Mardi dernier, lors de l’annonce du plan de déconfinement à l’Assemblée nationale, le premier Ministre Édouard Philippe a reconnu qu’il « ne savait pas si l’application Stopcovid fonctionnera » et a préféré repousser en conséquence le débat parlementaire à un moment ultérieur en promettant qu’un vote spécifique aurait lieu sur la question. Cette décision fait suite à des semaines d’intense polémique à propos de cette application de traçage numérique. Le même jour, la Commission nationale consultative des droits de l’homme publiait d’ailleurs un avis estimant que « du point de vue des libertés fondamentales, ce système est dangereux » et hier c’est le Conseil de l’Europe qui déclarait à propos de des dispositifs de backtracking: « Compte tenu du manque de preuves au sujet de leur efficacité, les promesses valent-elles les risques sociaux et juridiques ?« …

J’ai déjà eu l’occasion dans un précédent billet de dire tout le mal que je pensais de StopCovid et je ne vais pas en rajouter à nouveau dans ce registre. Je voudrais par contre prendre un moment sur la délibération que la CNIL a rendue en fin de semaine dernière à propos du projet d’application, car elle contient à mon sens des éléments extrêmement intéressants, en particulier sur la place du consentement en matière de protection des données personnelles.

Consentir ou ne pas consentir, telle est la question…

On a pu lire que la CNIL avait validé le projet StopCovid dans sa délibération (n’est-ce pas Cédric O ?), mais les choses sont en réalité beaucoup plus subtiles que cela. Je vous renvoie pour le comprendre à l’excellente analyse que l’avocat Jean-Baptiste Soufron a publiée sur son blog. Il met notamment en avant un point important sur lequel je vais m’attarder : la CNIL s’est prononcée sur ce que l’on appelle la « base légale de traitement » sur laquelle l’application devrait s’appuyer pour exploiter les données collectées à partir des smartphones des utilisateurs. Ce concept est issu du RGPD (Règlement Général de Protection des Données) et il impose aux responsables de traitement de choisir parmi six bases légales différentes lorsqu’ils collectent et utilisent des données personnelles (voir tableau ci-dessous). Ce choix est très important, car selon la base retenue, le cadre juridique applicable varie substantiellement avec plus ou moins de garanties pour les personnes et plus ou moins de marges de manœuvre pour le responsable de traitement.

Le gouvernement n’avait eu de cesse de répéter pour légitimer son projet que le téléchargement de l’application resterait strictement volontaire et que StopCovid fonctionnerait sur la base du consentement des individus. Pourtant la CNIL écarte cette hypothèse et elle préfère se référer à une nécessité liée à une « mission d’intérêt public » comme base légale pour le fonctionnement de StopCovid :

En l’espèce, le gouvernement s’interroge sur la possibilité de fonder l’application StopCovid sur la base légale du consentement de ses utilisateurs ou, à défaut, sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.

[…] La Commission relève que la lutte contre l’épidémie de COVID-19 constitue une mission d’intérêt général dont la poursuite incombe en premier lieu aux autorités publiques. En conséquence, elle estime que la mission d’intérêt public […] constitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid.

Contrairement à ce que l’on a pu également lire, la CNIL n’a pas dit ici que l’application StopCovid présentait nécessairement un intérêt dans la lutte contre le coronavirus. Elle dit seulement que si le gouvernement décide de la mettre en circulation, alors il devra s’appuyer sur une mission d’intérêt public et il lui faudra démontrer que l’application est bien nécessaire pour l’accomplissement de cette mission. La CNIL le dit explicitement un peu loin en indiquant que : »Le RGPD requiert néanmoins que les finalités du traitement en cause soient nécessaires à la mission d’intérêt public en cause« . Cela revient donc, non pas à valider a priori le projet, mais au contraire à suspendre au-dessus de lui une redoutable épée de Damoclès, car la charge de la preuve pèse à présent sur le gouvernement. Il lui sera sans doute très difficile de prouver que le recours à cette application est réellement nécessaire, alors qu’il n’existe aucun consensus sur ce point, ni parmi la communauté scientifique, ni chez les juristes et encore moins dans la société civile. Autant dire que la CNIL a offert sur un plateau d’argent un argument à tous les opposants à StopCovid qui pourront l’invoquer, devant elle et/ou en justice, sitôt que l’application sera rendue disponible…

StopCovid ou l’impossible consentement ?

Ce choix de la CNIL de se tourner vers la mission d’intérêt public plutôt que vers le consentement individuel pourrait paraître à première vue surprenant.

En effet, même si dans le RGPD les six bases légales ne sont pas hiérarchisées entre elles, la Commission tend quand même à accorder au consentement une certaine priorité, au nom du respect du droit à « l’autodétermination informationnelle ». Ce concept postule que l’individu est le mieux placé pour décider ce que l’on peut faire ou non avec les données le concernant et que c’est à cette échelle « micro » que l’essentiel de la régulation devrait être réalisée. La CNIL est généralement attachée à ce principe et cela tend à lui faire privilégier le consentement comme base de traitement (voir ici par exemple, dans un document à propos des traitements à des fins de recherche : « le consentement des personnes constitue le premier fondement légal à envisager en application du principe général d’autodétermination informationnelle« ).

Néanmoins pour l’application StopCovid, les opposants avaient justement souligné les limites de cette approche en dénonçant une instrumentalisation possible du consentement des personnes, dans un contexte de crise où des pressions de toutes sortes vont nécessairement s’exercer pour pousser les gens à utiliser ce dispositif. Voyez par exemple ce qu’en dit la Commission Nationale Consultative des Droits de l’Homme dans une partie de son avis intitulé « Un consentement libre et éclairé sujet à caution » :

La CNCDH s’interroge sur l’authenticité d’un consentement libre dans le contexte actuel. Comme le soulignait la présidente de la CNIL devant les députés, « le refus de consentir ne doit pas exposer la personne à des conséquences négatives ». Le gouvernement ne paraît manifestement pas conditionner le déconfinement des personnes à l’utilisation de l’application. La CNCDH souligne que cela s’oppose également à ce qu’un employeur impose à son salarié de télécharger et d’utiliser l’application, ou que cette dernière conditionne l’accès à l’espace public. D’autres facteurs de contrainte sont néanmoins à craindre, tenant notamment aux risques de pression sociale, tant à titre individuel que familial ou professionnel, pouvant s’exercer dans un contexte de crise sanitaire particulièrement aigüe. L’impératif de santé publique, la lutte contre la propagation du Covid-19, la préservation du personnel soignant, sans doute invoqués à l’appui de la mise en place de l’application, constitueront autant de leitmotivs qui pèseront sur le choix des individus, appelés à agir en citoyens responsables. Par ailleurs, la CNCDH craint des risques de stigmatisation et de harcèlement à l’égard de tout individu qui refuserait d’adhérer à ces mesures de suivi.

Il y a dans ce passage des arguments qui relèvent de deux plans très différents. On nous dit en effet d’un côté que le consentement est valide uniquement si l’on n’attache aucune conséquence négative en cas de refus. C’est la condition fixée par le RGPD pour que le consentement soit considéré comme « libre » et dans ce cas, on est bien dans la dimension protectrice de la base légale du consentement. Cet aspect est important, car dans d’autres pays qui ont déjà déployé des applications de traçage, comme l’Italie, on commence déjà à voir des dérives, avec des pressions mises en place par le gouvernement pour pousser les personnes à utiliser l’appli :

Mais la CNCDH nous dit aussi quelque chose de très différent : même sans mesure de rétorsion plus ou moins appuyée exercée par le gouvernement, le consentement des personnes pourrait rester très ambigu, en raison des pressions sociales que les individus vont subir en cette période de crise sanitaire. Ce point est intéressant, car il tend à montrer que le consentement individuel est en réalité toujours plus ou moins une forme de fiction, l’humain étant un être social, soumis à diverses déterminations exercées par son environnement. Comme toutes les fictions juridiques, le consentement individuel peut être utile, mais on doit aussi lui fixer des limites pour éviter que la fiction perde pied face à la réalité. Or c’est exactement ce qui est en train de se passer dans un contexte de crise comme celui que nous traversons : on voit bien qu’un concept comme celui de « l’auto-détermination informationnelle » touche à ses limites et qu’il pourrait même finir par devenir dangereux si on continuait à le prendre pour argent comptant.

La CNIL ne l’abandonne pas complètement dans sa délibération, mais elle le fait de manière nuancée, en introduisant une distinction subtile, mais importante, entre le consentement et le volontariat. La Commission considère en effet comme essentiel que l’adoption de l’application reste basée uniquement sur le volontariat et elle met même en garde le gouvernement contre toute volonté de l’imposer :

Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Ainsi, l’accès aux tests et aux soins ne saurait en aucun cas être conditionné à l’installation de l’application. L’utilisation d’une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun. Les utilisateurs de l’application ne devraient pas davantage être contraints de sortir en possession de leurs équipements mobiles. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application. Ceci constituerait en outre, en l’état du droit et selon l’analyse de la Commission, une discrimination.

La CNIL aurait dit exactement la même chose si elle avait retenu la base légale du « consentement libre et éclairé » pour l’application StopCovid. Mais en l’espèce, comme on l’a vu, elle préfère lui donner comme fondement la nécessité liée à une mission d’intérêt public. Cela montre que, même dans un tel cadre, le respect du volontariat des personnes peut être exigé, tout en ne servant pas de base légale au traitement. Cela mérite que l’on s’y arrête et je vais tenter d’interpréter cet aspect du raisonnement de la CNIL en l’articulant avec la question de la subordination.

Subordination hiérarchique et subordination sociale

Le caractère particulier de la relation de subordination est en effet pris en compte dans le RGPD, qui considère que ce type de rapports déséquilibrées empêche normalement de se baser sur le consentement des personnes pour traiter des données personnelles (voir Considérant 43):

Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière.

Il en découle que le consentement ne doit pas être retenu dans les relations de travail, entre un employeur et des employés à cause du lien de subordination, tout comme il doit être écarté dans les relations entre administrations et administrés dès lors que les premières utilisent leurs prérogatives de puissance publique. On comprend que dans de telles circonstances, un consentement « libre » ne peut plus être exprimé par les individus et c’est donc « structurellement » que le consentement est écarté au profit d’une autre base légale.

Sans le dire explicitement, on peut considérer que la CNIL a raisonné d’une manière un peu similaire dans sa délibération sur l’application StopCovid : si l’usage de l’application reste volontaire, les individus ne sont certes pas dans une relation de subordination avec la puissance publique, mais quand bien même, les pressions qu’ils vont nécessairement subir de la part du corps social dans lequel ils sont immergés matérialisent une forme de « subordination sociale » qui rendrait très problématique le fait de retenir la base légale du consentement. La situation rend donc « structurellement » impossible de se placer dans le cadre du libre consentement, tout comme cela doit être exclu dans les rapports plus classiques de subordination au travail.

La question va d’ailleurs sans doute rapidement se poser dans les entreprises, car on commence déjà à voir des acteurs privés qui envisagent de développer leurs propres applications de traçage numérique pour faciliter la reprise d’activité. C’est le cas par exemple du Crédit Agricole qui a fait une annonce en ce sens cette semaine. Ici aussi, ces entreprises ne pourront sans doute pas se baser sur le consentement des personnes, même si le recours à ces outils reste volontaire, eu égard au cadre de subordination hiérarchique dans lequel ce dispositif est déployé. Les conséquences juridiques ne sont pas anodines, car les entreprises devront alors se replier vers une autre base légale figurant dans le RGPD – l’intérêt légitime de l’entreprise – qui est sans doute l’une des plus fragiles, car il ne peut être invoqué que dans la mesure où « les intérêts ou les libertés et droits fondamentaux de la personne ne prévalent [pas] compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable de traitement« . Cela ouvre donc tout un champ de contestation possible pour les salariés, mais aussi (et surtout) pour les syndicats qui pourraient trouver là une excellente manière d’affirmer leur rôle de gardiens des données personnelles des employés.

Le parallèle avec StopCovid est intéressant à souligner, car tout comme les entreprises devront prouver qu’elles ont un intérêt légitime à déployer des applications de traçage (avec le risque que leur soit opposé les libertés et intérêts de leurs salariés), l’État va devoir prouver que StopCovid constitue une nécessité pour exercer une mission d’intérêt public. Et dans les deux cas, c’est l’existence d’un contexte de subordination – directe et hiérarchique dans un cas ; indirecte et sociale dans l’autre – qui justifie que l’on se place sur ce terrain juridique plutôt que sur le consentement individuel et la fiction – devenue insoutenable – de la prétendue « liberté » de choisir.

En finir avec le « Consent Washing »

Une des choses que je retiendrai de cette crise du coronavirus est la manière dont cette question du « consentement » a pu être instrumentalisée jusqu’à l’outrance et complètement intégrée dans les rouages de la gouvernementalité oppressive que nous subissons. Cela permet par exemple au gouvernement d’annoncer, en restant droit dans ses bottes, qu’il envisage de mettre en place un système de bracelet électronique pour les malades du Covid-19 pendant la période de déconfinement, mais rassurez-vous, citoyens, on ne le fera bien entendu qu’avec le consentement des personnes !

Le gouvernement français ne ferme pas la porte à l'éventualité d'une mise en place de bracelets électroniques pour suivre les malades du #covid19 lors du déconfinement https://t.co/JjPmzjepm9

— RTL France (@RTLFrance) April 23, 2020

Allons plus loin : le retour à l’école des enfants, qui fait lui aussi tant polémique, se fera également – comme par hasard – sur la base du « volontariat ». Grossière farce que voilà ! Car il est bien clair que ce volontariat sera à géométrie extrêmement variable, selon que les foyers seront nantis ou modestes et que les parents pourront ou pas continuer à bénéficier du télé-travail et de conditions sociales favorables (appartement spacieux ou pas, recours à des gardes d’enfants à domicile, etc.). En surface, tout le monde pourra exercer un « consentement libre » et « s’autodéterminer » pour décider si les enfants doivent retourner à l’école. Mais dans la réalité crue, loin des abstractions juridiques, ce seront comme par hasard les plus pauvres qui devront prendre le risque de contaminer leurs enfants et de se contaminer eux-mêmes, et – histoire de joindre l’insulte à la blessure – on fera en sorte de leur faire porter la responsabilité d’avoir fait ce soit-disant « choix » par le biais duquel ils auront exprimé un « libre consentement » !

Le passage ci-dessus permet, je pense, de montrer assez clairement le fond ignoble de saloperie dans lequel baigne toujours plus ou moins un concept comme celui de « libre consentement » et « d’auto-détermination individuelle ». Ces fictions sont en réalité parfaitement compatibles avec l’idéologie néolibérale, dont le rêve ultime consiste précisément à enrober toutes les relations de domination derrière un voile bien commode de consentement. Dans son « Post-scriptum sur les sociétés de contrôle« , Gilles Deleuze avait déjà parfaitement anticipé que nous étions en réalité peu à peu sortis des sociétés disciplinaires, dont la gouvernementalité s’exerce à travers la contrainte, pour glisser vers des sociétés de contrôle aux dispositifs beaucoup plus fluides. Leur objectif est de contrôler les individus « de l’intérieur » par des systèmes de pilotage cybernétique, impliquant envois de signaux et rétroactions. Le numérique aura permis de donner complètement corps à cette vision qui n’est, ni plus ni moins, qu’une « gouvernementalité par le consentement ».

J’ai déjà eu l’occasion de dire que tout ceci avait de lourdes implications en matière de protection des données personnelles. D’autres que moi, comme Helen Nissenbaum, ont déjà dénoncé ce qu’elles appellent la « farce du consentement » à l’œuvre sur Internet et d’autres encore ont fait le lien avec la dénonciation de la « fabrique du consentement » déjà mise en avant par Noam Chomsky. Voyez par exemple cette interview récemment donnée par Christophe Masutti à l’occasion de la sortie de son livre sur le « Capitalisme de surveillance » dont ce passage m’a frappé :

[Le RGPD] prouve que nos institutions veulent agir, c’est une marque de bonne volonté. Mais le RGPD ne fait que formaliser le don du consentement […]. Notre société de surveillance émane aussi de notre propre culture, de notre acculturation à l’informatique et donc à la surveillance. Notre consentement, nous l’avons fabriqué.

Le drame est que le « consentement libre » du RGPD est doté d’une certaine efficacité contentieuse, qui pourrait faire croire qu’il s’agit encore d’un moyen sur lequel miser pour parvenir à réguler le système. Il a en effet déjà permis à la CNIL de sanctionner quelques abus, notamment en matière de géolocalisation à des fins publicitaires. Je peux donc comprendre que l’on s’y accroche à des fins tactiques, mais j’ai peur que l’on finisse par confondre le niveau de la tactique avec celui de la stratégie, sans voir que la bataille de libertés ne peut pas être gagnée sur le terrain du « libre consentement », car c’est une notion déjà complètement intégrée aux rouages de l’idéologie néolibérale.

Il faut donc en finir avec le « Consent Washing », à commencer en nous-mêmes, ce qui risque d’être extrêmement complexe… C’est pourtant nécessaire, car que se passera-t-il lorsque les efforts déployés à la fois par la propagande gouvernementale et par les puissances privées du capitalisme de données auront réussi à convaincre la population des bienfaits des technologies de surveillance (« la bien(sur)veillance« , comme dit Cynthia Fleury) ? Les individus finiront par « consentir librement » aux pires menaces à leurs libertés, sans même qu’il soit besoin d’agiter des sanctions, et le levier juridique que l’on aura cru pouvoir saisir pour se protéger aura achevé sa transformation en une arme redoutable retournée contre les personnes pour les faire participer à leur propre asservissement.

"On peut applaudir des lois incroyablement liberticides si elles prétendent sécuriser notre rapport à la mort."https://t.co/m2PMVck3rK

— Ｓｉℓvè𝐫ε ᵐ𝑒ʳ𝐂i𝒆r (@Silvae) April 29, 2020

J’ai néanmoins l’impression que cette crise du coronavirus et la surenchère sécuritaire dans laquelle elle nous entraîne sont en train de jouer comme un accélérateur de prise de conscience sur ce rapport trouble que nous entretenons avec la notion de consentement. J’ai noté par exemple cette phrase dans une tribune contre l’application StopCovid publiée par Jean-Baptiste Soufron dans Libé :

Le consentement n’est pas un sésame pour toutes les atteintes aux libertés, et ce encore moins quand il est contraint par la peur de l’épidémie, ou par la coercition directe ou indirecte à travers des sanctions plus ou moins informelles – pense-t-on par exemple à la possibilité que l’application soit imposée aux salariés par des employeurs ou à des étudiants par leurs établissements d’enseignement ?

Autant les coercitions directes ou indirectes sont illégales sur la base du RGPD, parce qu’elles violeraient la condition du « consentement libre » et/ou l’interdiction des discriminations, autant cette notion sera de peu d’intérêt pour nous protéger des effets de la simple peur de l’épidémie ou d’une propagande bien orchestrée du gouvernement qui viendrait habilement « fabriquer un libre consentement »…

Dès lors, je trouve intéressant le raisonnement de la CNIL dans sa délibération, qui a préféré écarter la base légale du consentement en commençant à reconnaître l’incidence des contextes de « subordination sociale ». Car nous pourrons dire : « Opprimez-nous, exploitez-nous, avilissez-nous, Messieurs les dominants, mais au moins, ne prétendez pas le faire avec notre consentement« .

En 2017, j’ai déjà écrit un billet intitulé : « Les biens communs d’Emmanuel Macron ne sont pas les nôtres !« . Quelques mois après son accession à la fonction présidentielle, Macron s’était en effet essayé à glisser régulièrement des allusions aux « biens communs » dans ses discours, notamment au sujet de sa stratégie en matière de numérique. Mais il le faisait en donnant à cette expression un sens très différent de celui employé par les militants des Communs numériques et j’avais éprouvé alors le besoin de rappeler quelques fondamentaux…

Depuis, les tentatives de récupération politique des Communs se sont multipliées, à tel point que le Commons Washing semble en passe de devenir un nouveau sport national. Au cours de la campagne des municipales, par exemple, une multitude de listes « Par-ci en commun » ou « Par-là en commun » sont apparues en s’essayant, avec plus ou moins d’habileté (et/ou de cynisme), à cette pratique du recyclage opportuniste.

Mais cette semaine, je suis tombé par hasard sur un usage particulièrement osé du terme de « Commun numérique » qui mériterait sans doute un Commons Washing Award, si une telle anti-distinction existait (une idée d’ailleurs à garder de côté…).

Les Communs numériques, selon Sibeth NDiaye

L’ineffable Sibeth NDiaye, la porte-parole du gouvernement bien connue pour ses sorties explosives, était l’invitée jeudi du « 8h30 » de FranceInfo et elle a passé en revue un certain nombre de sujets liés à la crise du coronavirus. Parmi ceux-ci figurait la question de StopCovid, l’application de traçage numérique (backtracking) envisagée en ce moment par le gouvernement comme un des moyens d’accompagner le déconfinement, en soulevant au passage un débat houleux sur les atteintes potentielles aux libertés et les conséquences sociales d’un tel dispositif.

Voyez ici l’enregistrement, à partir de 17’20, et je retranscris ses propos à la suite :

Question du journaliste : Un mot sur le traçage des malades : quelles sont les limites que vous fixez à cette stratégie en terme de respect des libertés ? (…) Ces applications existent déjà, je pense notamment à celle utilisée à Singapour (…) qui prévoit non pas de stocker les données de géolocalisation contenues dans les téléphones, mais sur la base du volontariat, d’enregistrer dans son propre appareil, les identifiants des personnes que l’ont a croisées pendant plusieurs semaines et, si on a été en contact avec un malade de recevoir une alerte. Est-ce que ce système vous semble réalisable en France ?

Réponse : C’est effectivement un principe similaire auquel nous pensons, en tenant compte de ce que sont les piliers de la protection des données, dans le cadre européen, mais aussi de la protection des libertés publiques. L’application que nous envisageons ne peut être proposée que sur la base du volontariat et d’une anonymisation des données et de leur conservation temporaire, le temps que cela utile au suivi épidémiologique (…).

Cette application peut constituer un appui, mais aujourd’hui nous n’avons pas le recul suffisant pour savoir avec certitude si elle sera utile d’un point de vue sanitaire. On se met donc en situation de pouvoir chercher, y compris avec des partenaires européens, l’Allemagne, la Suisse ; que ce soit un code ouvert, ce qu’on appelle l’Open Source, qui permettra à chacun de vérifier que ce qui est fait dans l’application est bien réalisé dans l’application, qui permettra aussi d’avoir un Commun numérique, c’est-à-dire que c’est une application qui pourrait être disponible de manière gratuite dans tous les pays qui souhaiteraient l’utiliser.

J’aimerais beaucoup savoir par quels détours la notion de « Communs numériques » est arrivée jusque dans la bouche de Sibeth NDiaye, qui a bien pu lui souffler de l’utiliser dans un tel contexte et quelle réunion sur les « éléments de langage » a pu accoucher de l’idée qu’il était pertinent de présenter cette application de backtracking comme un Commun… Il est vrai que l’équation simpliste « Open Source = Communs » est déjà fort en vogue dans certains cercles qui s’occupent du numérique au niveau de l’État et on a déjà pu voir ce type de réductionnisme sévir à propos d’autres sujets (voir, par exemple, la saga édifiante du Pass Culture, qui devait lui aussi être « formidable-parce-qu’en-Open-Source », et qui a terminé d’une manière particulièrement navrante, à mille lieux de ce que peut être un Commun).

StopCovid, un Commun numérique ? Vraiment ?

Entendons-nous bien : je ne suis pas en train de critiquer le fait que l’État envisage de développer cette appli en Open Source. C’est même le minimum minimorum à attendre d’un outil qui soulève par ailleurs de lourdes craintes quant à ses répercussions potentielles pour la vie privée et les libertés. Notons d’ailleurs que l’État ne devrait en retirer aucun mérite, car depuis 2016 et la loi République Numérique TOUS les logiciels développés par les administrations devraient être diffusés par défaut en Open Source. Sauf que cette obligation légale est encore très largement ignorée – ou bafouée sciemment – et les administrations continuent donc à choisir ce qu’elles ouvrent ou ce qu’elles ferment, ruinant la capacité de l’Open Source à contribuer au contrôle citoyen de l’action de l’État.

Ce que je conteste, c’est qu’il suffise de diffuser un logiciel en Open Source pour que l’on puisse en parler comme d’un « Commun numérique » et on s’en rend rapidement compte en lisant quelques uns des papiers parus ces derniers jours à propos de StopCovid. Allez lire notamment la déclaration de l’OLN (Observatoire des Libertés et du Numérique, regroupant la Ligue des Droits de l’Homme, le Syndicat de la Magistrature, le Syndicat des Avocats, La Quadrature du Net, etc.) : « La crise sanitaire ne justifie pas d’imposer des technologies de surveillance » :

Concernant les applications de suivi des contacts, elle sont présentées comme peu dangereuses pour la confidentialité des données personnelles puisqu’il y aurait peu de collecte de données, mais essentiellement des connexions par Bluetooth d’un téléphone à un autre. C’est oublier que la notion de consentement libre, au cœur des règles de la protection des données, est incompatible avec la pression patronale ou sociale qui pourrait exister avec une telle application, éventuellement imposée pour continuer de travailler ou pour accéder à certains lieux publics. Ou que l’activation de ce moyen de connexion présente un risque de piratage du téléphone. Il est par ailleurs bien évident que l’efficacité de cette méthode dépend du nombre d’installations (volontaires) par les personnes, à condition bien sûr que le plus grand nombre ait été dépisté. Si pour être efficaces ces applications devaient être rendues obligatoires, « le gouvernement devrait légiférer » selon la présidente de la CNIL. Mais on imagine mal un débat parlementaire sérieux dans la période, un décret ferait bien l’affaire ! Et qui descendra manifester dans la rue pour protester ?

Des débats sans fin ont lieu actuellement pour savoir s’il est possible de produire une application respectant les principes du « Privacy By Design », en utilisant la technologie bluetooth qui évite d’avoir à stocker des données de manière centralisée. C’est un point important, mais j’ai tendance à penser qu’il ne constitue pas le coeur du problème. Hubert Guillaud a parfaitement montré dans un papier paru cette semaine que même une application parfaitement respectueuse de la vie privée soulèverait encore des difficultés redoutables :

L’application — pourtant “privacy by design” — n’est pas encore déployée que déjà on nous prépare aux glissements, autoritaires ou contraints ! Le risque bien sûr est de passer d’un contrôle des attestations à un contrôle de l’application ! Un élargissement continu de la pratique du contrôle par la police qui a tendance à élargir les dérives… Ou, pour le dire avec la force d’Alain Damasio : “faire de la médecine un travail de police”.

Le risque enfin c’est bien sûr de faire évoluer l’application par décrets et modification successive du code… pour finir par lui faire afficher qui a contaminé qui et quand, qui serait le meilleur moyen d’enterrer définitivement nos libertés publiques !

Le risque du glissement, c’est de croire qu’en lançant StopCovid nous pourrons toujours l’améliorer. C’est de croire, comme toujours avec le numérique, qu’il suffit de plus de données pour avoir un meilleur outil. C’est de continuer à croire en la surenchère technologique, sans qu’elle ne produise d’effets autres que la fin des libertés publiques, juste parce que c’est la seule solution qui semble rationnelle et qui s’offre à nous !

Le risque, finalement est de continuer à croire que l’analyse de mauvaises données fera pour moins cher ce que seule la science peut faire : mais avec du temps et de l’argent. Le risque, c’est de croire, comme d’habitude que le numérique permet de faire la même chose pour moins cher, d’être un soin palliatif de la médecine. On sait où cette politique de baisse des coûts nous a menés en matière de masques, de lits et de tests. Doit-on encore continuer ?

Le risque c’est de croire qu’une application peut faire le travail d’un médecin, d’un humain : diagnostiquer, traiter, enquêter, apaiser… Soigner et prendre soin. Le risque c’est de rendre disponible des informations de santé de quelque nature qu’elles soient en dehors du circuit de santé et de soin !

Il ne peut dès lors être question de parler de « Commun numérique » à propos du délire techno-solutionniste que constitue cette application, parce qu’elle s’attaque aux principes mêmes qui permettent à tous les Communs d’exister. Elinor Ostrom affirmait qu’aucun Commun ne peut émerger sans s’enraciner dans deux éléments capitaux : la confiance et la réciprocité. En nous transformant potentiellement tous en agents de police sanitaire, cette application constituerait une étape supplémentaire vers cette « société de la défiance » généralisée, qu’Emmanuel Macron a déjà appelée de ses voeux en employant les termes plus lisses de « société de vigilance« .

J’ai beaucoup aimé dans cet esprit la tribune publiée par Arthur Messaud, juriste à la Quadrature du Net, intitulée « Devenir des robots pour échapper au virus« . Il montre bien les risques de déshumanisation liés au déploiement massif de technologies de surveillance auquel nous sommes en train d’assister à la faveur de cette crise, en soulignant en contrepoint le rôle majeur que devrait continuer à jouer la confiance :

Les enjeux de santé publique exigent de maintenir la confiance de la population, que celle-ci continue d’interagir activement avec les services de santé pour se soigner et partager des informations sur la propagation du virus. Les technologies de surveillance, telle que l’application envisagée par le gouvernement, risquent de rompre cette confiance, d’autant plus profondément qu’elles seront vécues comme imposées.

(…) Pour éviter une telle situation, plutôt que de prendre la voie des robots — tracés et gérés comme du bétail —, nous devons reprendre la voie des humains – solidaires et respectueux. Tisser et promouvoir des réseaux de solidarité avec les livreurs, les étrangers, les sans-abris, les soignants, augmenter le nombre de lits à l’hôpital, de masques pour le public, de tests pour permettre aux personnes malades de savoir qu’elles sont malades, de prendre soin d’elles-mêmes et de leur entourage, en nous faisant confiance les-unes les-autres – voilà une stratégie humaine et efficace.

Vous comprendrez dès lors que je puisse voir rouge en entendant parler de cette application comme d’un potentiel « Commun numérique », juste parce que le code sera mis à disposition. C’est d’ailleurs un problème qui affecte plus généralement l’Open Source et le logiciel libre : ces outils ont été mis en place sur la base d’une certaine philosophie qui ne se préoccupe que du statut juridique du logiciel (certifié par l’apposition d’une licence), mais pas des finalités, et qui, dans une certaine mesure, rend même impossible toute discussion sur les finalités.

J’en avais déjà parlé dans un billet l’an dernier, en soulignant mes doutes à propos de « l’agnosticisme du Libre » :

En réalité, le logiciel libre repose sur une conception libertarienne de la liberté, impliquant une suspension du jugement moral et un agnosticisme strict quant aux fins poursuivies (…). Cela laisse entière la question de savoir à quoi le logiciel est utilisé : servira-t-il à faire marcher un drone de guerre ou un appareil médical destiné à sauver des vies ? Une licence libre s’interdit absolument de porter ce type de jugement.

On voit ici très bien la limite de cette approche et il ne faut pas s’étonner ensuite que l’aveuglement revendiqué vis-à-vis des fins ouvre la porte aux récupérations politiques, en transformant l’Open Source en argument commode pour « commons-washer » quelque chose d’aussi problématique qu’une application de backtracking.

Et pourtant, ils tournent (les Communs numériques !)

Est-ce à dire néanmoins que les Communs numériques n’ont joué aucun rôle dans cette crise du coronavirus et qu’il faut s’interdire de recourir à cette notion pour décrire ce qui s’est passé ? Certainement pas ! Mais ce n’est (hélas) pas vers l’État qu’il faut se tourner pour apercevoir ce que les Communs numériques ont pu apporter pour surmonter les épreuves auxquelles nous sommes confrontés. Depuis le début de la crise, c’est sans doute du côté du mouvement des Makers et des FabLabs qu’il faut aller voir pour comprendre le rôle joué par les Communs numériques dans un tel contexte.

C’est ce qu’explique ce communiqué de presse publié cette semaine par le Réseau Français des Fablabs :

Depuis le début de la crise sanitaire, les Makers français se mobilisent pour lutter contre la propagation du COVID 19 en mettant leurs compétences et leurs outils au service de la société civile.

En quelques jours, notre action, c’est plus de :

– 5 000 bénévoles mobilisés et 100 fablabs en action,

– 50 prototypes (masque, visière, respirateur, pousse-seringue…),

– Des outils collaboratifs de communication (Discord, Facebook, YouTube…),

– 10 000 masques de protection en tissu,

– 100 000 visières antiprojections.

Les Makers appliquent un monde de savoir-faire et de connaissances techniques et scientifiques locales et globalement connectées : les Communs.

Dynamiques itératives et ouvertes de prototypage, recherche et développement collectifs, validation de concepts et de financement sur des temps extrêmement courts, ils sont tous engagés dans l’effort collectif. Ils montrent leur pertinence et leur capacité à déployer cette connaissance ouverte en tous points des territoires.

Si aujourd’hui, ils ont réussi à produire dans l’urgence du matériel médical, c’est grâce à leur culture et à leurs pratiques des Communs. En produisant des modèles Open Source et en les faisant circuler dans le monde entier, ils ont permis de fabriquer très vite des équipements performants et utilisables par le personnel soignant et la société civile.

La manière dont les Makers ont réagi pendant cette crise correspond tout à fait à ce que Michel Bauwens, penseur important du mouvement des Communs, appelle la « Cosmo-localisation ». En appliquant l’adage « Tout ce qui est léger doit monter et tout ce qui est lourd doit descendre« , on pourrait réorganiser notre système de production en mutualisant les connaissances partagées sous licence libre et en relocalisant la production au plus proche, au sein de petites unités agiles dont les FabLabs offrent le modèle. Les réalisations des Makers montrent que cette vision n’est pas seulement une utopie, mais pourrait servir à réorganiser notre économie dans le cadre d’une « Société des Communs ».

Pourtant, il semblerait que cette contribution des « commoners » à la situation de crise reste encore assez largement dans l’angle mort des pouvoirs publics. Un article publié en début de semaine sur le site Makery montre bien l’étendue du problème : « Covid-19 : la mobilisation des makers français est sans précédent, il serait temps que l’État s’en rende compte« . Alors même que l’action des Makers commence à être reconnue par les hôpitaux et que des formes de collaboration s’organisent, comme la plateforme « Covid3D » de l’APHP, les appels lancés aux pouvoirs publics par la communauté pour obtenir du soutien restent pour l’instant sans réponse.

Le fait que d’un côté l’État instrumentalise à son avantage la notion de Communs numériques tout en ignorant de l’autre les acteurs de terrain qui s’inscrivent dans cette démarche est tout à fait cohérent. Le meilleur moyen d’invisibiliser des émergences au sein d’une société consiste précisément, non seulement à ne pas les soutenir matériellement, mais à les dépouiller symboliquement de leur propre langage pour mieux brouiller le sens et semer la confusion. Dit autrement : il ne faut jamais oublier d’ajouter l’injure à la blessure et c’est de cette basse besogne dont Sibeth NDiaye s’est chargée sur FranceInfo, alors que, quelques temps auparavant, une lettres ouverte envoyée par le Réseau des Fablabs au Président Macron recevait une simple réponse-type de « courtoisie »…

C’est pourtant à travers la mise en place de « partenariats Publics-Communs« , équilibrés et réciproques, que l’on pourra réussir à libérer le potentiel des Communs et à en faire un élément de transformation sociale. L’État fait déjà pleuvoir les milliards pour sauver les gros mastodontes du monde industriel et remettre en marche le plus vite possible l’économie en mode « business as usual« . Mais peut-être d’autres acteurs publics, du côté des collectivités locales, par exemple, finiront-ils par comprendre qu’il faut changer de rail et qu’une des manières de le faire passe par la reconfiguration des rapports entre Communs et action publique.

Comment élaborer un partenariat Public-Communs ? from Calimaq S.I.Lex

De l’urgence à (re)penser les « Communs d’après »

Il faudra aussi un jour s’attaquer frontalement à ce problème de la récupération politique du discours sur les Communs et cela impliquera sans doute une révision très profonde de la manière de les conceptualiser. En simplifiant trop le propos pour le diffuser, nous avons en effet sans doute nous-mêmes ouverts la porte au Commons Washing…

Le tryptique réducteur (Un commun, c’est une ressource, une communauté et une gouvernance) – que j’appelle désormais Vulgate des Communs – est trop pauvre pour rendre compte de la complexité de l’approche par les Communs et il comporte par ailleurs de nombreux sous-entendus problématiques. Dans le monde du logiciel libre et de l’Open Source, l’indifférence aux fins poursuivies est tout simplement devenue insupportable et les Communs numériques ont hérité d’une véritable « tare » dont les licences libres étaient déjà porteuses. Cela devrait nous inciter urgemment à prêter attention à des projets alternatifs comme l’Hypocratic Licence, qui remet la question des fins et de la protection des droits fondamentaux au cœur du dispositif.

Certains en France, comme Geneviève Fontaine avec ses précieux « Communs de capabilités », ont proposé des pistes pour rendre les Communs indissociables de valeurs comme la justice sociale. Et pour ce qui est des rapports entre Communs et Numérique, il faudra également conduire un travail de fond pour faire en sorte que les Communs ne puissent plus être enrégimentés au service de l’idéologie techno-solutionniste, dont l’application StopCovid constitue une incarnation caricaturale. Peut-être que pour ce faire, une notion comme celle des « Communs négatifs » pourrait s’avérer utile, en réinterrogeant de manière critique la possibilité d’utiliser le numérique à des fins d’émancipation ?

Bref, s’il s’agit de penser un « monde d’après », encore faut-il pouvoir disposer de notions qui ne puissent pas si facilement être détournées par ceux qui cherchent, à toute force, à faire revenir le « monde d’avant ». Et il nous faudra donc pour cela arriver à (re)penser les « Communs d’après ». Sans tarder.