Zuckerberg faisait à ce sujet en 2007 :

C’est l’ensemble des relations de toutes les personnes dans le monde. Le graphe social : il y en a un seul et il comprend tout le monde. Personne ne le possède. Ce que nous essayons de faire c’est de le modeler, le modéliser, de représenter exactement le monde réel en en dressant la carte.

Le graphe social est en effet mondial. Il embrasse l’ensemble de l’humanité (passée, présente et à venir). Il est le produit des relations que les hommes entretiennent entre eux en tant qu’êtres sociaux. C’est en quelque sorte le reflet informationnel de la nature sociale de l’homme (voir notamment la fameuse théorie des six degrés de séparation). Et même quelqu’un comme Marc Zuckerberg reconnaît que « personne ne le possède« , bien que tout le monde – à commencer par lui – essaie de le capturer et de se l’accaparer.

L’amendement déposé par Delphine Batho et Laurent Grandguillaume était donc bien plus profond qu’il n’y paraît de prime abord. Et je mettrai ma main à couper qu’il leur a été inspiré par Pierre Bellanger, dont on retrouve la « patte » dans l’exposé des motifs.

La question maintenant est de savoir si l’on doit soutenir une telle approche.

Personnellement, j’adhère complètement avec cette notion de « réseau de données personnelles », ainsi qu’avec l’ambition d’en faire un nouvel objet de droit en passant par la qualification de biens communs. L’amendement se réfère pour cela à l’article 714 du Code civil qui traite des « choses communes » (celles qui « n’appartiennent à personne, mais dont l’usage est commun à tous« ). Il y a ainsi une parenté très forte entre cet amendement et l’article visant à consacrer un « domaine commun informationnel«  pour lequel nous nous sommes battus au cours du débat sur la loi numérique.

Mais une fois que l’on a créé un nouvel objet de droit, il faut ensuite déterminer quel régime on souhaite lui voir appliquer, notamment pour organiser une gouvernance. Or dans le texte que j’ai cité plus haut, Pierre Bellanger insiste très fortement sur les pouvoirs que les instances étatiques devraient avoir sur la gestion du réseau de données :

La gestion et l’exercice de ces droits doit revenir à un organisme public, garant du contrôle démocratique et souverain et seul à même d’en permettre l’accès et l’usage.

Une telle institution, structurante et référente, créé les procédures, les instances ainsi que les concertations nécessaires. Elle devra donc, tout à la fois, gérer le bien commun et les droits individuels afférents. Sa capacité à ester en justice sera, de ce point de vue, essentielle.

Une agence des données pourrait ainsi être établie.

Cette « Agence des données » serait notamment dotée de larges pouvoirs, comme celui de délivrer des agréments aux opérateurs souhaitant effectuer des traitements du réseaux de données.

La qualification de biens communs ne sert en définitive qu’à organiser un transfert de la gouvernance au profit de l’Etat, ce qui paraît en définitive assez éloigné de ce que sont réellement les Communs. Si le Réseau de Données est un Commun, alors c’est avant tout sa gouvernance qui doit être commune, et non étatique.  Dans un autre amendement partageant cette même inspiration, on voit d’ailleurs apparaître la notion encore plus ambiguë de « biens communs souverains » employée à propos des données personnelles :

ARTICLE ADDITIONNEL

APRÈS L’ARTICLE 12, insérer l’article suivant:

Dans les six mois suivant la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur le statut juridique de « biens communs souverains » qui pourrait être appliqué à l’essentiel des données personnelles.

Quelque chose me fait penser qu’en partant de telles bases, les données deviendraient rapidement davantage « souveraines » que « communes ». Par ailleurs, le graphe social dans sa nature même est mondial. Il ne peut s’agir que d’un bien commun global, comme peuvent l’être le climat et ou l’atmosphère et je vois mal comment on pourrait mettre cette qualification au service de la souveraineté nationale. L’Etat peut et doit être le « garant des communs » (notamment à travers sa justice), mais il n’est pas censé assurer directement la gestion des Communs.

J’étais déjà assez sceptique à propos de ces conclusions en 2014, mais je le suis plus encore à présent, depuis le cortège de lois sécuritaires et attentatoires à la vie privée qui nous a été infligé par le gouvernement au nom de la lutte contre le terrorisme. Confier à ce nouvel Etat sécuritaire et de plus en plus panoptique la gouvernance sur le réseau des données personnelles paraît franchement dangereux pour la sauvegarde des libertés.

***

Au final, il y a dans cette idée de constituer le réseau des données personnelles en bien commun à la fois une intuition géniale et un péril certain.

L’amendement n’a cependant pas été approuvé par la Commission des lois et il n’y a quasiment aucune chance qu’il passe lors de l’examen en séance. Le futur règlement européen sur les données personnelles n’envisage pas non plus une telle approche.

Mais il serait à mon sens extrêmement dommage d’enterrer cette notion de « réseau de données liées » et ceux qui s’intéressent aux Communs devraient s’en emparer pour explorer ses potentialités.

 

 

Pourquoi on devrait prendre au sérieux le « Facebook Copyright Hoax »

Depuis le début de la semaine, de nombreux médias américains signalent une recrudescence de partages d’un post sur Facebook qui refait surface périodiquement sur le réseau social depuis 2012. Désigné comme le « Facebook Copyright Hoax » ou la « Privacy Notice Alert », ce message de quelques lignes permet aux utilisateurs de réaffirmer qu’ils détiennent un droit d’auteur sur les éléments qu’ils partagent sur Facebook dans le but d’empêcher la plateforme de les utiliser de son côté à des fins abusives :

In response to the new Facebook guidelines, I hereby declare that my copyright is attached to all of my personal details, illustrations, comics, paintings, professional photos and videos, etc. (as a result of the Berner Convention). For commercial use of the above my written consent is needed at all times !

Le taux de partage de ce post a été suffisamment élevé ces derniers jours pour que le porte-parole de Facebook, Andrew Noyes, fasse des déclarations se voulant rassurantes quant à la politique de la compagnie en matière de propriété sur les contenus partagés par ses utilisateurs (je traduis) :

Nous avons relevé des affirmations que nous souhaitons rectifier et nous voulons rappeler que lorsque vous postez des photos sur Facebook, nous n’en devenons pas les propriétaires. Selon nos conditions d’utilisation, vous accordez la permission d’utiliser, de distribuer et de partager les choses que vous postez, en accord avec ces conditions et vos paramètres de confidentialité.

Le texte complet de ce « Facebook Copyright Hoax ».

Lire la suite

Le serment d’Ello: vers un réseau social du « troisième type » ?

Ello, le réseau social « anti-Facebook », a créé la sensation en fin de semaine dernière, en annonçant qu’il changeait de statut pour devenir une Public Benefit Corporation (Organisme dédié au bien public), se dotant d’une Charte stipulant que la plateforme s’interdit dorénavant :

  • de vendre les données de ses utilisateurs à des tiers ;
  •  de nouer des accords visant à afficher des publicités rémunérées pour le compte de tiers ;
  • dans l’éventualité d’une acquisition ou d’un transfert d’actifs, la Compagnie devra s’assurer que l’entité qui l’acquiert respecte ces principes.

Et cette Charte de conclure : « En d’autres termes, Ello existe dans votre intérêt, et pas pour l’argent« .

ello-800x410Cette évolution s’accompagne d’une nouvelle levée de fonds, permettant au réseau social d’augmenter son capital de 5.5 millions de dollars. Elle intervient alors que depuis un mois, le nombre d’utilisateurs d’Ello a grimpé en flèche pour atteindre 1 million d’inscrits (dont votre serviteur) et plus de 3 millions seraient sur liste d’attente.

Ce mouvement est intéressant à observer, car il fait émerger un nouvel acteur à la nature juridique singulière dans le paysage des plateformes en ligne. Jusqu’à présent, pour reprendre une distinction introduite par Michel Bauwens, une dichotomie existait entre les structures for profit, dédiées à la maximisation des revenus (type Facebook ou Twitter) et des structures for benefit, assurant le maintien des infrastructures nécessaires à des biens communs numériques (Wikimedia Foundation, Mozilla Foundation, etc).

En devenant une Public Benefit Corporation, Ello est-il en train de faire émerger un nouveau type d’organisation à mi-chemin entre les deux précédentes : un réseau social du « troisième type » ?

Lire la suite

Mais que veut dire au juste Tim Berners-Lee lorsqu’il parle de « propriété des données » ?

Cette semaine, à l’occasion d’une conférence qu’il donnait au salon IP Expo Europe, l’inventeur du Web, Tim Berners-Lee, a été amené à faire des déclarations à première vue assez étranges à propos des données personnelles et de la vie privée. Ses propos consistaient en effet à dire que le futur du Web dépendait du fait que les individus puissent devenir « propriétaires de leurs données ». C’est par exemple ce que relate le Guardian en ces termes : « Les données que nous créons à propos de nous-mêmes devraient être la propriété de chacun d’entre nous et non par celles des grandes entreprises qui les collectent. Berners-Lee a expliqué que le potentiel du Big Data serait gâché si ces dernières se servent uniquement des données pour produire de nauséabondes publicités ciblées« .

Si on comprend intuitiveTim Berners-Lee in thought. CC-BY. Par Paul Clarke.ment ce que Tim Berners-Lee a voulu dire, la question que l’on peut se poser, c’est de savoir s’il a employé l’expression de « propriété des données » (data ownership) au sens propre ou seulement comme une simple métaphore. L’idée d’instaurer un droit de propriété privée sur les données personnelles est en effet régulièrement avancée, que ce soit aux États-Unis avec un personnage comme Jaron Lanier ou même en France, comme j’ai eu l’occasion d’en parler à plusieurs reprises sur S.I.Lex ces derniers temps.

Tim Berners-Lee s’est-il converti à ce qu’on appelle la conception « patrimonialiste » des données personnelles, qui considère que les données doivent être appréhendées comme des biens, que les individus sont libres d’échanger et même de revendre afin d’en tirer un revenu ? A priori, on pourrait être tenté de le croire si l’on se réfère à d’autres déclarations parues dans la presse anglaise :

Je veux construire un monde dans lequel je suis en mesure de garder le contrôle sur mes propres données. En tant qu’individu, j’ai la propriété au sens juridique sur ces données et je devrai être en mesure de négocier un prix et de les vendre si cela me convient.

Il peut paraître assez inquiétant de voir quelqu’un comme Tim Berners-Lee se ranger à ce type de point de vue. J’ai eu l’occasion en effet récemment de tester un des services qui se montent actuellement pour organiser la revente des données personnelles sur des places de marché et j’en avais tiré l’impression qu’il s’agit d’une piste dangereuse, ne permettant pas de redonner un véritable de pouvoir de contrôle aux individus sur leurs données, tout en les faisant entrer dans une logique de « marchandisation de soi ». Sachant par ailleurs que Tim Berners-Lee appelle en ce moment à la rédaction d’une « Magna Carta numérique » pour protéger les libertés fondamentales sur le web, on pourrait redouter que celle-ci s’inscrive dans un paradigme propriétaire soumis par ailleurs au feu de nombreuses critiques.

Lire la suite