L’impossible consentement
L’acceptation d’un traitement de données personnelles, pour leur sauvegarde, leur utilisation pour des fins autres que le service prévu initialement, leur revente à des fins commerciales se présente souvent comme une simple case à cocher, validant également des conditions générales obscures. Le consentement est considéré acquis lorsque l’utilisateur a validé son choix. La législation la plus stricte connue à ce jour, le règlement général sur la protection des données de l’Union européenne (RGPD), impose des obligations notamment de transparence et de forme, mais ne remet pas en cause la logique du consentement donné. Malgré un consentement toujours faible, le RGPD impose également de fournir à l’utilisateur la possibilité de choisir le niveau de l’atteinte. Vouloir plus de contrôle du côté de l’utilisateur est une bonne chose, mais ce n’est pas encore suffisant.
Rencontrer une personne inconnue et lui serrer la main implique un consentement implicite d’atteinte légère à l’intégrité physique – on constate d’ailleurs en pleine pandémie de coronavirus que ce geste qui semblait anodin dans notre culture n’est pas sans risque. Certaines sociétés refusent une telle pratique et préfèrent un salut à distance. Si une poignée de main est accompagnée d’un consentement implicite, c’est bien que nos sociétés ont considéré qu’un individu peut généralement mesurer l’impact de ce geste et en déterminer le risque d’atteinte violente. Il peut aussi facilement le refuser et tout de même engager une relation sociale avec autrui. D’autres engagements nécessitent un consentement renforcé. Ainsi le mariage ne sera valide qu’en présence de témoins identifiés d’une signature manuscrite sur un contrat authentifié par une personne représentant l’autorité et d’un cérémonial très précis. D’un consentement implicite à un consentement formel, la société ajuste les variables nécessaires afin qu’un individu puisse toujours accepter une altération de son intégrité de façon la plus éclairée possible.
Si l’on accepte que les données personnelles font partie de notre individualité, qu’elles sont une extension de soi-même dans le numérique, alors leur récolte ne peut pas être considérée comme allant de soi. Pourtant, la simple interaction d’un individu avec un service suppose une récolte de données et donc une atteinte à l’intégrité numérique. En principe, un site internet ou une application récolte des données. Les milliards de données récoltées quotidiennement dans le monde entier ont une valeur immense. Des entreprises financent tout ou partie de leurs activités en procédant à la récolte des données et à leur traitement. Les moteurs de recherche, les réseaux sociaux, les médias ont façonné leurs modèles d’affaires sur un rapport de force malsain. Ils améliorent constamment le service à l’utilisateur grâce à la connaissance qu’ils tirent de l’analyse des données personnelles collectées. Il revendent ensuite la connaissance extra-fine des interactions sociales et des profils individuels à des fins publicitaires. Les abus ne se comptent plus, notamment des groupes d’entreprises qui recoupent leurs bases de données. Ces services comptent sur l’ignorance profonde des utilisateurs, leur incapacité réelle à consentir et surtout leur capacité à partager des informations qui concernent leurs proches sans leur autorisation.
Ce rapport de force entre la protection des données des individus et les intérêts économiques est palpable. Pour les autorités de nombreux pays, la tendance est plutôt de favoriser les intérêts économiques. La protection des données existe, mais elle est perçue comme un frein à l’innovation plutôt qu’un droit fondamental qui protège les individus. Une conception fallacieuse du consentement éclairé perdure alors qu’un bon consentement devrait être la base fondamentale d’un internet libre et libéral, permettant aux individus de s’engager de manière identifiable et authentifiée. Au fur et à mesure que les scandales s’accumulent, on constate que la prise de conscience s’établit, lentement.
Les conditions générales d’utilisation, devenues la norme sur internet, ont d’ailleurs l’immense inconvénient d’être si volumineuses qu’il faudrait des journées entières pour qu’un individu puisse en prendre connaissance s’il prenait la peine de les lire à chaque fois qu’il doit en accepter. Le juriste François Charlet résume sur son blog le contenu de ces conditions générales avec humour : « En cliquant sur accepter, tu renonces à tous tes droits de la personnalité ; tu renonces à attaquer l’auteur de ce blog en justice ; tu le reconnais plénipotentiaire de ta vie digitale ; tu acceptes de prier devant sa photo et d’allumer un cierge tous les jours pour l’honorer ; l’auteur du présent contrat se réserve le droit de le modifier en tout temps, sans préavis, et à tes dépens » En définitive, les conditions générales d’utilisation ont la particularité d’être beaucoup trop générales et de servir d’arsenal juridique pour les entreprises qui les rédigent afin de les protéger et de leur octroyer des droits sur les données personnelles des utilisateurs. La capacité de la population à consentir de façon éclairée dans la dimension numérique ne semble étonnamment pas concevable aux yeux ni des entreprises, ni du législateur. Mais il est possible d’atteindre un niveau acceptable en formalisant le consentement grâce à des outils adéquats.
Notre société doit se doter d’une palette d’outils de consentement, chacun adapté, afin de permettre à l’individu d’approuver de manière éclairée une atteinte à son intégrité, en fonction du degré de gravité du préjudice encouru. Un consentement tacite peut paraître acceptable pour un enregistrement des simples données de connexion sur un site. Mais il ne le sera pas pour une utilisation intensive des données par des tiers. Parmi ces outils, la signature électronique représente probablement un des outils de consentement les plus forts, à condition d’être efficacement géré et utilisé par la société. De nombreux échanges entre individus ou avec des entreprises nécessiteront de la part des individus de maîtriser un outil de signature électronique.
Extrait de « Notre si précieuse intégrité numérique » par Alexis Roussel et Grégoire Barbey
Vers une identité numérique souveraine
Nous vivons une époque charnière. C’est maintenant qu’il faut étendre au numérique sur le plan juridique le concept de droit à la vie. Les individus doivent pouvoir construire les fondements de leur existence numérique sans perdre la protection de leurs droits individuels. Face à des traitements de données automatisés ignorant notre individualité, dans une société déjà numérique, notre humanité est en jeu.
La prise de conscience de l’importance de protéger nos données personnelles ne cesse de croître et cela est une bonne chose. Les affaires concernant des abus se multiplient. Malgré un cadre juridique encore ignorant de la réalité de la vie numérique, les législateurs et les juges cherchent de plus en plus à définir strictement les conditions qui permettent de considérer qu’un individu a bel et bien consenti librement à l’utilisation de ses données personnelles. Si l’on cherche à combler les lacunes des lois existantes, l’émergence de cette prise de conscience se heurte à une contrainte majeure. C’est à l’individu et lui seul de prouver et de décrire les abus qui lui auraient été infligés. C’est à l’individu qu’incombe la charge d’effectuer les démarches pour obtenir des informations sur les données existantes à son sujet. Il a fallu deux années complètes à Max Schrems, étudiant en droit, fin connaisseur des mécanismes technologiques, afin de faire valoir ses droits face à un mastodonte de l’exploitation des données. Cela présuppose que l’on doive connaitre l’étendue de son empreinte numérique afin de se défendre.
Reconnaitre la vie numérique revient à accepter qu’il est impossible pour chaque individu d’en connaitre l’étendue réelle. Identifier les abus liés à l’utilisation de données comme une atteinte à l’intégrité de la personne, permet à un individu de demander la mise en œuvre de mesures de protection sans avoir à identifier les subtilités techniques de l’abus. Afin de permettre à l’individu de pouvoir se défendre face à un agresseur numérique, il convient de ne pas seulement obliger le détenteur de données d’informer l’individu de l’étendue de la collecte, comme le souhaitent certains. Il faut aller plus loin et formuler une interdiction générale de conserver des données personnelles. Celle-ci ne pourrait être levée que par un consentement éclairé. S’il parait utopique d’espérer qu’aucune donnée personnelle ne soit jamais enregistrée ou traitée en dehors des règles imposées par des lois, dans tous les cas, le responsable du traitement ne doit pas pouvoir utiliser des données recueillies sans consentement sans risquer une condamnation. Le fardeau de la preuve doit être enfin renversé. C’est au responsable du traitement de données de prouver que son action ne porte pas atteinte à l’intégrité de la personne. La meilleure preuve à fournir est celle de ne pas détenir la donnée personnelle.
Par analogie avec le corps humain et le droit à la protection de l’intégrité physique, tout ce qui constitue la réalité de notre vie numérique, les données qui constituent nos corps numériques, doit devenir inaliénable. De plus, ce nouveau droit à la protection de notre intégrité numérique doit être imprescriptible. C’est la proposition force de cet ouvrage. Si nos données personnelles sont inaliénables, alors même les individus ne doivent pas pouvoir effectuer des démarches qui créent une aliénation de leurs données. C’est le prérequis de toute liberté individuelle, de tout droit fondamental. Conférer aux données personnelles un caractère inaliénable, c’est garantir que des démarches visant à attribuer une valeur marchande aux données personnelles soient tout simplement nulles et non avenues. Cette approche heurte certains intérêts économiques qui voient dans les données un moyen de créer des instruments favorisant la vente de leurs produits et services, un véritable pétrole du XXIe siècle. Tout l’enjeu de cette intégrité numérique est justement de poser des limites claires en la matière. Une économie basée sur l’influence comportementale est malsaine et crée des dégâts à l’échelle de toute une société. C’est une perspective totalement contraire à toute approche libérale de la société, des lois et de l’économie.
Dans une étude rédigée en 1999, Hub Zwart identifiait déjà les dangers d’une société numérique qui accepterait un consentement donné à la légère sans qu’une prise de conscience claire de l’altération consentie par l’individu sur son intégrité ne soit établie – que cette intégrité soit physique, psychique ou désormais numérique ou morale selon la terminologie de Hub Zwart qui parle alors de corps moral. Aujourd’hui, c’est malheureusement la logique d’un consentement sans considération de l’intégrité de la personne qui a remporté la bataille. Combien de personnes affirment, sans broncher, que si les entreprises accaparent leurs données personnelles, c’est bien parce qu’elles l’ont accepté et qu’elles n’auraient su faire autrement ? Les promoteurs d’une économie de la donnée se cachent derrière une liberté individuelle absolue, celle de vendre et transférer ses propres données. Cette manière de sacraliser la responsabilité individuelle porte en réalité atteinte à la notion même d’autonomie. Un consentement ne peut intervenir que dans la mesure où la personne est consciente des enjeux. Ces enjeux ne doivent pas lui faire courir un risque bien supérieur au profit recherché.
La notion de respect de l’intégrité de la personne est dès lors essentielle pour contrebalancer l’expression du consentement. Le seul consentement ne saurait justifier une aliénation volontaire. Un consentement biaisé ne saurait justifier une atteinte à l’intégrité numérique. Cette approche, qui a fait l’objet de vastes débats philosophiques, ne date évidemment pas d’hier. Ainsi, pour Gerald Dworkin il y a des biens fondamentaux que tout individu rationnel est supposé vouloir afin de poursuivre son propre bien. Cette vision permet de justifier certaines interférences visant à empêcher qu’une personne ne porte atteinte à son intégrité par des choix contraires à la raison. Ainsi, on pourra considérer qu’influencer une personne en lui proposant des informations ciblées spécialement choisies selon des méthodes de profilage pour modifier son opinion sans qu’elle ne s’en rende compte est une atteinte à son intégrité numérique même si elle a, au préalable, consenti à la collecte des données utilisées pour le profilage.
Une société portée uniquement sur la responsabilité individuelle est profondément utopique. Pour être fonctionnelle, elle part du principe que l’individu exerce son consentement en ayant une connaissance totale de la portée de son consentement. On peut raisonnablement douter qu’une personne qui consent à divulguer ses données personnelles pour obtenir un service limité en contrepartie ait réellement mesuré les enjeux de cette transaction. Cette dernière est facilement au désavantage de l’individu. Il ne peut pas réellement mesurer si le service ou le produit proposés en échange d’une partie de lui représente une valeur acceptable. Par définition, une telle transaction génère une relation asymétrique. Le consommateur n’est pas pleinement en capacité de connaitre la finalité de ce qu’il paye pour obtenir un avantage. Payer un bien à l’aide de ses données personnelles peut avoir des conséquences directes sur la capacité de fournir son consentement éclairé. À l’heure du big data, les entreprises se servent de ces informations pour établir des profils personnels extrêmement approfondis. Elles analysent les moindres recoins de la vie d’une personne jusqu’à ses comportements les plus intimes. En dressant des statistiques pour comprendre le fonctionnement des individus, il est aisé d’intervenir dans leur vie pour obtenir quelque chose de leur part.
Extrait de « Notre si précieuse intégrité numérique » par Alexis Roussel et Grégoire Barbey