Mardi dernier, lors de l’annonce du plan de déconfinement à l’Assemblée nationale, le premier Ministre Édouard Philippe a reconnu qu’il « ne savait pas si l’application Stopcovid fonctionnera » et a préféré repousser en conséquence le débat parlementaire à un moment ultérieur en promettant qu’un vote spécifique aurait lieu sur la question. Cette décision fait suite à des semaines d’intense polémique à propos de cette application de traçage numérique. Le même jour, la Commission nationale consultative des droits de l’homme publiait d’ailleurs un avis estimant que « du point de vue des libertés fondamentales, ce système est dangereux » et hier c’est le Conseil de l’Europe qui déclarait à propos de des dispositifs de backtracking: « Compte tenu du manque de preuves au sujet de leur efficacité, les promesses valent-elles les risques sociaux et juridiques ?« …

J’ai déjà eu l’occasion dans un précédent billet de dire tout le mal que je pensais de StopCovid et je ne vais pas en rajouter à nouveau dans ce registre. Je voudrais par contre prendre un moment sur la délibération que la CNIL a rendue en fin de semaine dernière à propos du projet d’application, car elle contient à mon sens des éléments extrêmement intéressants, en particulier sur la place du consentement en matière de protection des données personnelles.

Consentir ou ne pas consentir, telle est la question…

On a pu lire que la CNIL avait validé le projet StopCovid dans sa délibération (n’est-ce pas Cédric O ?), mais les choses sont en réalité beaucoup plus subtiles que cela. Je vous renvoie pour le comprendre à l’excellente analyse que l’avocat Jean-Baptiste Soufron a publiée sur son blog. Il met notamment en avant un point important sur lequel je vais m’attarder : la CNIL s’est prononcée sur ce que l’on appelle la « base légale de traitement » sur laquelle l’application devrait s’appuyer pour exploiter les données collectées à partir des smartphones des utilisateurs. Ce concept est issu du RGPD (Règlement Général de Protection des Données) et il impose aux responsables de traitement de choisir parmi six bases légales différentes lorsqu’ils collectent et utilisent des données personnelles (voir tableau ci-dessous). Ce choix est très important, car selon la base retenue, le cadre juridique applicable varie substantiellement avec plus ou moins de garanties pour les personnes et plus ou moins de marges de manœuvre pour le responsable de traitement.

Le gouvernement n’avait eu de cesse de répéter pour légitimer son projet que le téléchargement de l’application resterait strictement volontaire et que StopCovid fonctionnerait sur la base du consentement des individus. Pourtant la CNIL écarte cette hypothèse et elle préfère se référer à une nécessité liée à une « mission d’intérêt public » comme base légale pour le fonctionnement de StopCovid :

En l’espèce, le gouvernement s’interroge sur la possibilité de fonder l’application StopCovid sur la base légale du consentement de ses utilisateurs ou, à défaut, sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.

[…] La Commission relève que la lutte contre l’épidémie de COVID-19 constitue une mission d’intérêt général dont la poursuite incombe en premier lieu aux autorités publiques. En conséquence, elle estime que la mission d’intérêt public […] constitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid.

Contrairement à ce que l’on a pu également lire, la CNIL n’a pas dit ici que l’application StopCovid présentait nécessairement un intérêt dans la lutte contre le coronavirus. Elle dit seulement que si le gouvernement décide de la mettre en circulation, alors il devra s’appuyer sur une mission d’intérêt public et il lui faudra démontrer que l’application est bien nécessaire pour l’accomplissement de cette mission. La CNIL le dit explicitement un peu loin en indiquant que : »Le RGPD requiert néanmoins que les finalités du traitement en cause soient nécessaires à la mission d’intérêt public en cause« . Cela revient donc, non pas à valider a priori le projet, mais au contraire à suspendre au-dessus de lui une redoutable épée de Damoclès, car la charge de la preuve pèse à présent sur le gouvernement. Il lui sera sans doute très difficile de prouver que le recours à cette application est réellement nécessaire, alors qu’il n’existe aucun consensus sur ce point, ni parmi la communauté scientifique, ni chez les juristes et encore moins dans la société civile. Autant dire que la CNIL a offert sur un plateau d’argent un argument à tous les opposants à StopCovid qui pourront l’invoquer, devant elle et/ou en justice, sitôt que l’application sera rendue disponible…

StopCovid ou l’impossible consentement ?

Ce choix de la CNIL de se tourner vers la mission d’intérêt public plutôt que vers le consentement individuel pourrait paraître à première vue surprenant.

En effet, même si dans le RGPD les six bases légales ne sont pas hiérarchisées entre elles, la Commission tend quand même à accorder au consentement une certaine priorité, au nom du respect du droit à « l’autodétermination informationnelle ». Ce concept postule que l’individu est le mieux placé pour décider ce que l’on peut faire ou non avec les données le concernant et que c’est à cette échelle « micro » que l’essentiel de la régulation devrait être réalisée. La CNIL est généralement attachée à ce principe et cela tend à lui faire privilégier le consentement comme base de traitement (voir ici par exemple, dans un document à propos des traitements à des fins de recherche : « le consentement des personnes constitue le premier fondement légal à envisager en application du principe général d’autodétermination informationnelle« ).

Néanmoins pour l’application StopCovid, les opposants avaient justement souligné les limites de cette approche en dénonçant une instrumentalisation possible du consentement des personnes, dans un contexte de crise où des pressions de toutes sortes vont nécessairement s’exercer pour pousser les gens à utiliser ce dispositif. Voyez par exemple ce qu’en dit la Commission Nationale Consultative des Droits de l’Homme dans une partie de son avis intitulé « Un consentement libre et éclairé sujet à caution » :

La CNCDH s’interroge sur l’authenticité d’un consentement libre dans le contexte actuel. Comme le soulignait la présidente de la CNIL devant les députés, « le refus de consentir ne doit pas exposer la personne à des conséquences négatives ». Le gouvernement ne paraît manifestement pas conditionner le déconfinement des personnes à l’utilisation de l’application. La CNCDH souligne que cela s’oppose également à ce qu’un employeur impose à son salarié de télécharger et d’utiliser l’application, ou que cette dernière conditionne l’accès à l’espace public. D’autres facteurs de contrainte sont néanmoins à craindre, tenant notamment aux risques de pression sociale, tant à titre individuel que familial ou professionnel, pouvant s’exercer dans un contexte de crise sanitaire particulièrement aigüe. L’impératif de santé publique, la lutte contre la propagation du Covid-19, la préservation du personnel soignant, sans doute invoqués à l’appui de la mise en place de l’application, constitueront autant de leitmotivs qui pèseront sur le choix des individus, appelés à agir en citoyens responsables. Par ailleurs, la CNCDH craint des risques de stigmatisation et de harcèlement à l’égard de tout individu qui refuserait d’adhérer à ces mesures de suivi.

Il y a dans ce passage des arguments qui relèvent de deux plans très différents. On nous dit en effet d’un côté que le consentement est valide uniquement si l’on n’attache aucune conséquence négative en cas de refus. C’est la condition fixée par le RGPD pour que le consentement soit considéré comme « libre » et dans ce cas, on est bien dans la dimension protectrice de la base légale du consentement. Cet aspect est important, car dans d’autres pays qui ont déjà déployé des applications de traçage, comme l’Italie, on commence déjà à voir des dérives, avec des pressions mises en place par le gouvernement pour pousser les personnes à utiliser l’appli :

Mais la CNCDH nous dit aussi quelque chose de très différent : même sans mesure de rétorsion plus ou moins appuyée exercée par le gouvernement, le consentement des personnes pourrait rester très ambigu, en raison des pressions sociales que les individus vont subir en cette période de crise sanitaire. Ce point est intéressant, car il tend à montrer que le consentement individuel est en réalité toujours plus ou moins une forme de fiction, l’humain étant un être social, soumis à diverses déterminations exercées par son environnement. Comme toutes les fictions juridiques, le consentement individuel peut être utile, mais on doit aussi lui fixer des limites pour éviter que la fiction perde pied face à la réalité. Or c’est exactement ce qui est en train de se passer dans un contexte de crise comme celui que nous traversons : on voit bien qu’un concept comme celui de « l’auto-détermination informationnelle » touche à ses limites et qu’il pourrait même finir par devenir dangereux si on continuait à le prendre pour argent comptant.

La CNIL ne l’abandonne pas complètement dans sa délibération, mais elle le fait de manière nuancée, en introduisant une distinction subtile, mais importante, entre le consentement et le volontariat. La Commission considère en effet comme essentiel que l’adoption de l’application reste basée uniquement sur le volontariat et elle met même en garde le gouvernement contre toute volonté de l’imposer :

Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Ainsi, l’accès aux tests et aux soins ne saurait en aucun cas être conditionné à l’installation de l’application. L’utilisation d’une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun. Les utilisateurs de l’application ne devraient pas davantage être contraints de sortir en possession de leurs équipements mobiles. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application. Ceci constituerait en outre, en l’état du droit et selon l’analyse de la Commission, une discrimination.

La CNIL aurait dit exactement la même chose si elle avait retenu la base légale du « consentement libre et éclairé » pour l’application StopCovid. Mais en l’espèce, comme on l’a vu, elle préfère lui donner comme fondement la nécessité liée à une mission d’intérêt public. Cela montre que, même dans un tel cadre, le respect du volontariat des personnes peut être exigé, tout en ne servant pas de base légale au traitement. Cela mérite que l’on s’y arrête et je vais tenter d’interpréter cet aspect du raisonnement de la CNIL en l’articulant avec la question de la subordination.

Subordination hiérarchique et subordination sociale

Le caractère particulier de la relation de subordination est en effet pris en compte dans le RGPD, qui considère que ce type de rapports déséquilibrées empêche normalement de se baser sur le consentement des personnes pour traiter des données personnelles (voir Considérant 43):

Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière.

Il en découle que le consentement ne doit pas être retenu dans les relations de travail, entre un employeur et des employés à cause du lien de subordination, tout comme il doit être écarté dans les relations entre administrations et administrés dès lors que les premières utilisent leurs prérogatives de puissance publique. On comprend que dans de telles circonstances, un consentement « libre » ne peut plus être exprimé par les individus et c’est donc « structurellement » que le consentement est écarté au profit d’une autre base légale.

Sans le dire explicitement, on peut considérer que la CNIL a raisonné d’une manière un peu similaire dans sa délibération sur l’application StopCovid : si l’usage de l’application reste volontaire, les individus ne sont certes pas dans une relation de subordination avec la puissance publique, mais quand bien même, les pressions qu’ils vont nécessairement subir de la part du corps social dans lequel ils sont immergés matérialisent une forme de « subordination sociale » qui rendrait très problématique le fait de retenir la base légale du consentement. La situation rend donc « structurellement » impossible de se placer dans le cadre du libre consentement, tout comme cela doit être exclu dans les rapports plus classiques de subordination au travail.

La question va d’ailleurs sans doute rapidement se poser dans les entreprises, car on commence déjà à voir des acteurs privés qui envisagent de développer leurs propres applications de traçage numérique pour faciliter la reprise d’activité. C’est le cas par exemple du Crédit Agricole qui a fait une annonce en ce sens cette semaine. Ici aussi, ces entreprises ne pourront sans doute pas se baser sur le consentement des personnes, même si le recours à ces outils reste volontaire, eu égard au cadre de subordination hiérarchique dans lequel ce dispositif est déployé. Les conséquences juridiques ne sont pas anodines, car les entreprises devront alors se replier vers une autre base légale figurant dans le RGPD – l’intérêt légitime de l’entreprise – qui est sans doute l’une des plus fragiles, car il ne peut être invoqué que dans la mesure où « les intérêts ou les libertés et droits fondamentaux de la personne ne prévalent [pas] compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable de traitement« . Cela ouvre donc tout un champ de contestation possible pour les salariés, mais aussi (et surtout) pour les syndicats qui pourraient trouver là une excellente manière d’affirmer leur rôle de gardiens des données personnelles des employés.

Le parallèle avec StopCovid est intéressant à souligner, car tout comme les entreprises devront prouver qu’elles ont un intérêt légitime à déployer des applications de traçage (avec le risque que leur soit opposé les libertés et intérêts de leurs salariés), l’État va devoir prouver que StopCovid constitue une nécessité pour exercer une mission d’intérêt public. Et dans les deux cas, c’est l’existence d’un contexte de subordination – directe et hiérarchique dans un cas ; indirecte et sociale dans l’autre – qui justifie que l’on se place sur ce terrain juridique plutôt que sur le consentement individuel et la fiction – devenue insoutenable – de la prétendue « liberté » de choisir.

En finir avec le « Consent Washing »

Une des choses que je retiendrai de cette crise du coronavirus est la manière dont cette question du « consentement » a pu être instrumentalisée jusqu’à l’outrance et complètement intégrée dans les rouages de la gouvernementalité oppressive que nous subissons. Cela permet par exemple au gouvernement d’annoncer, en restant droit dans ses bottes, qu’il envisage de mettre en place un système de bracelet électronique pour les malades du Covid-19 pendant la période de déconfinement, mais rassurez-vous, citoyens, on ne le fera bien entendu qu’avec le consentement des personnes !

Le gouvernement français ne ferme pas la porte à l'éventualité d'une mise en place de bracelets électroniques pour suivre les malades du #covid19 lors du déconfinement https://t.co/JjPmzjepm9

— RTL France (@RTLFrance) April 23, 2020

Allons plus loin : le retour à l’école des enfants, qui fait lui aussi tant polémique, se fera également – comme par hasard – sur la base du « volontariat ». Grossière farce que voilà ! Car il est bien clair que ce volontariat sera à géométrie extrêmement variable, selon que les foyers seront nantis ou modestes et que les parents pourront ou pas continuer à bénéficier du télé-travail et de conditions sociales favorables (appartement spacieux ou pas, recours à des gardes d’enfants à domicile, etc.). En surface, tout le monde pourra exercer un « consentement libre » et « s’autodéterminer » pour décider si les enfants doivent retourner à l’école. Mais dans la réalité crue, loin des abstractions juridiques, ce seront comme par hasard les plus pauvres qui devront prendre le risque de contaminer leurs enfants et de se contaminer eux-mêmes, et – histoire de joindre l’insulte à la blessure – on fera en sorte de leur faire porter la responsabilité d’avoir fait ce soit-disant « choix » par le biais duquel ils auront exprimé un « libre consentement » !

Le passage ci-dessus permet, je pense, de montrer assez clairement le fond ignoble de saloperie dans lequel baigne toujours plus ou moins un concept comme celui de « libre consentement » et « d’auto-détermination individuelle ». Ces fictions sont en réalité parfaitement compatibles avec l’idéologie néolibérale, dont le rêve ultime consiste précisément à enrober toutes les relations de domination derrière un voile bien commode de consentement. Dans son « Post-scriptum sur les sociétés de contrôle« , Gilles Deleuze avait déjà parfaitement anticipé que nous étions en réalité peu à peu sortis des sociétés disciplinaires, dont la gouvernementalité s’exerce à travers la contrainte, pour glisser vers des sociétés de contrôle aux dispositifs beaucoup plus fluides. Leur objectif est de contrôler les individus « de l’intérieur » par des systèmes de pilotage cybernétique, impliquant envois de signaux et rétroactions. Le numérique aura permis de donner complètement corps à cette vision qui n’est, ni plus ni moins, qu’une « gouvernementalité par le consentement ».

J’ai déjà eu l’occasion de dire que tout ceci avait de lourdes implications en matière de protection des données personnelles. D’autres que moi, comme Helen Nissenbaum, ont déjà dénoncé ce qu’elles appellent la « farce du consentement » à l’œuvre sur Internet et d’autres encore ont fait le lien avec la dénonciation de la « fabrique du consentement » déjà mise en avant par Noam Chomsky. Voyez par exemple cette interview récemment donnée par Christophe Masutti à l’occasion de la sortie de son livre sur le « Capitalisme de surveillance » dont ce passage m’a frappé :

[Le RGPD] prouve que nos institutions veulent agir, c’est une marque de bonne volonté. Mais le RGPD ne fait que formaliser le don du consentement […]. Notre société de surveillance émane aussi de notre propre culture, de notre acculturation à l’informatique et donc à la surveillance. Notre consentement, nous l’avons fabriqué.

Le drame est que le « consentement libre » du RGPD est doté d’une certaine efficacité contentieuse, qui pourrait faire croire qu’il s’agit encore d’un moyen sur lequel miser pour parvenir à réguler le système. Il a en effet déjà permis à la CNIL de sanctionner quelques abus, notamment en matière de géolocalisation à des fins publicitaires. Je peux donc comprendre que l’on s’y accroche à des fins tactiques, mais j’ai peur que l’on finisse par confondre le niveau de la tactique avec celui de la stratégie, sans voir que la bataille de libertés ne peut pas être gagnée sur le terrain du « libre consentement », car c’est une notion déjà complètement intégrée aux rouages de l’idéologie néolibérale.

Il faut donc en finir avec le « Consent Washing », à commencer en nous-mêmes, ce qui risque d’être extrêmement complexe… C’est pourtant nécessaire, car que se passera-t-il lorsque les efforts déployés à la fois par la propagande gouvernementale et par les puissances privées du capitalisme de données auront réussi à convaincre la population des bienfaits des technologies de surveillance (« la bien(sur)veillance« , comme dit Cynthia Fleury) ? Les individus finiront par « consentir librement » aux pires menaces à leurs libertés, sans même qu’il soit besoin d’agiter des sanctions, et le levier juridique que l’on aura cru pouvoir saisir pour se protéger aura achevé sa transformation en une arme redoutable retournée contre les personnes pour les faire participer à leur propre asservissement.

"On peut applaudir des lois incroyablement liberticides si elles prétendent sécuriser notre rapport à la mort."https://t.co/m2PMVck3rK

— Ｓｉℓvè𝐫ε ᵐ𝑒ʳ𝐂i𝒆r (@Silvae) April 29, 2020

J’ai néanmoins l’impression que cette crise du coronavirus et la surenchère sécuritaire dans laquelle elle nous entraîne sont en train de jouer comme un accélérateur de prise de conscience sur ce rapport trouble que nous entretenons avec la notion de consentement. J’ai noté par exemple cette phrase dans une tribune contre l’application StopCovid publiée par Jean-Baptiste Soufron dans Libé :

Le consentement n’est pas un sésame pour toutes les atteintes aux libertés, et ce encore moins quand il est contraint par la peur de l’épidémie, ou par la coercition directe ou indirecte à travers des sanctions plus ou moins informelles – pense-t-on par exemple à la possibilité que l’application soit imposée aux salariés par des employeurs ou à des étudiants par leurs établissements d’enseignement ?

Autant les coercitions directes ou indirectes sont illégales sur la base du RGPD, parce qu’elles violeraient la condition du « consentement libre » et/ou l’interdiction des discriminations, autant cette notion sera de peu d’intérêt pour nous protéger des effets de la simple peur de l’épidémie ou d’une propagande bien orchestrée du gouvernement qui viendrait habilement « fabriquer un libre consentement »…

Dès lors, je trouve intéressant le raisonnement de la CNIL dans sa délibération, qui a préféré écarter la base légale du consentement en commençant à reconnaître l’incidence des contextes de « subordination sociale ». Car nous pourrons dire : « Opprimez-nous, exploitez-nous, avilissez-nous, Messieurs les dominants, mais au moins, ne prétendez pas le faire avec notre consentement« .

Depuis le 1er janvier, le CCPA (California Consumer Privacy Act) est entré en vigueur aux États-Unis. Ce texte adopté en 2018 par l’État de Californie en réaction au scandale Cambridge Analytica a fait l’objet d’une large couverture par la presse américaine, qui en souligne l’importance en le comparant à notre RGPD (Règlement Général sur la Protection des Données) dont il serait inspiré. Il est vrai que les deux textes présentent certaines similarités (voir ici par exemple pour une comparaison détaillée sous forme de tableau). Mais ils comportent aussi des différences notables, parce qu’ils ne relèvent pas de la même philosophie et n’ont pas la même façon de concevoir la nature des données personnelles.

En effet, là où le RGPD protège les données personnelles comme un aspect de la personnalité des citoyens européens, le CCPA s’intègre au droit commercial et vise à encadrer la relation entre consommateurs et entreprises. Or ce rattachement à la logique mercantile va assez loin puisque, même si le texte va indéniablement apporter un surcroît de protection de la vie privée en Californie, il acte aussi que les données personnelles constituent par défaut des biens marchandisables, ce qui ne correspond pas à l’approche européenne en la matière.

Avant l’adoption du RGPD, le Parlement européen avait d’ailleurs adopté en 2017 une résolution dans laquelle il affirmait que :

les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises.

Comme nous allons le voir, le CCPA traite cette question de la marchandisation des données personnelles d’une manière très paradoxale. En apparence, il donne aux individus des moyens de se protéger contre de telles transactions, mais dans les faits, il instaure cette protection comme une simple dérogation à un principe général de « commercialité des données ».

Plusieurs articles de presse insistent sur le fait que les grandes entreprises du numérique (Google, Facebook, Amazon, etc.), dont le siège est d’ailleurs souvent implanté en Californie, se sont opposées à l’adoption de ce texte en le dénonçant comme trop contraignant. Mais il me semble qu’en transformant les données personnelles en « marchandises fictives », le CCPA va fragiliser la position des individus face aux entreprises et, sans le dire explicitement, il pose les bases d’une consécration juridique de la « patrimonialisation » des données personnelles.

Des ressemblances superficielles avec le RGPD

Le CCPA confère aux consommateurs californiens une série de droits nouveaux :

• Droit de connaître leurs données personnelles collectées par des entreprises ;
• Droit de savoir si leurs données personnelles sont vendues ou transmises à des tiers ;
• Droit de s’opposer à la vente de leurs données personnelles ;
• Droit d’accès aux données personnelles collectées ;
• Droit de demander la suppression des données personnelles collectées ;
• Droit à ne pas être discriminé lorsqu’il est fait exercice de ces droits.

Ces prérogatives (droit à l’information, droit d’accès, droit d’opposition droit à l’effacement, etc.) ressemblent à ce que l’on appelle les « droits des personnes » qui figurent dans le RGPD (voir ci-dessous).

Néanmoins, il existe aussi des différences importantes dans le périmètre d’application de ces droits. Par exemple, comme le CCPA est un texte de droit de la consommation, il s’applique uniquement vis-à-vis des entreprises, mais pas dans les relations avec les administrations publiques, alors que le RGPD embrasse l’ensemble des rapports entre les individus et les responsables de traitement de données personnelles.

Mais la divergence la plus significative entre le RGPD et le CCPA réside à mon sens dans la place qu’ils accordent respectivement au consentement des individus.

Un rôle résiduel dévolu au consentement

Depuis le 1er janvier 2020, beaucoup de sites commerciaux américains ont ajouté sur leur page d’accueil un bouton « Do Not Sell My Data » (Ne vendez pas mes données) pour permettre aux internautes californiens de faire jouer le droit d’opposition que le texte leur reconnaît. Ils doivent pour cela activement faire savoir à l’entreprise qu’ils ne souhaitent pas que leurs données soient revendues en remplissant un formulaire. C’est à la fois la conséquence la plus visible de l’entrée en vigueur du texte et celle que je trouve la plus ambigüe.

Cela constitue à première vue un mécanisme de protection intéressant contre la marchandisation de données, mais il faut bien voir qu’il s’agit uniquement d’un « opt-out » (une option de retrait) et que, par défaut, si l’internaute ne fait rien, ses données pourront d’office être revendues. Et c’est là où je trouve que le CCPA est problématique, car sous couvert de protéger la vie privée, il acte surtout que les données personnelles constituent structurellement des marchandises, à moins que l’individu ne se manifeste, entreprise par entreprise, pour s’y opposer.

Imaginons un instant une loi qui prétendrait « protéger les malades » en instaurant cette règle : si vous ne voulez pas que les hôpitaux prélèvent votre sang quand vous allez vous faire soigner et le commercialisent ensuite, il vous suffit de leur indiquer en remplissant un formulaire « Ne vendez pas mon sang ». Par défaut, si vous ne le faites pas, vous serez saigné d’office et votre sang sera vendu. Tout le monde hurlerait au scandale et dénoncerait cette soit-disante « protection », mais c’est pourtant exactement ce que fait le CCPA avec les données…

Par ailleurs, dans cet article, on apprend qu’une société ayant mis en place le bouton « Do Not Sell My Data » au mois de décembre pour procéder à un test anticipé a constaté que 4% seulement des internautes avaient fait jouer leur droit d’opposition, ce qui signifie donc a contrario que 96% d’entre eux a tacitement accepté la marchandisation de leurs données, peut-être même sans s’en rendre compte…

La logique est inverse dans le RGPD, car les traitements de données personnelles doivent s’appuyer sur une des six bases légales prévues par le texte pour être licites. Dans un grand nombre d’hypothèses, les entreprises ont l’obligation de recueillir le « consentement libre et éclairé » des personnes pour collecter, traiter et transmettre des données à des tiers. Or dans le RGPD, ce consentement doit être explicite et prendre la forme d’un « opt-in », c’est-à-dire qu’à défaut d’une manifestation de volonté prenant la forme d’un acte positif, les individus sont réputés ne pas acquiescer aux traitements. C’est l’inverse dans le CCPA où l’opt-out est la règle et l’opt-in uniquement l’exception, le texte prévoyant notamment un consentement explicite pour le partage des données des enfants de moins de 15 ans.

L’ambiguïté de la notion de « vente de données »

Une autre question qui se pose avec le CCPA est de savoir à quoi renvoie exactement la notion de « vente de données ». Lorsqu’on parle de revente de données personnelles, on pense rapidement aux Data Brokers, ces véritables « courtiers de données personnelles », qui se sont faits une spécialité de rassembler de vastes ensembles d’informations – souvent dans des conditions assez douteuses – pour les revendre. Mais ce modèle est assez spécifique et il ne correspond pas exactement à ce que font des entreprises spécialisées dans la publicité ciblée, comme Facebook ou Google. Ces derniers ne « vendent » pas directement les données, au sens où ils les transfèreraient à des tiers, mais ils permettent à des annonceurs d’envoyer des publicités à des catégories déterminées d’usagers, à partir de profils constitués par la plateforme. Dans ces cas-là, peut-on parler de « vente » au sens propre du terme ?

Face à ces questions, le CCPA a choisi de retenir une définition large de l’acte de vente :

 “Sell,” “selling,” “sale,” or “sold,” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a consumer’s personal information by the business to another business or a third party for monetary or other valuable consideration.

« Vendre », « vente », « vendu » signifie vendre, louer, communiquer, divulguer, diffuser, transférer ou toute autre forme de communication orale, écrite, électronique ou autre des informations d’un consommateur par l’entreprise à une autre entreprise ou à un tiers en échange d’une contrepartie monétaire ou d’une autre forme d’avantage.

On voit donc que la définition est plus large que ce que le terme « vente » sous-entend couramment et elle englobe plutôt toutes les formes d’exploitation commerciale de données impliquant deux entités économiques. Mais cela n’empêche pas Facebook par exemple d’annoncer qu’il ne mettra pas en place le bouton « Do Not Sell My Data », car pour eux, leur modèle ne repose pas techniquement sur une vente de données. On peut s’attendre sur ce point à des recours en justice qui donneront lieu à des interprétations du texte par les juges.

Mais sur le fond, je trouve que c’est une erreur pour le CCPA d’accorder autant de place à la notion de « vente des données ». Car le recours à un tel terme a aussi une portée symbolique et si la loi se met à parler de « vente de données personnelles », alors elle sous-entend aussi que celles-ci sont des biens susceptibles de faire l’objet d’une propriété (même si les termes « propriety » ou « ownership » n’apparaissent pas explicitement dans le texte). Le terme de « vente » attire nécessairement le texte vers le terrain de la patrimonialité des données et c’est à mon sens une pente dangereuse.

Une porte ouverte à l’auto-marchandisation des données personnelles

En parlant de « vente de données personnelles », le CCPA admet donc que des entreprises puissent s’échanger des données comme des marchandises. Mais d’autres passages du texte vont même plus loin, en autorisant des transactions entre les plateformes et les individus eux-mêmes au sujet de leurs données. On glisse alors vers ce que certains appellent la « patrimonialisation des données personnelles« , c’est-à-dire le fait de reconnaître aux individus un droit de propriété sur leurs données personnelles pour leur permettre de les vendre aux sites Internet en échange d’une rémunération. C’est notamment une thèse défendue en France par certains cercles ultralibéraux, qui en ont fait un de leurs sujets de prédilection.

#Facebook, #Google et les géants du numérique doivent payer les citoyens européens quand ils exploitent leurs données ! #patrimonialité #LEuropeJELAGARDE pic.twitter.com/WiBv51cMi3

— Jean-Christophe Lagarde (@jclagarde) March 20, 2019

Pour protéger les consommateurs, le CCPA indiquent que les entreprises n’ont pas le droit de « discriminer » les clients qui font valoir vis-à-vis d’elles les droits que le texte leur reconnaît, notamment le droit d’opposition à la vente des données. Il est précisé que l’entreprise ne peut pas dans ce cas appliquer un prix différent pour les individus qui feraient jouer l’opt-out ou leur fournir une qualité de service dégradée. Ce sont des dispositions importantes, car on sait que Facebook, par exemple, a déjà envisagé de mettre en place une version payante de son service pour les utilisateurs ne souhaitant pas recevoir de publicités ciblées. Cela rejoint aussi pour le coup le RGPD, puisque les entreprises ne peuvent prétendre en Europe recueillir le consentement « libre » des personnes si elles les exposent à des conséquences négatives en cas de refus.

Mais si le CCPA interdit aussi les conséquences négatives, il admet les conséquences « positives », en prévoyant que les entreprises pourront prévoir des « incitations financières » pour encourager les individus à les autoriser à leur céder leurs données personnelles :

A business may offer financial incentives, including payments to consumers as compensation, for the collection of personal information, the sale of personal information, or the deletion of personal information.

Une entreprise peut offrir des incitations financières, y compris des paiements, aux consommateurs à titre d’indemnisation, pour la collecte d’informations personnelles, la vente de données personnelles ou la suppression de données personnelles.

De telles pratiques ont déjà cours aux États-Unis, puisque Facebook a déjà proposé de payer des utilisateurs 20 dollars par mois à condition d’installer un VPN (Facebook Research) qui constituait en réalité un mouchard et Google avait fait de même avec une application appelée Screenwise Meter. Le CCPA va donner une base légale à telles pratiques et les légitimer, en incitant d’autres entreprises à proposer des transactions à des utilisateurs pour récupérer leurs données contre paiement.

Là encore, la philosophie du RGPD est très différente, car comme j’avais eu l’occasion de le montrer dans un billet publié en 2018, il est difficile d’organiser sur la base du RGPD une vente par les individus de leurs données contre rémunération. Cela tient notamment au fait que les individus ne perdent jamais le droit à contrôler les finalités pour lesquelles les données ont été collectées et qu’ils peuvent toujours retirer leur consentement une fois qu’ils l’ont donné. Dans ce contexte, une « vente » restera toujours forcément très fragile et il est sans doute plus juste de dire que le RGPD ne permet pas de faire comme si les données personnelles étaient des biens pouvant être marchandisés.

En route vers les données comme « marchandises fictives »

Vous l’aurez compris, je reste assez dubitatif vis-à-vis de ce California Consumer Privacy Act. Il est sans doute intéressant de voir un État aussi important que la Californie adopter un texte pour mieux protéger les données personnelles et cela peut contribuer à ce qu’une législation soit un jour votée au niveau fédéral. Mais la Californie n’est précisément pas n’importe quel État : c’est là qu’on trouve le siège de la plupart des grandes entreprises géantes du numérique et où s’est forgé l’esprit de « l’utopie numérique » dont a si bien parlé Fred Turner. L’ambiance intellectuelle de la Silicon Valley est imprégnée de « cyber-libertarianisme« , une idéologie formant un terreau tout à fait compatible avec la patrimonialité des données personnelles. Ce n’est d’ailleurs sans doute pas un hasard si Jaron Lanier – un des principaux défenseurs de cette thèse – est une figure éminente de ce paysage californien.

On me répondra peut-être que la différence entre le CCPA et le RGPD est en pratique assez ténue. En Californie, il faudra désormais que les internautes cliquent sur le bouton « Do Not Sell My Data » pour s’opposer à la commercialisation de leurs données. Chez nous – où règne en principe l’opt-in et pas l’opt-out -,nous passons désormais notre temps à cliquer sur les bandeaux « J’accepte » que les sites internet utilisant des cookies publicitaires ont mis en place pour gérer cette question du consentement préalable (la plupart ayant d’ailleurs recours aux services de l’entreprise américaine QuantCast dont le siège est à… San Francisco !). Est-on bien certain que plus de 4% des citoyens européens n’acceptent pas activement les cookies publicitaires ? Il serait intéressant (mais sans doute aussi déprimant…) d’avoir des chiffres à ce sujet.

L’opt-out est même d’ailleurs parfois carrément bafoué par certains sites Internet, qui ne laissent pas le choix aux internautes que d’accepter les cookies publicitaires (voir un exemple ci-dessous), avec la complaisance de la CNIL qui a décidé de reporter d’un an les règles prévues par le RGPD en matière d’acceptation des cookies…

Vous êtes sérieux @LeHuffPost ? #RGPD pic.twitter.com/5rqV67lPst

— Guillaume Champeau (@gchampeau) January 6, 2020

Mais pour moi, la différence essentielle est ailleurs. Que les données personnelles – en Europe comme aux États-Unis – fassent l’objet d’une exploitation économique débridée, dans des conditions souvent choquantes, c’est une réalité indéniable. Mais le RGPD constitue encore une sorte de « digue symbolique », qui continue à reconnaître la protection des données comme un droit fondamental de la personne. Le CCPA, au contraire, fait sauter cette digue, en admettant pleinement le paradigme des données comme marchandises. En cela, il institue les données personnelles comme « marchandises fictives » et c’est tout sauf anodin.

Cette expression de « marchandises fictives » nous vient de l’historien Karl Polanyi qui, dans son ouvrage « La Grande Transformation » explique comment l’avènement du capitalisme industriel a eu lieu au début du 19ème siècle lorsque trois facteurs de production ont été instaurés par le droit comme des « marchandises fictives » : la Terre, le Travail et la Monnaie. Cette étape fut décisive pour constituer l’économie de marché en une sphère autonome, à même de se « désencastrer » des normes sociales qui la contenaient. Depuis, le capitalisme industriel s’est transformé en capitalisme cognitif et ce dernier a dégénéré en un capitalisme de surveillance, dont les grandes entreprises numériques sont les instruments avec la complicité des États. Assez logiquement, la nouvelle frontière que ce système cherche à atteindre consiste en la transformation des données personnelles en « marchandises fictives », ce qui ne peut s’opérer que si le droit organise cette fiction.

De ce point de vue, alors que le RGPD – malgré ses lourdes imperfections – constitue au moins encore une forme de résistance au développement du capitalisme de surveillance, ce n’est pas le cas du CCPA, qui s’apparente plutôt à une simple mesure d’accompagnement et à une résignation face à sa logique.

2018 a été marquée par l’entrée en vigueur du RGPD qui marque un tournant dans la bataille de la protection des données personnelles. Bien qu’imparfait, ce règlement a le mérite de recentrer le débat et de remettre la question des données personnelles et de l’intimité au coeur du débat. Certes un grand travail doit encore être mené pour arriver à une prise de conscience collective qui passe le cap de l’indignation pour franchir celui de l’action. Pour les professionnels des bibliothèques, cette heure a peut-être sonnée et plusieurs éléments invitent à le croire.

Le mois de janvier 2019 a été l’occasion d’inaugurer la deuxième édition du Festival des libertés numériques porté par les bibliothécaires de Rennes. Pendant 15 jours, des événements consacrés à la question de la surveillance, de la collecte des données personnelles et des atteintes portées aux libertés numériques sont organisés. Conférences, ateliers, projections, discussion, autant d’occasions pour les bibliothécaires de se positionner sur ce terrain et de démontrer le rôle qu’ils ont à jouer dans la défense des libertés numériques. Chaque atteinte à la liberté d’expression ou d’information est une remise en question de notre mission et de nos raisons d’exister dans une société démocratique.

Ce sentiment que 2019 sera consacrée à la question de la vie privée dans l’agenda des bibliothécaires est renforcé par le projet de séminaire de l’Inspection Générale des Bibliothèques. Le second séminaire organisé par la prestigieuse instance portera sur les bibliothèques et la surveillance. Elle fait suite à la polémique qui a éclaté l’an dernier suite à la parution d’une tribune dans la revue Bibliothèque(s) de l’ABF. (Sans compter que l’ABF dispose désormais d’un nouveau bureau. Gageons que ce dernier soit plus sensible à la question de la vie privée et de la défense des libertés numériques.)

Ravi de voir que l'IGB décide d'organiser des séminaire, reste à savoir si c'est ouvert à tous. "Le prochain séminaire de l'IGB se déroulera en mai 2019 sur le thème "bibliothèques et surveillance" #privacy #IntimitéNumérique https://t.co/nHeCczEk6a

— Fourmeux Thomas (@fourmeux) November 19, 2018

Enfin, le dernier élément qui m’invite à penser (à rêver) que 2019 sera une année charnière est le cycle de formation porté par la bibliothèque départementale de Gironde sur les bibliothèques et les données personnelles. J’ai eu l’occasion d’y intervenir et merci à Lisa Ferrer et l’équipe de la BD de Gironde pour l’invitation et l’organisation de cette journée. La matinée a été animée par le délégué à la protection des données personnelles du département Gilles Briard qui a recontextualisé le RGPD et les conséquences pour les bibliothèques. En évitant tout discours alarmiste ou anxiogène, il a rappelé que l’objectif prioritaire pour les bibliothécaires était de parvenir à atteindre 90% de mise en conformité exigé par le RGPD. Si vous souhaitez avoir un aperçu de cette journée, je vous invite à parcourir ce framastory réalisé pour l’occasion ou bien ce fil twitter avec le hashtag #databib33.

Les bibliothécaires de Gironde accompagné de Gilles Briard ont réalisé un vademecum de mise en conformité que je vous invite à lire. Il constitue un guide clair et compréhensible pour vous accompagner dans la voie de la mise en conformité RGPD. Il complète la synthèse que j’avais publiée sur ce blog il y a quelques temps. En 5 pages, ce document sera en mesure de répondre à vos questions concernant les mentions légales, les délais de conservation des données ou encore une newsletter « compliant« . Cela peut constituer une aide précieuse si votre collectivité ne s’est pas encore dotée d’un DPO.

Bonus

Le support de mon intervention

L’article 2019, intimité numérique et données personnelles : le combat des bibliothécaires ? est apparu en premier sur Biblio Numericus.