Actions sur le document

Contre le pouvoir des plateformes, établir une portabilité sociale des données

– S.I.Lex – - calimaq, 23/12/2018

L’année 2018 aura été marquée par une longue litanie de scandales impliquant le réseau social Facebook, à tel point que le Guardian en a tiré un Best Of (ou Worst Of…) assez croustillant. Cette semaine encore, le New York Time a révélé sur la base de documents confidentiels que la plateforme de Mark Zuckerberg avait … Lire la suite Contre le pouvoir des plateformes, établir une portabilité sociale des données

Lire l'article...

L’année 2018 aura été marquée par une longue litanie de scandales impliquant le réseau social Facebook, à tel point que le Guardian en a tiré un Best Of (ou Worst Of…) assez croustillant.

Cette semaine encore, le New York Time a révélé sur la base de documents confidentiels que la plateforme de Mark Zuckerberg avait conclu des accords secrets pour donner accès aux données de ses utilisateurs à des firmes comme Apple, Microsoft, Yahoo ou Amazon, autorisant même Netflix et Spotify à lire des messages privés…

Facebook et ses partenaires ont essayé depuis de se justifier pour éteindre l’incendie qui commençait à rallumer le hashtag #DeleteFacebook, sans réellement parvenir à convaincre du bien fondé de ces petits arrangements entre amis. Pour autant, même si le nombre d’utilisateurs qui décident de quitter Facebook commence à être relativement significatif (3 millions en Europe sur 2018), on n’assiste pas encore à un exode massif, ce qui ne manque pas d’en étonner certains.

Le terme de « suicide collectif » paraît ici assez approprié. Car c’est bien de cela qu’il s’agit : même si collectivement, la nocivité de Facebook apparaît de plus en plus évidente, il reste pour beaucoup d’utilisateurs difficile – à titre individuel – de prendre la décision de quitter la plateforme. Dans une telle situation, l’habituel « Privacy Paradox » est redoublé par un dilemme du prisonnier, car c’est la trame même de nos liens sociaux qui se transforme en filet capturant les utilisateurs du réseau. Quitter la plateforme revient pour l’individu à se couper de relations chargées de sens et d’affects et nul ne souhaite être le premier à franchir le pas (avec le risque d’être aussi le seul).

Nul besoin d’araignée au centre de la toile des plateformes. Les utilisateurs s’y piègent eux-mêmes par la force des relations les unissant les uns aux autres (Image par jevmusic. CC0. Pixabay)

Cette capacité des plateformes à retourner la puissance des liens sociaux contre leurs utilisateurs matérialise un pouvoir de contrainte redoutable contre lequel le droit devrait offrir une protection adéquate.

Or ce n’est pas le cas actuellement, car si le droit envisage la protection des données personnelles des individus pris isolément, il a encore énormément de mal à saisir ces mêmes données dans leur dimension collective. Nos liens sociaux ne font en effet pour l’instant l’objet d’aucune reconnaissance juridique : il n’existe pas même dans les textes de notion qui permettrait de les qualifier. C’est pourtant à cet endroit précis que se situe l’enjeu principal sur lequel il faudrait agir pour desserrer le pouvoir de contrainte des plateformes.

Heureusement, quelques pistes semblent s’ouvrir pour aller dans cette direction, notamment celle de l’établissement d’une « portabilité sociale » des données personnelles, permettant de dépasser les apories du droit à la portabilité tel qu’il est notamment défini dans le RGPD.

Quand le graphe social devient un « Commun du Capital »

Avant d’aller du côté des solutions, je voudrais m’attarder un moment sur ces révélations du New York Time, qui ont le mérite de nous apprendre des choses intéressantes sur le fonctionnement de Facebook. On lit souvent que grâce à l’effet réseau, les positions dominantes dont s’emparent les plateformes numériques sont assises sur les masses de données qu’elles parviennent à accumuler. C’est ce qu’explique par exemple Nick Srnieck dans son ouvrage « Capitalisme de plateforme » :

[…] les plateformes sont, par nature, profondément monopolistiques. « Le fait qu’elles soient idéalement positionnées pour récolter des données implique qu’elles sont en mesure d’accéder à un nombre toujours plus grand d’activités pour extraire leurs données et en générer de la valeur – gagnant du même coup l’accès à d’autres activités. La disponibilité d’une quantité impressionnante de données sur la vie quotidienne des usagers permet aux plateformes d’augmenter leur puissance de prédiction, ce qui accentue encore davantage leur centralisation des données. » Le problème est que les monopoles qu’elles construisent sont donc de plus en plus importants.

Si on suit cette logique, la position de Facebook résulterait du fait qu’il est devenu un « monopole de données ». Mais les choses sont en réalité plus complexes, comme nous le montre bien le scandale de cette semaine. En effet, Facebook n’accumule pas des données personnelles pour s’en réserver l’usage à titre exclusif. Le propre de son fonctionnement est au contraire d’ouvrir le graphe social constitué à partir de l’enregistrement de nos relations à des entreprises-tierces. Contrairement à un contresens largement répandu, Facebook ne « revend pas » les données personnelles à ses partenaires (ce n’est pas un Data broker, même s’il a pu envisager d’adopter ce modèle) : il ouvre à d’autres des droits d’usage sur ce graphe, afin qu’ils puissent effectuer du ciblage publicitaire à partir des catégories figurant dans ce schéma. Et c’est donc indirectement sur la publicité que Facebook génère ses mirobolants profits.

L’une des représentations les plus intéressantes du fonctionnement de Facebook est cette fresque interactive proposée par le chercheur croate Vladan Joler. En son centre, se trouve le fameux « graphe social », produit par les utilisateurs de la plateforme au fil de leurs interactions et ouvert à des acteurs tiers notamment pour effectuer du ciblage publicitaire (cliquez sur l’image pour voir la fresque et zoomer).
Tel l’uranium au coeur d’un réacteur nucléaire, voici le graphe social au centre de la « Fabrique algorithmique de Facebook ». Une sorte de carte « borgésienne » ayant l’ambition de rendre compte de tous les liens entre les personnes, les objets, les lieux, les événements, etc.

L’affaire Cambridge Analytica avait déjà montré que Facebook avait laissé pendant longtemps ses API largement ouvertes aux développeurs-tiers afin de maximiser la valeur d’usage de son graphe et donc son attractivité. Les accès privilégiés octroyés à Apple, Microsoft, Yahoo, Amazon, Netflix ou Spotify dont nous avons appris l’existence cette semaine relèvent de la même logique. En réalité, ce qui a construit la position centrale de Facebook au sein du capitalisme de surveillance, ce n’est pas d’avoir monopolisé le graphe social, mais au contraire d’en avoir fait une ressource partagée sous la forme de ce que l’on pourrait appeler un « Commun du Capital ».

J’ai déjà employé cette expression à propos des liens de dépendance mutuelle qui se sont noués au fil du temps entre le logiciel Linux et les plus grandes firmes du secteur du numérique. L’analogie avec le graphe social de Facebook pourrait paraître forcée, mais elle me semble au contraire assez pertinente. Comme pour Linux, Facebook a développé un modèle économique « autour » d’une ressource partagée sur la base de services à valeur ajoutée. La différence (et elle n’est pas anodine) résidant dans le fait qu’il est le seul à pouvoir proposer ces services publicitaires, là où dans le modèle du logiciel libre les entreprises sont en concurrence les unes avec les autres.

Néanmoins, on est bien avec le graphe social de Facebook face à ce que les économistes appellent un « bien de club » mutualisé entre des acteurs sur la base d’arrangements institutionnels. Le problème, c’est que Facebook a la maîtrise du périmètre dans lequel il accepte de partager cette ressource fondamentale. On sait par exemple grâce à des documents révélés par le Parlement britannique que Mark Zuckerberg a délibérément choisi de couper l’accès à Vine à sa plateforme, parce qu’il trouvait que cet acteur devenait un concurrent trop gênant dans le secteur de la vidéo.

Dépasser les apories de la portabilité publique et de la portabilité individuelle des données

Le graphe social de Facebook ressemble à ce que l’on appelle en droit de la concurrence une « infrastructure essentielle », que les autorités publiques ne doivent normalement pas laisser tomber sous le contrôle exclusif d’un seul acteur. On voit bien d’ailleurs que Facebook a tout à fait conscience de la dimension infrastructurelle que revêt son graphe de données, sauf qu’il prétend aussi jouer le rôle d’un régulateur ouvrant ou fermant l’accès à cette ressource à un écosystème extérieur. Mais il le fait, bien entendu, en fonction de ses propres intérêts et non pas de l’intérêt général.

Pour remédier à cet état de fait, certains proposent des formes de « portabilité publique », c’est-à-dire un droit conféré à la puissance publique d’imposer aux plateformes l’ouverture et le partage de leurs données. Certaines de ces propositions sont assez radicales, comme celle d’Evgeny Morozov pour qui les États devraient se voir attribuer une forme de propriété publique sur le réseau des données de leur population afin de concéder des licences d’usage aux entreprises privées contre le paiement d’une redevance. Dans une version moins « collectiviste », on connaît la notion de « données d’intérêt général » qui ressemble à une forme « d’expropriation pour cause d’utilité publique », permettant à l’État d’obliger les acteurs privés, dans certains secteurs jugés stratégiques, à lui remettre ou à mutualiser des données. On retrouve par exemple de telles idées dans le rapport Villani sur l’intelligence artificielle, qui emploie lui aussi l’expression de « communs de données » :

La puissance publique doit amorcer de nouveaux modes de production, de collaboration et de gouvernance sur les données, par la constitution de « communs de la donnée ». Cela devra passer par une incitation des acteurs économiques au partage et à la mutualisation de leurs données, l’État pouvant ici jouer un rôle de tiers de confiance. Dans certains cas, la puissance publique pourrait imposer l’ouverture s’agissant de certaines données d’intérêt général.

Le gros problème de ces propositions de « portabilité publique » des données, c’est qu’elles nécessitent de pouvoir faire confiance à l’État comme arbitre et entité régulatrice. Or l’ordo-libéralisme à tendance autoritaire dans lequel nous basculons de plus en plus nettement fait qu’il est très problématique d’envisager des modèles de « collectivisation » des données personnelles de la population, même sous des formes moins radicales que celles envisagées par Evgeny Morozov. S’agissant de surveillance de masse, les États ne sont en effet pas en reste par rapport aux GAFAM et pire encore, on voit se mettre en place une connivence de plus en plus étroite entre ces acteurs pour orchestrer une censure sur la base même du graphe social enregistré par les plateformes (voir notamment ce qui est en train de se préparer au niveau du Règlement européen Anti-terroriste). Pour un acteur comme Facebook, il suffit pour cela d’ouvrir ses API aux services de renseignement (ou au fisc ?) en plus de ce qu’il fait déjà pour des entreprises tierces. La notion de données d’intérêt général est intrinsèquement porteuse de ce risque de dérives, car l’intérêt général a toujours été le masque du Léviathan.

Au XXIème siècle, le corps des Léviathans (qu’ils soient publics ou privés) est constitué de données.

Face à ce que la portabilité publique peut avoir d’inquiétant, on trouve la portabilité individuelle des données personnelles, qui a été érigée au rang de droit par le RGPD (et la loi République numérique avant lui). Il s’agit d’après la CNIL d' »[offrir] aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles« . Ce droit est parfois présenté comme une forme de « contrepouvoir » laissé aux mains des consommateurs pour faire jouer la concurrence dans l’environnement numérique en leur laissant la possibilité de reprendre leurs données pour les transférer dans un nouveau service jugé plus intéressant.

Le problème, c’est que pour toutes les plateformes sur lesquelles les individus tissent des liens sociaux au travers des interactions numériques, la force même de ces relations joue de manière à les dissuader de faire usage de ce droit à la portabilité des données personnelles. Comme bien d’autres aspects du RGPD, ce droit est conçu en prenant en compte la dimension « granulaire » des données personnelles, mais non leur dimension « réticulaire ». Il en résulte une forme de trompe-l’oeil, que les plateformes ont elles-mêmes bien compris, puisque des acteurs comme Google, Twitter, Microsoft ou Facebook ont conclu entre elles une alliance dans le cadre du Data Transfert Project afin de mettre en place un outil (en Open Source, bien sûr !) destiné à faire favoriser l’exercice du droit à la portabilité des données.

Pour Laurent Chemla, c’est avant tout le signe que les GAFAM considèrent comme parfaitement inoffensif le droit à la portabilité du RGPD (et je serais assez d’accord avec lui sur ce point) :

Le RGPD (et la loi Lemaire avant lui) a inventé un « droit à la portabilité des données ». Haha.

Tu sais : le truc qui va te permettre d’exporter tes données personnelles depuis Facebook vers… euh. Ah. Merde.

Ah si : tu vas pouvoir exporter tes contacts et ta mailbox Gmail chez un autre fournisseur d’email. Oui, tu pouvais déjà, mais maintenant c’est un droit ! Donc c’est cool. Wait.

Il y a plus d’un milliard d’utilisateurs de Gmail, largement contraints souvent parce qu’il faut une adresse Gmail pour activer un téléphone Android. Google s’en fiche bien si quelques dizaines de millions vont voir ailleurs : ceux-là continueront forcément à échanger avec la très grande majorité qui sera restée. Et donc à fournir des données à Google. Or c’est de données que se nourrit Google, pas d’utilisateurs. Google s’en cogne, que tu « portes tes données » ailleurs, soyons sérieux.

Les GAFAM s’en cognent même tellement qu’ils sont en train de finaliser un joli logiciel libre qui va permettre à tout le monde de porter ses données personnelles chez un autre géant que le géant précédent.

TROP BIEN.

Du coup, comment sortir de cette impasse manifeste entre portabilité publique et portabilité individuelle des données ? Réponse : en inventant une portabilité « sociale » des données personnelles.

Établir une « portabilité sociale » des données personnelles

Une telle proposition fait partie de celles que La Quadrature du Net a émise en vue de repenser les règles de responsabilité des intermédiaires dans le sillage de la réflexion de ces derniers mois sur la Directive Copyright. On la trouve notamment détaillée dans une tribune publiée par Arthur Messaud sur le site de l’association. L’idée de départ consiste à sortir de la vision trompeuse selon laquelle des plateformes comme Facebook seraient de simples « hébergeurs passifs » pour identifier un « pouvoir de contrainte » imposé à leurs utilisateurs. Celui peut se manifester par le fait que les plateformes ne sont pas « neutres » vis-à-vis des contenus qu’elles diffusent, car elles les hiérarchisent en utilisant des procédés algorithmiques. Mais ce pouvoir s’exprime aussi par leur faculté à capter nos liens sociaux et à les retourner contre nous :

Le « pouvoir de contrainte » des géants pourrait être ce critère permettant de délimiter leur nouveau statut. Ce « pouvoir » apparaît lorsque les utilisateurs d’une plateforme ne peuvent pas la quitter sans subir des « conséquences négatives », ce qui permet à la plateforme d’imposer les règles de son choix. Dans notre exemple précédent, ces « conséquences négatives » étaient la perte des liens humains tissés sur la plateforme. Pour mesurer la gravité de cette perte, ces liens peuvent être appréciés selon la taille de la plateforme, sa durée d’existence et son fonctionnement, par exemple.

Or le propre du droit est de rééquilibrer les rapports de force en les transformant en rapports de droit. Face à ce pouvoir de contrainte des plateformes portant sur la trame même de nos liens sociaux, le droit doit venir imposer à cet endroit des protections, sous la forme d’une interopérabilité obligatoire :

En pratique, pour ne pas perdre nos liens tissés sur les géants, nous n’avons pas d’autre choix que de continuer à les utiliser. C’est une chose qui peut être corrigée si les géants deviennent « interopérables » avec d’autres services : s’ils nous permettent de continuer de parler avec nos « amis Facebook » sans être nous-même encore inscrits sur Facebook.

Techniquement, cette « interopérabilité » passe par l’application de « standards de communication » : un langage partagé par plusieurs services afin de communiquer entre eux. Par exemple, le standard ActivityPub propose un standard pour « réseaux sociaux décentralisés » – et nous y voyons l’espoir concret de l’essor d’un Web décentralisé. De plus, appliquer de tels standards serait une façon de rendre effectif le « droit à la portabilité » créé par le RGPD (à l’article 20) et qui, sans interopérabilité entre plateformes, peine pour l’instant à démontrer son utilité.

Concrètement, nous pourrions quitter un géant (par exemple Twitter) pour migrer vers un autre service (Mamot.fr, le service décentralisé de micro-bloging Mastodon proposé par La Quadrature). Depuis ce nouveau service, nous pourrions continuer de recevoir et d’envoyer des messages aux personnes restées sur le géant (Twitter), sans rompre nos liens avec elles.

C’est ainsi que pourrait naître une portabilité « sociale » – et non plus seulement individuelle – des données personnelles. Chaque individu garderait le choix de migrer ou non d’une plateforme à une autre ou vers des services fédérés comme Mastodon, mais ce choix serait grandement facilité par le fait qu’il n’impliquerait plus de rompre les liens tissés avec les autres utilisateurs. Ce qui importe, ce n’est pas tant que les données personnelles soient portables que le deviennent nos connexions au graphe social. Une plateforme comme Facebook ne pourrait ainsi plus garder « captifs » les groupes qui sont aujourd’hui encastrés en son sein. Ce serait aussi une manière de faire en sorte que le graphe social ne soit plus un « Commun du Capital », mais qu’il puisse redevenir un Commun au sens propre du terme, dans la mesure où nous pourrions collectivement décider d’en reprendre peu à peu le contrôle en faisant migrer nos communautés vers des services décentralisés.

Cliquez sur l’image pour voir la vidéo.

On arrive par ce biais à une forme de « portabilité collective des données personnelles », mais sans avoir besoin d’une intervention de la puissance publique, ni même d’instances chargées de représenter la volonté des groupes. On évite ainsi d’avoir à se passer du consentement des individus, tout en permettant à ces derniers de l’exercer dans un nouveau cadre plus propice à l’émancipation personnelle et collective, justement parce que le droit ainsi reconfiguré reconnaîtrait pour la première fois l’importance de protéger nos liens sociaux, au-delà des seules données personnelles.

Repenser la protection des données autour de la notion de « subordination d’usage »

Il y a dans ces réflexions de premières bases autour à partir desquelles c’est l’ensemble du droit à la protection des données qui pourrait être repensé. La notion de « pouvoir de contrainte » liée à la faculté d’infliger des « conséquences négatives » aux individus est centrale, car c’est elle qui déclencherait des protections juridiques particulières. En février dernier, dans l’article « Pour une protection sociale des données personnelles« , Laura Aufrère et moi avions donné à ce pouvoir de contrainte le nom de « subordination d’usage », notamment parce que cette appellation permet de faire des ponts intéressant avec le droit social et le droit du travail.

Un rapprochement peut ainsi être établi avec le jugement récent de la Cour de Cassation qui a accepté de requalifier en salarié un livreur de la plateforme Take Eat Easy, alors que celle-ci entendait lui imposer un statut de travailleur indépendant. L’entreprise prétendait en effet que ces travailleurs restaient libres d’organiser leurs tâches sans qu’elle ne leur adresse d’ordre formel matérialisant un lien de subordination. Mais pour la première fois en France, la Cour a accepté d’aller au-delà des apparences pour identifier un « pouvoir de direction, de contrôle et de sanction« , mis en œuvre à travers les différentes injonctions algorithmiques auxquelles une plateforme de ce type soumet ses livreurs. Et cela déclenche en retour l’application du régime protecteur de salarié, destiné précisément à contrebalancer le rapport de forces inhérent à la situation de subordination.

La gouvernementalité algorithmique est le nouveau visage de la subordination du travail au XXIème siècle. Et la subordination d’usage devrait être le pivot de la protection des données personnelles (Image par Môsieur J. CC-BY. Source : Wikimedia Commons)

Même s’il ne l’exprime pas exactement ainsi, le droit des données personnelles repose sur des principes assez similaires. Le RGPD précise en effet qu’un « consentement libre » ne peut servir de base légale à un traitement de données que s’il est recueilli sans menacer la personne qui l’exprime de « conséquences négatives » en cas de refus. Il s’agit là aussi une mesure de protection visant à éviter que le consentement ne soit retourné contre les personnes soumises à un rapport de forces défavorables pour les faire participer à l’affaiblissement de leurs propres droits.

Ce que propose la Quadrature du Net en matière d’interopérabilité obéit à cette même logique : les plateformes exercent un pouvoir de contrainte sur leurs utilisateurs en leur imposant de rompre leurs liens sociaux au cas où ils voudraient quitter leur service. Il s’agit bien d’une « conséquence négative », nécessitant l’intervention du droit dans un sens protecteur et cela devrait se matérialiser par une obligation d’interopérabilité imposée à la plateforme pour permettre l’exercice d’une « portabilité sociale » des données : pouvoir partir, mais sans perdre les liens sociaux qui ont été noués.

Entre un livreur de Deliveroo ou un utilisateur de Facebook, il existe bien entendu des différences sensibles (et il ne s’agit pas de requalifier par exemple ce dernier en salarié, ce qui n’aurait pas de sens). Mais la subordination d’usage à laquelle ces individus sont soumis matérialise aussi un continuum de situations où la justice impose que des protections juridiques adaptées soient déployées.


Retrouvez l'article original ici...

Vous pouvez aussi voir...