Dans ces quatre lettres –RGPD– qui désignent le règlement général sur la protection des données entré en vigueur vendredi 25mai, de grands espoirs sont placés.
Le texte vise à renforcer la protection des données personnelles en s’imposant à toutes les plates-formes, où qu’elles soient dans le monde, dès lors qu’elles traitent les données de citoyens européens. En cas de violation, c’est-à-dire de captation des données, notamment en l’absence de consentement explicite, les acteurs du numérique s’exposent à d’intimidantes sanctions pouvant atteindre 4 % de leur chiffre d’affaires mondial. Après des années d’abus et d’impunité, une occasion paraît enfin s’ouvrir de reprendre en main nos vies numériques, entre autres face aux géants du numérique, les Gafam.
L’ambition du texte est de protéger les données en les considérant comme des attributs de la personne humaine, un objectif noble et essentiel. Mais de quel abus s’agit-il au juste de nous protéger, et en quoi consistent exactement ces « données » ? Des acteurs comme Facebook ou Google, outre les informations personnelles (photos, métier, date d’anniversaire, etc.), exploitent commercialement la trame des relations entre les individus – c’est ce qu’on appelle le « graphe social ». L’essentiel des données personnelles exploitées est produit par croisement de nos traces numériques: elles sont censées exprimer nos comportements de socialisation. C’est souvent cette dimension collective des données qui fait l’objet de valorisations financières du fait de son potentiel lucratif.
Rien n’a mieux mis en lumière cette ambivalence que le scandale Cambridge Analytica, dans lequel
Facebook se débat depuis des mois. La firme incriminée a obtenu le consentement individuel de
270 000 internautes pour utiliser leurs données à travers un test de personnalité. Mais ce qu’elle à effectivement récolté via leurs contacts, ce sont en réalité des données concernant quelque 50 millions de personnes.
Le problème, c’est que cette dimension collective des données récoltées échappe au nouveau règlement européen. Il est empreint de la philosophie « personnaliste » qui a inspiré, dès 1978, la loi Informatique et libertés en France: en matière de traitement légal des données, il étend et renforce l’exigence du consentement « libre et éclairé » des personnes. C’est l’une des forces du règlement, mais cette approche repose sur un maillon faible que les plates-formes sont déjà en train d’exploiter: l’individu isolé est mis en avant en tant que centre de gravité de la régulation.
Le RGPD introduit certes de nouvelles garanties, mais les grands acteurs du numérique sont passés maîtres dans l’art de « fabriquer du consentement ». Les conditions d’utilisation de Twitter, Google ou Facebook orientent ainsi subtilement l’utilisateur. Facebook a désactivé par défaut la reconnaissance faciale, mais « explique » à l’internaute que cette fonctionnalité le préviendra si des personnes malveillantes postent des photos à son insu. Qu’arrivera-t-il alors aux « amis » de ceux qui accepteront cette fonctionnalité ? Que deviendront leurs données sur nos intimités et nos trajectoires? La question se pose: que peut-on vendre de nos vies d’humains sans que les utilisateurs sachent exactement quelle part de leurs relations alimentera la machine financière? Autrement dit: le consentement individuel implique, du fait même de la nature sociale des données et des réseaux, une dimension collective.
RAPPORT DE FORCE
Au cœur de ces débats figure un enjeu de dignité et de résistance individuelle face à ces manipulations, mais aussi un enjeu de dignité collective, qui porte sur la solidarité entre usagers, par le biais de la protection mutuelle des intimités relationnelles. Les Gafam organisent une subordination d’usage des individus, pris dans un faisceau d’incitations qui souligne l’asymétrie exorbitante du rapport de force entre plates-formes et usagers isolés. Face à cette menace, le RGPD se contente d’acter en droit que le consente- ment individuel suffit à nous protéger, risquant ainsi de nous inciter à renoncer à un débat collectif sur ce qui peut, dans nos vies, devenir une marchandise.
Une autre lecture du RGPD est cependant possible, à condition d’interpréter différemment la notion de « consentement libre ». Le G29, qui regroupe les autorités de régulation européennes, s’est engagé dans cette voie en affirmant que le consentement n’est pas valide s’il est « conditionné », c’est-à-dire si le choix de l’individu a des conséquences négatives. Cette disposition interdit d’exercer un « chantage au service », tel que le proposent Facebook ou Airbnb : ils obligent leurs utilisateurs à accepter certains traitements de données sous peine de ne plus pouvoir utiliser ces plates-formes après le 25 mai.
Tout l’enjeu est d’empêcher que le consentement se retourne contre les personnes en affaiblissant leurs propres droits. Or, protéger les individus placés dans un rapport de force défavorable est traditionnellement la fonction du droit social, qui affirme la dimension collective du consentement. Son but est à la fois de garantir la dignité des personnes et de protéger la société d’un éclatement en autant de fragilités individuelles exploitées isolément.
Le RGPD peut jouer un rôle similaire : la protection individuelle des données évoluerait alors vers une forme de protection sociale fidèle à l’impératif de dignité des personnes, mobilisée dans sa dimension collective. Le contournement du RGPD par les Gafam n’est donc pas inéluctable, mais soyons lucides: les potentialités de ce règlement resteront lettre morte si les citoyens ne font pas valoir cette lecture devant les les tribunaux. Pour cela, le texte apporte une réelle innovation en ouvrant la possibilité d’exercer des actions de groupe permettant à des associations de porter des mandats confiés par des citoyens.
