Vers une protection collective des données personnelles
Savez-vous quel type d’informations vous laissez derrière vous lors de votre navigation internet, à qui vous les laissez et ce qu’ils en ont fait ?Sans doute pas, et c’est normal. Le Règlement général sur la protection des données (RGPD), trois ans après son entrée en vigueur, n’a pas changé la donne. Il n’a pas atteint son plein potentiel...
Jean Rérolle et Julia Roussoulières, ingénieurs des mines se sont penchés sur ce sujet d'importance . Dans le dernier numéro de " La Gazette des Sociétés et des Techniques" ( Publication des Annales des Mines avec le concours du Conseil général de l’Économie et de l’École de Paris du management), ils livrent leurs réflexions sur les pistes d’amélioration à explorer, dans le cadre d’un exercice commun entre le Corps des mines et l’ENA. (1)
Plus encore, ils proposent un changement d’approche du RGPD, en le complétant par une dimension collective.
Améliorer la mise en œuvre du RGPD : rendre les droits plus effectifs
Le RGPD confère plusieurs droits au citoyen : le droit d’information sur qui traite ses données, les droits d’accès, de rectification, d’opposition dans certains cas de figure, le droit à la portabilité… Or, nombre d’entre eux ne sont pas réellement effectifs.
Afin d’améliorer l’exercice des droits, nous pensons tout d’abord qu’il est nécessaire, pour les pratiques de la publicité en ligne, de mettre fin au statut de “co-traitants de données personnelles”, qui permet à deux acteurs de collecter et traiter les mêmes données sans prendre de responsabilité l’un envers l’autre.
Supprimer la possibilité de co-traitance permettrait à l’utilisateur de n’avoir à s’adresser qu’à l’entreprise qui lui fournit un service.
En obligeant la formalisation des liens d’échanges de données entre les acteurs, on peut également anticiper une diminution du nombre d’acteurs mobilisés au sein de la chaîne de valeur publicitaire. Il semble aussi nécessaire de renforcer l’exigence de qualité sur ce qui est fourni par les entreprises lors du droit d’accès, notamment afin de permettre la traçabilité des échanges de données.
Dans la pratique actuelle, les entreprises n’indiquent ni à qui les données ont été transmises ni d’où elles proviennent, ce qui renforce l’opacité des transactions et ne permet pas de s’assurer qu’aucune donnée obtenue illégalement n’est utilisée.
Enfin, l’amélioration de la coopération entre régulateurs européens est nécessaire pour s’assurer que le traitement des plaintes sera fait avec la même efficacité et dans des délais raisonnables, quel que soit le pays où se trouve l’entreprise mise en cause.
Cela pourrait passer par un mécanisme de subsidiarité avec un régulateur européen pour les entreprises les plus structurantes.
Améliorer le consentement
Le consentement est l’une des six bases légales du RGPD pour justifier un traitement de données personnelles, au même titre que l’intérêt légitime ou l’exécution d’un contrat. Or, pour les auteurs de cette note, il semble largement dévoyé dans son application actuelle . Il est très pénible pour l’utilisateur, à qui les bannières systématiques imposent des frictions.
Il n’est ni libre ni éclairé : les politiques de confidentialité sont excessivement longues et techniques, les interfaces souvent conçues pour biaiser le choix de l’utilisateur, quand le choix qui lui est laissé n’est pas entre les traqueurs et le paiement d’un prix dissuasif pour le service proposé. Parfois, son choix n’est même pas respecté.
Afin d’améliorer l’usage du consentement, les préférences de l’utilisateur pourraient être indiquées une fois pour toutes, par exemple dans les réglages du navigateur, tout en contrôlant le risque de manipulation anticoncurrentielles de la part du fournisseur du navigateur.
L’obligation de présenter un design symétrique entre les options d’acceptation et de refus des cookies est déjà présente dans la réglementation, mais très peu respectée : le développement d’outils de détection automatisée des designs inéquitables par la société civile devrait aider le régulateur dans cette tâche.
Enfin, au-delà du choix présenté lors de l’accès à un service internet, l’utilisateur doit toujours pouvoir choisir le service qui lui convient le mieux, y compris du point de vue des conditions de confidentialité.
...ou changer d’approche ?
Le consentement étant si largement dévoyé, on peut s’interroger sur la pertinence de cette approche pour les données personnelles.
Les préférences en matière de protection de la vie privée sont personnelles et peuvent varier d’un individu ou d’une situation à l’autre. Le consentement au partage des données peut paraître à première vue tout à fait adapté pour prendre en compte la variété des situations et des préférences personnelles, et permettre ainsi à chacun de faire le compromis qui lui convient entre partage et protection de ses données.
Le recours à un consentement individuel occulte le caractère collectif des données personnelles
Les compromis entre partage et protection des données qui émanent ainsi sont plus l’expression d’un rapport de force que d’une préférence individuelle.
Pour les auteurs, il semble que l’approche très individualiste du RGPD gagnerait à être complétée d’une dimension collective : le consentement ex-ante devrait être complété de choix collectifs sur le cadre autorisé des pratiques, et les droits individuels permettant de faire la lumière sur les pratiques ex-post devraient pouvoir être complétés d’une action collective menée par la société civile.
Alors que le développement d’Internet s’est largement basé sur des initiatives citoyennes et des associations, comme W3C, les citoyens ou leurs représentants sont aujourd’hui trop peu associés à sa gouvernance.
Une participation accrue de la société civile dans les institutions telles que le Conseil national du numérique (CNNum) et la CNIL, ainsi que dans les plateformes structurantes par le biais de comités de parties prenantes, permettraient aux citoyens d’être davantage associés aux évolutions des conditions générales d’utilisation, aux décisions techniques, mais aussi à la définition de lignes directrices pour la collecte, le traitement et l’usage des données personnelles.
Pour autant, les données personnelles ne doivent pas être exclues du travail démocratique; elles doivent faire l’objet de commissions parlementaires ad hoc et de consultations citoyennes.
Toutes ces solutions nécessitent un portage politique fort, qui aujourd’hui peine à exister malgré les conséquences sur les libertés publiques, la sécurité, ou encore l’accès à l’information.
Par ailleurs, le travail du régulateur doit être prolongé en créant les conditions de la régulation par la société civile.
Cela passe par la facilitation de l’exercice des droits individuels et pourrait être complété par l’obligation de permettre l’exportation directe de certaines données, pour faciliter le travail de régulation “par la foule”, par des associations de la société civile ou du monde de la recherche.
L’action de la société civile pourrait aussi être facilitée en renforçant les dispositions de l’action de groupe, qui pourrait être rendue plus facilement accessible. À l’heure actuelle, seules trois associations ont le droit d’ester en justice sur des questions de données personnelles en France!
Conclusion
Alors que la présidence française de l’Union européenne promet de grandes avancées du point de vue de la politique de la concurrence, il n’est pas trop tard pour améliorer la mise en œuvre du RGPD et changer l’approche que nous en avons. Une vision moins individualiste de la protection des données nécessite surtout une prise de conscience collective de ce que la collecte et le traitement massifs de données impliquent pour nos vies quotidiennes autant que pour nos démocraties
(1) Pour en savoir plus: Gazette_117_05_22.pdf (annales.org)