Il y a quinze jours, j’étais à l’Université de Technologie de Compiègne pour donner une conférence intitulée « Données personnelles et vie privée : ce qui va changer avec le RGPD ». Je répondais à l’invitation de Stéphane Crozat, enseignant et chercheur à l’UTC, à l’origine notamment du logiciel libre Scenari. Cette intervention m’a permis de passer en revue devant ses étudiants les principales notions du nouveau règlement européen, ainsi que d’en détailler les mécanismes de fonctionnement.
La conférence a été filmée et en voici l’enregistrement ci-dessous (merci aux étudiants de Sous Sol Productions pour cet excellent montage !)
Ci-dessous, vous trouverez un découpage chrono-thématique qui vous permettra de vous faire une idée du contenu et d’aller écouter un point précis si vous le souhaitez :
Je poste également la présentation sur laquelle je me suis appuyée (sous licence CC-BY-SA) :
Enfin, j’avais prévu à l’origine une intervention plus longue, car je voulais également présenter deux « critiques » du RGPD. La première est d’inspiration « libérale » et considère que les données personnelles devraient être protégées à travers un droit de propriété privée dévolu aux individus. La seconde, dans laquelle je m’inscris, est d’inspiration « sociale » et met au contraire l’accent sur la dimension collective des données personnelles et la nécessité de penser leur protection à travers le prisme du droit social.
Voici un support qui présente ces deux points de vue critiques sur le RGPD (sous CC-BY-SA) :
Today comes into force the General Data Protection Regulation (GDPR). Laura Aufrère and I publish on this occasion a tribune in the newspaper Le Monde. This is the short version of a more developed text that we post below.
GDPR : a new hope for the Galaxy ? Yes, but…
***
GDPR: online privacy is a collective issue !
GDPR. Great hope rides on these four letters. The EU’s General Data Protection Regulation will come into force on 25 May. The regulation aims to reinforce individual rights and protections by restricting the conditions under which data can be collected and processed. Moreover, it applies worldwide to any platform that processes the data of European citizens, ensuring more consistent implementation. Digital companies contravening the new law risk hefty sanctions of up to 4% of their worldwide turnover. After years of misuse and impunity, it now seems possible to take back control of our digital lives, in particular from GAFAM (Google, Apple, Facebook, Amazon, and Microsoft).
The law’s ambition – to protect personal data seen as attributes of the individual – is both noble and essential. But what kind of misuses do we need protection from, and what precisely is meant by “data”? Companies like Facebook and Google primarily benefit from our exploiting “social graph” (i.e. the network of relationships linking individuals to each other) for commercially gain. In fact, the bulk of exploited data is produced by consolidating our digital data and footprints to reveal our social behaviours. Our collective data is therefore the primary source of potential value. As such, it is being monetized.
While the law protects personal data, online platforms are actually interested in social data, and there are no specific legal protections covering this collective aspect of our digital lives. The Cambridge Analytica scandal that has embroiled Facebook over the past several months is a perfect illustration of this gap. What the company allegedly obtained via Facebook was the individual consent of 270,000 people who filled out a personality test. In fact, what it gathered through these individuals’ contacts was data pertaining to at least 50 million people, a large proportion of Facebook’s social graph. This – the “social coordinates” that position us on the graph and the technical representation of our social relations – was exactly the kind of data that is currently unprotected.
Despite the GDPR’s real and novel contributions, this collective aspect largely escapes the new regulation, which was written with the same focus on individuals as the 1978 French law on freedom and information technology (CNIL). Under this approach, data is understood from an individualist perspective, and seen only as relating to and identifying a specific person. What could seem more natural than to grant individuals the right to protect their private lives? To this end, the legislation aims to make sure companies obtain users’ “free and informed” consent before they can legally process their data. While this is one of the text’s strengths, but this approach is actually based on a legal fiction that is already being exploited by online platforms – the isolated individual, capable of « self-determination », on whom the regulation rests.
Of course, the GDPR introduces new guarantees, such as privacy by design and privacy by default which take into account the power imbalance between the parties in question. These concepts suggest that apps should structurally incorporate protection for users’ private lives by setting up initial parameters that minimize data collection with regard to the end goal. Consent could therefore be expressed in a context where the individual is not placed by default in a vulnerable position. But leading digital companies have already become masters at manufacturing consent, right down to the design of their interface. New terms of use for Twitter, Google and Facebook have been introduced in such a way as to subtly guide users. For example, Google now gives them the option to deactivate the bulk of their profiling functions, in the full knowledge that only a small minority will bother to navigate the dashboard and avail themselves of this option. For its part, Facebook has deactivated default facial recognition, but “informs” users that this function will prevent ill-intentioned parties from posting photos without their knowledge, and help blind users understand the images…
And what of our digital friends who accept these conditions ? What will become of their data that relates to our private lives, and our collective digital footprints? Which parts of our lives may be sold without users ever knowing exactly how their relationships will be used to bolster the financial machine? To put it another way, due to the inherently social nature of the data, consent is always collective. What is at stake is not only individual dignity in the face of these demonstrable manipulations, but also our “collective dignity”. Solidarity between users to mutually protect the privacy of our relations is therefore key. GAFAM are designing platforms that put users in a position of subordination[1], caught up in a tidal wave of incitements arising from the excessive power imbalance between themselves and digital platforms. Yet the GDPR has just made individual consent sufficient to circumvent a collective debate on what in our lives can reasonably be sold.
The GDPR provides platforms – which might have reason to fear the exercise of individual consent – with a formidable means of conserving certain basic aspects of their operations. The text allows for a company to invoke their “legitimate interest” in order to process data without the consent of users. The law states that rights and freedoms should not be compromised on this basis, but does not give a precise definition, leaving companies significant wiggle room. Google’s new terms of use claim that its advertising model is part of its legitimate interest. Facebook goes even further, claiming as legitimate interest the ability to “conduct research and innovate for the good of all” in order to “change our company and the world for the better”. This is a clever move, in that it implies that its legitimate interest goes beyond its private interest, and is indeed contingent on the interest of the general public.
While the regulation has several flaws, it is not necessarily doomed, since an alternative interpretation is possible. The notion of “free consent” in particular has great potential if its full meaning is given expression. The Art. 29 WP, made up of European regulatory bodies, made a move in this direction, stating that consent cannot be valid if it is “conditional”–i.e. if users face negative consequences by refusing certain types of data processing. This would ban companies from coercing users into accepting specific kinds of data processing to avoid loosing service after 25 May, as Facebook, BlaBlaCar and AirBnB, to name a few, attempted.
The aim is to prevent consent from being used against individuals by coercing them into weakening their own rights, and by extension, our collective rights over our data. Protecting individuals in a position of weak bargaining power is traditionally the purpose of labour law and social legislation. Both of which assert the collective nature of consent, whose legitimacy is rooted in the consideration of the goals and stakes of the negotiation at hand. Their aim is to guarantee individual dignity and prevent society from being broken down into individuals whose vulnerabilities can be exploited separately. The GDPR could play a similar role: individual data protection would then evolve towards a kind of social protection that could collectively protect individual dignity.
The GDPR may yet have teeth, but we must be realistic: its potential will never be realized if citizens do not make sure this strong interpretation is enforced by the privacy authorities and the courts. One innovative aspect of the GDPR is that it opens up the possibility of class actions. In fact, La Quadrature du Net will be filing class suits against GAFAM for breaching their obligation to obtain their users’ free and informed consent, and all french citizens can join the action until 28 May. This is the only way to force internet giants to go beyond superficial changes to their Terms Of Service, and structurally amend their models in a way that respects our fundamental rights.
This battle over interpretation will determine the GDPR’s ability to effect real change and bring us out of collective submission to reclaim our rights and freedoms.
Translated from the French by Alice Heathwood for Fast for Word
[1] In reference the concept of subordination in french Labor Code.
Aujourd’hui entre en application le Règlement Général de Protection des Données (RGPD). Laura Aufrère et moi publions à cette occasion une tribune dans le supplément Idées du journal Le Monde. Il s’agit de la version courte d’un texte plus développé que nous postons ci-dessous.
***
RGPD : la protection de nos vies numériques est un enjeu collectif !
Règlement Général sur la Protection des Données, RGPD : de grands espoirs sont placés dans ces quatre lettres qui désignent le règlement européen entrant en vigueur le 25 mai. Le texte vise à renforcer les droits et la protection des individus en encadrant les conditions de collecte et de traitement des données. Il garantit une application plus cohérente de la réglementation en s’imposant aux plateformes partout dans le monde, dès lors qu’elles traitent les données de citoyens européens. En cas de violation, les entreprises du numérique s’exposent à d’intimidantes sanctions pouvant atteindre 4% de leur chiffre d’affaire mondial. Après des années d’abus et d’impunité, une opportunité paraît enfin s’ouvrir pour reprendre en main nos vies numériques, notamment face aux GAFAM.
L’ambition du texte est de protéger les données personnelles comme des attributs de la personne humaine, un objectif noble et essentiel. Mais de quel abus s’agit-il au juste de nous garder et en quoi consiste exactement ces « données » ? Ce que des acteurs comme Facebook ou Google exploitent commercialement, c’est avant tout le « graphe social » : la trame des relations unissant les individus entre eux. C’est pourquoi l’essentiel des données exploitées est produit par croisement de nos traces et données numériques, pour qu’elles expriment nos comportements de socialisation. C’est surtout cette dimension collective des données qui fait l’objet de valorisations financières du fait de son potentiel lucratif.
Là où le droit protège des données « personnelles », les plateformes s’intéressent donc en réalité à des données « sociales », sans que cette dimension collective fasse en elle-même l’objet d’une protection juridique. Rien n’a mieux mis en lumière ce décalage que le scandale Cambridge Analytica avec lequel Facebook se débat depuis plusieurs mois. Ce que la firme incriminée a obtenu via Facebook, c’est le consentement individuel de 270 000 personnes en leur faisant remplir un test de personnalité. Mais ce qu’elle a effectivement récolté à travers leurs contacts, ce sont les données attachées à au moins 50 millions de personnes, soit une large portion du graphe de Facebook. Les données apparaissent alors précisément comme ce que le droit actuel n’arrive pas à saisir : des « coordonnées sociales » servant à nous positionner dans le graphe et l’expression technique de nos relations.
Cette dimension collective échappe pour l’essentiel au RGPD, car malgré ses réelles innovations, il reste empreint de la même philosophie « personnaliste » qui inspira dès 1978 la loi Informatique & Libertés en France. Dans cette approche, les données sont appréhendées à travers un prisme « individualiste » qui ne les saisit qu’en tant qu’elles se rapportent à un individu déterminé en permettant de l’identifier. Quoi de plus naturel en apparence que de donner des droits à l’individu pour protéger sa vie privée ? A cette fin, le règlement étend et renforce l’exigence d’obtenir le consentement « libre et éclairé » des personnes afin de pouvoir traiter légalement leurs données. C’est une des forces du texte, mais cette approche repose en réalité sur une fiction juridique les plateformes sont déjà en train d’exploiter : l’individu isolé, capable « d’auto-détermination » et érigé à ce titre en centre de gravité de la régulation.
Certes, le RGPD introduit de nouveaux principes comme le privacy by design (protection dès la conception) et le privacy by defaut (protection par défaut). Ces notions impliquent que les applications soient proposées à l’utilisateur avec des paramétrages initiaux minimisant la collecte de données par rapport à la finalité poursuivie. De telles garanties, qui n’existaient pas jusqu’alors, sont nécessaires à l’exercice a minima du consentement. Mais il est frappant de constater combien les grands acteurs du numérique sont passés maîtres dans l’art de « fabriquer du consentement » à travers le design même de leurs interfaces. Les nouvelles conditions d’utilisation de Twitter, Google ou Facebook ont ainsi été proposées afin d’orienter subtilement l’internaute. Google donne désormais à ses utilisateurs la possibilité de désactiver l’essentiel des fonctionnalités de profilage, mais en sachant très bien que seule une minorité infime plongera dans le « tableau de bord » mis à leur disposition pour faire ce choix. De son côté, Facebook a bien désactivé par défaut la reconnaissance faciale, mais « explique » à l’utilisateur que cette fonctionnalité le protégerait de personnes malveillantes postant des photos à son insu et aiderait les personnes malvoyantes à comprendre les images…
Et quid de nos « amis » qui accepteront : qu’emporteront leurs données qui parlent de nos intimités, de nos chemins collectifs ? Qu’est-ce qui peut être vendu de nos vies d’humains, sans qu’aucun des utilisateurs sache exactement quelle part de ses relations alimentera la machine financière ? Notre vie sociale est tissée de nos relations, c’est pourquoi le consentement implique toujours, du fait même de la nature sociale des données, une dimension collective. Ce qui se joue, c’est l’enjeu de dignité et de résistance individuelle face à ces manipulations manifestes, mais c’est aussi un enjeu de « dignité collective », qui met au cœur du débat la solidarité entre usagers, via la protection mutuelle de nos intimités relationnelles. D’un côté, les GAFAM organisent une subordination d’usage des individus, pris dans un faisceau d’incitations caractérisant l’asymétrie exorbitante du rapport de forces entre plateformes et usagers. De l’autre, le RGPD vient acter en droit que le consentement individuel suffirait à renoncer à un débat collectif sur ce qui peut, dans nos vies, décemment, devenir une marchandise.
Quand bien même les plateformes auraient à redouter l’exercice du consentement individuel, elles disposent dans le RGPD d’une option redoutable pour mettre hors d’atteinte certains aspects essentiels de leur fonctionnement. Le texte prévoit en effet qu’une entreprise peut invoquer son « intérêt légitime » pour traiter des données sans avoir à recueillir le consentement des utilisateurs. Le texte précise qu’on ne devrait pas compromettre sur cette base les droits et libertés, mais il n’en donne pas de définition précise, ce qui laisse une marge de manœuvre considérable aux plateformes. Google affirme ainsi dans ses nouvelles conditions d’utilisation que le maintien de son modèle publicitaire relève de son intérêt légitime. Facebook va encore plus loin en revendiquant comme un intérêt légitime le fait de pouvoir « faire des recherches et innover dans le bien de tous » afin de « changer notre société et le monde de manière positive ». Habile manœuvre de l’entreprise pour laisser entendre que son intérêt légitime n’est pas uniquement son intérêt privé, mais qu’il s’identifie à l’intérêt général…
Le RGPD comporte donc plusieurs failles, mais cela ne signifie pas qu’il est automatiquement voué à l’échec, car une autre lecture du texte est possible. La notion de « consentement libre » notamment porte en elle un fort potentiel à condition de lui donner sa pleine signification. Le G29 regroupant les autorités de régulation européenne s‘est engagé dans cette voie en affirmant que le consentement ne peut être valide s’il est « conditionné », c’est-à-dire si l’individu risque de subir des conséquences négatives en refusant certains traitements. Cela interdit d’exercer sur lui un « chantage au service », comme l’ont fait par exemple Facebook, BlaBlaCar ou AirBnB en obligeant les utilisateurs à accepter certains traitements de données sous peine de ne plus pouvoir utiliser leur service après le 25 mai.
L’enjeu est d’empêcher que le consentement soit retourné contre les individus en les faisant participer à l’affaiblissement de leurs propres droits, et donc par extension, de nos droits collectifs sur les données. Or, protéger les individus placés dans un rapport de forces et de négociation défavorable est traditionnellement la fonction du droit social. Celui-ci affirme la dimension collective du consentement, qui trouve sa légitimité dans la délibération des objets et des enjeux de négociation. Son but est de garantir à la fois la dignité des personnes et de protéger la société d’un éclatement en autant de fragilités individuelles exploitées isolément. Le RGPD peut jouer un rôle similaire : la protection individuelle des données évoluerait alors vers une forme de « protection sociale » fidèle à l’impératif de protection de la dignité des personnes, mobilisée dans sa dimension collective.
Le contournement du RGPD n’est donc pas inéluctable, mais soyons lucide : ses potentialités resteront lettre morte si les citoyens ne font pas valoir cette lecture exigeante devant la CNIL et les tribunaux. Pour cela, le RGPD apporte une réelle innovation en ouvrant la possibilité d’exercer des actions de groupe permettant à des associations de porter des mandats confiés par des citoyens. La Quadrature du Net va engager de tels recours collectifs face contre les cinq GAFAM pour violation de l’obligation de recueillir le consentement libre et éclairé des utilisateurs et tous les citoyens peuvent s’y joindre jusqu’au 28 mai. C’est la condition sine qua non pour forcer les géants du Net à ne pas se contenter de changements cosmétiques de Conditions Générales d’Utilisation, mais à revoir en profondeur leur modèle pour respecter les droits fondamentaux.
A cette bataille d’interprétation est suspendue la capacité du RGPD à changer réellement le cours des choses en nous faisant sortir de la soumission collective pour partir à la reconquête effective de nos droits et libertés.
La vie privée informationnelle est appréhendée comme une forme de fraude pour un individu (jeune marié, chercheur d’emploi, assuré, etc.). Masquer des aspects de sa vie privée servirait à cacher certains « défauts » qui modifieraient, s’ils étaient dévoilés, les conditions des transactions qu’ils nouent avec les autres (mariage, contrat de travail, police d’assurance…). De la sorte, Posner fait un parallèle avec la notion de vice caché en droit commercial. La privacy serait une protection légale illégitime des pratiques fondées sur la tromperie en créant une rente de situation à l’avantage des individus bénéficiant d’une asymétrie informationnelle juridiquement protégée.
Vie privée = vice caché ? C’est ce que sous-entend le paragraphe ci-dessus extrait de l’ouvrage « Economie des données personnelles et de la vie privée » sur lequel je suis tombé par hasard sur Google Books en faisant une autre recherche. Il décrit les thèses sur la vie privée (privacy) du juriste américain Richard A. Posner, aujourd’hui juge à la Cour d’Appel des Etats-Unis, qui méritent que l’on s’y attarde. Car malgré leur outrance, ces idées ont contribué à façonner le monde dans lequel nous vivons, particulièrement en ce qui concerne l’environnement numérique.
Richard A. Posner. Image par chensiyuan. CC-BY-SA. Source : Wikimedia Commons.
La vie privée comme tromperie et dissimulation
Richard Posner est un des membres les plus éminents du courant Law and Economics (Analyse économique du droit) qui a vu le jour aux Etats-Unis dans les années 60 au sein de l’école de Chicago, véritable « incubateur » de la pensée néo-libérale. Cette doctrine se caractérise par sa volonté d’expliquer les phénomènes juridiques par le biais des concepts et méthodes de la science économique, notamment l’analyse avantage-coût. Dans cette perspective, une règle de droit ne vaut pas en elle-même, parce qu’elle serait dotée d’une force obligatoire, mais parce qu’elle permet aux acteurs d’atteindre un optimum de satisfaction. A l’inverse, ils peuvent choisir, quitte à payer des dommages-intérêts, de ne pas respecter une norme si celle-ci s’avère inefficiente d’un point de vue économique (théorie de «l’efficient breach of law»). Il en résulte que dans cette approche, le droit se dissout dans un « marché des normes » placées en concurrence, parmi lesquelles les acteurs choisissent pour maximiser leur utilité.
Célèbre ouvrage de Richard Posner, dont la première édition remonte à 1973 et qui a participé à l’édification du courant Law and Economics.
Le passage cité au début de ce billet correspond à des analyses que Richard Posner a produites au milieu des années 70, à une époque où la question de la privacy était fortement débattue dans les milieux juridiques aux Etats-Unis. On dit souvent en effet que la loi Informatique et Libertés du 6 janvier 1978 fut la première à protéger les données personnelles, mais en réalité les Etats-Unis avaient devancé la France avec l’adoption du Privacy Act en 1974.
C’est dans ce contexte que Posner applique les principes de la doctrine Law and Economics au concept de privacy pour aboutir à la conclusion que la protection de la vie privée ne peut qu’être néfaste au bien être global (voir aussi la vidéo après la citation, où il résume ce point de vue) :
Posner écarte toute autre définition de la privacy que celle de « dissimulation » et de « rétention » d’informations. Elle favoriserait l’exercice d’activités préjudiciables telle que la tromperie et la construction d’une réputation falsifiée propice à des activités illégales, inhiberait la prise de décision efficiente et empêcherait l’émergence d’un marché des données personnelles en augmentant les coûts de transaction.
Dans la vidéo ci-dessus, Posner analyse aussi sur une base économique le problème du Privacy Paradox, en vertu duquel les individus affirment généralement accorder une importance à leur vie privée, tout en se comportant en pratique de manière bien différente. Il explique qu’il en est ainsi parce que nous ne considérons pas la vie privée comme un bien en soi, mais nous ne lui reconnaissons qu’une valeur « instrumentale », liée à son utilité pour manipuler autrui :
La demande de vie privée augmente à mesure que les gens deviennent plus riches parce qu’elle a à leurs yeux une valeur instrumentale. Vous voulez contrôler les informations qui vous concerne. Cela vous permettra de faire des transactions avantageuses à titre personnel, professionnel et commercial avec d’autres personnes. Mais comme je l’ai dit, je ne pense pas que cela soit profondément ancré en nous. Je pense que c’est le propre de certaines époques et de certaines cultures. Et probablement parce que ce n’est pas profondément enraciné en nous, il se trouve que les gens, bien sûr, attachent une certaine valeur à la vie privée parce que c’est agréable de pouvoir dissimuler la part d’ombre en nous. Mais ils n’y attachent pas beaucoup de valeur, et cela se voit à notre comportement, à la façon dont nous renonçons à notre vie privée pour de très petits gains.
L’oeil omniscient du « marché social »
Un article daté de 1977 (The Right of Privacy) développe de manière détaillée ce point de vue, en se livrant à une critique acerbe du Privacy Act de 1974. Posner y met en balance deux besoins contradictoires, celui de discrétion (privacy) et celui d’indiscrétion (prying) pour la satisfaction desquels les individus sont prêts à supporter des coûts. C’est ce prisme « économiciste » qui l’amène à faire un parallèle entre la vie privée et la notion de vice caché du droit commercial, dans un passage particulièrement glaçant :
Une analogie avec le monde du commerce aidera à expliquer pourquoi les personnes ne devraient pas, pour des raisons économiques, avoir le droit de dissimuler des faits matériels à propos d’eux-mêmes. Il est admis qu’il serait incorrect (mais aussi inefficient) que la loi permette à un vendeur de proposer des marchandises en fournissant des informations fausses ou incomplètes sur leur qualité. Mais dans leurs relations sociales, les gens se « vendent » aussi eux-mêmes tout comme ils vendraient des biens. Ils prétendent adhérer à des normes élevées de comportements afin d’inciter les autres à entrer dans des relations sociales ou commerciales avec eux pour en retirer un avantage, mais en même temps, ils cachent certains faits qui seraient utiles pour se former une image précise de leur personnalité […] Tout le monde devrait être autorisé à se protéger de ce type de transactions désavantageuses en mettant à jour les faits cachés par les personnes et vérifier s’ils correspondent aux apparences qu’elles utilisent pour mettre en avant leurs qualités morales.
Calcul, dissimulation, tricherie : la vision des rapports sociaux selon Posner lorsque la loi protège le droit à la vie privée…
Pour Posner, le marché est nécessairement « total » : il embrasse l’ensemble des relations sociales qui sont comparables à des transactions commerciales s’effectuant sur un marché par assimilation des personnes à des biens qui se vendent. Dès lors, on comprend pourquoi il a recours à la comparaison entre la vie privée et les « vices cachés ». En droit commercial, la théorie du vice caché permet de contester la validité d’un contrat de vente lorsque le vendeur a dissimulé à l’acheteur des défectuosités du produit. De même, Posner considère que le client qui cache une maladie à sa compagnie d’assurance ou le fiancé qui ne parle pas de sa stérilité à sa future femme deviennent l’équivalent de « produits défectueux ». Protéger la vie privée par la loi reviendrait à entraver le libre jeu du « marché social » en le rendant inefficient, car les individus doivent alors supporter des coûts importants pour se procurer des informations sur autrui.
Si on y regarde bien, ce mode de raisonnement de Posner est révélateur d’une différence importante entre le libéralisme et le néo-libéralisme. Les tout premiers libéraux admettaient, et même valorisaient, les « vices privés » dans la mesure où c’est la poursuite par chacun de ses intérêts égoïstes qui constitue à leurs yeux le moteur de l’économie de marché. Dans sa célèbre Fable des abeilles, Bernard de Mandeville affirmait ainsi dès 1714 que les « les vices privés font la vertu publique». C’est ensuite cette idée qu’Adam Smith retranscrivit par la métaphore de la «main invisible du marché», mécanisme d’auto-régulation qui produit du bien public à partir du libre jeu des égoïsmes individuels. Avec Posner, « l’organologie » du marché change : comme l’efficacité économique commande que les femmes et les hommes deviennent des êtres transparents, il faut que la Main invisible mute en un Oeil omniscient, capable tel un dieu de mettre à jour la réalité des personnes derrière le voile des apparences sociales dont elles s’enveloppent.
L’oeil omniscient du marché qui peut encore vous voir même quand vous pensez vous rendre invisible…
Ces positions de Posner font étrangement écho à deux maximes couramment utilisées pour parler du numérique et de la vie privée : « si c’est gratuit, c’est vous le produit » et «je ne ne me soucie pas de ma vie privée, parce que je n’ai rien à cacher». Les « hommes transparents » qu’il appelle de ses voeux sont en réalité des « produits humains » s’échangeant sur un marché et ils ne doivent donc avoir « rien à cacher » pour permettre à ce marché social de fonctionner avec la plus grande efficience. Cette vision constitue en quelque sorte le stade ultime de la « transparence de l’information » dont la théorie libérale fait une condition de perfection de la concurrence.
L’être humain idéal selon Posner…
Le panoptique numérique, incarnation du rêve de Posner
La comparaison avec le numérique a du sens, car bien que son article « The Right of Privacy » ait été écrit en 1977, soit bien longtemps avant l’avènement de l’internet grand public, Posner prend en compte dans sa démonstration la question des médias :
Il y a apparemment très peu d’intimité dans les sociétés pauvres où les gens peuvent facilement observer directement la vie intime des autres. La surveillance personnelle est plus coûteuse dans les sociétés riches, à la fois parce que les gens vivent dans des conditions qui leur donnent une plus grande intimité et parce que la valeur (et donc le coût d’opportunité) du temps est plus forte et, à vrai dire, trop grande pour allouer trop de temps à l’observation de ses voisins. Les gens dans les sociétés les plus riches ont cherché une méthode alternative pour s’informer sur la vie des autres et c’est la presse qui remplit ce rôle. Une fonction légitime et importante de la presse est de fournir ces informations dans des sociétés où leur coût d’obtention directe est devenu trop grand.
Il consacre à ce sujet des développements au succès de la presse people dans laquelle il voit une réponse à cette « demande d’indiscrétion », dans un contexte où les coûts pour obtenir des informations confidentielles sont élevés. Mais l’avènement d’Internet – et surtout des réseaux sociaux – constitue un moyen de réaliser la société « panoptique » qu’il appelle de ses voeux, puisque malgré l’élévation du niveau de vie, les coûts pour avoir des informations sur autrui sont drastiquement abaissés, dès lors que chacun les révèle à son réseau « d’amis » virtuels. On retourne alors à la « vie de village » des sociétés traditionnelles, mais à une échelle cette fois bien plus grande.
Posner se réjouit de cette situation puisqu’elle tend à rendre les individus « transparents », mais aussi parce qu’elle instaure de nouvelles normes sociales qui diminuent la valeur que les individus accordent à leur vie privée :
Quand vous faites des achats en ligne, vous révélez d’énormes quantités d’informations aux vendeurs qui se les échangent ensuite entre eux. Si le gouvernement veut les obtenir d’eux, il le peut très facilement. En un clic d’achat sur Amazon, vous donnez à l’entreprise toutes les informations sur vos habitudes de lecture, puis ils créent un profil sur vous. Ils veulent juste vous vendre des livres ; ils ne fouillent pas. Mais ils utilisent cette information pour créer un profil politique ou culturel sur vous. Les gens se montrent prêts à renoncer à leur vie privée pour des gains assez modestes, comme la facilité de pouvoir passer commande en un clic.
[…] Il y a des initiatives pour renforcer le droit à la vie privée, mais elles sont balayées par la facilité avec laquelle nous abandonnons notre vie privée. Comme je l’ai dit, le fait que les gens y renonce pour des gains plutôt minimes est un signe qu’ils ne lui accordent en réalité par vraiment de valeur. Probablement parce que c’est un type de bien « relatif ». Si tout le monde cache beaucoup d’informations personnelles, alors vous seriez un peu idiot de ne pas faire de même, n’est-ce pas? Mais au fur et à mesure que de plus en plus de gens deviennent transparents, cela devient une sorte de norme sociale à laquelle vous avez tendance à vous conformer parce que les gens s’imitent les uns les autres.
Et puis, bien sûr, la vie privée peut être très dangereuse. Évidemment, si vous êtes un terroriste, vous allez accorder beaucoup d’importance à la vie privée. Donc, plus nous sommes nombreux à penser que la vie privée nous met en danger, plus les incitations économiques à abandonner la vie privée sont fortes.
Ces quelques phrases résument toute l’idéologie qui a conduit à la mise en place progressive de ce que Shoshana Zuboff et Aral Balkan appellent le capitalisme de surveillance, système dans lequel les grandes plateformes privées centralisées construisent leur modèle économique sur la collecte massive de données personnelles tout en collaborant avec les gouvernements pour faciliter la mise en oeuvre de politiques sécuritaires.
Adepte de la propriété sur les données personnelles (de père en fils…)
De manière assez logique, Posner soutient aussi la thèse de la «patrimonialité des données personnelles», dont il fut même l’un des premiers promoteurs. En effet, si les rapports sociaux fonctionnent comme un marché, alors il est logique d’accorder un droit de propriété privée aux individus sur leurs données personnelles afin qu’ils puissent les échanger comme des marchandises. Mais quand la loi protège la vie privée, Posner estime qu’elle crée l’équivalent d’un droit de propriété « imparfait », car elle donne aux individus un pouvoir de contrôle, mais sans la possibilité de céder ce droit contre rémunération (aliénation) :
Plus généralement, la privacy conférerait un droit de propriété inaliénable aux individus induisant une « restriction dans la collecte ou l’utilisation d’informations sur une personne ou une entreprise. » et réduirait « la quantité d’informations disponibles sur le marché, et de la sorte l’efficience allocative de ce marché, quel qu’il soit : travail, époux, amis ». Elle gênerait ainsi l’appariement optimal entre l’offre et la demande et serait source de gaspillage de ressources. A l’inverse, l’attribution de droits de propriété librement aliénables permettrait de résoudre les problèmes engendrés par la vie privée. Conformément aux résultats de la théorie des droits de propriété privée, le libre transfert des droits sur les données personnelles garantit qu’ils échoieraient à ceux qui les valoriseraient le plus et donc maximiserait la richesse sociale.
On voit donc la filiation qui peut exister entre le point de vue Law and Economics de Posner et la résurgence récente des thèses « patrimonialistes » sur les données personnelles (chez Génération Libre, par exemple). On notera d’ailleurs qu’Eric Posner, fils de Richard et juriste affilié comme lui à l’école de Chicago, a fait récemment paraître un livre qui défend l’idée d’établir un marché où les individus pourraient vendre leurs données personnelles. L’ouvrage s’intitule « Radical Markets : Uprooting Capitalism and Democracy for a Just Society » et il affirme que la plupart des problèmes que nos sociétés rencontrent pourraient être résolus si on étendait l’emprise des marchés à tous les aspects de la vie, y compris par exemple la crise de la démocratie en permettant une certaine forme de monétisation des voix électorales…
Transparence des humains, opacité des entreprises
Richard Posner serait donc à la rigueur disposé à admettre un droit à la vie privée s’il était construit comme un droit de propriété échangeable sur un marché. Mais son idéal consisterait à ce que le concept même de vie privée ne reçoive aucune reconnaissance juridique, du moins tant qu’il s’applique à des individus. Par contre, Posner recommande de protéger ce qu’il appelle la «commercial privacy», c’est-à-dire les informations confidentielles que peuvent détenir les entreprises, toujours au nom de la maximisation de l’efficacité économique :
L’intérêt d’encourager l’investissement dans la production d’informations utiles constitue le meilleur argument en faveur de l’octroi d’un droit de propriété sur les secrets. C’est la justification économique de la protection juridique dont bénéficient les informations commerciales couvertes par ce que l’on appelle le « secret des affaires ».
[…] La loi devrait en général accorder plus de protections aux entreprises privées qu’elle n’en accorde aux informations personnelles. Le secret constitue une méthode importante qui permet aux entrepreneurs de s’approprier les avantages sociaux liées aux informations qu’ils créent, alors que dans la vie privée, le secret est davantage susceptible de dissimuler des faits répréhensibles.
Pourtant, contrairement à cette analyse, la tendance observée dans la législation est de donner de plus en plus de protection à la vie privée des individus et d’en donner de moins en moins aux entreprises commerciales et aux autres organisations.
[…] Cette tendance est à l’opposé de ce que l’on pourrait attendre si les considérations d’efficacité économique motivaient la législation sur la vie privée.
Mais parler de « commercial privacy » est déjà en soi hautement problématique. Dans la logique de la législation européenne, telle qu’on la trouve dans la loi Informatique et libertés de 1978 et aujourd’hui dans le RGPD, le droit à la vie privée bénéficie toujours à des personnes physiques et pas à des personnes morales, qu’elles soient publiques ou privées. Celles-ci peuvent certes se prévaloir de différents types de secrets (secret défense, secret commercial, etc.) pour protéger certaines informations qu’elles détiennent, mais ils n’ont juridiquement pas la même nature que le droit à la vie privée qui reste réservé aux êtres humains.
Ce n’est pas la vision de Posner, pour qui la privacy est un concept susceptible de s’appliquer aussi bien à des corporations qu’à des individus. Or cela correspond à une véritable tendance dans la jurisprudence aux Etats-Unis où l’on commence à voir des jugements admettre que certains droits fondamentaux, comme la liberté d’expression, peuvent être reconnus à des entreprises, alors que jusqu’à présent seuls des humains pouvaient s’en prévaloir (voir à ce sujet la controversée décision Citizen United rendue par la Cour suprême US en 2010). Le juriste Alain Supiot dénonce fortement cette tendance des entreprises à « absorber » les droits individuels, car il estime que par ce biais les corporations deviennent des sortes de « golems » ou « d’anges » : des créatures immortelles, irresponsables et pouvant accumuler indéfiniment de la puissance.
« Business Angels » : ce mot prend un autre sens si l’on y voit la tendance des entreprises à se transformer en êtres surnaturels en « vampirisant » les droits fondamentaux des humains.
Le fait que Posner plaide en faveur d’une privacy pour les entreprises tout en déniant aux individus le droit de s’en prévaloir participe exactement de ce mouvement. Et on ne peut s’empêcher de penser à l’inquiétante directive européenne sur le « secret des affaires », en cours de transposition dans la loi française, qui s’inscrit dans cette tendance à la « fondamentalisation » des droits des entreprises. C’est grosso modo l’incarnation de la « commercial privacy » dont Posner parlait déjà dans son article de 1977.
***
L’idéologie de l’école Law and Economics a eu une puissante influence souterraine et il n’est pas interdit en particulier d’y voir une des causes de la dégradation de la vie privée dans l’environnement numérique. L’adoption par l’Union européenne du RGPD manifeste en revanche une certaine forme de résistance à cette logique de dissolution des droits fondamentaux dans les eaux glacées du calcul économique. Mais l’actualité donne aussi des exemples assez saisissants de l’emprise des idées véhiculées depuis plusieurs décennies par Posner.
Une pétition à signer pour exiger que l’audience de Zuckerberg au Parlement européen se tienne en public.
Suite au scandale Cambridge Analytica, Mark Zuckerberg a ainsi finalement accepté de venir comparaître devant une commission du Parlement européen, mais il a exigé que cette audition se tienne à huis clos, contrairement à ce qui s’était passé devant le Congrès américain. C’est la manifestation d’une « commercial privacy », qui va permettre à cette entreprise, construite sur la violation systématique de la vie privée des personnes, de continuer à « cacher ses vices » pour mieux tromper et manipuler, tandis que des milliards d’humains sont devenus «transparents» à ses yeux.
La semaine prochaine vont avoir lieu les Etats généraux du livre, organisés par le mouvement des « Auteurs en colère » à la suite des mobilisations #PayeTonAuteur qui ont éclaté depuis le début de l’année pour dénoncer la précarité croissante des créateurs dans le secteur de l’écrit. Un vent de colère souffle en effet depuis plusieurs mois dans la profession suite à plusieurs décisions gouvernementales, telle que l’augmentation de la CSG, qui ont fragilisé encore les personnes cherchant à vivre de leurs créations. Mais c’est la question des droits sociaux, et plus largement du statut social de l’auteur, qui constituera le sujet principal de ces journées.
Il me semble que les bibliothécaires ne devraient pas être absents de ces discussions et on peut même être assez surpris du silence de l’ABF (Association des Bibliothécaires de France) sur la question. C’est d’autant plus regrettable qu’il y a quelques mois, les auteurs s’étaient mobilisés de leur côté pour défendre la gratuité des lectures publiques en bibliothèque en s’opposant aux éditeurs qui voulaient soumettre ces usages collectifs à un paiement.
Or comme j’avais alors essayé de le montrer, on peut construire un lien entre le droit d’auteur, les droits culturels et les droits sociaux afin de repenser la question des solidarités entre les différents acteurs du livre. C’est sous cette angle que je souhaiterais contribuer par un texte aux débats qui auront lieu la semaine prochaine lors des Etats généraux du livre. A la demande de l’Alliance Internationale des Editeurs Indépendants, j’ai écrit un article traitant de ces questions, qui a été publié hier sur leur site. Il ne s’agit pas d’une position officielle de l’Alliance, mais plutôt d’une base de travail qui sera discutée parmi leurs membres, et au-delà, par tous ceux qui souhaiteraient se joindre à cette réflexion, à commencer bien sûr par les auteurs.
Voici la présentation de ce texte sur le site de l’Alliance, dont je vous invite à découvrir par ailleurs le travail remarquable autour du soutien à l’édition dans les pays en développement, la bibliodiversité ou la liberté d’édition.
Depuis plusieurs années, l’irruption du numérique bouleverse l’ensemble des filières culturelles et provoque un intense travail d’adaptation et de renégociation des règles de la propriété intellectuelle au niveau mondial. Les débats font rage entre les partisans d’un durcissement du régime de la propriété intellectuelle et ceux qui prônent au contraire un assouplissement en faveur des usages.
Alors que les discussions semblent dans l’impasse et menacent de créer de nouvelles divisions entre les différents maillons de la chaîne du livre, l’Alliance a demandé à Lionel Maurel, bibliothécaire, spécialiste de propriété intellectuelle et engagé dans le mouvement des communs, de réfléchir à la façon dont les éditeurs indépendants pourraient favoriser une sortie de crise des débats sur la propriété intellectuelle.
Selon lui, les récentes conversations qui se sont ouvertes autour de la question des droits culturels permettent d’aborder la question de façon renouvelée. En effet, en partant de l’idée d’inséparabilité des droits fondamentaux, il paraît possible de traiter comme un tout cohérent les droits d’auteur, les droits culturels et les droits sociaux. L’enjeu est de trouver une approche qui cesserait d’opposer les acteurs de la chaîne du livre, les uns aux autres, pour refonder des solidarités et permettre la conquête de nouveaux droits.
Par leur positionnement particulier, les éditeurs indépendants pourraient jouer un rôle important dans cette reconfiguration de la discussion collective dans le secteur du livre.
