Ressources pédagogiques, Learning Analytics et données personnelles

J’ai eu la chance récemment d’être invité pour intervenir lors des rencontres 2017 de la communauté Scenari (un logiciel libre permettant de créer des chaînes éditoriales pour produire  – entre autres – des ressources pédagogiques). On m’avait demandé à cette occasion de traiter le sujet des Learning Analytics (analyse des données d’apprentissage, en français) dans leurs liens avec la protection des données personnelles et je vous propose la présentation ci-dessous, qui essaie de balayer les divers aspects de la question.

Les Learning Analytics constituent un enjeu important du numérique appliqué aux activités pédagogiques, que ce soit à l’école, à l’université ou dans le secteur privé. C’est typiquement le genre de technologies présentant une nature « pharmacologique » – pour reprendre la notion de Pharmakon développée par Bernard Stiegler.  A la fois remède et poison, l’analyse des traces laissées par les utilisateurs des ressources pédagogiques offre des perspectives révolutionnaires d’accompagnement et de personnalisation des enseignements, de manière à ce que chacun puisse bénéficier au mieux des contenus numériques en fonction de son profil et de ses besoins.

Mais évidemment, ces outils technologiques peuvent aussi se révéler passablement intrusifs et porter atteinte à la vie privée des utilisateurs, en favorisant le fichage ou le profilage des individus, ainsi que la marchandisation des données qu’ils produisent en contexte d’apprentissage. La CNIL a d’ailleurs publié le mois dernier un article intéressant sur la question des Learning Analytics qui souligne bien cette nature ambivalente :

Si elles sont utiles à l’amélioration globale de la plateforme, la production et la réutilisation de ces données interrogent : elles pourraient tout aussi bien être utilisées pour prédire des situations d’échec, détecter des élèves à risque, enfermer les élèves dans des parcours scolaires « adaptés à leur profil »,  prédire les abandons dans les Moocs, voire même fournir des profils adaptés à des employeurs potentiels… Des finalités qui pour certaines, si elles ne sont pas encadrées, pourraient aboutir à des formes de discrimination.

[…] Au-delà de l’aspect juridique, des questions seront certainement à soulever du côté de l’éthique, dès lors que l’on cherchera à classer les élèves dès leur plus jeune âge pour repérer des cas de déviance, avec le risque de les enfermer dans des bulles d’échec. Pour que les données de leur enfance ne les poursuivent pas tout au long de leur vie.

Le (controversé) rapport « Enseignement supérieur et numérique », publié il y a quelques semaines par l’Institut Montaigne, accorde lui aussi une large place aux Learning Analytics, en lien avec l’enjeu du pilotage des établissements académiques :

L’analyse des données d’apprentissage (learning analytics) a également une importance capitale, puisqu’elle permet à la fois aux professeurs de connaître les attentes de leurs étudiants et leurs difficultés, et aux étudiants d’individualiser leurs parcours, d’identifier leurs faiblesses et de bénéficier d’une pédagogie sur mesure. La généralisation de cette analyse quantitative pourrait notamment être un moyen de lutter efficacement contre le décrochage en licence. Rappelons en effet que près de 60 % des inscrits en première année de licence ne passent pas en deuxième année. Plus globalement, elle constitue un réel levier pour améliorer la performance générale du système éducatif.

Il y a donc beaucoup de gains à attendre des Learning Analytics, mais elles risquent aussi de générer de redoutables externalités négatives, notamment si les communautés d’apprentissage ne maîtrisent pas les outils et l’environnement numérique où ces pratiques se dérouleront. On pense bien sûr ici aux effets de bord du partenariat signé entre l’Éducation nationale et Microsoft. À ce sujet, je vous recommande de lire la transcription de l’émission Rue des écoles- France Culture  « Élèves, tous fichés ? Quel encadrement pour le numérique dans l’éducation ? » , publiée par l’April, dans laquelle Daniel Agacinski pointe les risques de dépossession des institutions liés à l’utilisation d’outils propriétaires externes :

Mais il y a cette question, que vous avez évoquée aussi tout à l’heure, des traces d’apprentissage. Quand vous faites faire des exercices ou des leçons à des élèves, ou des interactions entre enseignants, par un certain nombre d’outils numériques qui sont à la disposition du grand public, avec ou sans conditions spécifiques à l’Éducation, vous laissez des traces d’apprentissage qui n’appartiennent, au fond, ni aux enseignants, ni aux élèves eux-mêmes, ni à l’Éducation nationale en tant qu’institution, mais à l’entreprise, au fabricant de cet outil-là.

Au fond, après, qu’il soit français, étranger, et que les données soient hébergées ici ou là, qu’est-ce qui se passe ? Il se passe que quand vous fabriquez un outil pédagogique et que vous l’ouvrez à un grand nombre d’utilisateurs, vous récupérez précisément ces traces d’apprentissage qui vont vous permettre de le développer et de l’améliorer considérablement. Or si, à moyen terme, les élèves français, les enseignants français, à force d’utiliser des outils que l’institution ne connaît pas complètement, ne maîtrise pas complètement, eh bien le travail que font les enseignants et les élèves au quotidien va, non pas servir à améliorer directement les pratiques des enseignants et la connaissance que l’Éducation nationale a de ses élèves, parce que vous disiez tout à l’heure l’Éducation nationale en sait beaucoup sur ses élèves, eh bien peut-être pas tant que ça, finalement ! L’Éducation nationale n’a pas les traces d’apprentissage .

Dans la présentation ci-dessus, j’essaie de passer en revue quelles sont les règles de protection des données personnelles applicables à ce type de traitements, dans le cadre de la réglementation CNIL actuellement en vigueur. Mais je m’efforce aussi d’anticiper des évolutions importantes à venir, notamment celle de l’entrée en vigueur l’année prochaine du Règlement Général de Protection des Données (RGPD) d’origine européenne, qui va profondément bouleverser la matière.

Là où la législation française reposait essentiellement sur des formalités préalables de déclaration à la CNIL, le règlement européen les supprime pour mettre en place un principe de « redevabilité » (accountability) qui va imposer aux établissements de définir a priori des politiques de protection des données (études d’impact, privacy by design, sécurisation, etc.). Par ailleurs, le règlement va désormais nécessiter de recueillir le consentement éclairé des personnes intéressées par un traitement des données personnelles, là où la loi française antérieure ne réservait cette obligation qu’à des hypothèses bien déterminées (données sensibles, cookies, prospection commerciale) et se limitait en dehors de ces cas à un devoir d’information préalable des individus. Si le règlement paraît globalement renforcer la protection des données et consacrer de nouveaux droits (comme celui à la portabilité des données), il a aussi des effets plus ambigus dans la mesure où certains acquis du cadre français paraissent fragilisés (l’exigence d’anonymisation des données par exemple est remplacée par une simple pseudonymisation moins protectrice). Le règlement permet aussi de mettre en place des pratiques de profilage prédictif du comportement des individus, qui peuvent avoir leur intérêt dans le cadre des Learning Analytics, mais dont le caractère intrusif pose aussi de nombreuses questions.

Au-delà du Règlement européen, j’essaie également de voir quelles vont être les incidences de la loi numérique sur les Learning Analytics. A priori, ces données devraient être concernées par l’obligation d’Open Data par défaut que la loi Lemaire impose aux administrations (y compris les universités). Cela signifie qu’elles devront mettre en ligne et rendre librement réutilisables les données d’apprentissage, sans pouvoir fixer de redevances de réutilisation (y compris pour les éventuels usages commerciaux réalisés par des entreprises). Mais ces principes ne vaudront que pour les données anonymisées, car l’Open Data par défaut ne s’applique pas aux documents contenant des informations à caractère personnel. Et cela ne concerna pas non plus le contenu des ressources pédagogiques elles-mêmes, lorsqu’il est protégé par le droit d’auteur. Une licence libre peut bien sûr être appliqué pour entrer dans la logique des Ressources Educatives Libres (REL), mais ce n’est pas une obligation pour les établissements.

Au final, le cadre juridique n’empêche pas bien sûr pas de déployer des technologies de Learning Analytics, mais il impose de prendre des précautions pour garantir les droits des individus concernés (information, consentement, accès, effacement, portabilité) et la maîtrise de leurs données. La mise en place peut être relativement simple si l’on se contente de traiter des données anonymisées (à condition de garantir que les réidentifications indirectes soient impossibles, ce qui peut ne pas être si évident). Mais il faudra établir des politiques de protection précises et spécifiques pour être en mesure d’effectuer des traitements de données personnelles, ce qui paraît inévitable si l’on veut bénéficier à plein du potentiel des Learning Analytics.

Ce sujet est extrêmement intéressant, car il se trouve au carrefour de plusieurs évolutions juridiques importantes – et parfois contradictoires, puisque les administrations vont bientôt se retrouver à devoir gérer en même temps des exigences accrues de protection, mais aussi d’ouverture. Il faudra sans doute du temps et beaucoup d’expérimentations pour trouver où positionner le curseur de manière à tirer le meilleur parti de ces technologies, sans fragiliser les droits des individus.

 

« Information will be mine ! » : vers un droit de propriété sur les données en Europe ?

Le Conseil National du Numérique a rendu, il y a quelques jours, un avis à propos d’une consultation lancée en janvier dernier par la Commission européenne sur la question de la « libre de circulation des données en Europe ». Cela fait un moment que la Commission veut lancer une initiative en faveur du « Free Flow of Data » – la « fluidification des données » – dans l’optique de créer de nouvelles opportunités économiques au sein du Marché unique.

Image Pixabay. CC0.

L’avis du CNNum est particulièrement intéressant et en voici un résumé :

Pour encourager la libre circulation des données, la Commission européenne a annoncé étudier un certain nombre de pistes, législatives ou non. Parmi celles-ci figure la création d’un droit de propriété sur les données non personnelles. Or la création de valeur se fait lorsque les données sont mises en contexte et croisées afin d’en tirer des informations nouvelles. Il ne s’agit donc pas de consacrer une propriété des données, mais bien au contraire, de penser des régimes d’accès et d’échanges de données pour encourager cette création de valeur. En effet contrairement à l’idée répandue, la propriété ne facilite pas nécessairement les échanges mais peut au contraire les limiter. De manière générale, la libre circulation des données doit s’envisager entre les plateformes et pas uniquement entre les territoires. Ce sont ces nouvelles formes de partage qui sont la condition essentielle au développement d’une économie européenne de la donnée.

On lit donc que la Commission envisage l’instauration d’un nouveau « droit de propriété sur les données non-personnelles ». Ce n’est absolument pas anodin et on peut même dire qu’il est assez inquiétant de voir la Commission avancer ce genre de propositions. Car une telle réforme pourrait constituer un véritable renversement de paradigme dans la manière dont le droit appréhende les données et les informations. 

Lire la suite

Les universités françaises et l’Open Data après la loi numérique

Ce billet est le second d’une série de trois que je vais publier sur ce blog cette semaine pour examiner les répercussions de la loi « République numérique » sur le secteur de l’enseignement supérieur et de la recherche. Après un premier billet publié lundi à propos de l’impact de la loi en matière d’Open Access, je vais à présent me pencher sur le volet « Open Data » et la façon dont il va affecter les universités. Ce n’est pas l’aspect qui a été le plus commenté jusqu’à présent, mais vous allez voir que les changements à attendre pour ces établissements sont substantiels par rapport à la situation antérieure.

opendata
Image par Auregann. CC-BY-SA. Source : Wikimedia Commons.

Pour saisir complètement la portée de cette réforme, il faut prendre en considération, outre la loi « République numérique », la loi du 28 décembre 2015 relative à la gratuité et aux modalités de la réutilisation des informations du secteur public (dite aussi « loi Valter »), ainsi que son décret d’application paru en juillet dernier.

Je colle ci-dessous une présentation qui résume les grandes lignes de la question que je vais développer dans le billet par la suite.

Fin du régime dérogatoire des établissements d’enseignement supérieur et de recherche

Pour comprendre ce qui va changer pour les universités en matière d’ouverture des informations publiques qu’elles produisent, il faut remonter un peu en arrière et rappeler le cadre juridique qui leur était applicable avant l’entrée en vigueur de la loi numérique.

En 2005, la loi CADA (relative à l’accès aux documents administratifs) a été modifiée de manière à consacrer un principe de libre réutilisation des informations publiques des administrations. Néanmoins, la portée de cette règle était assez limitée, car si les administrations ne pouvaient en théorie refuser de faire droit à une demande de réutilisation de leurs données, elles n’étaient pas obligées de les mettre en ligne de manière pro-active et elles avaient aussi la possibilité de rendre la réutilisation payante par le biais de redevances.

A partir de 2011, un mouvement en faveur de l’Open Data a commencé à se dessiner en France, au niveau des administrations centrales, qui ont été obligées par le biais de décrets de mettre en ligne sur la plateforme data.gouv.fr un nombre croissant de jeux de données en les plaçant sous la Licence Ouverte / Open Licence (laquelle autorise la libre réutilisation y compris à des fins commerciales, à la condition de citer la source des données). Les ministères ont été les premières entités concernées par cette nouvelle politique et celui de l’Enseignement Supérieur et de la Recherche a publié à ce jour 55 jeux de données en Open Data.

Cependant les universités et les établissements de recherche sont restés de leur côté en dehors de ce mouvement d’Open Data, dans la mesure où ces administrations bénéficiaient d’un régime dérogatoire dans la loi CADA. Le texte comportait en effet un article 11 contenant les dispositions suivantes :

Par dérogation au présent chapitre, les conditions dans lesquelles les informations peuvent être utilisées sont fixées, le cas échéant, par les administrations […] lorsqu’elles figurent dans des documents produits ou reçus par :

a) des établissements et institutions d’enseignement et de recherche ;

b) des établissements, organismes ou services culturels.

Cet article signifiait que les établissements bénéficiaires (universités et institutions de recherche, mais aussi côté culture, bibliothèques, archives et musées) restaient libre de déterminer les conditions de réutilisation des informations qu’ils produisaient, et donc (pour simplifier) de ne pas autoriser les réutilisations. Cette forme de « privilège » a fait que ces administrations n’ont pas été concernées par les décrets de 2011 ayant initié la politique d’Open Data en France. Pour être exact, il ne leur était pas interdit d’ouvrir leurs données dans le cadre d’une politique d’Open Data, mais elles n’y étaient pas obligées et elles gardaient entièrement la faculté de déterminer quels jeux elles souhaitaient rendre librement réutilisables.

C’est précisément sur ce point que la loi « République numérique » va avoir un fort impact sur les universités, dans la mesure où le régime dérogatoire dont bénéficiaient les établissements d’enseignement supérieur et de recherche est supprimé. Ces derniers seront à présent intégrés au principe « d’Open Data par défaut » instauré par ce texte et qui en constitue une des principales innovations.

Les universités dorénavant incluses dans le principe « d’Open Data par défaut »

Pour comprendre en quoi consiste ce principe d’Open Data par défaut, il faut se reporter à l’article 6 de la loi « République numérique » :

Sous réserve des articles L. 311-5 et L. 311-6 et lorsque ces documents sont disponibles sous forme électronique, les administrations mentionnées au premier alinéa de l’article L. 300-2, à l’exception des personnes morales dont le nombre d’agents ou de salariés est inférieur à un seuil fixé par décret, publient en ligne les documents administratifs suivants :
« 1° Les documents qu’elles communiquent en application des procédures prévues au présent titre, ainsi que leurs versions mises à jour ;
« 2° Les documents qui figurent dans le répertoire mentionné au premier alinéa de l’article L. 322-6 ;
« 3° Les bases de données, mises à jour de façon régulière, qu’elles produisent ou qu’elles reçoivent et qui ne font pas l’objet d’une diffusion publique par ailleurs ;
« 4° Les données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental.

Contrairement à la situation antérieure, les administrations (sauf quelques exceptions maintenues notamment par la loi Valter) sont désormais obligées de publier en ligne et de rendre réutilisables un large ensemble de jeux de données, dont l’article 6 définit plusieurs catégories. Et la nouveauté, c’est que les universités ne bénéficient plus à présent d’un régime dérogatoire qui leur permettraient de se soustraire à cette obligation d’ouverture des informations publiques. Celui a été en effet explicitement supprimé par la loi Valter en octobre 2015.

Parmi la liste figurant à l’article 6, on trouve notamment les « bases de données, mises à jour de façon régulière, qu’elles produisent ou qu’elles reçoivent […] ». Cela concerne notamment les bases de données composant le système d’information de l’administration centrale des universités, qui leur servent à gérer des aspects comme le budget, le personnel, leurs bâtiments et les flux associés, les formations dispensées ou les activités de recherche des laboratoires rattachés à l’établissement.

Le texte impose aussi (alinéa 2) la mise en ligne des documents listés dans un Répertoire des Informations Publiques (RIP), qu’en vertu de l’ancien article 17 de la loi CADA, toutes les administrations sont tenues de mettre en place. Le RIP consiste en un registre mis à disposition des usagers dans lequel figure la liste des « principaux documents » comportant les informations produites par l’établissement. A ma connaissance, aucune université française n’a encore rempli cette obligation légale de mise en place d’un RIP (ce qui pourrait leur être reproché), mais avec la loi numérique, elles seront aussi tenues de rendre réutilisables les documents qu’elles y feront figurer.

La loi numérique est plus floue lorsqu’elle évoque l’obligation de mise en ligne des « données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental« . Les universités garderont ici une marge de manoeuvre pour déterminer quelles informations parmi celles qu’elles produisent présentent un tel intérêt. Mais elles ne pourront cependant pas faire l’économie d’une démarche d’inventaire des jeux qu’elles détiennent et d’une sélection en vue d’une diffusion ouverte. L’idéal serait d’ailleurs que les universités se concertent entre elles pour libérer des jeux similaires.

A noter d’ailleurs qu’un mécanisme « d’Open Data à la demande » a été instauré par la loi république numérique, qui permettra assez facilement de forcer la mise en ligne de jeux de données au cas où une université ne procéderait pas d’elle-même à sa diffusion. L’alinéa 1 de l’article 6 indique en effet que les administrations doivent mettre en ligne « les documents qu’elles communiquent en application des procédures prévues au présent titre« . Cela signifie que les administrations seront obligées de mettre en ligne les documents qui leurs sont demandés par les usagers dans le cadre d’une procédure CADA d’accès aux documents administratifs. Si un document entre dans le périmètre (somme toute assez large) de cette loi, alors l’université ne pourra s’opposer à la communication (sous peine d’un recours à la CADA) et lorsque le document est communiqué, l’administration devra ensuite le mettre en ligne et rendre réutilisable les informations qu’il contient. Tout ceci fait que si une université fait preuve d’inertie dans la mise à disposition de données couvertes par l’article 6, il suffira qu’un citoyen, une association ou même une entreprise en fassent la demande auprès d’elle pour qu’elle soit obligée de les mettre en ligne.

On le voit ce principe « d’Open Data par défaut » est relativement puissant, et s’il n’est pas sans limite, il va sans doute produire des changements considérables dans la manière dont les universités diffusent les documents et les données qu’elles produisent.

Quelles limites à la réutilisation des données des universités ?

Le principe d’Open Data par défaut de la loi « République numérique » a beau être large, il n’est cependant pas sans limite. La première concerne l’impératif de protection des données personnelles et de la vie privée, qui devra naturellement continuer à être respecté et sur lequelle l’article 6 de la loi met l’accent :

Sauf dispositions législatives contraires ou si les personnes intéressées ont donné leur accord, lorsque les documents et les données mentionnés aux articles L. 312-1 ou L. 312-1-1 comportent des données à caractère personnel, ils ne peuvent être rendus publics qu’après avoir fait l’objet d’un traitement permettant de rendre impossible l’identification de ces personnes. Une liste des catégories de documents pouvant être rendus publics sans avoir fait l’objet du traitement susmentionné est fixée par décret pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Ce passage signifie que si des informations correspondent à des données à caractère personnel, alors les administrations ne doivent pas les mettre en ligne et les rendre réutilisables, à moins de rendre impossible l’identification des personnes concernées ou après avoir obtenu leur consentement. On notera qu’il ne suffit pas simplement d’anonymiser les données, mais de « rendre impossible l’identification des personnes« , ce qui va plus loin (notamment pour empêcher les identifications par recoupements de données).

Cet aspect risque d’être très compliqué à gérer pour les administrations en général et pour les universités en particulier. Car les établissements vont se retrouver pris entre deux exigences contradictoires : d’une part une soumission au principe d’Open Data par défaut, qui implique la publication de nombreux documents et jeux de données ; d’autre part l’impératif de protection des données personnelles qui reste toujours aussi fort. Pour prendre un exemple concret, une université sera dorénavant obligée de mettre en ligne les informations relatives au personnel qu’elle emploie ou aux étudiants inscrits, mais à la condition d’anonymiser ces données et de rendre impossible l’identification par recoupement, ce qui peut s’avérer très complexe à réaliser. La CNIL a annoncé qu’elle préparait un « pack de conformité » à destination des acteurs publics pour la mise en oeuvre de la loi République numérique et on attend à présent avec impatience ce document qui permettra sans doute d’y voir plus clair sur la manière de jongler avec ces exigences contradictoires.

Une autre limitation au principe d’Open Data par défaut concerne la protection des droits de propriété intellectuelle détenus par des tiers à l’administration. L’article L. 321-2 du Code des relations entre le public et les administrations prévoit ainsi que :

Ne sont pas considérées comme des informations publiques […] les informations contenues dans des documents […] sur lesquels des tiers détiennent des droits de propriété intellectuelle.

Dans le contexte d’établissements comme des universités, de nombreux documents couverts par des droits de propriété intellectuelle sont produits, que l’on songe par exemple aux cours et aux publications des enseignants-chercheurs, aux diverses productions des étudiants (copies d’examen, travaux, mémoires, etc), aux ressources pédagogiques à distance, etc. Tous ces contenus sont naturellement exclus du périmètre des documents soumis à l’obligation de mise en ligne définie à l’article 6 de la loi. Pour ce qui concerne le cas spécifique des publications des chercheurs, il est traité à l’article 30 de la loi, à travers les dispositions de faveur de l’Open Access dont j’ai parlé dans un précédent billet, mais le principe demeure que les chercheurs restent pleinement titulaires du droit d’auteur sur leurs productions et sont à ce titre libres de décider s’ils souhaitent les publier en ligne ou non.

A propos de cette question de l’articulation entre l’Open Data et les droits de propriété intellectuelle, il faut noter que la loi « République numérique » a cependant apporté une clarification importante relative au droit des bases de données des administrations. Il était arrivé dans le passé que des administrations (notamment des services d’archives) opposent leur droit de producteur de base de données à une demande de réutilisation. Après quelques flottements, la jurisprudence administrative avait fini par leur donner raison, ce qui signifiait que ces établissements pouvaient neutraliser le principe de libre réutilisation des informations publiques en s’appuyant sur le droit des bases de données. Or la loi numérique contient un article 11 qui va complètement changer la donne en la matière :

Sous réserve de droits de propriété intellectuelle détenus par des tiers, les droits des administrations mentionnées au premier alinéa de l’article L. 300-2 du présent code, au titre des articles L. 342-1 et L. 342-2 du code de la propriété intellectuelle, ne peuvent faire obstacle à la réutilisation du contenu des bases de données que ces administrations publient en application du 3° de l’article L. 312-1-1 du présent code.

Cette phrase signifie que les administrations ne peuvent dorénavant plus opposer un droit de producteur de base de données à une demande de réutilisation des informations publiques qu’elles détiennent, et cela s’appliquera aux universités comme aux autres.

Quid de la faculté à fixer des redevances de réutilisation ?

Contrairement à la situation qui prévalait antérieurement dans laquelle les administrations pouvaient discrétionnairement mettre en place des redevances pour la réutilisation de leurs données, la loi Valter a consacré un principe général de gratuité. L’article 15 de la loi prévoit néanmoins une dérogation possible à titre exceptionnel pour les administrations dont le financement est substantiellement assuré par des ressources propres :

La réutilisation d’informations publiques est gratuite. Toutefois, les administrations mentionnées à l’article 1er peuvent établir une redevance de réutilisation lorsqu’elles sont tenues de couvrir par des recettes propres une part substantielle des coûts liés à l’accomplissement de leurs missions de service public.

Un doute pourrait poindre ici à propos des universités, car il s’agit typiquement d’établissements auxquels il est demandé de dégager des ressources propres pour assurer une part d’auto-financement. Néanmoins, le décret d’application de la loi Valter, paru en juillet dernier, a clairement défini un seuil minimal de 25% de ressources propres en dessous duquel les administrations ne sont plus autorisées à exiger des redevances de réutilisation :

Sont seuls autorisés à établir des redevances de réutilisation en application de l’article L. 324-1 les services de l’Etat et les autres personnes mentionnées à l’article L. 300-2 dont l’activité principale consiste en la collecte, la production, la mise à disposition ou la diffusion d’informations publiques, lorsque la couverture des coûts liés à cette activité principale est assurée à moins de 75 % par des recettes fiscales, des dotations ou des subventions.

Or si l’on en croit ces chiffres tirés de l’Observatoire KPMG 2015 des Universités et des Ecoles, les universités en France dégagent en moyenne 18% de ressources propres, ce qui les placent en dessous du seuil fixé par le décret de la loi Valter.

ressources

Ceci étant dit, on pourrait imaginer qu’une université arrive à dépasser ce seuil des 25% et l’étude KPMG précité indique que les Ecoles et Instituts de recherche atteignent en moyenne plutôt des taux d’autofinancement de 32%. Néanmoins, cela ne permettra toujours pas à ces établissements de recherche de lever des redevances de réutilisation sur la réutilisation de leurs données.

Car le décret de la loi Valter précise bien que seuls disposent de cette faculté les administrations dont « l’activité principale consiste en la collecte, la production, la mise à disposition ou la diffusion d’informations publiques » et il faut par ailleurs que les subventions qui leur sont versées servent directement à couvrir les coûts de cette activité principale liée aux données. Or ce n’est pas le cas des universités et établissements de recherche, dont les missions sont bien plus larges que la seule production d’informations publiques.

On en déduit donc que les universités sont strictement astreintes au respect du principe de gratuité et qu’elles ne pourront plus établir de redevances de réutilisation des données, sous peine de se mettre dans l’illégalité.

Conclusion : les universités françaises doivent à présent passer à l’Open Data

On le voit, la loi « République numérique » va avoir un impact important sur les universités en les soumettant, comme les autres administrations au principe d’Open Data par défaut qu’elle instaure. C’est la fin d’une situation dérogatoire qui s’appliquait aux universités et établissements de recherche dans la législation antérieure. Cela signifie qu’un grand nombre de documents et de jeux de données devront être mis en ligne dans les années à venir par les universités, ce qui implique des défis organisationnels non négligeables à surmonter. Il me semble d’ailleurs que les conséquences de ce texte n’ont pas été assez clairement perçus par ces acteurs, qui se sont beaucoup focalisés sur le volet Open Access de la loi sans voir que la partie Open Data les concernait également.

La loi fixe aux administrations plusieurs délais (de 6 mois à deux ans selon les catégories de données) pour se conformer à ces nouvelles obligations, échéances qui vont arriver très rapidement à présent. Il faut cependant noter qu’un décret est encore attendu qui va fixer un seuil d’agents au-delà duquel une administration sera soumise au principe d’Open Data par défaut. Mais les universités étant généralement des établissements employant un nombre conséquent d’employés, il serait surprenant qu’elles ne soient pas comprises dans les administrations concernées.

Dans ce billet, j’ai surtout insisté sur les données produites par les universités en tant qu’établissement administratif. Ce sont les informations produites par les services centraux et les services communs de ces établissements qui sont au premier chef concernées par le passage en Open Data (y compris d’ailleurs celles des Services Communs de la Documentation, c’est-à-dire les bibliothèques universitaires). Néanmoins, une autre question importante est de savoir si les données de la recherche, en tant que telles, sont comprises ou non dans ce principe d’Open Data par défaut. Au cas où la réponse serait positive, cela signifie qu’il y aurait également obligation de les mettre en ligne et de les rendre réutilisables, moyennant la protection des données personnelles.

C’est une interrogation à laquelle j’essaierai de répondre dans le troisième billet de cette série consacrée aux répercussions de la loi numérique sur le secteur de l’enseignement supérieur et de la recherche. J’y étudierai la manière dont le texte met en place un nouveau « statut » des données de la recherche.

En attendant, les commentaires sont ouverts si vous souhaitez poser des questions ou laisser des observations à propos de ce nouveau tournant de l’Open Data qui attend les universités.

Ériger le réseau des données personnelles en bien commun ?

Parmi les plus de 500 amendements déposés par des députés à propos de la loi numérique, il en est un qui n’a guère retenu l’attention, mais qui présentait pourtant un intérêt certain, au moins pour l’originalité de son approche de la notion de données personnelles. Il s’agit d’un amendement porté par les députés PS Delphine Batho et Laurent Grandguillaume, finalement rejeté, qui était formulé ainsi :

ARTICLE 26

L’alinéa 2 est complété par la phrase suivante :

« Les données à caractère personnel, lorsqu’elles forment un réseau indivisible de données liées qui concernent plusieurs personnes physiques, constituent un bien commun qui n’appartient à personne et dont l’usage est commun à tous, dont la protection et l’utilisation sont régies par la présente loi. »

EXPOSÉ SOMMAIRE

La loi informatique et libertés de 1978, dans sa rédaction actuelle, ne considère que les données personnelles solitaires, qui renseignent directement ou indirectement sur une personne.

Dans les faits, les données sont aujourd’hui totalement interconnectées, formant un réseau de données indivisible. Il convient d’adapter le cadre juridique à cette réalité en s’inspirant de l’article 714 du code civil afin d’assurer une protection collective des données en les considérant comme un bien commun.

Certes, cette manière d’appréhender les données personnelles à travers la notion de biens communs a de quoi surprendre au premier abord. Guillaume Champeau, rédacteur de Numérama, a d’ailleurs réagi ainsi sur Twitter en découvrant cet amendement :

Les données personnelles renvoient naturellement à la sphère de la vie privée, voire de l’intime des individus. Comment pourraient-elles être considérées comme des biens communs, « n’appartenant à personne » (passe encore), mais surtout « dont l’usage est commun à tous » ? Cela semble complètement contre-intuitif et à rebours de la manière dont le droit protège les données personnelles habituellement.

En réalité, cette contradiction n’est qu’apparente, car le but de cet amendement n’était pas de faire des données personnelles un bien commun en tant que telles, mais d’attribuer cette qualification au « réseau de données indivisible » qui se forment lorsque des données personnelles sont interconnectées entre elles. On peut penser par exemple pour visualiser ce réseau de données liées au graphe social que des plateformes sociales comme Facebook matérialisent et exploitent. Marc Zuckerberg en personne le définissait en 2007 comme : « le réseau de connexions et de relations entre les gens sur Facebook, qui permet la diffusion et le filtrage efficaces de l’information ».

J’ai déjà consacré, il y a deux ans, plusieurs billets à cette idée qu’un pont devrait être établi entre les données personnelles et la notion de biens communs, pour contrecarrer certaines thèses qui voulaient établir à l’époque un droit de propriété privée sur les données personnelles. Je n’étais pas le seul à l’époque à avoir cette intuition de ce rapport possible entre Communs et données personnelles. Silvère Mercier avait par exemple écrit ceci dans un billet sur son blog :

Ni privé, ni public comment penser des données personnelles en biens communs? Car c’est une piste peu étudiée : celle de faire de ces fameuses données personnelles des biens communs, quelque chose qui appartient à tous et à personne. Ne pas les sanctuariser par la loi, ni les commercialiser sans vergogne mais bien de repenser autour de leurs usages un faisceau de droits. Il ne s’agit pas de refuser de leur appliquer un régime de propriété mais d’en repenser la nature. Et s’il fallait inventer des creative commons des données personnelles, des privacy commons? Reste à définir une gouvernance partagée de cette ressource commune. La question est effroyablement complexe et je ne prétends bien sûr pas la résoudre ici…

On perçoit ici très bien la proximité avec l’amendement déposé cette semaine. Et Silvère insistait lui aussi sur l’importance du graphe, en tant que « réseau de données liées » :

Quelques éléments me semblent importants à prendre en compte pour tenter de clarifier ce sur quoi pourrait porter un faisceau de droits. Il nous faut comprendre la différence essentielle entre les données d’un individu et le graphe qui est exploité. Facebook et Google n’ont que faire des données prises séparément […]. Non ce qui est décisif, c’est le graphe, le croisement de ces données, les relations entre elles via des algorithmes et des vocabulaires de types de relations (ontologies).

Pour essayer de penser les données personnelles comme un commun, nous avions alors essayé d’envisager une analogie avec ce que les licences libres permettent en matière de propriété intellectuelle, en imaginant que les individus pourraient accepter de mettre en partage leurs données personnelles en fixant des conditions. Mais cette piste, même si elle paraît intéressante de prime abord, ne mène en vérité nulle part. Elle a en effet le même défaut que l’approche personnaliste qui gouverne aujourd’hui l’appréhension des données personnelles en droit français. Elle s’enracine en effet dans un paradigme individualiste qui masque la dimension collective essentielle résultant de la nécessaire interconnection des données personnelles entre elles.

Pour envisager pleinement cette dimension collective, il faut opérer un véritable renversement copernicien pour appréhender directement le réseau des données liées et l’ériger en tant que tel en un nouvel objet de droit, ce qui n’existe pas à ce jour dans la loi française (ni dans aucun autre droit à ma connaissance).

Le premier à avoir opéré ce renversement de perspective est Pierre Bellanger, fondateur de Skyrock et auteur en 2014 d’un ouvrage intitulé « La souveraineté numérique« . Après avoir été le champion de la thèse de la propriété privée sur les données personnelles, Pierre Bellanger a changé d’approche pour sortir justement du paradigme individualiste et appréhender la dimension collective des données personnelles. Et c’est de cette manière qu’il est arrivé à la notion de biens communs, dans le texte « Principes et pratiques des données personnelles en réseau » daté de septembre 2014 qui constituait sa contribution à l’étude du Conseil d’Etat sur les technologies numériques et les droits fondamentaux.

Ce texte introduit la notion de réseau de données, à partir d’une critique de l’approche personnaliste de la loi de 1978 :

Ainsi, les données personnelles ne sont plus granulaires mais réticulaires, c’est-à-dire organisées en réseau.  Les données personnelles ne sont plus séparées mais liées. Cette intrication forme le réseau des données personnelles qui se substitue, en fait, aux données personnelles isolées du passé.

Les données ne pourraient même plus être dites « personnelles » dans la mesure où les informations relatives à un individu renseignent aussi sur d’autres personnes. Une fois admis ce constat, la question est de donner une qualification juridique à ce réseau de données liées et c’est vers la notion de biens communs qu’on peut se tourner pour les faire bénéficier d’un régime qui évitera leur captation abusive :

Quelle est la nature juridique du Réseau de Données ? Il s’agit d’un objet sur lequel toutes les personnes, dont les données sont maillées, disposent de droits mais qui ne peut être matériellement divisé entre eux. Il est ni dissociable, ni individualisable par nature car chaque donnée personnelle renseigne sur les autres. C’est donc une forme d’indivision qui concerne toute la population.

Par ailleurs, les informations provenant du Réseau de Données sont d’un intérêt général majeur pour la collectivité, notamment, en matière de santé, de transports, de consommation, d’environnement ou encore de compétitivité économique.

Par son origine multi-personnelle, son impossibilité à le séparer, et son utilité collective, le Réseau de Données est donc un bien commun – res communis – : un bien qui appartient à tous mais ne peut appartenir à personne en particulier. Son statut est défini en droit français par l’article 714 du Code civil.

C’est aussi un bien où chacun dispose de droits spécifiques (retrait, opposition, oubli) sur son propre apport et ce, dès lors qu’il n’engage pas les droits d’autrui.

Le Réseau de Données répond donc de droits collectifs et de droits individuels.

Cette intrication de droits collectifs et de droits individuels correspond exactement au « faisceau de droits » – élément central de la théorie des Communs – dont parlait Silvère dans son billet.

Personnellement, je trouve assez remarquable la manière dont cette approche crée un nouvel objet de droit, d’emblée collectif, là où nous étions tous été restés prisonniers du paradigme individualiste en essayant de construire le Commun à partir de l’individuel. Ce réseau de données correspond au graphe social dont je parlais au début de ce billet. Et il est intéressant de relire cette déclaration citée par InternetActu que Marc Zuckerberg faisait à ce sujet en 2007 :

C’est l’ensemble des relations de toutes les personnes dans le monde. Le graphe social : il y en a un seul et il comprend tout le monde. Personne ne le possède. Ce que nous essayons de faire c’est de le modeler, le modéliser, de représenter exactement le monde réel en en dressant la carte.

Le graphe social est en effet mondial. Il embrasse l’ensemble de l’humanité (passée, présente et à venir). Il est le produit des relations que les hommes entretiennent entre eux en tant qu’êtres sociaux. C’est en quelque sorte le reflet informationnel de la nature sociale de l’homme (voir notamment la fameuse théorie des six degrés de séparation). Et même quelqu’un comme Marc Zuckerberg reconnaît que « personne ne le possède« , bien que tout le monde – à commencer par lui – essaie de le capturer et de se l’accaparer.

L’amendement déposé par Delphine Batho et Laurent Grandguillaume était donc bien plus profond qu’il n’y paraît de prime abord. Et je mettrai ma main à couper qu’il leur a été inspiré par Pierre Bellanger, dont on retrouve la « patte » dans l’exposé des motifs.

La question maintenant est de savoir si l’on doit soutenir une telle approche.

Personnellement, j’adhère complètement avec cette notion de « réseau de données personnelles », ainsi qu’avec l’ambition d’en faire un nouvel objet de droit en passant par la qualification de biens communs. L’amendement se réfère pour cela à l’article 714 du Code civil qui traite des « choses communes » (celles qui « n’appartiennent à personne, mais dont l’usage est commun à tous« ). Il y a ainsi une parenté très forte entre cet amendement et l’article visant à consacrer un « domaine commun informationnel«  pour lequel nous nous sommes battus au cours du débat sur la loi numérique.

Mais une fois que l’on a créé un nouvel objet de droit, il faut ensuite déterminer quel régime on souhaite lui voir appliquer, notamment pour organiser une gouvernance. Or dans le texte que j’ai cité plus haut, Pierre Bellanger insiste très fortement sur les pouvoirs que les instances étatiques devraient avoir sur la gestion du réseau de données :

La gestion et l’exercice de ces droits doit revenir à un organisme public, garant du contrôle démocratique et souverain et seul à même d’en permettre l’accès et l’usage.

Une telle institution, structurante et référente, créé les procédures, les instances ainsi que les concertations nécessaires. Elle devra donc, tout à la fois, gérer le bien commun et les droits individuels afférents. Sa capacité à ester en justice sera, de ce point de vue, essentielle.

Une agence des données pourrait ainsi être établie.

Cette « Agence des données » serait notamment dotée de larges pouvoirs, comme celui de délivrer des agréments aux opérateurs souhaitant effectuer des traitements du réseaux de données.

La qualification de biens communs ne sert en définitive qu’à organiser un transfert de la gouvernance au profit de l’Etat, ce qui paraît en définitive assez éloigné de ce que sont réellement les Communs. Si le Réseau de Données est un Commun, alors c’est avant tout sa gouvernance qui doit être commune, et non étatique.  Dans un autre amendement partageant cette même inspiration, on voit d’ailleurs apparaître la notion encore plus ambiguë de « biens communs souverains » employée à propos des données personnelles :

ARTICLE ADDITIONNEL

APRÈS L’ARTICLE 12, insérer l’article suivant:

Dans les six mois suivant la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur le statut juridique de « biens communs souverains » qui pourrait être appliqué à l’essentiel des données personnelles.

Quelque chose me fait penser qu’en partant de telles bases, les données deviendraient rapidement davantage « souveraines » que « communes ». Par ailleurs, le graphe social dans sa nature même est mondial. Il ne peut s’agir que d’un bien commun global, comme peuvent l’être le climat et ou l’atmosphère et je vois mal comment on pourrait mettre cette qualification au service de la souveraineté nationale. L’Etat peut et doit être le « garant des communs » (notamment à travers sa justice), mais il n’est pas censé assurer directement la gestion des Communs.

J’étais déjà assez sceptique à propos de ces conclusions en 2014, mais je le suis plus encore à présent, depuis le cortège de lois sécuritaires et attentatoires à la vie privée qui nous a été infligé par le gouvernement au nom de la lutte contre le terrorisme. Confier à ce nouvel Etat sécuritaire et de plus en plus panoptique la gouvernance sur le réseau des données personnelles paraît franchement dangereux pour la sauvegarde des libertés.

***

Au final, il y a dans cette idée de constituer le réseau des données personnelles en bien commun à la fois une intuition géniale et un péril certain.

L’amendement n’a cependant pas été approuvé par la Commission des lois et il n’y a quasiment aucune chance qu’il passe lors de l’examen en séance. Le futur règlement européen sur les données personnelles n’envisage pas non plus une telle approche.

Mais il serait à mon sens extrêmement dommage d’enterrer cette notion de « réseau de données liées » et ceux qui s’intéressent aux Communs devraient s’en emparer pour explorer ses potentialités.

 

 

Pourquoi on devrait prendre au sérieux le « Facebook Copyright Hoax »

Depuis le début de la semaine, de nombreux médias américains signalent une recrudescence de partages d’un post sur Facebook qui refait surface périodiquement sur le réseau social depuis 2012. Désigné comme le « Facebook Copyright Hoax » ou la « Privacy Notice Alert », ce message de quelques lignes permet aux utilisateurs de réaffirmer qu’ils détiennent un droit d’auteur sur les éléments qu’ils partagent sur Facebook dans le but d’empêcher la plateforme de les utiliser de son côté à des fins abusives :

In response to the new Facebook guidelines, I hereby declare that my copyright is attached to all of my personal details, illustrations, comics, paintings, professional photos and videos, etc. (as a result of the Berner Convention). For commercial use of the above my written consent is needed at all times !

Le taux de partage de ce post a été suffisamment élevé ces derniers jours pour que le porte-parole de Facebook, Andrew Noyes, fasse des déclarations se voulant rassurantes quant à la politique de la compagnie en matière de propriété sur les contenus partagés par ses utilisateurs (je traduis) :

Nous avons relevé des affirmations que nous souhaitons rectifier et nous voulons rappeler que lorsque vous postez des photos sur Facebook, nous n’en devenons pas les propriétaires. Selon nos conditions d’utilisation, vous accordez la permission d’utiliser, de distribuer et de partager les choses que vous postez, en accord avec ces conditions et vos paramètres de confidentialité.

Le texte complet de ce « Facebook Copyright Hoax ».

Lire la suite

Le serment d’Ello: vers un réseau social du « troisième type » ?

Ello, le réseau social « anti-Facebook », a créé la sensation en fin de semaine dernière, en annonçant qu’il changeait de statut pour devenir une Public Benefit Corporation (Organisme dédié au bien public), se dotant d’une Charte stipulant que la plateforme s’interdit dorénavant :

  • de vendre les données de ses utilisateurs à des tiers ;
  •  de nouer des accords visant à afficher des publicités rémunérées pour le compte de tiers ;
  • dans l’éventualité d’une acquisition ou d’un transfert d’actifs, la Compagnie devra s’assurer que l’entité qui l’acquiert respecte ces principes.

Et cette Charte de conclure : « En d’autres termes, Ello existe dans votre intérêt, et pas pour l’argent« .

ello-800x410Cette évolution s’accompagne d’une nouvelle levée de fonds, permettant au réseau social d’augmenter son capital de 5.5 millions de dollars. Elle intervient alors que depuis un mois, le nombre d’utilisateurs d’Ello a grimpé en flèche pour atteindre 1 million d’inscrits (dont votre serviteur) et plus de 3 millions seraient sur liste d’attente.

Ce mouvement est intéressant à observer, car il fait émerger un nouvel acteur à la nature juridique singulière dans le paysage des plateformes en ligne. Jusqu’à présent, pour reprendre une distinction introduite par Michel Bauwens, une dichotomie existait entre les structures for profit, dédiées à la maximisation des revenus (type Facebook ou Twitter) et des structures for benefit, assurant le maintien des infrastructures nécessaires à des biens communs numériques (Wikimedia Foundation, Mozilla Foundation, etc).

En devenant une Public Benefit Corporation, Ello est-il en train de faire émerger un nouveau type d’organisation à mi-chemin entre les deux précédentes : un réseau social du « troisième type » ?

Lire la suite

Le miroir aux alouettes de la revente des données personnelles

La semaine dernière, une étude a été publiée par Havas Media concernant les rapports qu’entretiennent les Français avec leurs données personnelles. Si de manière assez attendue, 84% se déclarent inquiets des usages qui peuvent être faits de leurs données, l’enquête révèle aussi des tendances beaucoup plus opportunistes. 45% des Français seraient prêt à laisser les entreprises réutiliser leurs données, à condition de toucher une contrepartie financière et pour 500 euros, 30% d’entre eux se disent même disposés à leur ouvrir un large accès…

texture_stock_bokeh_gold_9_by_redwolf518stock
On voudrait nous faire croire que nos données valent de l’or, mais cette promesse nébuleuse pourrait s’avérer bien décevante… [Image par redstock516stock, CC-BY, source : deviantArt]

Ces chiffres font écho à des thèses dont j’ai déjà eu l’occasion de parler dans S.I.Lex, à propos de la tendance à la « patrimonialisation des données personnelles« . Puisque les données personnelles font déjà l’objet d’une très large exploitation commerciale par les plateformes sur Internet, certains estiment qu’il serait plus juste d’entériner cet état de fait en créant un droit de propriété au bénéfice des individus, afin qu’ils puissent les commercialiser et en tirer un revenu. Cette approche n’est pour l’instant pas celle de la réglementation française et européenne, reposant sur une conception « personnaliste », considérant les données personnelles comme un prolongement de la personne humaine et les protégeant à ce titre.

Mais aux États-Unis, la marchandisation volontaire des données personnelles est déjà une réalité, assurée notamment par le biais d’intermédiaires agissant comme des « courtiers » et proposant aux individus de « reprendre le contrôle sur leurs données » ou d’en « redevenir propriétaires » en les portant sur une place de marché destinée aux annonceurs. On connaissait déjà des sociétés comme Yes Profile ou Reputation.com,  agissant sur ce créneau, mais la semaine dernière Datacoup, une startup newyorkaise, a fait l’objet de plusieurs articles sur les sites d’information français à l’occasion de son lancement officiel.

Souhaitant voir concrètement comment se passait cette mise en marché des données, j’ai ouvert un profil pour tester le service proposé par Datacoup. L’expérience s’est avérée étrange, mais très instructive, et elle me conforte dans l’idée que cette proposition de revente de leurs données personnelles par les individus constitue un véritable miroir aux alouettes, potentiellement dangereux, mais qui risque de s’avérer très attractif s’il venait à se déployer.  Lire la suite

Comment sortir du paradigme individualiste en matière de données personnelles ?

Jeudi soir, la Mutinerie avait invité Pierre Bellanger, fondateur et actuel PDG de la radio Skyrock, à venir présenter son ouvrage « La souveraineté numérique » publié au mois de janvier dernier. Ce fut l’occasion de mieux comprendre les positions de Pierre Bellanger, notamment sur la question du statut des données personnelles, à propos desquelles j’avais consacré un billet le mois dernier. C’est surtout l’idée de créer un droit de propriété privée sur les données personnelles, à l’image d’un droit de propriété intellectuelle, qui m’avait fait réagir à ce moment, et le Conseil National du Numérique dans son rapport sur la neutralité des plateformes avait aussi eu l’occasion de rejeter ces propositions.

pixel
pixelpeople, Par Bert Heymans. CC-BY-SA. Source : Flickr.

Mais lors de la soirée de jeudi, nous avons pu constater que Pierre Bellanger lui-même a changé d’opinion sur le sujet depuis la parution du livre et qu’il s’éloigne à présent de cette approche « patrimoniale » des données personnelles, qui feront visiblement l’objet d’un nouvel ouvrage à paraître prochainement. Il a été conduit à revoir sa position sur le sujet, d’une part pour prendre en compte les objections qui lui ont été opposées, mais aussi parce qu’elle avait selon lui le défaut de trop ancrer l’appréhension de ces données dans un paradigme individualiste. Or selon lui, il est important aujourd’hui de dépasser ce canevas pour pouvoir appréhender ces données dans leur véritable nature, qui n’engagent pas seulement les individus pris isolement, mais possèdent d’emblée une dimension collective et sociale difficilement saisissable à travers le concept de « données personnelles » issu de la loi Informatique & Libertés de 1978.

Lire la suite

Droit d’auteur sur les données personnelles : les plateformes le contourneraient facilement

Cette semaine, j’ai publié un billet pour souligner que le Conseil National du Numérique, dans son rapport sur la neutralité des plateformes s’était prononcé contre l’idée d’instaurer un « droit d’auteur sur les données personnelles ». Certains estiment en effet que pour lutter contre l’exploitation abusive des données personnelles par les grandes plateformes sur Internet, un moyen efficace consisterait à créer un nouveau droit de propriété intellectuelle, à l’image de celui dont les auteurs bénéficient sur leurs créations. Dans mon billet, je me suis surtout placé du point de vue des principes, en essayant de montrer que les données relèvent d’un droit de la personnalité et qu’il serait très inopportun de les faire passer sous un régime de propriété.

Copyright is for losers. Banksy.

Mais il y a aussi des raisons techniques, que je n’ai pas eu le temps d’aborder dans mon billet, qui font qu’un droit d’auteur des données personnelles constitueraient certainement une piètre protection pour les individus vis-à-vis des plateformes. En effet, à l’heure actuelle, les utilisateurs des grands services en ligne comme Facebook ou Instagram leur confient non seulement des données personnelles, mais aussi des créations protégées par le droit d’auteur. Il peut s’agir par exemple de photographies ou de textes partagées sur ces réseaux, considérés comme des « oeuvres de l’esprit » dès lors que ces réalisations atteignent un degré de mise en forme suffisant.

Lire la suite

Le CNNum s’est prononcé contre l’instauration d’un droit de propriété privée sur les données personnelles

Le Conseil National du Numérique a publié la semaine dernière un rapport la neutralité des plateformes, proposant une série de mesures pour « réunir les conditions d’un environnement numérique ouvert et soutenable« . Ces travaux ont fait l’objet d’un certain nombre de critiques, en raison du caractère parfois flou du concept de « neutralité des plateformes », mais le rapport n’en contient pas moins des aspects intéressants.

propriété
Propriété privée… Par Audesou. CC-BY-NC-ND. Source : Flickr.

Le texte du CNNum contient notamment un passage consacré au statut juridique des données personnelles, qui n’a pas vraiment fait l’objet jusqu’à présent de commentaires , alors qu’il revêt à mon sens une grande importance. Pour le CNNum, le concept de neutralité des plateformes se traduit en effet par le respect de cinq exigences :

  • La transparence et la loyauté des modes de collecte, de traitement et de restitution de l’information ;
  • La non-discrimination entre les formes d’expression et de contenus partagés ;
  • La non-discrimination des conditions économiques d’accès aux plateformes ;
  • La non-discrimination des conditions d’interopérabilité avec les plateformes ;
  • Une information sans propriétaire.

C’est ce cinquième et dernier point qui va ici retenir notre attention. Il renvoie à la page 37 du rapport, dans une partie portant sur « les bases de la répartition équitable de la valeur des données« . Sans ambiguïté aucune, le Conseil se prononce contre l’idée d’instaurer un droit de propriété privée sur les données personnelles comme moyen de parvenir à une meilleure régulation de l’environnement numérique :

Exclure l’hypothèse de la propriété : en principe, l’information n’est pas propriétaire, mais les moyens pour sa production et son enrichissement peuvent l’être. La reconnaissance d’un droit de propriété sur les données personnelles aux individus est souvent avancée comme moyen de rééquilibrer les pouvoirs avec les entités collectrices.

Le Conseil invite à exclure cette option :

  • Parce qu’elle renvoie à l’individu la responsabilité de gérer et protéger ses données, renforce l’individualisme et nie le rapport de force entre consommateurs et entreprises ;
  • Parce qu’elle ne pourrait que générer des revenus anecdotiques pour les usagers et susciter à l’inverse un marché de la gestion protectrice des données numériques ;
  • Parce qu’elle déboucherait à un renforcement des inégalités entre citoyens en capacité de gérer, protéger et monétiser leurs données et ceux qui, par manque de littératie, de temps, d’argent ou autre, abandonneraient ces fonctions au marché.

A quoi cette idée de propriété privée sur les données personnelles renvoie-t-elle exactement et pourquoi la prise de position du CNNum est-elle importante ?

La montée en puissance d’une conception patrimoniale des données personnelles

La question de l’exploitation abusive des données personnelles est aujourd’hui devenue essentielle. Elle explique en grande partie le déséquilibre de l’environnement numérique au profit de grandes plateformes comme Google, Facebook et bien d’autres « capitalistes nétarchiques », capables de monétiser l’attention des internautes en captant leurs données personnelles. Il en résulte un développement inquiétant du « travail gratuit » fourni par les individus à ces grands acteurs du web sans contrepartie, ce qui provoque un transfert de valeur inéquitable leur permettant de renforcer leur position dominante.

Pour lutter contre cette forme nouvelle d’exploitation, certains avancent que la solution la plus efficace consisterait à instaurer un droit de propriété au sens propre sur les données personnelles au profit des individus, afin de leur permettre de mieux les contrôler et éventuellement de les monétiser pour organiser un retour de la valeur vers ceux qui en sont la source. On retrouve par exemple de telles thèses chez l’américain Jaron Lanier, auteur de l’ouvrage « Who owns the future ? », qui préconise de mettre en place un système de micro-paiement généralisé permettant aux individus de monétiser leurs données personnelles :

je préconise un système universel de micropaiement. Les gens toucheraient une rémunération – fût-elle minime – pour l’information qui n’existerait pas s’ils n’existaient pas.

Cette idée circulait déjà dans les années 1960, avant même que l’Internet soit inventé. C’est juste un retour aux origines. Si on arrivait à savoir combien les entreprises sont prêtes à payer pour avoir des informations, cela serait utile… Les gens pensent que le montant serait infime. Mais si on regarde en détail, c’est faux. Les données concernant M. Tout-le-Monde ont beaucoup de valeur. Cela serait un soutien économique puissant pour la nouvelle classe moyenne. Chaque donnée individuelle aurait une valeur différente. Certaines seraient plus cotées parce qu’elles sortent de l’ordinaire.

Ce genre de thèses se heurtent actuellement au statut juridique des données personnelles et de l’information. Les données personnelles des individus ne sont en effet pas considérées comme des propriétés, mais comme un droit attaché à la personne humaine et au respect qui lui est dû. C’est ainsi que la loi Informatique et Libertés du 6 janvier 1978, d’inspiration humaniste, les a conçues et cette philosophie est également présente au niveau européen. Par ailleurs, les informations en elles-mêmes échappent au droit d’auteur et à la propriété intellectuelle. Elles appartiennent par défaut au domaine public structurel, même si l’instauration d’un droit des bases de données à partir des années 90 en Europe a tendu à les soumettre peu à peu à une logique propriétaire qui ne cesse de prendre de l’ampleur depuis.

La métaphore dangereuse de la propriété intellectuelle

Toujours est-il que les tenants de cette nouvelle approche « patrimoniale » des données personnelles ont besoin d’un fondement juridique assimilable à une propriété pour être mesure de mettre en œuvre leurs conceptions. Et un certain nombre d’entre eux sont en train de soutenir que l’on devrait mettre en place un droit de propriété intellectuelle sur les données personnelles, voire même un droit d’auteur.

C’est le cas par exemple en France de Pierre Bellanger, fondateur de Skyrock et auteur de l’ouvrage « la souveraineté numérique ». Dans cette interview par exemple accordée en février dernier au site LesEchos.fr, Pierre Bellanger exprimait sans ambages ce projet de créer un droit de propriété sur les données personnelles :

Aujourd’hui ces données sont ce qu’on appelle « res nullius », c’est-à-dire qu’en droit elles ne sont propriété de personne. Il faut rappeler que le pères fondateurs des Etats-Unis, lorsqu’ils ont rencontré les indiens, ont décrété que comme ils n’avaient pas de titres de propriété, leurs terres étaient « terra nullius ». Donc méfions-nous quand nos données sont « res nullius » et qu’il y a des intérêts impériaux en face […]

Nous avons à faire ce que Beaumarchais a fait lorsqu’il a créé le droit d’auteur : nous avons à rendre les gens propriétaires de leurs données, c’est-à-dire propriétaires de leurs traces numériques sur le réseau. Il y a un certain nombre de moyens qui permettent de le faire, tout un écosystème de logiciels qui accompagne cette idée de propriété des données, et c’est quelque chose sur lequel on peut s’appuyer.

Invité sur Place de la Toile en avril dernier, Pierre Bellanger a repris et développé ces thèses, allant jusqu’à affirmer que nous serions les « auteurs de nos données personnelles« , comme nous le serions d’oeuvres que nous aurions créées. Ce type d’approches est en réalité complètement métaphorique : la conception patrimoniale des données personnelles emprunte le détour du droit d’auteur parce que c’est le moyen de se raccrocher à la notion de propriété, via la propriété intellectuelle. Parfois, la métaphore est un peu plus fine, comme chez Laurent Chemla, un autre tenant de cette conception patrimoniale, qui imagine plutôt de créer un droit voisin sur les données personnelles ou une nouvelle forme de droit sui generis, comme celui qui existe sur les bases de données.

Au-delà des divergences d’approches, ces conceptions s’accordent sur le fait que la transformation des données personnelles en propriétés serait un moyen efficace de résoudre le problème d’exploitation abusive pointé plus haut. Chez Pierre Bellanger, la rhétorique employée s’apparente même à celle d’une « Tragédie des Communs ». Bellanger explique que les données personnelles sont actuellement des « res nullius« , c’est-à-dire des « choses sans maître » et que cette absence de propriété favorise leur sur-exploitation par les grandes plateformes du web, au détriment de la « souveraineté numérique des individus ». Comme Garett Hardin l’avait fait dans les années 60 en prenant l’exemple de l’exploitation des terres, Bellanger explique que seul un régime d’appropriation privée des données peut constituer une régulation efficace.

Extension du domaine de la propriété imaginaire

Or il y a tout lieu de penser que le recours à la propriété privée en matière de données personnelles aboutirait à un résultat exactement inverse de celui avancé par les promoteurs de cette approche « patrimoniale ». Le propre de la propriété est d’être cessible et transférable : c’est même sa fonction première en tant qu’institution sociale. Si l’on prend l’exemple du droit d’auteur, il faut rappeler qu’il a été inventé non par des auteurs, mais par des intermédiaires – les imprimeurs libraires de l’Ancien Régime – qui avaient besoin de cette fiction juridique pour se faire céder les droits sur les oeuvres de la part des auteurs. Loin d’être un mécanisme de protection des auteurs, la propriété intellectuelle est avant tout un système permettant l’organisation d’une chaîne de transferts des droits au profit d’intermédiaires économiques. Cette tendance qui existait dès l’origine du droit d’auteur n’a fait que se renforcer avec l’évolution technologique et le numérique n’y a pour l’instant rien changé.

Image par Christopher Dombres. CC-B6. Source : Flickr.

Cette logique « d’intermédiation », inséparable de celle de la propriété transférable, est déjà à l’oeuvre dans le domaine des données personnelles. Des firmes sont déjà en train de se positionner auprès des individus comme des tiers capables de gérer leurs données de manière sécurisée et de les « placer » sur des plateformes afin de les monétiser, un peu comme des courtiers d’affaires. Cette tendance est décrite et critiquée par Valérie Peugeot dans un article fondamental sur la question « Données personnelles : sortir des injonctions contradictoires » :

Ce scénario de la propriété sur les données est poussé par des acteurs qui y voient une opportunité d’affaires plus qu’une sortie par le haut dans une économie numérique en recherche d’équilibre. On voit ainsi apparaître des entreprises qui promettent aux internautes une monétisation directe de leurs données en les louant à des tiers (ex : Yesprofile). Ces acteurs ont pour l’heure un positionnement ambigu : ils promettent simultanément une reprise de contrôle sur les données par l’utilisateur et une source de revenus. S’ils partagent avec les acteurs du VRM (Vendor Relationship Management) le premier objectif, la promesse financière les en démarque. Cette promesse financière semble illusoire, les simulations montrant un taux de retour de quelques euros, mais ce n’est pas la question essentielle. Dans cette approche, la régulation ne passe que par un modèle commercial, entre entités en situation d’asymétrie informationnelle et de rapport de force, ce qui se traduit inévitablement au désavantage du consommateur/utilisateur.

yes
Yes Profile : « votre profil vaut de l’argent » ; « créez votre Profil propriétaire » ; « gagnez de l’argent en louant votre profil » ; « mettez vous-même vos données à la location ». L’auto-marchandisation des données personnelles est déjà en marche…

On voit donc qu’en agitant devant les individus le miroir aux alouettes d’une rémunération pour l’exploitation de leurs données, la conception patrimoniale des données personnelles risque surtout de faire émerger une nouvelle classe d’intermédiaires dans l’environnement numérique, à même de générer des revenus conséquents sur la base d’une nouvelle exploitation. Loin d’aboutir à une « souveraineté » retrouvée, le détour par la propriété mènerait les individus sous la coupe d’autres intermédiaires et précipiterait encore davantage le mouvement de marchandisation des données personnelles.

En réalité, la conception patrimoniale des données personnelles repose sur un individualisme méthodologique, typiquement libéral, postulant que la meilleure façon de gérer un écosystème consiste à laisser les acteurs individuels prendre des décisions à leur niveau. Or c’est précisément cette approche réductrice que le CNNum conteste à juste titre dans son rapport. Le problème des données personnelles est essentiellement systémique et c’est à ce niveau qu’il faut se placer pour tenter de le résoudre.

Par ailleurs, le concept même de propriété intellectuelle a fait l’objet de profondes remises en cause. Nombreux sont ceux comme Richard Stallman qui estiment que la propriété intellectuelle n’est qu’une une propriété « imaginaire ». Le concept même de propriété est profondément inadapté lorsqu’il est appliqué à des créations immatérielles, comme les oeuvres, les marques ou les inventions. Déjà trompeuse pour ces objets, la métaphore de la propriété le serait encore davantage si elle était étendue aux données personnelles. Il est infiniment préférable que les données personnelles continuent comme actuellement à relever d’un droit de la personnalité et à être attachées au respect dû à la personne humaine.

Cela ne signifie pas bien entendu que la réglementation des données personnelles soit aujourd’hui parfaite et qu’il ne faille pas la faire évoluer pour répondre aux mutations de l’environnement numérique. Le récent débat au Parlement européen autour du nouveau règlement sur les données personnelles a permis d’obtenir des avancées et le vote au Brésil en avril dernier de la Marco Civil da Internet montre sans doute une voie à suivre. Mais que cette réglementation soit amenée à évoluer ne signifie pas que l’on doive en modifier le fondement juridique. Surtout pas même…

Vers un troisième mouvement d’enclosures ?

La montée d’une conception patrimoniale des données personnelles constitue un mouvement inquiétant et un nouveau sursaut d’une idéologie propriétaire pourtant en crise profonde. Si l’on prend un peu de recul historique, on peut voir en effet que chacun des grands mouvements d’enclosures a été précédé par l’affirmation de nouveaux droits de propriété au profit des individus et présentés comme un progrès. Ce fut le cas lors du premier mouvement des enclosures qui a frappé les terres à partir du 12ème siècle pour culminer dans l’Angleterre du 18ème siècle par une féroce « guerre des forêts » qui a démantelé les biens communs traditionnels et les droits d’usages coutumiers bénéficiant aux plus pauvres au profit de nouvelles classes de propriétaires. Le « second mouvement des enclosures », pour reprendre les mots du juriste James Boyle, a ensuite commencé à partir du 19ème siècle et a concerné cette fois la connaissance, avec l’avènement du droit d’auteur, puis de la propriété intellectuelle. Avec l’allongement continu de la durée et de la portée de ces droits sur les créations immatérielles, il a réduit d’autant les droits fondamentaux dont bénéficiait le public sur les biens communs de la Connaissance. Ce mouvement a aussi abouti à la formation de puissants intermédiaires : éditeurs scientifiques, industries du divertissement, puis grandes firmes du « capitalisme cognitif ». Bien plus que les auteurs, ces acteurs sont les grands bénéficiaires de la « propriété intellectuelle » qu’ils sont les seuls à pouvoir transformer en une rente.

Keep out ! Par Richard Elzey. CC-BY-NC. Source : Flickr.

Après les terres et la connaissance, l’affirmation d’un droit de propriété sur les données personnelles aurait sans doute pour effet de précipiter l’avènement d’un troisième mouvement d’enclosures, encore plus grave que les précédents, car il frapperait directement à travers les données personnelles la substance même de nos vies. Loin d’être un frein à la marchandisation dont elles sont déjà l’objet à travers les rouages de l’économie de l’attention, ce droit de propriété n’en serait que l’aboutissement final et la consécration légale.

 Mais à l’opposé de cette approche propriétaire, certains envisagent au contraire d’employer à propos des données personnelles la même méthode que celle qui a permis de rendre les logiciels libres inappropriables : celle d’une gestion en commun, envisagée sous la forme de « faisceaux de droits » (bundle of rights). Voyez à nouveau l’article de Valérie Peugeot cité plus haut :

La troisième piste, qui déborde le cadre stricte des données personnelles pour s’intéresser aux données numériques en général, consiste, en s’inspirant des travaux d’Elinor Ostrom et de l’école de Bloomington autour des biens communs, à développer une sphère de données en Communs, c’est-à-dire de données qui peuvent être considérées comme une ressource collective, et qui n’entrent ni dans le régime des biens gérés par la puissance publique strico sensu, ni dans un régime de marché. Ce régime de Communs repose sur une gestion par une communauté de la ressource considérée, qui organise ses règles de gouvernance, en s’appuyant sur un « faisceau de droits » (bundle of rights »). Ces faisceaux de droits rendent possibles des régimes de propriété partagée. Un faisceau de droits c’est un ensemble de relations sociales codifiées autour de quelque chose à protéger comme le rappelle Silvère Mercier. Ils permettent de penser les usages indépendamment de la notion de « propriété », et d’adapter les règles de droit pour servir au mieux les usages en protégeant les ressources mises en partage. La grande force des Communs est d’ouvrir une troisième voix à côté de la propriété privée et de la propriété publique, un espace dans lequel des ressources, ici des données, ne sont pas soumises à un régime de droits exclusifs, mais peuvent être réutilisées selon certaines conditions fixées par la communauté qui en a la gestion et qui veille à leur protection. Il ouvre un espace protégé dans lequel les individus et les collectifs peuvent choisir de placer leurs données.

Appliquer la logique des licences libres aux données personnelles ?

Silvère Mercier dans un billet consacré à la question mettait l’accent sur la nécessité d’inventer un nouveau régime juridique pour organiser une gestion des données personnelles en communs :

Ni privé, ni public comment penser des données personnelles en biens communs? Car c’est une piste peu étudiée : celle de faire de ces fameuses données personnelles des biens communs, quelque chose qui appartient à tous et à personne. Ne pas les sanctuariser par la loi, ni les commercialiser sans vergogne mais bien de repenser autour de leurs usages un faisceau de droits. Il ne s’agit pas de refuser de leur appliquer un régime de propriété mais d’en repenser la nature. Et s’il fallait inventer des creative commons des données personnelles, des privacy commons? Reste à définir une gouvernance partagée de cette ressource commune. La question est effroyablement complexe et je ne prétends bien sûr pas la résoudre ici…

Quelques éléments me semblent importants à prendre en compte pour tenter de clarifier ce sur quoi pourrait porter un faisceau de droits. Il nous faut comprendre la différence essentielle entre les données d’un individu et le graphe qui est exploité. Facebook et Google n’ont que faire des données prises séparément, c’est pourquoi le fait le de permettre à l’utilisateur de télécharger ses données est tout sauf une solution. Non ce qui est décisif, c’est le graphe, le croisement de ces données, les relations entre elles via des algorithmes et des vocabulaires de types de relations (ontologies).

Peut-on imaginer que le graphe social résultant de l’entrecroisement de nos données personnelles puisse être placé sous une licence libre, comme peut l’être un logiciel ou Wikipédia, garantissant à la fois qu’il soit utilisable dans le respect de certaines conditions essentielles et inappropriable ? Il faudrait pour cela créer de nouvelles licences, qui ne trouverait pas leur fondement dans une forme de propriété intellectuelle, mais bien dans le régime actuel des données personnelles envisagées comme droit de la personnalité.

Mozilla a imaginé des « Privacy Icons », qui peuvent être une source d’inspiration pour construire des « Privacy Commons ». Ils sont cités d’ailleurs dans le rapport du CNNum.

Or certains ont déjà travaillé sur de telles pistes pour envisager un « privacyleft » à l’image du copyleft des logiciels libres. Le juriste Thomas Saint-Aubin avait ainsi présenté en 2012 sur InternetActu un projet « Design your privacy », comportant un jeu de licences permettant aux individus de déterminer les conditions de réutilisation de leurs données personnelles :

La licence est donc une concession de droits d’usages à un réutilisateur, sur les données personnelles d’un individu. Il lui concède un droit personnel, non exclusif et non transférable, de réutilisation de ses données pour les finalités et les moyens présélectionnés par ses soins. Cette opt-in (c’est-à-dire cette option d’adhésion qui a fait l’objet d’un consentement préalable) est temporaire et révocable unilatéralement par l’utilisateur en opt-out (accord tacite, sans consentement préalable).

[…] Les variantes de la licence permettent à l’internaute de distinguer le régime de réutilisation des données couvertes par une anonymisation ou par une pseudo-anonymisation des données nominatives. Il doit pouvoir veiller aux conséquences du recoupement des données en les interdisant le cas échéant, notamment lorsque ces traitements sont susceptibles de l’identifier. En toute hypothèse, sur ses données nominatives ou pseudonymisées, il dispose d’une sorte de privacyleft lui permettant de revenir à tout moment sur ses permissions accordées.

***

Face à l’offensive d’une conception propriétaire des données personnelles, de tells pistes sont sans doute aujourd’hui à réinvestir et à creuser pour matérialiser l’idée d’un « faisceau de droits » sur les données personnelles permettant de les gérer en commun. Bien entendu, il ne s’agit pas de la seule voie pour parvenir à un assainissement de l’écosystème numérique. Le rapport du CNNum contient une série de propositions intéressantes de ce point de vue, concernant par exemple la notion de « facilité essentielle » pour une meilleure application des règles de la concurrence aux grandes plateformes ou l’idée d’instaurer une « obligation générale de loyauté à laquelle les site seraient soumis vis-à-vis de leurs utilisateurs.

Le CNNum s’est prononcé contre l’instauration un droit de propriété sur les données personnelles et il a sans doute eu raison de le faire, mais il faudra rester vigilant pour éviter que cette idée ne se fraye pas un chemin jusque dans la loi sur le numérique que prépare actuellement le gouvernement.

 

 

Et Facebook inventa le Robocopyright « social »…

3 décembre 2013 : alors que nos libertés numériques partent déjà bien en lambeaux, Facebook s’est vu accorder un brevet sur un dispositif de contrôle des contenus circulant sur un réseau social qui fait littéralement froid dans le dos, en mélangeant allègrement le Copyright Madness, Big Brother et Minority Report.

C’est le site TorrentFreaks qui explique que Facebook a déposé un brevet sur une méthode permettant d’utiliser les informations de profils d’utilisateurs et des « signes sociaux » pour déterminer si des contenus partagés sont piratés ou non. Les données mises à contribution pour réaliser ces analyses incluent les centres d’intérêt déclarés par les membres du réseau, leur localisation géographique et leurs relations sociales.

Des systèmes automatiques de filtrage des contenus existaient déjà, et notamment le dispositif ContentID fonctionnant sur YouTube, capable de repérer des oeuvres d’après leurs empreintes et d’appliquer des actions de retrait, de sanction ou de monétisation, en fonction de la volonté des titulaires de droits. Cette application « robotisée » de la règle de droit constituait déjà une forme de police privée du copyright, entraînant des dérapages attentatoires à la liberté d’expression et une fragilisation rampante des droits des internautes.

Mais Facebook franchit cette fois un pas de plus vers la dystopie, car il ne s’agit plus de marquer les contenus, mais les utilisateurs eux-mêmes, en les profilant selon leur « propension à pirater ». Le fonctionnement de la Hadopi soulevait déjà des questions en termes de surveillance des individus et de traitement de données personnelles. Mais ici, le système est infiniment plus pervers, puisque ce sont les individus qui fournissent eux-mêmes les données servant à les contrôler, en acceptant ce type de traitement via les conditions d’utilisation du site qui prévoient que les informations des utilisateurs pourront être utilisées « pour protéger les droits ou la propriété de Facebook ou de tiers« .

On aboutit à quelque chose de potentiellement très inquiétant, et j’ai envie de dire surtout en France, où l’objectif d’arriver à mettre en place un système « d’auto-régulation des plateformes » a clairement été exprimé, tant au niveau de la Hadopi que du rapport Lescure. Cela pourrait même constituer l’enjeu principal de la future loi sur la création, annoncée pour 2014, et Facebook vient de mettre sur la table une proposition en or pour ceux qui rêvent d’un « Robocopyright », capable de réguler la circulation des contenus sans passer par le juge.

Lire la suite

Ivre, le Forum d’Avignon veut écrire une déclaration des droits et pond une déclaration de guerre…

[Mise à jour du 20/09/2014] : Cette semaine, le projet de déclaration des droits du Forum d’Avignon a refait surface, à l’occasion d’un événement organisé au Conseil Économique et Social, en présence de la Ministre de la Culture, Fleur Pellerin. Le texte proposé a été un peu remanié par rapport à celui que j’évoque ci-dessous. Il s’appelle a présent Déclaration des Droits de l’Homme numérique (sic…). S’il ne contient plus de référence à la notion étrange de « données culturelles », il continue à comporter un amalgame douteux entre « données personnelles » et « créations », repérable à nouveau à cet article :

  1. Toute exploitation des données comme des créations de tout être humain suppose son consentement préalable, libre, éclairé, limité dans le temps et réversible.

J’ai eu l’occasion de montrer ci-dessous que demander à ce que tout usage d’une création soit soumise au consentement préalable de l’auteur revient à nier les droits culturels fondamentaux du public. Cela consiste en effet à demander la suppression des exceptions au droit d’auteur, du domaine public ou du mécanisme de l’épuisement des droits, qui jouent un rôle essentiel d’équilibrage du système.

Sous couvert donc de vouloir protéger les données personnelles, objectif assurément essentiel, cette déclaration sert en fait de véhicule aux thèses les plus maximalistes concernant la propriété intellectuelle. On se demande ce qui est le plus sidérant dans l’affaire : qu’un lobby ait l’audace de proposer une déclaration universelle des droits ou que la Ministre de la Culture, à peine installée, aille apporter sa caution à une telle escroquerie intellectuelle…

***

Billet du 26/11/2013

Je ne pensais pas un jour être amené à utiliser la fameuse formule « Ivre virgule » au début du titre d’un billet sur S.I.lex, mais il s’est produit une telle ÉNORMITÉ ce week-end lors du dernier Forum d’Avignon  que je n’avais plus tellement le choix…

Le Forum d’Avignon, c’est cette grand-messe annuelle qui rassemble pendant plusieurs jours la fine fleur des industries culturelles, afin de se livrer à des exercices de futurologie avancée concernant l’avenir de la création à l’heure du numérique. Le tout bien sûr, en présence des pouvoirs publics, qui viennent en Avignon prendre un bon bain de lobbies (such a lobby place, comme dit la chanson…).

Le Serment du Jeu de Paume peut aller se rhabiller : on parlera bientôt du Serment d’Avignon ! (Image source Wikimedia Commons. Domaine public)

Bien qu’un tel évènement recèle déjà en lui-même un très haut potentiel LOLesque, cette année il s’est produit quelque chose de complètement extravagant, qui restera certainement gravé à jamais au firmament de la Légende dorée des Internets. Le Forum d’Avignon a solennellement proclamé un Manifeste intitulé : « Principes d’une déclaration universelle de l’internaute et du créateur à l’heure du numérique« . Rien de moins !

Que s’est-il passé exactement pour en arriver là ? Sans doute cette assemblée d’ayants droit, habitués depuis des années à livrer des textes de lois « prêts-à-voter » à nos chers élus s’est soudainement sentie pousser des ailes démocratiques. Tels les représentants du Tiers-État lors de la Révolution Française, ces Solon et ces Numa des Temps Modernes ont pensé qu’ils pouvaient constituer à eux seuls la Nation toute entière. Que dis-je la Nation, l’Univers plutôt, puisque leur Manifeste aspire à une portée universelle !  Les esprits de Mirabeau et de René Cassin vinrent à souffler sur ce qui ressemble à un mauvais mashup du Serment du jeu de Paume, revu à la sauce « ni vu, ni connu, j’t’embrouille » … Accrochez-vous !

Lire la suite

Du patrimoine culturel à la production scientifique : aspects juridiques

Le 17 juin dernier, j’ai été invité dans la cadre du programme collectif « Archéologie dans les Humanités numériques » de l’unité de recherche ArScAn à donner une journée de formation à l’Université Paris Ouest, consacrée aux aspects juridiques des documents du patrimoine culturel et de la production scientifique. J’intervenais aux côtés de la juriste Anne-Laure Stérin, auteur de l’ouvrage « Guide pratique du droit d’auteur« .

Nous devions traiter un ensemble de sujets très larges, liées aux pratiques de recherche :

Les aspects juridiques des documents culturels et scientifiques étant très variés, les interventions seront articulées autour des deux pôles de l’activité de recherche :

  • Le pôle “utilisation de données-documents du patrimoine culturel (objets archéologiques, documents ethnologiques, images, manuscrits, etc.)” : lesquels puis-je utiliser et reproduire, en tant que chercheur ou doctorant, et à quelles conditions ?
  • Le pôle “proposer la réutilisation des données-documents-résultats de recherche archéologiques” : à qui vais-je, moi chercheur ou doctorant ou organisme de recherche, proposer de consulter, de réutiliser peut-être, les données et résultats de recherche archéologiques que j’ai produits, et à quelles conditions ?

Nous avons choisi avec Anne-Laure de représenter l’ensemble des questions juridiques liées à ces problématiques par le biais d’une carte heuristique, que je poste ci-dessous. Anne-Laure s’est chargée des parties sur le droit à l’image des biens et des personnes, du droit des données personnelles et du droit des archives. Je me suis occupé de mon côté du droit d’auteur, du droit des bases de données et du droit à la réutilisation des informations publiques.

carte
Cliquez sur l’image pour accéder à la carte.

Il en résulte un document qui permet la découverte progressive de toutes ces notions. Il est placé sous licence CC-BY-SA et peut donc être réutilisé.

Cette fois, Facebook « croque » vraiment Instagram

Un changement des Conditions Générales d’Utilisation (CGU) d’Instagram intervenu le 16 décembre va permettre à Facebook de bénéficier véritablement des contenus et les données personnelles des utilisateurs du site de retouche de photographies.

En avril dernier, lorsqu’avait été annoncée le rachat d’Instagram par Facebook pour un milliard, un mouvement de protestation s’était produit parmi les utilisateurs de la plateforme, de crainte que Facebook ne mette la main sur leurs photos.

Apple bite. Par owaief89. CC-BY-NC. Source : Flickr.
Apple bite. Par owaief89. CC-BY-NC. Source : Flickr.

J’avais écrit à ce moment un billet d’analyse pour montrer que les choses étaient plus complexes, dans la mesure où Instagram ne disposait lui-même pas d’un « droit de propriété » au sens strict du terme sur ces photos, mais d’une licence octroyée par ses utilisateurs par le biais de ses CGU.

Lire la suite

Rachat d’Instagram par Facebook : quelles conséquences juridiques ?

L’onde de choc de la nouvelle du rachat d’Instagram par Facebook pour un milliard de dollars s’est propagée sur Internet en suscitant un certain vent de panique parmi les utilisateurs du service de partage de photographies.

Instagram + Facebook = Instabook. Par johnnymip. CC-BY. Source : Flickr

A cause de la réputation sulfureuse de Facebook, nombreux sont ceux qui se posent des questions à propos de la propriété des contenus ou du sort de leurs données personnelles. Certains ont même décidé de fermer d’urgence leurs comptes sur Instagram et de récupérer leurs photographies pour migrer vers d’autres services similaires.

D’autres ont choisi au contraire de rester sur place pour mieux résister, en lançant un mouvement de protestation directement sur Instagram. Il prend la forme d’un black-out, des milliers d’utilisateurs postant des photos noires pour manifester leur mécontentement, accompagnées du hashtag #Instablack.

 

Un commentaire laissé sur le forum américain Digital Photography School exprime bien le type de raisonnements auquel doivent se livrer beaucoup d’internautes :

Will the uploaded pictures belong to Facebook now?

Well.. Yes.. If Facebook owns Instagram, and Instagram owns the photos, then Facebook owns them.

1/ Facebook possède Instagram. 2/ Instagram possède les photos. 3/ Donc Facebook possède les photos.

Ce syllogisme légal paraît implacable, mais il repose sur des prémisses inexactes du point de vue juridique et les conséquences du rachat vont certainement s’avérer à la fois plus complexes et moins brutales.

Il est bien sûr important de rester vigilant lorsque des opérations d’une telle ampleur ont lieu entre des géants de l’internet, mais les internautes ont parfois tendance à verser dans la paranoïa lorsque Facebook est en cause et il n’est pas certain que ce soit la meilleure manière de prendre des décisions pour protéger ses contenus et ses données.

Pour essayer d’y voir plus clair, voici huit questions/réponses  analysant les répercussions juridiques probables du rachat d’Instagram par Facebook.

Lire la suite