Digital Society Forum Digital Society Forum
Dossier 20/04/2015

Comment réguler la circulation des données personnelles ?

Le web relationnel a introduit un certain nombre de changements : les informations divulguées sont plus sensibles, leur émission et leur circulation sont devenues difficilement contrôlables. Comment réguler cette nébuleuse où les intérêts des entreprises à amasser des données croisent ceux des utilisateurs qui expriment leur identité numérique ?

Les dispositifs à mettre en œuvre pour organiser la protection des données personnelles forment nécessairement un ensemble complexe, écrivait en 2000 Pierre Tabatoni, professeur agrégé de sciences économiques. La régulation est donc un système qui mêle lois, réglementations et incitations, et fait jouer les logiques de marché en même temps que le rôle des médias et de la société civile. Alain Rallet et Fabrice Rochelandet, s'interrogent, dans l'article intitulé « La régulation des données personnelles face au web relationnel : une voie sans issue ? ».

Normer Internet ?


Le moyen d'action généralement choisi en Europe est une régulation par les normes, le droit et la loi. Celles-ci définissent des règles de protection de la vie privée plus ou moins contraignantes pour les exploitants de données et fournissent aux individus les moyens de faire valoir leurs droits. Avec l'avantage d'agir à la fois en amont d'un éventuel dommage et, en aval, par la mise en œuvre de sanctions ou la reconnaissance d'un droit à l'oubli.

Placées du côté de la défense des individus, les normes n'ont pourtant pas toujours bonne presse et de fait, leur effectivité est toute relative. Longtemps conçu comme un espace de libertés, Internet ne se laisse pas facilement encadrer et surtout, contrôler. Si l'on en croit l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel), 82 % des entreprises et administrations ne respecteraient pas les obligations que leur impose la loi en matière de droit d'accès. Sans compter que les sièges sociaux des entreprises sont souvent à l'étranger, dans des pays qui leur permettent de contourner les juridictions plus sévères.

D'autres organismes, privés ou issus de la société civile, peuvent également émettre des règles à travers des systèmes de labellisation. En imposant des obligations et des contrôles, les certifications rendent les pratiques et les méthodes plus lisibles pour les usagers. Mais Alain Rallet et Fabrice Rochelandet soulignent certains inconvénients dont la fiabilité des contrôles – accumuler les révélations de contournement n'est pas dans l'intérêt de l'organisme qui donne le label, même si ce dernier est indépendant – et l'éviction de la société civile dans la construction des normes.

Laisser faire


Adoptée dans les pays de tradition libérale, la régulation par le marché veut laisser jouer les lois de la concurrence entre les acteurs. Un choix qui vise à favoriser l'innovation en limitant les contraintes légales. Ses défenseurs démontrent que la privacy peut être un argument marketing pour les entreprises et comptent sur une société civile et des médias actifs pour la protection et la défense des droits. Les communautés numériques exercent elles aussi un certain contrepouvoir ; capables de déclencher de véritables campagnes de dénonciation elles dissuadent les comportements malveillants venant des exploitants comme des individus.

Mais le déséquilibre est majeur entre l'exploitant et l'individu : le premier disposant d'une connaissance technique et juridique, le second devant déployer bien des efforts pour comprendre les chartes ou les paramètres qui varient alors d'une entreprise à l'autre. Or, si la société civile ne se manifeste pas, rien ne corrige cette asymétrie. Les tentatives régulières de Facebook pour modifier les paramètres de confidentialité vers plus d'ouverture démontrent qu'il est vain d'attendre des sociétés dont le fonctionnement repose sur la circulation de données personnelles qu'elles limitent elles-mêmes leur pratique. Même si ces essais s'échouent parfois sur les contestations des utilisateurs, la firme indique bien que de sa part, l'évolution ne va que dans un sens.

Agir à la source ?


L’ambiguïté de la régulation tient au fait que les entreprises ne peuvent pas être blâmées d'utiliser des informations volontairement données par les utilisateurs. Éduquer les internautes à des comportements prudents et mesurés représente donc un moyen d'action essentiel à l'ère du web relationnel. En maîtrisant son exposition, l'individu est supposé limiter le risque de divulgation d'informations préjudiciables. Simple en apparence, cette solution fait peser sa réussite sur le seul comportement des citoyens. Elle suppose notamment qu'ils résistent aux attraits immédiats des outils numériques en anticipant des conséquences potentielles et lointaines. Or, les utilisateurs ne privilégient pas toujours la protection.

Mais quand bien même les internautes seraient prudents et avertis, subsisterait deux obstacles de taille. Le premier est l'impossibilité de maîtriser l'ensemble des données laissées. Alain Rallet et Fabrice Rochelandet distinguent ainsi l'exposition « ex ante » qui recouvre les informations personnelles divulguées par les individus, et l'exposition « ex post », constituée de l'ensemble des données laissées volontairement ou involontairement, à partir desquelles il est possible de reconstituer tout ou partie de la personnalité. On parle alors de traces, davantage que de données. Des traces dont on sait peu à quoi elles servent et comment elles sont analysées ; et c'est là le deuxième obstacle. D'où l'intérêt d'ouvrir les modèles qui servent au traitement des données comme le recommande la mathématicienne Cathy O’Neil.

Agir sur les technologies ?


Le problème vient autant des informations données et laissées que du développement d'outils permettant de les traiter massivement. Helen Nissenbaum, chercheuse à l’université de New York, auteure de La vie privée en contexte, relevait en moyenne sur des sites d'information générale pas moins de cinquante outils destinés à récolter des informations sur les utilisateurs et leurs pratiques. Si pour elle la régulation doit venir d'une transposition des normes du monde réel dans l'espace numérique, d'autres défendent au contraire l'intégration de la privacy au sein même des technologies.

L'idée ne date pas d'aujourd'hui mais ce n'est que récemment qu'elle a obtenu une certaine forme de reconnaissance en faisant l'objet de résolutions et de propositions à l'échelle internationale. Issu des travaux d'Ann Cavoukian, Commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada), jusqu'en 2014, le principe de « Privacy by Design » consiste à prendre en compte le respect de la vie privée dès la conception des technologies et de s'y conformer tout au long du cycle de vie du service pour prévenir toute exploitation abusive sans affecter les fonctionnalités.

La conviction qui sous-tend ce principe est celle du « code is law » énoncée par Lawrence Lessig, juriste américaine. Ainsi un bug informatique a conduit la Caisse nationale d'assurance vieillesse à surestimer la durée d’assurance des personnes ayant validé des périodes au titre du chômage. Un bug que le gouvernement a choisi de ne pas réviser. C'est dire si une fois les données divulguées, il est difficile de revenir en arrière. La Privacy by Design apparaît donc comme une alternative très protectrice bien que techniciste, jugent Alain Rallet et Fabrice Rochelandet qui pointent la passivité des utilisateurs. Mais pour eux, l'enjeu est d'avoir conscience que chaque forme de régulation est en partie inefficace ou défaillante et de se concentrer sur les réponses à apporter aux situations qui tombent dans les angles-morts.


Les commentaires

Pour réagir à cet article, je me connecte Je m’inscris

Soyez le premier à réagir !

Les sources de cet article


S’inscrire et participer

Inscrivez vous sur le Digital Society Forum pour commenter et réagir sur les articles et être informé des événements à venir

DSF