Evgeny Morozov et le « domaine public » des données personnelles

Au début du mois, l’essayiste biélorusse-américain Evgeny Morozov a donné une interview pour l’émission Soft Power, dans laquelle il résume de manière intéressante les positions assez iconoclastes qu’il défend à propos des données personnelles. Là où les militants numériques mettent l’accent sur la défense de la vie privée, Evgeny Morozov explique que l’enjeu principal est d’ordre économique et que le bras de fer avec les géants du numérique (GAFAM et autres) passe par le fait de considérer les données personnelles comme un « bien public » et de les faire relever d’un « domaine public ». C’est une idée qu’il avait déjà avancée dans un article remarqué paru dans le Guardian en décembre 2016, traduit en français par le Monde Diplomatique sous le titre «Pour un populisme numérique (de gauche)».

Voilà ce qu’il en dit dans son interview à Soft Power (je retranscris ses propos) :

Je défends cette solution [du domaine public des données personnelles] parce que je ne pense pas qu’on puisse régler tous les problèmes que posent Google, Facebook et autres en utilisant les outils traditionnels de régulation du marché, c’est-à-dire en leur faisant payer des taxes et en mettant en place des lois anti-trust […] Cette industrie digitale a le pouvoir de transformer en profondeur tous les autres marchés, il serait naïf de croire que les données ne vont pas bouleverser fondamentalement les domaines de la santé, des transports, de l’éducation, etc. Autant accélérer ce processus d’automatisation et d’analyse des données, car tout n’est pas négatif. Il n’y a rien de mal à ce que bientôt les cancers soient dépistés plus tôt grâce aux données, mais nous ne devons pas le faire en donnant autant de pouvoir à des entreprises de la Silicon Valley qui sont détenues par quelques milliardaires.

La valeur principale à laquelle il faut s’attaquer, c’est la donnée. Si vous contrôler les données, vous pouvez développer l’intelligence artificielle, ce qui ne veut pas dire que les entreprises privées n’aient pas un rôle à jouer là-dedans. On peut tout à fait imaginer que les données soient dans le domaine public et que les entreprises puissent s’en servir en payant une licence. Il y a des pays où cela fonctionne comme cela avec les terrains. La terre appartient à l’Etat : vous ne pouvez pas en être propriétaire, mais vous pouvez la louer pour la cultiver et en faire quelque chose.

Ce système où les données seraient dans le domaine public aurait aussi l’avantage de démocratiser vraiment l’innovation. Aujourd’hui, on nous fait croire que l’innovation est à la portée de tous, mais ce n’est pas vrai. Vous avez quatre ou cinq entreprises aujourd’hui qui décident de qui peut innover et qui ne peut pas. Vous pouvez tout à fait développer une application rigolote dans votre garage, mais vous n’aurez jamais le pouvoir de construire des voitures autonomes ou d’inventer un système qui permet de détecter le cancer, puisque vous n’avez pas accès aux données.

Un système dans lequel les données appartiennent à la communauté permet à tout un chacun de se saisir de ces données pour en faire quelque chose. Même au niveau local, à l’échelle d’un quartier, pour mieux cibler les politiques publiques, je ne vois pas pourquoi toutes ces données devraient passer nécessairement par une grande entreprise aux Etats-Unis, qui les utilise pour créer de l’intelligence artificielle à grande échelle et en tirer de l’argent.

Il y a beaucoup de choses à dire sur ces différentes propositions, mais je voudrais commencer par souligner l’impression « épidermique » que doit ressentir toute personne qui entend pour la première fois l’expression « domaine public des données personnelles ». En droit de la propriété intellectuelle, le domaine public constitue ce statut auquel les œuvres accèdent à l’issue de la période d’exclusivité, pour devenir librement réutilisables (moyennant le respect du droit moral), y compris à des fins commerciales. Dès lors, dire que l’on veut faire entrer les données personnelles dans un « domaine public » est de nature à susciter un certain malaise, car on voit mal comment les données personnelles, qui touchent à la vie privée des individus et à leur intimité, pourraient relever d’un tel droit d’usage généralisé. Mais ce n’est pas vraiment à cette « métaphore » du domaine public de la propriété intellectuelle qu’Evgeny Morozov rattache ses propositions. Ce qu’il décrit ressemble davantage au régime dit de la domanialité publique, qui régit les biens possédés par les personnes publiques. C’est le système qui s’applique notamment à l’occupation des trottoirs et des places publiques par des commerces (occupation temporaire du domaine public), moyennant des conditions à respecter et le versement d’une redevance.

Dans ce billet, en combinant ce qu’a dit Morozov sur Soft Power et son article dans le Guardian, je voudrais montrer qu’il propose en réalité une sorte de régime « hybride » empruntant à la fois des éléments à la domanialité publique et à la propriété intellectuelle, tout en s’inspirant de certains mécanismes des licences libres. Je voudrais aussi rappeler que, contrairement à l’idée intuitive que l’on s’en fait, le régime original des données personnelles, tel qu’il résulte de la loi Informatique & Libertés de 1978, instaurait bien déjà une forme de domaine public. J’essaierai ensuite d’expliquer en quoi l’évolution du droit des données personnelles, notamment avec le RGPD (Règlement Général de Protection des Données), s’écarte de cette conception initiale par la place qu’il accorde désormais au consentement de la personne. Et je terminerai en me demandant si les militants numériques n’ont pas stratégiquement intérêt à s’intéresser à cette question du « domaine public des données personnelles », notamment parce qu’elle permet de reconsidérer en profondeur ce qui constitue une des grandes faiblesses de leur approche : la prise en compte des rapports entre l’individuel et le collectif.

Un régime « hybride », inspiré de la domanialité publique

Pour illustrer son propos, Evgeny Morozov prend l’exemple du régime de propriété foncière de certains pays reconnaissant l’existence d’une propriété collective du sol. C’est le cas notamment au Viet-Nam encore aujourd’hui où la terre est considérée comme «la propriété du Peuple tout entier», avec une gestion confiée à l’Etat. Celui-ci délègue aux habitants et aux entreprises des droits d’usage foncier, qu’il peut soumettre à conditions pour garantir des intérêts nationaux. On a aussi un exemple proche en Bolivie, où la Constitution prévoit depuis 2009 que les ressources naturelles du pays relèvent d’une «propriété sociale, directe, indivisible et imprescriptible du peuple». Sans aller jusqu’à ces formes poussées de collectivisation, il existe déjà chez nous un « domaine public » qui fonctionne d’une manière assez similaire à ce qu’Evgeny Morozov préconise pour les données personnelles.

Un régime de « domanialité publique » s’applique en effet à une partie des biens appartenant aux personnes publiques, lorsque celles-ci les affectent « à l’usage direct du public ». Ils deviennent alors « inaliénables » (la personne publique ne peut plus les vendre ou les donner) et elle doit utiliser ses prérogatives pour garantir que ces biens restent bien ouverts « à l’usage de tous ». C’est notamment le statut des places publiques, des trottoirs et des autres voies de circulation publique. Lorsque quelqu’un souhaite faire un usage « privatif » de ce domaine public, qu’ils s’agissent de citoyens dans le cadre d’une manifestation par exemple ou de commerces comme un café souhaitant installer une terrasse sur un trottoir, il faut se tourner vers la personne publique en charge du bien pour lui demander une « Autorisation d’Occupation Temporaire » du domaine public. La collectivité délivre alors une autorisation qu’elle peut soumettre au respect de certaines conditions, en contrepartie du versement d’une redevance en cas d’activité commerciale.

Ce domaine public du droit administratif est donc un « domaine public payant » et il correspond assez bien à ce qu’Evgeny Morozov propose, puisque l’un de ses buts est de faire payer les grandes entreprises numériques pour l’usage des données personnelles. Il se rapproche ici aussi de certaines propositions émises par le passé, comme celle qui figurait dans le Rapport Colin & Collin publié en 2012 sur la fiscalité du numérique. Il y était suggéré de créer une taxe « base de données » sur les bénéfices réalisés sur le territoire français par les entreprises de l’économique numérique qui collectent et utilisent des données personnelles. Plus exactement, il s’agissait de s’inspirer de la taxe carbone et du principe « pollueur-payeur » pour moduler le paiement en fonction des bonnes pratiques mises en oeuvre par ces entreprises en matière de respect des droits fondamentaux, ainsi que de frapper plus lourdement celles qui « exercent une forme de captation exclusive des données qu’elles collectent ».

On va voir que ce souci d’éviter la captation exclusive existe aussi chez Evgeny Morozov, mais d’une manière encore plus forte, et que cela le conduit à rapprocher ses propositions du domaine public de la propriété intellectuelle, voire même de certains mécanismes des licences libres.

Mettre les données personnelles dans un « domaine public viral » ?

Ce problème de l’appropriation exclusive des données personnelles est au cœur du propos d’Evgeny Morozov dans l’article « Pour un populisme numérique (de gauche) » :

Un bien meilleur programme pour les populistes de gauche serait d’insister sur le fait que des données sont un bien essentiel, infrastructurel, qui devrait nous appartenir à tous ; elles ne devraient pas tomber entre les mains des sociétés. On permettrait bien sûr à celles-ci de les utiliser pour élaborer leurs services, mais une fois seulement qu’elles auraient payé leur dû. La possession de ces données — de même que l’IA avancée développée grâce à elles — devrait toujours relever du domaine public. De cette façon, les citoyens et les institutions s’assureraient que les compagnies ne nous prennent pas en otage, en nous imposant des droits d’accès à des services que nous-mêmes avons contribué à produire. Au lieu de payer à Amazon un droit d’accès pour utiliser ses capacités en IA — élaborées à partir de nos données — nous devrions réclamer à Amazon de nous payer ce droit.

On retrouve dans ce passage l’idée, qui existe aussi dans la domanialité publique, que si les données personnelles, prises dans leur globalité, constituent un « bien public » ou « infrastructurel », alors celui-ci doit posséder la qualité de « l’inaliénabilité ». Sauf que pour Morozov, l’aliénation à éviter en matière de données personnelles n’est pas uniquement liée à la revente, mais plutôt une question d’accès et d’usage. Ce qu’il propose, c’est que les entreprises collectant des données personnelles ne puissent pas interdire à des tiers – et notamment à d’autres sociétés – d’y accéder et de les réutiliser, de même que d’autres acteurs, comme les chercheurs ou des personnes publiques, qui voudraient les utiliser pour des raisons d’intérêt général.

L’inaliénabilité prend ici la forme d’un « accès garanti » et d’un droit d’usage général, qui doit toujours rester effectivement ouvert. D’une certaine manière, le « domaine public » de Morozov se rapproche des mécanismes de Copyleft ou de Share Alike (Partage à l’identique) que l’on trouve dans les licences de logiciels libres. Une licence comme la GNU-GPL impose par exemple que le code source du logiciel soit toujours maintenu accessible pour que des tiers puissent l’étudier et que le droit d’usage initialement conféré par la licence ne soit jamais supprimé, même par un acteur qui aurait produit une version dérivée ajoutant de la valeur au code original. Le domaine public de Morozov est donc de ce point de vue un « domaine public viral », qualité que ne possède pas le domaine public classique de la propriété intellectuelle : un éditeur qui réalise une nouvelle traduction d’une oeuvre littéraire appartenant au domaine public a par exemple le droit de lui réappliquer un droit exclusif en la soumettant à un régime de « copyright : tous droits réservés ».

Or ici, Morozov dit bien qu’une entreprise qui collecte des données personnelles ne devrait plus pouvoir empêcher leur réutilisation, ce qu’elle est pourtant actuellement fondée à faire en utilisant son droit de producteur de base de données ou des restrictions contractuelles fixées par ses CGU. Plus encore, Morozov ajoute «l’IA avancée développée grâce [aux données personnelles] — devrait toujours relever du domaine public», ce qui correspond à cette idée de « viralité » que l’on retrouve dans les licences libres. Non seulement, les bases de données constituées par les entreprises devront rester ouvertes, mais tout ce qu’elles seront capables de créer à partir des données personnelles, comme les logiciels d’Intelligence Artificielle, devront aussi être mis en partage. La qualité « d’inaliénabilité » des données personnelles se « communiquerait » donc par héritage à tout ce qui serait produit en les utilisant comme source.

Concrètement pour les bases de données, cela signifie que sous un tel régime, des plateformes comme Facebook, Twitter ou LinkedIn seraient obligées de mettre en place des API ouvertes permettant à des tiers d’utiliser les données sur lesquelles elles s’appuient. Certaines d’entre elles le font déjà, mais souvent en appliquant des restrictions techniques et contractuelles qui limitent ce droit de réutilisation, avec parfois même de brusques retours en arrière comme Twitter en a donné l’exemple. Pour Evgeny Morozov, un « domaine public des données personnelles » ne peut au contraire exister que si un système généralisé d’API ouvertes est mis en place entre les plateformes sans qu’elles puissent s’y dérober.

Notez que juridiquement, on trouve déjà dans notre droit, notamment depuis la loi République numérique, des éléments embryonnaires qui commencent à aller dans cette direction d’un « domaine public des données ». C’est le cas notamment pour les données de la recherche, avec une disposition qui interdit aux éditeurs scientifiques de restreindre la liberté de réutilisation de ces informations lorsqu’elles leur sont transmises avec un article scientifique et neutralise les cessions exclusives de droits qu’ils auraient pu obtenir. Par ailleurs, la loi République numérique a aussi consacré une exception au droit des bases de données en faveur du Text & Data Mining, qui va imposer aux éditeurs scientifiques de garantir aux chercheurs un accès à leurs bases afin de pouvoir se livrer à des activités de fouille de données. Le « domaine public des données » de Morozov pourrait se concrétiser par des mécanismes similaires : neutralisation du droit des bases de données et des restrictions contractuelles + obligation de garantir sur le plan technique un droit effectif de réutilisation par le biais d’API ouvertes.

La loi Informatique & Libertés reposait déjà sur un « domaine public » des données personnelles

Si cette idée de « domaine public des données personnelles » commence à s’éclaircir, j’imagine qu’elle doit encore choquer une bonne partie des lecteurs de ce billet, car Morozov explique que les données personnelles doivent faire l’objet d’un droit d’usage garanti, ce qui paraît à première vue incompatible avec la protection de la vie privée et de l’intimité.

Or cette impression est profondément trompeuse, car le régime instauré par la loi Informatique & Libertés de 1978, sous lequel nous vivions encore aujourd’hui, reposait bien sur le principe d’un droit d’usage des données personnelles. En un sens, on peut dire que les données personnelles relèvent déjà d’une forme de « domaine public », tel que Morozov l’envisage, et il ne fait en réalité que pousser plus loin une idée contenue en filigrane dans la législation. S’il en est ainsi, c’est parce que la loi de 1978 ne repose pas sur un principe de consentement préalable des individus pour le traitement des données personnelles. Le principe posé par ce texte est que le traitement est a priori possible sous réserve que le responsable respecte un certaine nombre de conditions posées par la loi : accomplir des formalités obligatoires – comme la déclaration préalable du traitement à la CNIL, respecter de grands principes protecteurs (précision de la finalité, pertinence du traitement, limitation de la conservation, sécurisation des données).

C’est seulement ensuite que la loi de 1978 reconnaît à l’individu des droits opposables aux responsables de traitement (droit à l’information, droit d’accès et de rectification, droit d’opposition). S’il existe bien dans la loi Informatique & Libertés un droit au consentement préalable, celui-ci est réservé à des hypothèses exceptionnelles, comme les traitements de données sensibles. La liste de ces exceptions est rappelée ici sur le site de la CNIL :

De la même manière, le droit d’opposition des personnes n’est pas conçu de manière absolue dans la loi de 1978. L’individu a la faculté de s’opposer à la collecte et au traitement de ses données personnelles, mais seulement s’il peut se prévaloir d’un motif légitime dont il doit apporter la justification.

Il en résulte donc que d’après la loi Informatique & Libertés, les données personnelles sont bien déjà dans une forme de « domaine public », puisqu’elles relèvent d’un droit d’usage, certes étroitement encadré par la loi, mais reconnu comme un principe général. Du coup, être choqué par les propositions de Morozov, c’est ignorer la manière dont la législation s’est historiquement organisée en matière de données personnelles.

Pour Morozov, le problème n’est pas que les données personnelles soient inscrites dans un domaine public, mais au contraire que l’on ait pas tiré toutes les conséquences logiques de ce caractère « public ». Notamment, il plaide pour que le domaine public ne change pas de nature une fois que les données sont collectées par les entreprises, en leur imposant de laisser ouvert le droit d’usage dont elles ont elles-mêmes bénéficié (condition de réciprocité). Par ailleurs, Morozov veut renforcer encore la « publicisation » des données personnelles, en rapprochant leur régime de celui de la domanialité publique pour être en mesure de soumettre l’usage au paiement d’une redevance.

Le RGPD et la généralisation (problématique) du consentement

Depuis les années 90, le régime de protection des données personnelles a évolué sous l’influence de la législation européenne. Celle-ci a peu à peu étendu la condition du consentement des individus en soumettant à autorisation préalable un nombre croissant de traitements numériques (analyses des communications, géolocalisation, profilage commercial, etc). C’est notamment ces textes européens qui ont introduit l’obligation de recueillir le consentement de la personne en matière de cookies et de traceurs, même si cette exigence n’est en réalité pas très contraignante pour les sites Internet.

Cette montée progressive du consentement va culminer à partir de l’année prochaine avec l’entrée en vigueur du Règlement Général de Protection des Données (RGPD) qui prévoit un véritable renversement des principes applicables aux données personnelles en Europe. Désormais, le consentement s’appliquera bien de manière générale à tous les types de traitement (avec un renforcement de la notion même de consentement qui devra maintenant être accordé par les individus de manière « explicite » et au terme d’un choix « éclairé »). Cette mesure est présentée comme un des principaux acquis du texte en matière de renforcement des droits des personnes, même si en réalité le règlement comporte d’importantes failles. Il prévoit notamment que les responsables de traitement pourront bénéficier d’une dispense de consentement en invoquant un « intérêt légitime », défini de manière particulièrement floue dans le texte.  Par ailleurs, alors que le Règlement n’est même pas encore entré en vigueur, les lobbies tentent déjà de faire revenir en arrière la législation par le biais de Règlement ePrivacy, un autre texte en cours d’adoption au niveau européen. Les industriels essaient notamment de faire sauter l’obligation de recueil du consentement en ce qui concerne la géolocalisation, l’analyse des télécommunications ou le pistage en ligne à des fins commerciales.

Il n’en reste pas moins qu’avec l’entrée en vigueur du RGPD en mai 2018, on ne pourra plus réellement parler d’un « domaine public des données personnelles » étant donné que l’usage de celles-ci relèvera en principe du consentement préalable des individus (ce qui est en train de se jouer avec le Règlement ePrivacy n’est en réalité que la fixation d’exceptions à ce nouveau principe général). Or Evgeny Morozov reste pour sa part dubitatif vis-à-vis de cette évolution législative et il critique en particulier la stratégie suivie par les associations de défense des libertés numériques (qui ont milité pour que cette exigence du consentement devienne le nouveau pivot du droit des données personnelles) :

Il faut rappeler qu’il a eu de vrais efforts aux débuts des années 70 aux Etats-Unis et en Europe pour lutter contre cette libéralisation des données, mais l’Europe a perdu cette bataille.

Et ce qui s’est passé, c’est qu’au fur et à mesure cette question du contrôle des données, qui est une question fondamentalement économique, n’a plus été perçue comme telle, mais comme une question qui relevait de la protection de la vie privée. C’est devenu un problème légal plus qu’un problème économique, et du coup, tous les acteurs traditionnels du conflit social, comme par exemple les syndicats, ont désinvesti cette question et l’on laissée aux associations de défense de la vie privée et aux ONG, qui n’ont absolument pas les mêmes moyens d’action et la même force de frappe.

Pour en revenir à ce règlement de protection des données qui verra le jour au Printemps, il a tous les défauts de la plupart des initiatives européennes. Il est impossible à comprendre parce qu’il a été écrit par des lobbyistes. Il appréhende le problème des données comme s’il fallait simplement défendre la vie privée et pas comme un enjeu économique. Plus on fait ça et plus c’est facile pour les champions digitaux de contourner les vrais problèmes.

Revoir notre stratégie sur les données personnelles ?

J’avoue être globalement d’accord avec ces analyses d’Evgeny Morozov et j’ai d’ailleurs déjà eu l’occasion de l’exprimer plusieurs fois sur ce blog, même si je n’avais pas exactement retenu le même angle d’attaque. Morozov critique le fait que la focalisation quasi-exclusive des militants numériques sur la défense de la vie privée leur fasse manquer les enjeux économiques inhérents à cette question et leur fasse engager la lutte sur un terrain où la victoire ne pourra sans doute jamais être remportée.

Personnellement, j’ai déjà eu l’occasion d’écrire que nous manquons cruellement de réflexions sur les enjeux collectifs autour des données personnelles, car nous n’envisageons cette question qu’à travers un « paradigme individualiste », en faisant de l’individu isolé l’échelle à laquelle le système tout entier devrait être régulé. Or c’est précisément ce que va provoquer le glissement vers le nouveau régime du RGDP articulé autour du mécanisme du consentement préalable : c’est à la décision individuelle des personnes que va être « sous-traitée » l’enjeu global que constitue la régulation de l’usage des données personnelles. Pourtant en la matière, l’individu est un «héautontimorouménos», pour reprendre ce mot magnifique créé par Charles Beaudelaire : son comportement est profondément ambivalent et il est autant la victime que son propre bourreau…

Je suis la plaie et le couteau !
Je suis le soufflet et la joue !
Je suis les membres et la roue,
Et la victime et le bourreau !

Faites le test : regardez votre téléphone et demandez-vous à combien d’applications intrusives vous avez accordé une autorisation de traitement de vos données personnelles ? Le savez-vous seulement ? Pensez-vous toujours être un gardien avisé de la vie privée et que c’est à vous et à l’armée de vos semblables que l’on devrait confier sa protection ?

La forme d’aliénation spécifique à laquelle nous expose l’exploitation des données personnelles est une déclinaison du drame de la « servitude volontaire ». Nous sommes des milliards à avoir accepté les conditions d’utilisation de Facebook, Google, Apple, Twitter à l’inscription à leurs services et c’est bien avec notre consentement qu’ils exploitent nos données. Renforcer les droits de l’individu peut paraître un but louable, mais systémiquement, c’est extrêmement dangereux. Car cela revient à renforcer notre capacité à prendre à une échelle individuelle des décisions qui, agrégées les unes aux autres, auront un redoutable impact global. C’est la raison pour laquelle je pense que ce combat pour la défense du consentement individuel est foncièrement ambigu et qu’il ne devrait pas nous dispenser d’une réflexion sur la dimension collective des données personnelles, à laquelle nous invite Evgeny Morozov.

J’irai même plus loin. Si j’ai commencé à m’intéresser à ces questions, c’est pour lutter contre des propositions de création d’un droit de propriété privée sur les données personnelles, qui me paraissaient incroyablement dangereuses. Or la propriété s’analyse essentiellement comme un droit exclusif qui se manifeste par la faculté reconnue au titulaire de contrôler les usages par le biais d’une autorisation préalable. Le consentement est donc « matriciellement » lié à la propriété, dans la mesure où c’est la « brique de base » qui permet juridiquement de construire un tel droit. Et de ce point de vue, c’est avec une certaine crainte que je vois le droit européen des données personnelles s’articuler à présent autour de la notion de consentement, car elle peut tout à fait servir de Cheval de Troie au retour des thèses « propriétaristes ».

J’avoue aussi que je ressens un profond malaise lorsqu’en matière de défense des données personnelles, j’entends employer des concepts comme « autonomie informationnelle » ou « souveraineté personnelle ». Car philosophiquement, ce type de notions exprimant une confiance absolue dans les décisions de l’individu se rattachent à une certaine pensée libertarienne, qui s’est précisément construite sur une conception de la liberté envisagée comme un droit de propriété privée sur soi-même (voir la vidéo ci-dessous).

Il n’y a sans doute pas de philosophie dont je me sente plus éloigné, mais il faut bien avoir conscience que ce « libertarianisme » est un courant de pensée très répandu parmi les militants numériques (qu’ils en aient clairement conscience… ou non !). Et c’est bien symboliquement aussi un des enjeux « cachés » autour de cette question – plus problématique qu’il n’y paraît – du consentement.

Repenser en profondeur l’articulation entre le collectif et l’individuel

La vie privée a cessé d’être un droit individuel pour devenir une négociation collective.

Cette phrase d’Antonio Casilli condense à mon sens une des réflexions les plus importantes de ces dernières années à propos des données personnelles. Evgeny Morozov se situe dans une optique similaire, dans la mesure où son « domaine public des données personnelles » vise justement à établir une base juridique pour engager cette négociation collective avec les grands acteurs numériques. La grande faiblesse de ses propositions, c’est qu’en se référant au modèle de la domanialité publique, il accorde dans son système une place centrale à l’Etat. Or au vu de la dérive sécuritaire gravissime de ces dernières années et de la collusion avec les entreprises privées, il n’est pas certain que l’Etat puisse encore être considéré comme un tiers de confiance à qui confier la gestion des intérêts collectifs liés aux données personnelles. Personnellement, une affaire comme celle du fichier TES l’an dernier a profondément et durablement affecté le crédit que je pouvais accorder aux autorités françaises en la matière…

Il n’en reste pas moins qu’Evgeny Morozov soulève des pistes intéressantes avec son « domaine public des données ». Je retiens notamment cette idée de pousser jusqu’au bout la logique de la domanialité en rendant les données inappropriables par les plateformes et en leur imposant de garantir un droit d’usage. De telles propositions rejoignent d’ailleurs celles des personnes qui ont essayé de repenser les données personnelles comme des « biens communs », en envisageant la distribution d’un faisceau de droits (Bundle of Rights) répartis entre différents acteurs (individus, Etats, entreprises).

Je terminerai en ayant recours à une distinction utilisée par le juriste Alain Supiot, un des grands penseurs du droit social (voir ici notamment). Ce dernier explique qu’on ne peut s’en ternir à la séparation habituelle entre les droits individuels et les droits collectifs. Il existe en effet selon lui des droits individuels qui ne peuvent s’exercer que collectivement (il prend l’exemple du droit de grève) et inversement, des droits collectifs qui s’exercent individuellement (on peut penser au droit à la formation, dont l’existence et les contours résultent une négociation collective, mais qui sont ensuite « activés » par les individus).

On gagnerait beaucoup à mon sens à appliquer cette grille de lecture à la question des données personnelles, partagées elles aussi entre droits individuels et droits collectifs. Par exemple, on voit bien qu’il est crucial de ne pas seulement consacrer de nouveaux droits au profit des individus, mais aussi de prévoir des mécanismes collectifs pour qu’ils puissent les exercer effectivement. C’est tout l’enjeu des recours collectifs (class actions) en matière de données personnelles, qui devraient être encore renforcés pour devenir de véritables leviers d’action en groupe pour la défense des droits. Mais symétriquement, si la vie privée n’est pas seulement un droit individuel, mais aussi un droit collectif, alors il est préjudiciable que la protection de cette valeur sociale soit uniquement renvoyée à des décisions individuelles. C’est pourtant ce qui va se produire avec la généralisation du consentement, qui ne peut pas être considéré comme un mode de régulation suffisant. De la même manière que la santé est un droit individuel, mais qu’il dépend d’une « hygiène publique », l’effectivité de la vie privée est liée à une « hygiène numérique publique », encore largement inexistante.

Pour reprendre le canevas proposé par Alain Supiot, la maîtrise des données personnelles constitue en réalité un droit collectif, mais il demeure aujourd’hui « activable » uniquement à titre individuel, ce qui le rend profondément infirme. Ce qui nous manque, c’est un moyen collectif d’exercer ce droit d’essence collective, dans le cadre d’une négociation globale à conduire à la fois avec les plateformes et avec les Etats. Or il n’existe pas aujourd’hui en droit positif de notion qui permette de saisir cette dimension collective des données personnelles (même si des propositions intéressantes ont déjà été faites, notamment autour de la notion de «réseau de données personnelles liées»).

***

Je ne sais pas si le « domaine public des données personnelles » de Morozov constitue un moyen approprié pour arriver à ce résultat, mais sa proposition a au moins le mérite de faire apparaître clairement cet enjeu collectif et de nous inciter à un retour critique sur nos propres stratégies.