Données personnelles : la monnaie du XXIe siècle ?

Temps de lecture estimé : 11 minute(s)

Pour Tim Berners-Lee, l’un des principaux inventeurs du Web, la perte de contrôle de nos données personnelles est l’une des trois évolutions les plus inquiétantes de ces dernières années. “Tandis que nos données sont enfermées dans des silos propriétaires, hors de notre vue, nous perdons les bénéfices que nous pourrions réaliser si nous en avions le contrôle et pouvions choisir quand et avec qui les partager. En plus, nous n’avons aucun moyen d’indiquer aux entreprises quelles données nous préférerions ne pas partager, en particulier avec de tierces parties”, expliquait-t-il en mars 2017.

On parle des données comme du nouvel « or noir ». Une métaphore abusive, qui nuit à la compréhension des enjeux sous-jacents comme le note Henri Verdier dans un billet de blog de 2013  ?

Une évolution nécessaire

La situation ne paraît plus tenable à long terme. A l’échelle globale, les données des citoyens sont massivement récoltées, exploitées via des outils de plus en plus intelligents et utilisées sans grande transparence afin de créer de la valeur au profit de tiers (géants du Web et leurs partenaires, régies publicitaires, Data brokers, etc.).  Les individus sont ainsi dépossédés d’une partie de leur identité numérique.

La prise de conscience de la problématique est bien réelle. En 2017, une étude de l’Institut CSA montrait que « 9 Français sur 10 se disent préoccupés par la protection de leurs données personnelles en ligne ». Un tiers des répondants (et presque deux tiers des Millennials) ont même tenté d’effacer des informations les concernant, 17 % des Français ayant tenté de le faire plusieurs fois. Aux États-Unis, un sondage révélait également le peu de confiance des usagers sur ce sujet envers les géants du Web : 61 %, 59 % et 53 % des Américains ne font pas confiance, respectivement, à Facebook, Twitter et Google pour garder leurs informations privées.

Un bien commun ?

Reste à savoir comment l’on considère les données personnelles. Sont-elles la propriété inaliénable d’un individu, sa propriété privée, ou devraient-elles au contraire être considérées comme un bien commun ?

Pour Evgeny Morozov, écrivain et chercheur, spécialiste des implications sociales et politiques de la technologie, “on peut tout à fait imaginer que les données soient dans le domaine public et que les entreprises puissent s’en servir en payant une licence”. Un tel système présenterait, selon lui, de multiples avantages, à commencer par celui “de démocratiser vraiment l’innovation”. “Un système dans lequel les données appartiennent à la communauté permet à tout un chacun de se saisir de ces données pour en faire quelque chose”, résume-t-il.

L’idée que les données personnelles ne relèvent pas entièrement (ou uniquement) d’une problématique individuelle n’est pas neuve. En 2014, Pierre Bellanger, fondateur de Skyrock et patron de ce qui fut durant plusieurs années, au début des années 2000, le plus gros réseau social français (Skyblog), expliquait au Conseil d’Etat que les données personnelles ont changé de nature. “La vision des données comme indépendantes et fondamentalement séparées les unes des autres est une abstraction qui n’est plus pertinente. Les données personnelles se déterminent mutuellement et forment un réseau organique”, écrivait-il. Précisant que ces informations « sont d’un intérêt général majeur pour la collectivité, notamment, en matière de santé, de transports, de consommation, d’environnement ou encore de compétitivité économique”, il estimait que ce réseau de données ”relève de droits collectifs et de droits individuels” : “par son origine multi-personnelle, son impossibilité à le séparer, et son utilité collective, il est donc un bien commun, qui appartient à tous mais ne peut appartenir à personne en particulier”.

L’idée a fait son chemin et en 2016, lors du vote de la loi pour une République numérique, deux députés socialistes, Delphine Batho et Laurent Grandguillaume, proposaient un amendement allant dans ce sens : “Les données à caractère personnel, lorsqu’elles forment un réseau indivisible de données liées qui concernent plusieurs personnes physiques, constituent un bien commun qui n’appartient à personne et dont l’usage est commun à tous, dont la protection et l’utilisation sont régies par la présente loi ». Bien que rejeté à L’Assemblée Nationale, le texte et sa philosophie a ses émules. “Le graphe social [c’est-à-dire le réseau formé par les données personnelles] est en effet mondial. Il embrasse l’ensemble de l’humanité (passée, présente et à venir). Il est le produit des relations que les hommes entretiennent entre eux en tant qu’êtres sociaux. C’est en quelque sorte le reflet informationnel de la nature sociale de l’homme”, estime Lionel Maurel, juriste, bibliothécaire et auteur du blog S.I.Lex.

Protéger ou commercialiser ?

Pour autant, la posture intellectuelle revenant à considérer la nature collective des données personnelles s’oppose à une autre vision, peut-être plus pragmatique, ou en tous cas plus concrète à court terme : “Chaque citoyen doit pouvoir vendre ses données personnelles”, estime Gaspard Koenig, président du think-tank Génération Libre. “Si la data est bien cet ‘or noir’ du 21e siècle, il n’y a pas de raison de ne pas payer les producteurs – nous – sans laisser aux raffineurs (les agrégateurs et les plates-formes) l’intégralité des revenus liés à l’exploitation des data”, défend-il, proposant “d’étendre le droit de la propriété privée aux données personnelles”.

L’idée d’étendre le droit de la propriété privée aux données personnelles ne fait pas l’unanimité.

De fait, plusieurs projets concrets vont dans ce sens, notamment aux États-Unis. C’est le cas de Datum, un dispositif basé sur les blockchains pour former un marché décentralisé où “tout le monde peut de façon sécurisée et anonyme sauvegarder des données structurées émanant des réseaux sociaux, des gadgets portables, des domiciles et objets connectés, et les partager ou les vendre selon leurs propres termes”. Autre exemple, Doc.ai veut former un vaste réseau de données médicales, pouvant être partagées pour faire progresser la science et la recherche. “Vous possédez vos données de santé. Elles sont chiffrées et stockées sur votre téléphone et transférées de façon sécurisées en utilisant une blockchain pour assurer leur intégrité. Vous contrôlez quand et avec qui vous les partagez, et vous obtenez une compensation financière si vous le faites”, explique-t-on.

Cette vision ne fait pas l’unanimité, en particulier en France. “La vente de nos données personnelles est une très mauvaise idée”, juge Antonio A. Casilli, maître de conférences en Digital Humanities à Telecom ParisTech et chercheur associé en sociologie au Centre Edgar-Morin. “Une contractualisation sur base individuelle de la valeur de la donnée n’entraînerait qu’une généralisation de la condition de sous-prolétaire numérique”, précise-t-il. Le chercheur s’oppose donc vivement aux démarches américaines, et milite même depuis plusieurs années contre la marchandisation des données. “Je suis résolument contre la ‘privatisation de la vie privée’, c’est-à-dire la réduction des données personnelles à des objets de propriété privée”, expliquait-t-il au Conseil d’État en 2015, arguant que “la vie privée ne peut plus être une transaction où chaque individu serait seul face aux autres, mais une concertation où les motivations des citoyens se combinent pour créer des collectivités sociales (groupes de pression, association spécialisées, instances reconnaissables de porteurs d’intérêts) qui engagent une confrontation avec les organisations industrielles et les pouvoirs étatiques”. Pour Antonio A. Casilli, la valeur des données est issue d’un contexte collectif : ”quoique personnelles, ces données, ces productions digitales, ne sont pas du ressort de la propriété privée, mais le produit d’un commun, d’une collectivité. Par conséquent, la rémunération devrait chercher à redonner aux commons ce qui a été extrait des commons”. Selon lui, le problème est même de nature éthique, la commercialisation des données par les utilisateurs pouvant créer ”un énième ‘marché répugnant’, formule parfois utilisée pour définir les marchés (comme l’achat d’organes, ou les paris en bourse sur les attentats terroristes) qui sont problématiques et intrinsèquement imprudents”.

En tout état de cause, dans plusieurs pays, la réappropriation de leurs données personnelles par les individus est à l’ordre du jour. En France, la FING (Fondation Internet nouvelle génération) travaille sur le sujet depuis quatre ans et défend le principe de “Self Data”, défini comme “la production, l’exploitation et le partage de données personnelles par les individus, sous leur contrôle et à leurs propres fins”. Elle mène notamment l’expérimentation “Mes Infos”, destinée à explorer le potentiel d’usage de la restitution des données, via des outils ad hoc, et les bénéfices à escompter pour les utilisateurs.

Plusieurs experts, dont Pierre Bellanger, ont aussi souvent exprimé la nécessité de créer en France ”une agence nationale des données”, qui veillerait à leur exploitation. Aux États-Unis, une prise de position récente et remarquée (formulée par plusieurs universitaires et experts du numérique) veut considérer le marché des données personnelles comme celui du travail, proposant par exemple la création d’un syndicat des producteurs de données, capable de négocier avec (et même de faire pression sur) les grandes entreprises du Web.

Un débat encore largement ouvert

Il ne fait aucun doute que la qualification des données personnelles n’est pas une simple question de droit. L’évolution du statut des données personnelles pourrait avoir de nombreuses répercutions pratiques, tant pour les utilisateurs que pour les acteurs exploitant ces données. Les enjeux sont nombreux”, prévient Florent Gastaud, Data Protection Officer chez OVH.

Ainsi, “instaurer un statut de « domaine public » aux données personnelles soulève de réelles questions, tant dans la gestion des droits afférents (par quels acteurs ?) que dans l’adéquation entre respect de la vie privée et intérêt collectif de ces biens qui deviendraient communs à tous en quelque sorte”.

Quant à l’approche patrimoniale des données personnelles, elle pourrait, certes, engendrer à court terme un gain relatif pour les personnes acceptant de pratiquer ce commerce, en direct ou via des courtiers qui apparaîtraient immanquablement. Mais à quel prix, s’interroge Florent Gastaud : “Cette approche pourrait accroître les inégalités sociales et culturelles (en matière de numérique). Les personnes aisées pourraient faire le choix de ne pas monnayer leur vie privée contre l’utilisation gratuite (ou à coût réduit) de services, contrairement aux utilisateurs de condition plus modeste et/ou moins sensibilisés aux enjeux liés l’exploitation de leurs données. Ces derniers ne seront pas, financièrement, en mesure de refuser un gain, même modeste, ou mesureront mal le risque ‘d’être le produit’ quand le service qu’ils utilisent est gratuit.”  Un risque qu’illustre d’ores et déjà le système des cartes de fidélité, proposées par la plupart des grandes enseignes, notamment dans la grande distribution. “Les ménages les plus modestes sont davantage tentés d’avoir recours à ce type de programme car, bien que permettant un très grand traçage de leurs habitudes de consommation, ils sont également synonymes de petite économies.”

Et si cette situation résultait finalement d’une mauvaise interprétation et d’une application défaillante du régime réglementaire actuel ? L’information et le consentement des personnes, qui sont au cœur du traitement de données personnelles, souffrent d’une insuffisance évidente pour de nombreux services. Il serait judicieux de travailler sur ces aspects. Et c’est notamment ce que promet le RGPD (Règlement général sur la protection des données personnelles) qui entrera en vigueur le 25 mai 2018 : d’une part en renforçant les conditions du consentement des personnes (1), et d’autre part en prévoyant des mécanismes d’information plus adaptés au grand public (comme des icônes standardisées (2)).

Biens communs ou propriétés individuelles, nos données ont de la valeur. Reste à savoir pour qui, et comment maîtriser cette valeur. Le débat est ouvert. Il promet d’être passionnant.


(1) Article 7 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

(2) Article 12.7 du Règlement (UE) 2016/679.

 

Copywriter at OVH.