Coopération et partage autour des pratiques collaboratives

Ériger le réseau des données personnelles en bien commun ?

Parmi les plus de 500 amendements déposés par des députés à propos de la loi numérique, il en est un qui n’a guère retenu l’attention, mais qui présentait pourtant un intérêt certain, au moins pour l’originalité de son approche de la notion de données personnelles. Il s’agit d’un amendement porté par les députés PS Delphine Batho et Laurent Grandguillaume, finalement rejeté, qui était formulé ainsi :

ARTICLE 26

L’alinéa 2 est complété par la phrase suivante :

« Les données à caractère personnel, lorsqu’elles forment un réseau indivisible de données liées qui concernent plusieurs personnes physiques, constituent un bien commun qui n’appartient à personne et dont l’usage est commun à tous, dont la protection et l’utilisation sont régies par la présente loi. »

EXPOSÉ SOMMAIRE

La loi informatique et libertés de 1978, dans sa rédaction actuelle, ne considère que les données personnelles solitaires, qui renseignent directement ou indirectement sur une personne.

Dans les faits, les données sont aujourd’hui totalement interconnectées, formant un réseau de données indivisible. Il convient d’adapter le cadre juridique à cette réalité en s’inspirant de l’article 714 du code civil afin d’assurer une protection collective des données en les considérant comme un bien commun.

Certes, cette manière d’appréhender les données personnelles à travers la notion de biens communs a de quoi surprendre au premier abord. Guillaume Champeau, rédacteur de Numérama, a d’ailleurs réagi ainsi sur Twitter en découvrant cet amendement :

Les données personnelles renvoient naturellement à la sphère de la vie privée, voire de l’intime des individus. Comment pourraient-elles être considérées comme des biens communs, « n’appartenant à personne » (passe encore), mais surtout « dont l’usage est commun à tous » ? Cela semble complètement contre-intuitif et à rebours de la manière dont le droit protège les données personnelles habituellement.

En réalité, cette contradiction n’est qu’apparente, car le but de cet amendement n’était pas de faire des données personnelles un bien commun en tant que telles, mais d’attribuer cette qualification au « réseau de données indivisible » qui se forment lorsque des données personnelles sont interconnectées entre elles. On peut penser par exemple pour visualiser ce réseau de données liées au graphe social que des plateformes sociales comme Facebook matérialisent et exploitent. Marc Zuckerberg en personne le définissait en 2007 comme : « le réseau de connexions et de relations entre les gens sur Facebook, qui permet la diffusion et le filtrage efficaces de l’information ».

J’ai déjà consacré, il y a deux ans, plusieurs billets à cette idée qu’un pont devrait être établi entre les données personnelles et la notion de biens communs, pour contrecarrer certaines thèses qui voulaient établir à l’époque un droit de propriété privée sur les données personnelles. Je n’étais pas le seul à l’époque à avoir cette intuition de ce rapport possible entre Communs et données personnelles. Silvère Mercier avait par exemple écrit ceci dans un billet sur son blog :

Ni privé, ni public comment penser des données personnelles en biens communs ? Car c’est une piste peu étudiée : celle de faire de ces fameuses données personnelles des biens communs, quelque chose qui appartient à tous et à personne. Ne pas les sanctuariser par la loi, ni les commercialiser sans vergogne mais bien de repenser autour de leurs usages un faisceau de droits. Il ne s’agit pas de refuser de leur appliquer un régime de propriété mais d’en repenser la nature. Et s’il fallait inventer des creative commons des données personnelles, des privacy commons ? Reste à définir une gouvernance partagée de cette ressource commune. La question est effroyablement complexe et je ne prétends bien sûr pas la résoudre ici…

On perçoit ici très bien la proximité avec l’amendement déposé cette semaine. Et Silvère insistait lui aussi sur l’importance du graphe, en tant que « réseau de données liées » :

Quelques éléments me semblent importants à prendre en compte pour tenter de clarifier ce sur quoi pourrait porter un faisceau de droits. Il nous faut comprendre la différence essentielle entre les données d’un individu et le graphe qui est exploité. Facebook et Google n’ont que faire des données prises séparément […]. Non ce qui est décisif, c’est le graphe, le croisement de ces données, les relations entre elles via des algorithmes et des vocabulaires de types de relations (ontologies).

Pour essayer de penser les données personnelles comme un commun, nous avions alors essayé d’envisager une analogie avec ce que les licences libres permettent en matière de propriété intellectuelle, en imaginant que les individus pourraient accepter de mettre en partage leurs données personnelles en fixant des conditions. Mais cette piste, même si elle paraît intéressante de prime abord, ne mène en vérité nulle part. Elle a en effet le même défaut que l’approche personnaliste qui gouverne aujourd’hui l’appréhension des données personnelles en droit français. Elle s’enracine en effet dans un paradigme individualiste qui masque la dimension collective essentielle résultant de la nécessaire interconnection des données personnelles entre elles.

Pour envisager pleinement cette dimension collective, il faut opérer un véritable renversement copernicien pour appréhender directement le réseau des données liées et l’ériger en tant que tel en un nouvel objet de droit, ce qui n’existe pas à ce jour dans la loi française (ni dans aucun autre droit à ma connaissance).

Le premier à avoir opéré ce renversement de perspective est Pierre Bellanger, fondateur de Skyrock et auteur en 2014 d’un ouvrage intitulé « La souveraineté numérique« . Après avoir été le champion de la thèse de la propriété privée sur les données personnelles, Pierre Bellanger a changé d’approche pour sortir justement du paradigme individualiste et appréhender la dimension collective des données personnelles. Et c’est de cette manière qu’il est arrivé à la notion de biens communs, dans le texte « Principes et pratiques des données personnelles en réseau » daté de septembre 2014 qui constituait sa contribution à l’étude du Conseil d’Etat sur les technologies numériques et les droits fondamentaux.

Ce texte introduit la notion de réseau de données, à partir d’une critique de l’approche personnaliste de la loi de 1978 :

Ainsi, les données personnelles ne sont plus granulaires mais réticulaires, c’est-à-dire organisées en réseau. Les données personnelles ne sont plus séparées mais liées. Cette intrication forme le réseau des données personnelles qui se substitue, en fait, aux données personnelles isolées du passé.

Les données ne pourraient même plus être dites « personnelles » dans la mesure où les informations relatives à un individu renseignent aussi sur d’autres personnes. Une fois admis ce constat, la question est de donner une qualification juridique à ce réseau de données liées et c’est vers la notion de biens communs qu’on peut se tourner pour les faire bénéficier d’un régime qui évitera leur captation abusive :

Quelle est la nature juridique du Réseau de Données ? Il s’agit d’un objet sur lequel toutes les personnes, dont les données sont maillées, disposent de droits mais qui ne peut être matériellement divisé entre eux. Il est ni dissociable, ni individualisable par nature car chaque donnée personnelle renseigne sur les autres. C’est donc une forme d’indivision qui concerne toute la population.

Par ailleurs, les informations provenant du Réseau de Données sont d’un intérêt général majeur pour la collectivité, notamment, en matière de santé, de transports, de consommation, d’environnement ou encore de compétitivité économique.

Par son origine multi-personnelle, son impossibilité à le séparer, et son utilité collective, le Réseau de Données est donc un bien commun – res communis – : un bien qui appartient à tous mais ne peut appartenir à personne en particulier. Son statut est défini en droit français par l’article 714 du Code civil.

C’est aussi un bien où chacun dispose de droits spécifiques (retrait, opposition, oubli) sur son propre apport et ce, dès lors qu’il n’engage pas les droits d’autrui.

Le Réseau de Données répond donc de droits collectifs et de droits individuels.

Cette intrication de droits collectifs et de droits individuels correspond exactement au « faisceau de droits » – élément central de la théorie des Communs – dont parlait Silvère dans son billet.

Personnellement, je trouve assez remarquable la manière dont cette approche crée un nouvel objet de droit, d’emblée collectif, là où nous étions tous été restés prisonniers du paradigme individualiste en essayant de construire le Commun à partir de l’individuel. Ce réseau de données correspond au graphe social dont je parlais au début de ce billet. Et il est intéressant de relire cette déclaration citée par InternetActu que Marc Zuckerberg faisait à ce sujet en 2007 :

C’est l’ensemble des relations de toutes les personnes dans le monde. Le graphe social : il y en a un seul et il comprend tout le monde. Personne ne le possède. Ce que nous essayons de faire c’est de le modeler, le modéliser, de représenter exactement le monde réel en en dressant la carte.

Le graphe social est en effet mondial. Il embrasse l’ensemble de l’humanité (passée, présente et à venir). Il est le produit des relations que les hommes entretiennent entre eux en tant qu’êtres sociaux. C’est en quelque sorte le reflet informationnel de la nature sociale de l’homme (voir notamment la fameuse théorie des six degrés de séparation). Et même quelqu’un comme Marc Zuckerberg reconnaît que « personne ne le possède« , bien que tout le monde – à commencer par lui – essaie de le capturer et de se l’accaparer.

L’amendement déposé par Delphine Batho et Laurent Grandguillaume était donc bien plus profond qu’il n’y paraît de prime abord. Et je mettrai ma main à couper qu’il leur a été inspiré par Pierre Bellanger, dont on retrouve la « patte » dans l’exposé des motifs.

La question maintenant est de savoir si l’on doit soutenir une telle approche.

Personnellement, j’adhère complètement avec cette notion de « réseau de données personnelles », ainsi qu’avec l’ambition d’en faire un nouvel objet de droit en passant par la qualification de biens communs. L’amendement se réfère pour cela à l’article 714 du Code civil qui traite des « choses communes » (celles qui « n’appartiennent à personne, mais dont l’usage est commun à tous« ). Il y a ainsi une parenté très forte entre cet amendement et l’article visant à consacrer un « domaine commun informationnel«  pour lequel nous nous sommes battus au cours du débat sur la loi numérique.

Mais une fois que l’on a créé un nouvel objet de droit, il faut ensuite déterminer quel régime on souhaite lui voir appliquer, notamment pour organiser une gouvernance. Or dans le texte que j’ai cité plus haut, Pierre Bellanger insiste très fortement sur les pouvoirs que les instances étatiques devraient avoir sur la gestion du réseau de données :

La gestion et l’exercice de ces droits doit revenir à un organisme public, garant du contrôle démocratique et souverain et seul à même d’en permettre l’accès et l’usage.

Une telle institution, structurante et référente, créé les procédures, les instances ainsi que les concertations nécessaires. Elle devra donc, tout à la fois, gérer le bien commun et les droits individuels afférents. Sa capacité à ester en justice sera, de ce point de vue, essentielle.

Une agence des données pourrait ainsi être établie.

Cette « Agence des données » serait notamment dotée de larges pouvoirs, comme celui de délivrer des agréments aux opérateurs souhaitant effectuer des traitements du réseaux de données.

La qualification de biens communs ne sert en définitive qu’à organiser un transfert de la gouvernance au profit de l’Etat, ce qui paraît en définitive assez éloigné de ce que sont réellement les Communs. Dans un autre amendement partageant cette même inspiration, on voit d’ailleurs apparaître la notion encore plus ambiguë de « biens communs souverains » employée à propos des données personnelles :

ARTICLE ADDITIONNEL

APRÈS L’ARTICLE 12, insérer l’article suivant :

Dans les six mois suivant la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur le statut juridique de « biens communs souverains » qui pourrait être appliqué à l’essentiel des données personnelles.

Quelque chose me fait penser qu’en partant de telles bases, les données deviendraient rapidement davantage « souveraines » que « communes ». Par ailleurs, le graphe social dans sa nature même est mondial. Il ne peut s’agir que d’un bien commun global, comme peuvent l’être le climat et ou l’atmosphère et je vois mal comment on pourrait mettre cette qualification au service de la souveraineté nationale. L’Etat peut et doit être le « garant des communs » (notamment à travers sa justice), mais il n’est pas censé assurer directement la gestion des Communs.

J’étais déjà assez sceptique à propos de ces conclusions en 2014, mais je le suis plus encore à présent, depuis le cortège de lois sécuritaires et attentatoires à la vie privée qui nous a été infligé par le gouvernement au nom de la lutte contre le terrorisme. Confier à ce nouvel Etat sécuritaire et de plus en plus panoptique la gouvernance sur le réseau des données personnelles paraît franchement dangereux pour la sauvegarde des libertés.

***

Au final, il y a dans cette idée de constituer le réseau des données personnelles en bien commun à la fois une intuition géniale et un péril certain.

L’amendement n’a cependant pas été approuvé par la Commission des lois et il n’y a quasiment aucune chance qu’il passe lors de l’examen en séance. Le futur règlement européen sur les données personnelles n’envisage pas non plus une telle approche.

Mais il serait à mon sens extrêmement dommage d’enterrer cette notion de « réseau de données liées » et ceux qui s’intéressent aux Communs devraient s’en emparer pour explorer ses potentialités.

 

 

Classé dans :A propos des biens communs, Données personnelles et vie privée Tagged : Biens Communs, communs, données personnelles, loi numérique, vie privée