Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

L’administration, au sens public du terme, prend tous les jours un certain nombre de décisions : lorsqu’elle accorde une allocation, lorsqu’elle retire un permis de conduire, lorsqu’elle accepte un·e étudiant·e dans une formation supérieure, lorsqu’elle est chargée d’appliquer une loi, etc. Décider est le quotidien de l’administration et administrer, nous dit le dictionnaire Larousse, signifie « diriger, gérer des affaires publiques ou privées ». La Constitution nous prévient également que « le Gouvernement détermine et conduit la politique de la nation » et « dispose de l’administration » (article 20). Le rôle de l’administration dans la conduite des affaires publiques est donc fondamental. À cette fin, son pouvoir de décision l’est tout autant.

Décider est donc une fonction intrinsèque à l’administration, mais décider n’est pas toujours le fruit d’un processus entièrement humain. L’administration s’est toujours dotée de règles, de documents, de cadres, pour décider, quand bien même aucune obligation ne le lui imposerait : ce pouvoir discrétionnaire dont jouit très souvent l’administration est limité par elle-même, c’est-à-dire qu’elle va décider que, parmi l’éventail de possibilités dans la prise de décision, elle en choisira une seule.

De plus, l’arrivée ces derniers temps d’un nouvel outil pour l’administration, l’algorithme, change radicalement la manière dont on peut concevoir la décision administrative. Skip Machine lave plus blanc que blanc ; l’algorithme décide plus efficacement que l’humain. Il en résulte un miracle : la décision administrative algorithmique. Le législateur est intervenu, pour répondre à un certain nombre de craintes. Mais la pratique administrative tend à contourner ces protections grâce à un nouvel outil, l’algorithme d’aide à la prise de décision.

Avant toute chose, il est nécessaire de s’entendre sur la notion de décision et celle d’algorithme. Nous entendons ici un algorithme (ou son équivalent juridique de « traitement algorithmique ») comme une suite d’opérations mathématiques avec en entrée plusieurs paramètres et en sortie un résultat unique (mais pas forcément reproductible, comme nous le verrons plus tard). Un algorithme n’a donc pas à être compliqué : un rapport sénatorial a ainsi pu comparer une recette de cuisine à un algorithme¹. Il ne s’agit pas forcément non plus d’un programme informatique ou de lignes de codes exécutables : un algorithme peut également être une séries de formules dans une feuille de calcul².

On classera toutefois les algorithmes en deux catégories : les algorithmes auto-apprenants et les autres. Les premiers (on parlera également d’« intelligence artificielle », de « machine learning » ou de « deep learning ») fonctionnent avec une phase d’apprentissage préalable. Dans un premier temps, l’algorithme auto-apprenant s’entraîne sur un jeu de données dont le résultat attendu est connu (par exemple : « cette image est un chaton » ou « cette image n’est pas un chaton ») et s’adapte en comparant ses résultats à ceux attendus. Une fois cette phase terminée, il est utilisé alors que le résultat attendu n’est pas connu (dans notre exemple, il sera censé distinguer les images de chatons des autres). Le résultat d’un algorithme auto-apprenant n’est pas reproductible puisqu’il dépendra de la phase d’apprentissage et de la qualité du jeu de données initial. Les autres algorithmes, ceux qui ne sont pas auto-apprenants, ont un résultat reproductible puisqu’il ne reposent pas sur une phase préalable d’apprentissage.

Une décision administrative, quant à elle, est un acte administratif (au sens de document émanant d’une administration ³) décisoire. Lorsque l’administration constate quelque chose (ce que font beaucoup d’autorités de régulation, par exemple), elle ne fait pas de choix et son acte n’est donc pas une décision.

Enfin, nous entendrons une décision administrative algorithmique comme un type de décision administrative dans laquelle un algorithme a été utilisé durant le processus de prise de décision. L’algorithme n’a pas à être le seul fondement à la décision pour que celle-ci soit qualifiable de décision administrative algorithmique. Il faut distinguer la décision algorithmique de l’algorithme d’aide à la prise de décision : le premier fonde la décision, le deuxième est utilisé en amont de la décision et ne la fonde alors pas.

Arrêtons-nous tout d’abord sur ce qui motive l’administration à utiliser des algorithmes (I). Voyons ensuite les barrières prévues par le droit pour les décision algorithmique (II) et comment l’administration les contourne grâce aux algorithmes d’aide à la prise de décision (III). Enfin, étudions les conséquences de ces algorithmes d’aide à la prise de décision sur nos droits fondamentaux (IV).
I. Un recours aux décisions algorithmiques de plus en plus important

Il est difficile – pour ne pas dire impossible – de systématiser l’utilisation d’un algorithme. L’administration n’est jamais tenue d’y avoir recours, ce n’est qu’une faculté (explicitement admise par la loi depuis 2016⁴).

En tout état de cause, lorsqu’elle y a recours, cela peut être pour atteindre deux objectifs. Premièrement, il peut s’agir d’une situation dans laquelle l’administration doit prendre beaucoup de décisions dans un laps de temps restreint. Elle veut alors accélérer la prise de décision. Dans ce cas, l’algorithme est souvent très simple et il s’agit principalement de décisions administratives individuelles (c’est-à-dire dont le destinataire est une personne nommée ou un groupe de personnes individualisées). Le cas des algorithmes locaux de Parcousup illustre parfaitement cette situation : les universités doivent, en quelques semaines, classer des milliers de candidatures en attribuant à chaque candidat un rang précis ; les algorithmes locaux de Parcoursup appliquent à l’ensemble des candidats une même règle pour donner in fine un rang à chaque candidature. Les algorithmes locaux de Parcoursup sont une simple feuille de calcul sur laquelle les commissions de classement ont donné une importance plus ou moins grande à certains critères académiques parmi ceux transmis par la plateforme aux universités (notes, appréciations, lycée d’origine, etc.⁵).

Deuxièmement, il peut s’agir de détecter ce que l’on estime impossible à trouver par une analyse humaine : il s’agit de la recherche de signaux faibles. Un signal faible est un élément tellement difficile à discriminer de la masse qu’un humain ne peut pas le faire : c’est l’aiguille dans la botte de foin. Dans cette situation, le recours aux algorithmes auto-apprenants est le plus souvent nécessaire. Par exemple, la surveillance algorithmique des réseaux de communication (parfois appelée « boîtes noires ») permises depuis la loi renseignement de 2015⁶ repose sur des algorithmes auto-apprenants dont le but est de détecter des risques à caractère terroriste qu’on estime indétectable par un analyste du renseignement.
II. L’algorithme comme fondement de la décision administrative : une protection théorique contre les abus de la décision administrative algorithmique

Ce panorama étant posé, une peur peut légitimement naître : comment être certain qu’un algorithme a pris la bonne décision ? Il est intellectuellement plus facile de contester une décision prise par un humain que de contester une décision prise par une machine dont l’aléatoire est réputé neutralisé.

Le droit offre un certain nombre de mesures protectrices – bien qu’insuffisantes en pratique – lorsqu’un traitement algorithmique a été le fondement d’une décision. Autrement dit, lorsque l’administration, pour prendre sa décision, se base sur les résultats d’un algorithme, le droit pose des limites. L’article L. 311-3-1 du code des relations entre le public et l’administration énonce ainsi le droit de se faire communiquer les « règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre »⁷ dans le cas d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique. Ainsi, lorsque l’administration prend une décision individuelle à l’aide d’un algorithme, un droit à se faire communiquer certaines informations sur l’algorithme naît au bénéfice du destinataire de la décision. Une forme de transparence est ainsi posée et d’elle découle une forme de contrôle sur la qualité de l’algorithme, donc de la décision qui en découle.

Le Conseil constitutionnel est également venu poser un garde-fou important à l’usage d’algorithmes dans les décisions administratives. Il a ainsi précisé que l’administration doit pouvoir expliquer et reproduire ses résultats : les algorithmes auto-apprenants sont donc théoriquement exclus de la prise de décision⁸.

Enfin, précisons également que le code source des algorithmes sont des documents administratifs au sens de la loi⁹. À ce titre, il est possible, en dehors des cas de décisions administratives individuelles, de se faire communiquer de tels documents¹⁰.
III. L’algorithme comme simple aide : l’absence de toute garantie contre les algorithmes d’aide à la prise de décision

La pratique administrative tend à exclure de plus en plus les algorithmes de la prise de décision. Si l’algorithme n’est plus considéré comme ayant fondé une décision, alors les limites posées (notamment l’interdiction de recourir à des algorithmes auto-apprenants donc aux résultats non reproductibles) n’existent plus du tout.

C’est ce qu’il se passe avec le recours des algorithmes dits « d’aide à la prise de décision ». Ces algorithmes sont utilisés bien en amont de la prise de décision : il s’agit de guider l’administration dans son action au quotidien, avant qu’une décision ne soit prise. On retrouve de tels algorithmes par exemple dans la lutte contre la fraude fiscale et douanière, dans la lutte contre le terrorisme, la police prédictive, etc.

Ces algorithmes d’aide à la prise de décision fonctionnent selon une même logique : une alerte ou une recommandation est levée par l’algorithme. Un·e agent de l’administration reçoit cette alerte ou cette recommandation, puis décide de prendre ou non une décision. Le fondement de la décision n’est donc plus l’algorithme, qui a seulement invité l’agent à s’intéresser à une situation particulière. L’algorithme d’aide à la prise de décision n’est plus au fondement de la décision, il est est détaché.

Ainsi, l’algorithme Paved (« plateforme d’analyse et de visualisation évolutive de la délinquance ») de la gendarmerie ne fait qu’afficher les zones à risques : il ne détermine pas les zones dans lesquelles les patrouilles seront positionnées. L’agent choisira seul·e de placer ses patrouilles dans les zones à risque ou non. Il en va de même pour les boites noires utilisées par les services de renseignement (cf. supra pour leur présentation) : elles ne lèvent qu’une alerte sur une potentielle menace, libre ensuite à l’analyste du renseignement de procéder ou non à une surveillance plus ciblée. Ce même fonctionnement vaut également pour les algorithmes de Bercy chargés de détecter les potentielles fraudes fiscales : les agents du fisc sont toujours libres de procéder ou non au contrôle fiscal.

Ces exemples sont réels et l’hypocrisie est flagrante. Si l’administration demande à un algorithme de l’aider, soit en augmentant le nombre de situations traitées, soit en détectant ce qu’un humain ne pourrait pas voir, pourquoi ne pas suivre ses recommandations ? On pourrait répondre que lorsqu’une alerte ou une recommandation est émise, l’agent pourrait refaire le traitement sur la situation spécifique afin de vérifier la qualité du résultat de l’algorithme. Cependant, premièrement, aucune obligation n’impose à l’administration une telle vérification. Deuxièmement, ce serait omettre les résultats négatifs qui impliquent une forme de validation de la situation par l’algorithme : passer à travers le filet ne serait-il pas une approbation donnée par l’algorithme ? Troisièmement, ce serait réduire drastiquement les gains de productivité demandés à ces algorithmes dans certaines situations, Quatrièmement, enfin, certains cas ne se prêtent tout simplement pas à une telle vérification, notamment lorsqu’il est demandé à l’algorithme de repérer les signaux faibles.

En réalité, lorsque une alerte ou une recommandation est levée par un algorithme d’aide à la prise de décision, l’administration se bornera à vérifier les erreurs grossières pour les cas positifs. Elle ne vérifiera jamais les résultats négatifs. L’humain chargé de réceptionner les alertes ou recommandations n’aura qu’un rôle de vérification a minima, au risque, autrement, d’aller à l’encontre des gains de production demandés. Le doute sera donc nécessairement au détriment de l’administré·e. Éventuellement, il peut être demandé à l’agent d’opérer un classement pour ne prendre en considération qu’un nombre limité de cas. On peut penser qu’un tel choix est fait dans les domaines où un contingentement existe en fait ou en droit (nombre limité de gendarmes mobilisables sur le terrain, quota de mises sous surveillance, etc.). Mais rien n’indique que ce choix ne soit pas dû au hasard (notamment lorsque l’humain n’est pas censé pouvoir apprécier la situation).
IV. Des conséquences négatives concrètes sur les droits fondamentaux

Le résultat de tout cela est assez décevant. D’une part, l’usage même de ces algorithmes d’aide à la prise de décision implique un droit à un recours effectif limité. Dès 2016¹¹, la Cour suprême du Wisconsin affirmait qu’il n’est pas possible de contester le résultat d’un algorithme d’aide à la prise de décision puisque seul l’humain a pris la décision : la seule décision attaquable devant un juge est celle prise par un humain, et elle seule, même si un algorithme a aidé à cette prise de décision. Il n’existe donc pas de recours direct contre ces algorithmes puisqu’ils sont passés par le truchement d’un humain avant la prise de décision en tant que telle.

Mais, même dans le cas des décisions administratives algorithmiques – c’est-à-dire celles dont le fondement est un algorithme, contrairement au cas des algorithmes d’aide à la prise de décision –, les droits fondamentaux sont limités. Dans ces situations, on se heurtera au pouvoir discrétionnaire de l’administration : l’administration, très souvent, a une large possibilité d’action (nous l’avons rappelé en introduction) et le rôle du juge se limite alors à vérifier l’absence d’« erreur manifeste d’appréciation », c’est-à-dire l’absence d’erreur grossière dans la décision. Une décision administrative algorithmique ne sera qu’une décision dans laquelle l’administration a voulu, de son chef, limiter son aléa. Mais la manière de le limiter, les paramétrages de l’algorithme, restent un choix qui n’est pas vraiment contestable puisqu’il entrera très souvent dans le champ du pouvoir discrétionnaire de l’administration. La transparence (lorsqu’elle est applicable) permettra à l’administré·e de vérifier ces erreurs grossières (on peut par exemple penser aux cas de discriminations), mais le doute se fera toujours au bénéfice de l’administration.

D’autre part, l’usage de tels algorithmes va de pair avec une augmentation du nombre de données traitées. Pour utiliser des algorithmes, encore faut-il avoir des informations pour les nourrir. L’administration est donc incitée à collecter et traiter de plus en plus de données. La récente volonté de Bercy de récolter les données publiques des réseaux sociaux n’est que le dernier exemple d’une liste très longue. Avec cette collecte, ce sont le droit à la vie privée et familiale ou encore le droit à la liberté d’expression et d’information qui se retrouvent limités¹².

Le résultat n’est pas réjouissant. L’administration se sert d’algorithmes, mais parfois tellement en amont dans son travail qu’il ne sont pas considérés comme ayant fondé la décision administrative, sapant au passage les garanties posées par le droit. Un problème de taille se pose : la notion de décision administrative, telle qu’elle est conçue aujourd’hui, a-t-elle encore une légitimité à l’heure des algorithmes ? Doit-elle évoluer pour réintégrer dans son champ les algorithmes d’aide à la prise de décision ?

<script type="text/javascript"> function footnote_expand_reference_container_16563_2() { jQuery('#footnote_references_container_16563_2').show(); jQuery('#footnote_reference_container_collapse_button_16563_2').text('−'); } function footnote_collapse_reference_container_16563_2() { jQuery('#footnote_references_container_16563_2').hide(); jQuery('#footnote_reference_container_collapse_button_16563_2').text('+'); } function footnote_expand_collapse_reference_container_16563_2() { if (jQuery('#footnote_references_container_16563_2').is(':hidden')) { footnote_expand_reference_container_16563_2(); } else { footnote_collapse_reference_container_16563_2(); } } function footnote_moveToAnchor_16563_2(p_str_TargetID) { footnote_expand_reference_container_16563_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.34 }, 380); } }

Le 11 janvier dernier, la commission LIBE du Parlement européen (pour Commission des libertés civiles, de la justice et des affaires intérieures) a voté le règlement sur le retrait des contenus « à caractère terroriste ». C’est la dernière étape avant le vote en plénière au Parlement, peut-être dès le mois d’avril.

Un silence assourdissant

Ce texte prévoit que n’importe quelle autorité d’un Etat membre de l’Union européenne puisse imposer à n’importe quel hébergeur sur Internet de retirer en une heure un contenu que cette autorité aura considéré comme étant à « caractère terroriste ». Concrètement, en France, cela permettra à la police de faire censurer en une heure n’importe quel texte ou vidéo sans l’autorisation préalable d’un juge.

Outre les dangers de surveillance et de censure politique que nous soulignons depuis plusieurs années, cette obligation de retrait en une heure est exactement celle qui, au sein de la loi Avia, a été censurée par le Conseil constitutionnel en juin 2020 dans le cadre de sa décision sur la loi Avia.

Le vote en commission LIBE de lundi ne donne pourtant lieu qu’à un silence assourdissant. Côté presse, la dernière actualité est celle d’un communiqué de l’AFP intervenu à la suite du compromis trouvé entre le Parlement et le gouvernement européens sur le texte. On y voit le gouvernement français se féliciter de cet accord, sans aucune mention du débat extrêmement vif qu’avait suscité la réplique de ce texte dans la loi Avia ni, évidemment, de la décision du Conseil constitutionnel de juin 2020.

À part ce communiqué, bien pauvre et partiel… rien. La suppression du compte de Donald Trump était manifestement un sujet plus léger et agréable à discuter que la censure de milliers de militants européens qu’il faudra redouter dès que l’ensemble du Web sera soumis à l’arbitraire de toutes les polices européennes.

Côté gouvernement par contre, on se félicite de cette situation. Que ce soit Clément Beaune, le secrétaire d’Etat aux affaires européennes, qui parle sans gêne d’une « avancée majeure, portée par la France ». Ou Emmanuel Macron qui se félicite de l’aboutissement d’un processus qu’il a engagé en 2017. Impossible aussi de ne pas mentionner les parlementaires français du Parlement européen qui se sont vantés de cette adoption, telles que Nathalie Loiseau et Fabienne Keller. Comme si tout l’appareil gouvernemental n’avait plus honte à admettre instrumentaliser l’Union européenne pour contourner la Constitution française et violer frontalement nos libertés.

Une saisine pour préparer le vote final

Nous avons donc décidé de saisir la Défenseure des droits sur ce sujet. Elle est en effet compétente pour veiller « au respect des droits et libertés par les administrations de l’Etat ». Or, le gouvernement français, et particulièrement le secrétaire d’Etat aux affaires européennes, Clément Beaune, a activement participé à faire avancer le processus d’adoption de dispositions déclarées en juin 2020 comme violant la Constitution.

Nous espérons également que, devant ce silence médiatique et ces abus anticonstitutionnels du gouvernement, toutes les organisations et journalistes qui étaient montés au créneau contre les dangers de la loi Avia feront de même sur ce dossier.

Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

« – Et que fais-tu de ces étoiles ?
(…)
Rien. Je les possède.
(…)
Mais j’ai déjà vu un roi qui…
Les rois ne possèdent pas. Ils « règnent » sur. C’est très différent. »

Antoine de Saint-Exupéry,
« Le Petit Prince », Chapitre XIII¹

Une donnée est une information. Dans l’environnement informatique, la donnée est constituée d’une séquence de chiffres. L’ordonnancement de ces chiffres leur confère un sens particulier. Mais, la donnée subsiste aussi indépendamment de son support informatique. L’information brute existe, indépendamment de tout encodage numérique.

Lorsque cette information est susceptible d’être reliée, directement ou indirectement, à une personne physique, elle constitue une donnée personnelle².

Les débats entourant le droit gouvernant les données personnelles voient régulièrement apparaître des propositions tendant à faire entrer ces données dans le champ du droit de propriété. Les positions les plus extrêmes, issues de cercles ultralibéraux, estiment même opportun de créer un droit de propriété privée sur les données personnelles afin que les individus puissent en négocier l’usage auprès des grands acteurs numériques contre une rémunération. Ces propositions sont présentées comme un moyen plus efficace de lutter contre le « pillage de nos données » que la législation actuelle en vigueur.

Pour séduisante qu’une telle proposition puisse paraître au premier abord, « l’application du concept de propriété est contestable philosophiquement et juridiquement, et n’apporte pas de réponses adéquates »³, ainsi que l’a parfaitement résumé la Commission nationale consultative des droits de l’homme (CNCDH).

Idée contestable (1) et efficacité hasardeuse (2), ce qui explique probablement pourquoi, au-delà de la CNCDH, nos institutions s’étant penchées sur la question ont, dans une rare unanimité – Conseil d’État⁴, CNIL⁵, CNNum⁶ –, rejeté l’idée de faire entrer les données personnelles dans le champ du droit de propriété. Il en va de même de la doctrine la plus éclairée en la matière⁷.

La Quadrature du Net rejette également la thèse de la patrimonialité des données personnelles. Elle considère que la protection de la vie privée et des données personnelles constitue un droit fondamental⁸ et que l’enjeu principal consiste à mettre fin à leur exploitation débridée, et non simplement à organiser une compensation monétaire par des tiers.

1.- Une idée contestable

En droit civil, la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements⁹. Ses attributs sont classiquement assimilés à l’usus (le droit d’user de la chose), le fructus (le droit de percevoir les fruits de la chose) et l’abusus (le droit de disposer de la chose, notamment par l’aliénation ou la destruction).

En l’état du droit, il n’existe aucun droit de propriété sur les données brutes¹⁰. Un droit sui generis est certes reconnu au producteur d’une base de données¹¹ lorsque la constitution, la vérification ou la présentation de son contenu atteste d’un investissement financier, matériel ou humain substantiel¹² sur le plan quantitatif ou qualitatif.

Mais la donnée en elle-même est insusceptible de faire l’objet d’un droit de propriété. À l’instar des idées, qui sont de libre parcours¹³], les données ne sont susceptibles de faire l’objet d’un droit de propriété incorporelle que lorsqu’elles constituent en réalité une œuvre de l’esprit, revêtant un caractère original¹⁴. Elles rentrent alors dans le champ du droit d’auteur.

Partant, les personnes physiques ne disposent d’aucun droit de propriété sur leurs données personnelles¹⁵.

Il est vrai que certains arrêts récents de la Cour de cassation ont pu faire planer un doute sur la possibilité, pour de simples données, de faire l’objet d’un droit de propriété¹⁶. Mais si le doute est toujours permis, il est probable que si la juridiction avait souhaité consacrer un changement aussi important de paradigme, en dehors de toute base légale, elle aurait destiné ses décisions à une plus grande publicité – au-delà de la seule publication au Bulletin – et certains auteurs y ont vu plus que ce qu’il fallait y voir.

Le droit de propriété est une formidable fiction, qui prend ses racines dans des temps immémoriaux et répond à un besoin social. Il s’agit d’une forme d’exercice du pouvoir sur une chose. Mais c’est loin d’être la seule.

Lorsque les pouvoirs publics lèvent des impôts, ils exercent leur pouvoir sur des individus, des biens et des activités. Pourtant, la nature du droit qui leur permet d’exercer ce pouvoir n’est pas un droit de propriété. Lorsque l’État exige des personnes résidant régulièrement sur son territoire de s’acquitter d’un impôt sur leurs revenus ; des propriétaires de biens immobiliers présents sur son sol, ou même des habitants résidant sur son territoire, de s’acquitter d’un impôt foncier ou local ; ou encore, que des droits de douane lui soient versés pour les marchandises traversant ses frontières, il exerce un droit qui n’est pas un droit de propriété.

De même, les liens réciproques entre l’État et les personnes disposant de sa nationalité, qui peuvent avoir des effets mutuels très importants – service militaire ou civique, protection consulaire, etc. – ne sont pas constitutifs d’un quelconque droit de propriété.

La conclusion s’impose rapidement : il existe d’autres droits, outre le droit de propriété, qui permettent d’assurer aussi bien, voire nettement mieux, des finalités variées. C’est ainsi que depuis 1978 – et la loi Informatique et Libertés -, le législateur a fait le choix de protéger les données personnelles en tant qu’élément de la personnalité des individus. Cette approche « personnaliste » imprègne également le RGPD (Réglement général sur la protection des données) adopté au niveau de l’Union européenne, dont les dispositions s’opposent frontalement à l’hypothèse « propriétariste ».
2.- Une efficacité hasardeuse

À l’échelle individuelle, les données sont dépourvues d’une valeur économique significative. C’est l’agrégation massive de données, à partir d’une granularité très fine, combinée à un traitement toujours plus rapide, à l’aide d’algorithmes de plus en plus sophistiqués et de machines de plus en plus performantes, qui permet de créer des modèles, d’anticiper et d’influencer les comportements. C’est ce pouvoir d’anticipation et d’influence qui confère une valeur économique aux données. Croire qu’un individu isolé pourrait retirer des revenus importants de la vente de ses seules données constitue donc une illusion et la légitimé économique de l’approche patrimoniale est pour le moins contestable¹⁷.

Le droit à la protection des données personnelles existe pour protéger les personnes dans des rapports asymétriques, notamment dans leur rapport avec les entreprises et avec les administrations. Il existe pour rééquilibrer des rapports de forces par essence très fortement défavorables aux individus.

Les mécanismes qui engendrent de la valeur à partir de la collecte et du traitement des données personnelles sont, en pratique, bien souvent illégaux et contraires aux droits fondamentaux. En l’état actuel du droit, lorsqu’une personne consent à ce que l’on utilise des données la concernant, elle conserve un certain nombre de droits (accès, rectification, opposition, effacement, etc.), notamment celui de délimiter l’autorisation accordée à une finalité précise. Dans un système où les données seraient « vendues », ces facultés des individus à contrôler seraient affaiblies, puisque la transaction organiserait un transfert de propriété.

Se placer sur le terrain de la compensation monétaire équivaut donc en réalité à abdiquer ses droits fondamentaux. Doit-on accepter que les droits à la vie privée et à la protection de ses données personnelles soient rétrogradés du rang de droits fondamentaux à de simples biens échangeables sur un marché ?

Les données personnelles existent à la frontière de l’être et de l’avoir¹⁸. Elles constituent un attribut de la personnalité, une émanation immatérielle de l’individu, une prolongation incorporelle de soi-même.

Ces données revêtent, en outre, un caractère dual, janusien : elles oscillent entre intimité et sphère sociale. On occulte en effet bien trop souvent la dimension collective des données personnelles. Ou plutôt, leurs dimensions collectives : médiates et plus immédiates.

La première concerne par exemple nos données génétiques, susceptibles de révéler des informations sur nos parents, mais aussi sur l’humanité tout entière¹⁹. Au-delà des données génétiques, il s’agit encore de données plus triviales, mais qui, dès lors que massivement agglomérées et traitées, permettent d’établir des « modèles » susceptibles de révéler des informations parfois très intimes sur des tiers.

La seconde concerne plus largement l’ensemble des données qui permettent d’être reliées, directement, à plusieurs personnes. À titre d’exemple, on pourrait citer un accident de voiture entre deux véhicules ou un rendez-vous entre deux personnes, l’un et l’autre susceptibles de révéler une multitude d’informations, parfois très précises, sur l’ensemble des protagonistes.

Aussi, contrairement à cette première intuition qui nous anime, les données personnelles ne sont que bien rarement strictement individuelles. Bien souvent, il s’agit en réalité de données collectives, sociales, à même de révéler des informations extrêmement précises et nombreuses, souvent intimes, sur une multitude d’individus. La voie de la patrimonialisation des données personnelles reviendrait à reconnaître un droit de propriété sur une chose qui ne nous appartient pas en propre.

Nos données personnelles permettent de tracer nos « graphes sociaux »²⁰, d’y entrelacer des nœuds et d’esquisser les liens entre eux. C’est d’ailleurs pour avoir compris l’importance de cette dimension réticulaire des données personnelles que des entreprises comme Google ou Facebook ont pu construire leurs empires grâce à la publicité ciblée. Les données permettent de tisser la trame de nos sociétés et de nouer les points aux carrefours desquels nos relations sociales s’entrecroisent, en sorte qu’il s’agit de véritables « coordonnées sociales »²¹.

Si le droit actuel arrive à saisir les données personnelles dans la relation à l’individu, il reste encore assez largement impuissant à reconnaître et à protéger ce qui en fait la dimension collective. Contrairement à ce que soutient la thèse « patrimonialiste », renforcer encore l’approche individualiste en créant un droit de propriété privée ne constituera pas une solution, mais renforcera encore le problème.

Céder nos données reviendrait en réalité à vendre les clés permettant de nous emprisonner dans des bulles de filtre, de capter notre attention afin d’influencer notre perception de la réalité et, in fine, d’influer sur notre comportement à des fins marchandes, voire sociales et même politiques²².

Modéliser des comportements. Les anticiper. Et, surtout, les influencer. D’abord, afin d’engendrer un acte économique : l’achat. Ensuite, un acte social : gommer les comportements sociaux considérés négatifs ou favoriser ceux que l’on considère positifs. Ou enfin, un acte politique : le vote.

Justifier de telles pratiques pourrait bien saper les fondements mêmes de notre société, de nos démocraties et de nos États de droit²³.

Le marketing économique, la publicité marchande, la propagande politique existent certes depuis des temps immémoriaux. Il est probable que ces activités aient toujours existé dans l’ombre de l’humanité. Mais l’ampleur, la puissance, l’efficacité de ces phénomènes n’ont probablement jamais été aussi importantes.

Face à ces enjeux, l’approche de la Quadrature du Net consiste à rester fidèle à la vision philosophique qui conçoit la protection des données comme un droit fondamental de la personne humaine, tout en ayant conscience de l’importance de nous organiser collectivement pour faire valoir ces droits. C’est la raison pour laquelle l’association, dès l’entrée en vigueur du RGPD, a lancé une série d’actions de groupe, mobilisant plus de 12 000 citoyens pour réclamer le respect de nos droits face aux pratiques des GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

Ces recours collectifs, qui ont été rendus possibles par le RGPD, sont une manière de faire corps ensemble pour le respect de nos droits, mais ils restent encore davantage une agrégation de demandes individuelles plus qu’une défense de la dimension collective des données. Pour aller plus loin et faire évoluer le droit, il devient de plus en plus urgent de reconnaître un droit à l’interopérabilité, qui permettrait aux internautes de quitter les plateformes dominantes et rejoindre des alternatives plus respectueuses de leurs droits, tout en continuant à communiquer avec leurs contacts. Une telle évolution permettrait de protéger les données, non plus uniquement en tant que relation à soi, mais aussi comme relation aux autres.

***

Nos données personnelles nous définissent. Elles révèlent notre intimité la plus profonde.

Les effets néfastes de la théorie propriétariste sont légion²⁴.

Il y a un peu plus de 40 ans, à l’heure où l’informatique en était encore à ses prémisses, le législateur eu la sagesse de proclamer, à l’orée de la première loi relative à l’informatique, aux fichiers et aux libertés, que l’informatique devait être au service de chaque citoyen, sans porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques²⁵.

Au lieu de s’aventurer avec légèreté sur les terra incognita de la patrimonialisation de nos données personnelles, il serait préférable de s’interroger sur ce qui serait inévitablement défait pour tenter, probablement en vain, de poursuivre des finalités qui peuvent être atteintes par des voies plus sûres.

<script type="text/javascript"> function footnote_expand_reference_container_16558_2() { jQuery('#footnote_references_container_16558_2').show(); jQuery('#footnote_reference_container_collapse_button_16558_2').text('−'); } function footnote_collapse_reference_container_16558_2() { jQuery('#footnote_references_container_16558_2').hide(); jQuery('#footnote_reference_container_collapse_button_16558_2').text('+'); } function footnote_expand_collapse_reference_container_16558_2() { if (jQuery('#footnote_references_container_16558_2').is(':hidden')) { footnote_expand_reference_container_16558_2(); } else { footnote_collapse_reference_container_16558_2(); } } function footnote_moveToAnchor_16558_2(p_str_TargetID) { footnote_expand_reference_container_16558_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.34 }, 380); } }

Lundi, la commission LIBE (pour Commission des libertés civiles, de la justice et des affaires intérieures) du Parlement européen a voté le règlement dit « anti-terroriste ». Ce nouveau règlement obligera l’ensemble des acteurs de l’Internet à censurer en une heure n’importe quel contenu signalé comme « terroriste » par la police, et ce sans intervention préalable d’un juge.

Comme nous le répétons depuis maintenant deux ans :

• Le délai d’une heure n’est pas réaliste, seules les grosses plateformes seront en mesure de se conformer à une telle obligation;
• La menace de lourdes amendes et l’impossibilité pratique de se conformer aux ordres de retrait obligera les acteurs du web à censurer de manière proactive tout contenu potentiellement illégal en amont, en utilisant les outils automatisés de surveillance de masse développés par Google et Facebook;
• Ce pouvoir donné à la police, sans contrôle préalable d’un juge pourrait mener à la censure d’opposants politiques et de mouvements sociaux;
• Le texte permet à une autorité de tout État membre d’ordonner le retrait d’un contenu hébergé dans un autre État membre. De telles mesures transfrontalières sont non seulement irréalistes, mais ne peuvent qu’aggraver le danger d’une censure politique de masse

.

Surtout, en juin 2020, le Conseil constitutionnel a censuré une disposition (parmi beaucoup d’autres) de la loi Avia qui prévoyait la même obligation de retrait en 1 heure de contenus notifiés comme « terroristes » par la police. Il a jugé qu’une telle obligation constituait une atteinte disproportionnée à la liberté d’expression et de communication.

Les membres de la Commission LIBE ont néanmoins voté le texte. Les députés européens, et spécifiquement les députés français, ont donc voté en toute conscience un texte déclaré anticonstitutionnel en France. Ils devront en porter toute la responsabilité.

Nous travaillons sur ce texte depuis sa présentation en septembre 2018. Le vote d’hier était une étape importante dans le processus de son adoption, et donc une défaite pour la lutte contre la censure et la surveillance sur Internet. Ce vote a eu lieu sans aucun débat ou vote public (les résultats précis n’ont toujours pas été publiés).

La prochaine étape sera le vote en plénière au Parlement européen. Nous sommes prêts pour continuer la bataille contre ce texte et demander son rejet.

Lundi 11 janvier, la commission LIBE (pour Commission des libertés civiles, de la justice et des affaires intérieures) du Parlement européen va voter sur le règlement dit « antiterroriste ».

Ce texte (disponible ici en anglais, version non consolidée) vise à soumettre l’ensemble des acteurs de l’Internet à des obligations aussi strictes qu’absurdes.

La principale obligation sera de permettre aux autorités de n’importe quel État membre de l’Union européenne (que ce soit la police ou un juge) de demander le retrait de n’importe quel contenu qu’elle considère comme « terroriste » à un acteur du Web dans un délai d’une heure.

La loi Avia prévoyait l’exacte même obligation et le Conseil constitutionnel l’a censuré en juin dernier. Cette victoire nous avait laissé espérer que le texte européen soit profondément modifié. Ce n’est pourtant pas le cas. Après sa défaite nationale, le gouvernement français démontre clairement vouloir utiliser l’Union européenne pour faire passer des textes anticonstitutionnels.

Introduit en septembre 2018 par la Commission européenne, le règlement antiterroriste a été adopté en décembre 2018 par le Conseil de l’Union européenne puis adopté en première lecture par le parlement européen en avril 2019. Après des négociations en trilogue (entre les trois institutions européennes), il est maintenant de retour devant le Parlement pour un dernier vote (vous pouvez retrouver le bilan de nos actions sur ce texte en avril 2019 ici).

La Quadrature du Net a envoyé le message suivant aux membres de la Commission LIBE pour leur demander de rejeter ce texte.

—

Chers membres de la Commission LIBE,

Lundi 11 janvier prochain, vous allez voter sur le règlement « relatif à la prévention de la diffusion des contenus à caractère terroriste en ligne ». Nous vous demandons de rejeter ce texte dangereux qui ne pourra que conduire à une surveillance massive de nos communications en ligne et à une censure privée et automatisée de l’information.

En premier lieu, ce texte imposera à tout acteur du Web de bloquer en une heure n’importe quel contenu signalé comme « terroriste » par un juge ou par la police. Les exceptions prévues dans ce texte sont purement hypothétiques et ne protégeront pas en pratique nos libertés.

Le délai d’une heure est irréaliste et seule une poignée d’acteurs – les géants du Web – pourront respecter des obligations aussi strictes. La menace de lourdes amendes et l’impossibilité pratique de se conformer aux ordres de retrait obligera les acteurs du web à censurer de manière proactive tout contenu potentiellement illégal en amont, en utilisant les outils automatisés de surveillance de masse développés par Google et Facebook.

En France et dans d’autres pays membres de l’Union européenne, ce pouvoir sera donné à la police, sans contrôle préalable d’un juge. Un tel pouvoir pourrait mener à la censure d’opposants politiques et de mouvements sociaux.

En France, cette même disposition, obligeant des acteurs de l’Internet à retirer en une heure un contenu considéré comme « terroriste » par la police, a été considérée contraire à la Constitution en juin 2020. Le Conseil Constitutionnel a jugé qu’une telle obligation constituait une atteinte disproportionnée à la liberté d’expression et de communication. L’adoption de ce texte serait faite donc en violation de la Constitution française et conduirait à amoindrir considérablement la confiance dans l’Union européenne.

En second lieu, le texte sur lequel vous devez vous prononcer est bien différent du texte adopté par le Parlement européen en avril 2019. L’article 4 permet ainsi à une autorité de tout État membre d’ordonner le retrait d’un contenu hébergé dans un autre État membre. De telles mesures transfrontalières sont non seulement irréalistes, mais ne peuvent qu’aggraver le danger d’une censure politique de masse.

Demander aux membres du Parlement de voter dans un délai aussi court et sur un texte aussi important ne peut que vous encourager à rejeter ce texte et à exiger, sur des questions aussi complexes, un débat véritablement démocratique.

Les idéologies meurtrières ne peuvent être combattues que par des changements structurels et sociétaux. Ce texte joue sur la peur du terrorisme pour mieux contrôler la liberté d’expression sur Internet et limiter les oppositions politiques.

La Quadrature du Net vous demande de rejeter ce texte.