La contractualisation des liens de Droit à l’ère du Numérique : de la difficulté de garantir aux personnes physiques la maîtrise de leurs données personnelles aux Etats-Unis et en Europe.
Le recueil du consentement des individus au traitement de leurs données personnelles est souvent mis en avant comme l’assurance d’une utilisation légitime de leurs informations personnelles par les entreprises commerciales. En droit européen, l’obligation de recueil du consentement éclairé est imposée aux responsables de traitement, quel que soit leur nature (privé ou public), ou leur secteur d’activité. Cette obligation apparait généralement comme la garantie que les personnes physiques conservent la « maîtrise » de leurs informations personnelles. Aux Etats-Unis, le cadre juridique à l’égard du traitement de données personnelles est moins protecteur qu’en Europe puisqu’il est limité à certains cas particuliers, et la doctrine américaine se nourrit largement des règlements et directives européennes pour tenter d’influencer leurs décideurs politiques et leurs législateurs.
Néanmoins, force est de constater que - compte tenu des pratiques commerciales des acteurs privés du Numérique, et des habitudes de consommation des individus à l’ère du Numérique - il semble impossible de rendre à l’individu la pleine maîtrise de ses données personnelles. Effectivement, l’obtention d’un consentement véritablement éclairé fait face à de nombreux obstacles. En découle de graves atteintes concernant l’Autonomie humaine, le libre-arbitre, la capacité de débattre dans un cadre démocratique, et la possibilité de s’organiser en collectifs.
Introduction
Aujourd’hui, nos sociétés sont de plus en plus à l’aise avec la divulgation d’informations privées à des sociétés commerciales, dont les stratégies marketing sont de plus en plus intrusives. Le fait de partager des informations personnelles[1] en ligne et devenu monnaie courante, et la dépendance aux « apps » et à autres objets connectés donne lieu à une exposition permanente des individus à la récolte de leurs données personnelles[2].
La récente croissance en popularité des objets connectés (comme le « Fitbit », ou le « Fuelband » de Nike) n’est qu’un exemple de la façon dont les consommateurs semblent être de plus en plus à l'aise avec la divulgation de leurs données personnelles - en l’occurrence, des données relatives à leur état de santé (rythme cardiaque, poids, etc.) - dans le but de profiter de services plus personnalisés, qui leurs promettent de s’adapter à leurs propres besoins[3]. Pour les commerçants en ligne, l’objectif du marketing ciblé et de la personnalisation des offres est de fidéliser leur clientèle. Le recours aux « cookies » en est une illustration criante[4].
Grâce à (ou à cause) des innovations apportées par les technologies des Big Data en termes de récolte et de traitement des données personnelles, chaque personne physique génère environ 1.7 mégabits d’information à chaque seconde en 2020. Selon un rapport de l’Institut Montaigne publié en 2015, « Plus de données ont été créées en 2011 que dans toute l'histoire de l'humanité et entre 30 et 212 milliards d'objets pourraient être connectés d'ici 2020 » [5]. Les flux de données augmentent de 30% par ans à l’échelle mondiale. La monétisation et la valorisation des données ne provient pas de leur contenu ou de leur densité en information. Ce qui leur donne une valeur monétisable, c’est leur quantité absolument massive et leur diversité qui offrent aux prestataires de services en la possibilité de profiler de manière pointue leurs clientèles grâce au data mining[6] [7]. Pour les acteurs privés du Numérique, les enjeux commerciaux sont très importants, et l’utilisation d’algorithmes de profilage à des fins de ciblage publicitaire se développe largement, notamment chez les acteurs privés américains dont les investissements et le positionnement sur le Marché du Numérique sont bien plus stratégiques et ambitieux qu’en Europe.
La révolution de l’information, la vitesse de récolte et de traitement des données qui l’accompagnent met en opposition deux paradigmes. D’un côté, la liberté d’échange et de commerce ; de l’autre, le respect de la vie privée. Mais au-delà des enjeux qui entourent la divulgation de leurs données personnelles par les usagers de services en ligne, des questionnements d’ampleur politique et sociétale se posent. Le respect de la vie privée comporte deux dimensions. Premièrement, le droit à l’intimité peut être défini comme le droit de ne pas laisser exposer publiquement des informations à caractère personnel. Deuxièmement, il s’agit d’un droit à l’Autonomie personnelle selon lequel chacun doit pouvoir mener sa vie comme il l’entend[8]. Le droit à la protection des données personnelles est un droit fondamental consacré par l’article 8 de la Charte des droits fondamentaux de l’Union Européenne et l’article 16 du Traité sur le Fonctionnement de l’UE (TFUE). Aussi, le droit au respect « de sa vie privée et familiale, de son domicile et de sa correspondance » est protégé par l’article 8 de la Convention Européenne des Droits de l’Homme.
Si le droit américain, fondé sur la Common Law et l’importance de la jurisprudence/precedents encadre de façon parcellaire et imparfaite la collecte et l’utilisation d’outils prédictifs par les acteurs privés à des fins de personnalisation de leurs offres, les droits européen et français, de tradition civiliste, semblent plus préventifs quant à l’utilisation de ces outils, notamment par les acteurs privés. Aujourd’hui, en France, la protection de la vie privée est essentiellement régie par la loi n° 2016-1321 pour une République Numérique du 7 octobre 2016 (la « LRN »), ainsi que par le règlement européen n° 2016/679/UE relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD »)[9]. Le règlement européen n° 2016/679/UE s’applique à chaque fois qu’un résident européen, peu importe sa nationalité, est visé par un traitement de données. De par sa portée extraterritoriale, le RGPD s’étend également aux responsables de traitement établis hors de l’UE, dès que leurs activités mettent en œuvre des traitements visant à fournir des biens ou des services au marché européen. Il est important de souligner que, en vertu de l’article 4§2 du règlement, un « traitement » désigne « toute opération […] effectuée ou non à l’aide de procédés automatisés et appliqués à des données […] à caractère personnel ». Cette définition large permet d’encadrer strictement l’utilisation de données personnelles par les acteurs privés et publics et ce, dès leur récolte par un responsable de traitement.
Remarque : Notons dès maintenant que les analyses relatives à la protection de la vie privée et des données personnelles en droits européen et français que nous développerons au cours de cet article intéressent également la doctrine américaine. La Federal Trade Commission, dont l’objectif est de protéger les consommateurs américains contre les pratiques anticoncurrentielles, et les pratiques trompeuses et déloyales[10], a un rôle très important à jouer dans un pays où les données personnelles sont souvent assimilées à des données commerciales comme les autres[11]. Se définissant comme « the top cop on the privacy beat », la FTC a par exemple pris à partie le Congrès américain dans un rapport de mars 2012 afin de lui soumettre des recommandations et des propositions d’évolutions législatives pour mieux protéger la vie privée des citoyens américains.[12]
Dans la pensée juridique occidentale, le consentement est une notion cruciale aux fins d’assurer à l’utilisateur de services en ligne la maîtrise de ses données personnelles. Intrinsèquement lié à la protection de la vie privée, la recherche du consentement de la personne physique par le responsable de traitement est centrale dans la modernisation du droit portée par le RGPD. Ainsi, ce dernier est largement axé sur la clarification des conditions d’obtention d’un consentement éclairé afin de légitimer le traitement des données et de conscientiser la personne physique préalablement à l’utilisation de services en ligne et d’objets connectés.
Malgré les évolutions positives du droit européen à l’égard de la protection de la vie privée et la recherche du consentement, il est aujourd’hui fréquent d’associer les pratiques commerciales des acteurs privés du Numériques, en particulier des GAFAM[13], à une forme de violation de l’Autonomie humaine, et donc à un moyen d’asservissement du peuple[14].
En 2012, un article du New York Times dénonçait la pratique du géant Target qui exploitait les technologies de la Big Data afin de prédire quelles clientes étaient enceintes et ainsi leur proposer des services et produits en accord. Pourtant, certaines de ces clientes n’étaient même pas au courant qu’elles étaient enceintes. La puissance de calcul des algorithmes prédictifs est telle qu’elle permet d’orienter les habitudes de consommation des personnes de façon parfaitement inconsciente. En l’espèce, les analyses prédictives de Target « devinaient » qu’une cliente était enceinte et communiquait le nom de la personne à son département marketing pour que des biens et services appropriés lui soient proposés. A travers cet exemple, on voit bien qu’au lieu de récolter directement des données auprès de la personne physique, les technologies de la Big Data permettent de créer de nouvelles informations sans obtenir préalablement le consentement des personnes concernées, à partir de données a priori sans rapports avec les résultats algorithmiques[15]. Ces informations pourraient concerner des données très sensibles comme l’orientation sexuelle, l’appartenance politique, ou encore l’ethnie de la personne physique.
Cette affaire montre la puissance prédictive des outils du Big Data qui, associés à une quête de profit des acteurs privés, pose de lourds questionnements sur l’adaptation à ces nouvelles technologies des législations américaines et européennes concernant la protection de la vie privé, de l’Autonomie humaine, et de la viabilité du consentement. En découlent de graves enjeux concernant le caractère surplombant de la Loi, ainsi que sur la pérennité d’une vie démocratique effective.
Se trouve ainsi posée une question essentielle : Le droit européen est-il en mesure de garantir un consentement véritablement éclairé au traitement de leurs données personnelles par les personnes physiques ?
Nous verrons dans un premier temps que le cadre juridique américain est quasiment opposé au droit de l’Union Européenne concernant la protection des données à caractère personnel de leurs citoyens. Effectivement l’approche européenne entend prévenir les disparités informationnelles trop importantes susceptibles d’émerger à cause des rapports de pouvoirs inégaux entre les responsables de traitement et les personnes physiques visées par le traitement. Toutefois, nous verrons en second lieu que si le cadre règlementaire de l’Union Européenne et l’application du RGPD à ses Etats membres depuis mai 2018 témoigne d’une volonté des pouvoirs publics à protéger la vie privée des citoyens européen, nous verrons qu’il est imparfait en ce qu’il peine à imposer le recueil d’un consentement véritablement éclairé au traitement de ses données personnelles auprès de l’individu par les sociétés privées. Le Droit américain, bien plus radical dans son approche, ne requière même pas de manière globale et harmonisée le consentement de l’individu préalablement au traitement de ses données.
I : La protection des données personnelles aux Etats-Unis et en Europe : deux cadres juridiques que tout oppose
La protection des données personnelles est abordée différemment aux Etats-Unis et en Europe. Tandis que les Etats Membres de l’UE privilégient un cadre contraignant, très protecteur de la vie privée des personnes physiques grâce à une approche globale qui impose l’obtention de leur consentement préalablement au traitement, les Etats-Unis ont fait le choix d’une approche sectorielle. C’est-à-dire que les individus résidant sur le territoire de l’UE au moment du traitement/récolte de leurs données se voient protégées par le RGPD (sauf exceptions, en particulier si la personne a consenti à ce traitement). Aux Etats-Unis, la logique est inversée : les individus n’ont droit à quasiment aucune protection vis-à-vis de leurs données personnelles, sauf dans certains cas précis. Ainsi, au niveau fédéral, la protection des données est appliquée à l’égard des mineurs en application du Children’s Online Privacy Act. De même, certaines activités économiques sont encadrées par des textes spécifiques, souvent étatiques. Le California Consumer Privacy Act pose notamment un droit d’information et un droit de suppression des données collectées. Mais les exigences imposées aux responsables de traitement, ainsi que les sanctions auxquelles ils se risquent en cas de non-respect des textes, sont minimes comparé au RGPD.
A : Un cadre juridique américain laxiste concernant le traitement des données personnelles et la recherche de consentement des personnes physiques
- VP US : Protection des données : l'Amérique peut-elle suivre l'Europe ?
Les auditions du PDG de Facebook devant le Sénat et le Congrès américains les 10 et 11 avril 2018, concernant la manière dont Facebook a permis à Cambridge Analytica[16] d’obtenir les données de 87 millions d’utilisateurs du site, ont été l’occasion de rappeler la différence de protection des données personnelles entre l’UE et les Etats-Unis. Alors que l’UE cherche à renforcer les obligations des entreprises privées, tout en offrant plus de pouvoirs de sanctions aux autorités publiques, le cadre législatif américain semble prendre la route en sens inverse. En effet, il n’existe aucune loi fédérale gouvernant la collecte et le traitement des données personnelles des utilisateurs de services en ligne dans le secteur privé aux Etats-Unis. Le Privacy Act de 1974, applicable aux agences fédérales américaines[17], n’est pas aussi complet ni efficace que le RGPD, d’autant qu’il ne s’applique pas aux sociétés privées. Seules des lois étatiques et sectorielles s’imposent au traitement des données par des acteurs privés, tel le Fair Credit Reportig Act concernant la solvabilité des individus, ou le Children’s Online Privacy Protection Act, qui force les entreprises à obtenir le consentement des parents pour la collecte des données des utilisateurs mineurs.
Aux Etats-Unis, il n’existe aucune « agence indépendante chargée de faire respecter [la protection de la vie privée et des données personnelles], comme la CNIL en France »[18]. Plus largement, les sociétés ne sont pas requises, comme c’est le cas en Europe, de recueillir le consentement des individus à chaque fois que des données sont collectées ; et encore moins de limiter la collecte au nécessaire pour atteindre les objectifs du traitement (data minimization), ou de les supprimer après un certain laps de temps.[19]
Les Etats-Unis ne semblent pas près d’introduire de cadre règlementaire unifié au niveau fédéral, à l’image du RGPD en Europe. En 2017, les députés américains avaient déjà fait abroger un texte du Federal Communications Commission (FCC) de 2016, qui était inspiré du droit européen. Celui-ci n’eut pas l’occasion d’entrer en vigueur à l’époque. Avec ce texte, les députés avaient pour volonté d’imposer aux FAI le recueil exprès du consentement des clients à la collecte de leurs données à travers un système d’opt-in, préalablement au partage ou à la vente des informations personnelles liées à leurs historiques de navigation et activités en ligne.
Ce règlement n’a pas eu le temps d’entrer en vigueur puisque le Sénat et la Chambre des représentants l’ont abrogé les 23 et 28 mars 2017, suite à l’élection de Donald Trump. A la place, une nouvelle loi fut promulguée par le président américain le 4 avril 2017, en vertu du Congressional Review Act de 1996 permettant au Congrès américain de revenir sur les règlements fédéraux. Cette loi va plus loin que le droit antérieur puisqu’il permet expressément aux FAI de vendre les historiques de navigation des utilisateurs américains à des annonceurs et ce, sans aucune formalité ou autorisation préalable de la part de l’individu. L’intérêt économique de cette loi est évidente compte tenu des enjeux commerciaux en jeu aux Etats-Unis, et de la place stratégique des acteurs américains dans le marché des données.[20]
Certains considèrent même que la seule restriction concrète qui est imposée aux responsables de traitement à l’égard de personnes situées aux Etats-Unis est l’interdiction d’avoir recours à des « unfair and deceptive trade practices », exigées par la Federal Trade Commission. Celle-ci n’empêcha pas le scandale Cambridge Analytica, qui illustre les limites de l’approche américaine.
Au niveau local, certains Etats américains, comme la Californie, s’alignent sur l’approche européenne de la protection des données personnelles. Le California Consumer Privacy Act impose aux sociétés qui déploient leurs services en Californie les mêmes restrictions qu’en Europe sous l’égide du RGPD. Toutefois, ce texte unique aux Etats-Unis, est limité en comparaison du RGPD : il n’exige pas le consentement du consommateur préalablement à la récolte de ses données ; et ne limite pas la quantité ni la nature des données récoltées, contrairement au RGPD. [21]
Aujourd’hui, la doctrine américaine est à la poursuite d’une approche exhaustive de la protection de la vie privée et des données personnelles à l’échelle fédérale, similaire à l’approche européenne. De nombreuses associations de défense des consommateurs, et même des agences gouvernementales indépendantes, comme la FTC déjà citée, font pression sur le Congrès américain pour l’adoption de lois fédérales permettant de lutter contre les incohérences découlant de l’approche sectorielle actuelle. Il s’agirait de s’inspirer du cadre juridique européen visant à renforcer la transparence des traitements prédictifs, la recherche d’un véritable consentement au traitement des données personnelles, la responsabilisation des responsables de traitement ; voire même la création d’une Digital Privacy Agency, agence indépendante chargée du respect de la protection des données, similaires à la CNIL française.[22] Si ces pistes sont suivies au niveau fédéral, nous assisterions à une convergence des cadres juridiques occidentaux concernant la protection de la vie privée des individus et le recueil de leur consentement. Effectivement, l’un des objectifs assumés du RGPD est d’œuvrer pour une plus grande conscientisation des individus quant à la récolte et au traitement de leurs données personnelles. Cela passe par l’obligation imposée au responsable de traitement d’obtenir un consentement éclairé.
B : Un cadre juridique européen plus protecteur des personnes physiques à l’égard du traitement de leurs données personnelles
Le RGPD abroge la directive 95/46 CE qui constituait, jusqu’à l’adoption du Règlement, le texte de référence en matière de protection des données personnelles sur le territoire européen. La Commission européenne a effectivement remarqué que la directive de 1995 était dépassée face aux défis posés par les technologies modernes. La directive a été pensée à une époque où l’utilisation massive d’internet, des réseaux sociaux, des objets connectés n’existaient pas. Plus largement, la révolution des Big Data n’aurait pas pu être techniquement envisagée. A l’ère de l’information, la collecte et le stockage de données personnelles sont de plus en plus importants. De plus la directive tendait à créer des insécurités juridiques de par un manque d’harmonisation au niveau européen.
Le RGPD, adopté le 27 avril 2016 et applicable aux Etats Membres de l’UE dès le 25 mai 2018, a pour objectif de rendre aux personnes physiques la maîtrise de leurs données personnelles. L’obtention du consentement de l’utilisateur d’un service en ligne ou d’un objet connecté est une étape obligatoire qui s’impose aux acteurs privés du Numérique.
L’on peut définir le consentement comme « l’expression d’une manifestation de volonté »[23]. Dans un contexte juridique, le consentement est l’acceptation d’une situation de droit particulière. L’article 4 du RGPD définit le consentement éclairé comme étant : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». L’article 7 du RGPD relatif au consentement consacre le principe de « l’opt-in » selon lequel le traitement des données personnelles n’est autorisé qu’avec le consentement donné librement de la personne concernée. L’article 22.c du RGPD considère que le consentement de l’individu peut être récolté s’il est suffisamment éclairé.
De même, les considérants 39 et 42 du RGPD évoquent l’obligation pour le responsable de traitement d’obtenir le « consentement informé » de la personne physique préalablement à tout traitement de données personnelles. Cela signifie que les informations relatives au traitement doivent être facilement accessibles, compréhensibles, formulées clairement et simplement (considérant 39). Il est alors nécessaire de communiquer l’identité du responsable de traitement, ainsi que les finalités du traitement (considérant 42). Le règlement consacre également la possibilité pour la personne physique de retirer à tout moment son consentement sur le traitement de ses données personnelles (article 7§3 du RGPD) ; ainsi qu’un « droit à l’oubli »/right to be forgotten, consacré à l’article 17 du RGPD).
II : Un cadre européen imparfait quant à l’obtention d’un consentement éclairé
En dépit des contraintes qui pèsent sur les responsables de traitement à l’égard de l’obtention du consentement, le Droit de l’UE n’est pas suffisant pour protéger efficacement la vie privée, et l’autonomie des individus, sujets de droit. L’exposition constante et soutenue à des flux d’informations participe d’une sorte d’anesthésie des personnes à l’égard de leurs données personnelles. La recherche d’un consentement véritablement éclairé par le droit européen semble une chimère, et de graves conséquences affectant la place de la normativité juridique au sein de nos sociétés occidentales peuvent en découler.
A : Le consentement véritablement éclairé face à la contractualisation du traitement des données
Le consentement, entendu comme l’expression d’un choix libre et éclairé, est donc étroitement lié à l’autonomie du sujet, au libre arbitre, et à la dignité humaine. De son côté, l’autonomie doit être entendue comme étant la prise de décision qui ne repose que sur la volonté propre de l’Homme. Souvent opposée à l’hétéronomie (laquelle suppose que le choix de l’individu dépend d’un facteur extérieur : contrainte morale, physique, un devoir ou même la loi), l’autonomie humaine ne peut être réellement effective que lorsqu’elle est garantie par un cadre juridique surplombant. Plus précisément, le préfixe « hétéro » est tiré du terme grec « hétéros », il désigne « l’autre »[24]. Or l’acquisition d’une autonomie et d’une subjectivité particulière nécessite un regard extérieur permettant au soi de prendre forme, et à la personnalité de chaque individu de se développer : « L’acquisition d’une autonomie, d’un même extérieur, sous-entend donc l’acquisition préalable de l’environnement comme lieu de différenciation »[25]. C’est par l’hétéronomie juridique que l’individu peut se construire en tant que sujet autonome : être autonome, « c’est être soumis à des lois ou des règles dépendant d’une entité extérieure »[26].
Ainsi, pour que l’individu soit réellement autonome, et donc pour qu’il puisse donner un consentement véritablement éclairé et réfléchi sur le traitement de ses données personnelles, nos cadres juridiques occidentaux doivent veiller à ce que les liens contractuels horizontaux ne prennent pas le pas sur le caractère vertical et universel de la norme juridique.
Si le phénomène d’affaiblissement de la norme juridique face aux lois du marché est plus visible aux Etats-Unis, le Droit de l’Union Européenne n’est pas à l’abri de ces dérives. La contractualisation des liens de Droit entre personnes physiques et responsables de traitement existe également en Europe. En effet, malgré que son cadre juridique sur la protection des données personnelles soit (relativement) robuste, celle-ci n’échappe pas au règne de l’idéologie ultralibérale et de son processus d’assujettissement des valeurs humaines à l’utilité privée grâce à l’horizontalisation de la normativité juridique. Ainsi, la récolte des données personnelles et la multiplication des rapports contractuels créent des liens de Droit horizontaux porteurs d’obligations (souvent déséquilibrées) entre les Sujets de Droits, tout en remettant en cause la souveraineté de l’Etat à édicter des normes générales d’intérêt public.
Certes, le droit européen cherche, comme nous l’avons vu, une simplification et une certaine « explicabilité » des informations offertes aux personnes physiques. Toutefois, la complexité des technologies de la Big Data, l’ampleur des enjeux économiques, la difficulté à appréhender les logiques sous-jacentes aux algorithmes rendent la compréhension de ces enjeux quasiment impossibles pour les personnes physiques. Notons également que le consentement à la récolte des données personnelles n’empêche pas la création a postériori de nouvelles données personnelles à travers les pratiques du data mining et du profilage par les grands acteurs du Numérique.
B : Le consentement véritablement éclairé face à la complexité des technologies du Big Data
A l’heure du World Wide Web et des technologies du Big Data, les détracteurs du consentement avancent un argument d’ordre cognitif pour marquer son insuffisance. Ils soulignent « l’absence de maîtrise intellectuelle des personnes concernées, ne permettant pas de saisir concrètement les informations fournies »[27]. Il s’agit d’une forme de défiance vis-à-vis de la théorie économique de l’acteur rationnel, qui attribue aux acteurs du jeu économique (en l’occurrence les consommateurs), la capacité de toujours agir de façon à maximiser leur utilité en fonction d’un calcul coûts-avantages. Or, le marché des services en ligne n’est pas un contexte propice à la rationalité puisque les individus tendent à abandonner leurs informations personnelles et leur vie privée pour accéder aux services en ligne. En effet, les droits à l’information et à la portabilité des données consacrés par le RGPD participent, paradoxalement, d’une multiplication des informations fournies aux personnes concernées par un traitement. Or le champ d’application de la protection des données personnelles ne cesse de s’étendre. Les utilisateurs de services en ligne et d’objets connectés font face à des séries de requêtes d’opt-in ; et l’on observe indubitablement une fatigue et un désintérêt vis-à-vis de ces pratiques[28]. L’acceptation des mentions légales et des conditions générales d’utilisations de ces services est devenue un geste automatique, désintéressé, que les internautes balayent afin d’accéder au service en question. Face à la puissance du marketing ciblé, l’individu ne peut plus résister et n’est définitivement pas un acteur rationnel de l’économie Numérique. Parallèlement, son Autonomie humaine, sa subjectivité, et son individualité sont elles aussi largement dépassées par les nouvelles pratiques commerciales des acteurs privés du Numérique.
Finalement pour T. Berns, les personnes concernées par un traitement ne se font pas voler leurs données : ils les abandonnent. Ces données quelconques, hétérogènes, décontextualisées et en fait asignifiantes n’ont aucune valeur intrinsèque. L’usage qui en sera fait est par ailleurs rarement complètement défini au moment de la récolte. La sphère de l’intentionnalité, et donc de la prise de décision autonome, est contournée par les technologies de la Big Data et leurs utilisations à des fins de marketing ciblé et de personnalisation des offres.
Enfin, il faut relativiser les faiblesses dont souffre la recherche de consentement en Europe en le mettant en balance avec les autres protections juridiques qui existent dans le droit européen, et qui inspirent largement la doctrine américaine. En application du RGPD, chaque personne qui consent à ce que ses données soient traitées se voit garantir une série de protections juridiques. Il s’agit d’une part du respect des principes fondamentaux du traitements, imposés au responsable des traitement, ainsi que les droits conférés aux utilisateurs. En effet, le G29 rappelle que le consentement constitue « une condition de licéité et non une renonciation à l’application d’autres principes »[29]
Parmi les obligations contraignantes qui pèsent sur le responsable de traitement, évoquons rapidement :
-Les principes de licéité, loyauté, transparence du traitement (article 5.a du RGPD)
-Le principe de limitation des finalités : les données doivent être « collectées pour des finalités déterminées, explicites et légitimes » (article 5.b du RGPD)
-Le principe de minimisation des données : les données récoltées doivent être « adéquates, pertinentes et limitées » aux finalités du traitement (article 5.c du RGPD)
-Le principe d’exactitude : les données doivent être « exactes et, si nécessaire, tenues à jour » (article 5.d du RGPD). Afin de respecter ce principe, le responsable de traitement devra prendre toutes les mesures raisonnables permettant d’effacer ou corriger les données inexactes ou obsolètes.
-Le principe de limitation de la conservation : les données doivent être conservées « pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.e du RGPD)
-Le principe d’intégrité et de confidentialité : les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées ».
Par ailleurs, le RGPD recherche à sensibiliser les responsables de traitement des obligations leur incombant puisque en cas de violation d’un de ces principes, y compris en cas de violation des conditions d’obtention du consentement, ce dernier encourt des sanctions administratives pouvant s’élever jusqu’à 20 000 000€, et s’il s’agit d’une société privée, jusqu’à 4% du chiffres d’affaires annuel mondial total de l’exercice précédent (article 83 §5. a du RGPD).
Parallèlement, le gouvernement fédéral américain cherche à réinvestir un véritable consentement éclairé. La Maison Blanche propose par exemple la mise en place d’un mécanisme de gestion des préférences pour les services en ligne[30]. La personne concernée par un traitement devrait transmettre à un intermédiaire un modèle type de ses préférences de navigation en ligne : les pratique qu’elle accepte et celles qu’elle refuse. Il s’agirait alors à l’intermédiaire de passer en revue les politiques de confidentialités et autres mentions légales des services en lignes et objets connectés au regard des préférences de l’utilisateur[31]. Une telle mesure pourrait permettre de pallier au problème déjà évoqué du « trop d’informations tue l’information », qui existe également en Europe malgré la quête d’un consentement éclairé. En effet, la personne concernée par le traitement n’aurait pas besoin de lire toutes les politiques de confidentialités, ce qui est de toute façon irréaliste[32].
CONCLUSION
Finalement, nous pouvons dire qu’en partageant leurs informations personnelles à des sociétés commerciales, les personnes physiques qui souhaitent profiter de services en ligne et d’objets connectés concourent, souvent inconsciemment, à leur auto-profilage. La recherche de leur consentement, si elle a une valeur légale au sens du droit européen, est imparfaite. Aux Etats-Unis, le consentement de l’utilisateur de services est limité à certaines pratiques dans certains secteurs. En réalité, plutôt que d’un consentement, il s’agit d’une « adhésion par défaut à une normativité aussi immanente que celle de la vie même »[33].
[1] Le Règlement Général sur la Protection des Données (RGPD) définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il précise ensuite que pour être considéré comme une personne identifiable, il suffit de pouvoir être identifié, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale» (Article 4, al. 1erdu Règlement 2016/679).
[2] Grafanaki, S. (2016). Autonomy Challenges in the Age of Big Data. Fordham Intell. Prop. Media & Ent. LJ, 27, 803.
[3] De Filippi, P. (2016). Gouvernance algorithmique : Vie privée et autonomie individuelle à l'ère des Big Data.
[4] Définition des « cookies » par la CNIL : « Un "cookie" est une suite d'informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y re-connecterez. Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d'un site marchand, le contenu courant de votre panier d'achat, un identifiant permettant de tracer votre navigation pour des finalités statistiques ou publicitaires, etc. »
[5] Montaigne, I. (2015). Big data et objets connectés Faire de la France un champion. Rapport, 200.
[6] Rouvroy, A. (2016). Des données et des Hommes. Droits et libertés fondamentaux dans un monde de données massives.
[7] Le United States General Accounting Office a défini le data mining comme étant « l’application de la technologie et des techniques de banques de données (comme l’analyse statistique et la modélisation) dans le but de découvrir les structures cachées et les relations subtiles entre données, et d’en inférer des règles permettant la prédiction de résultats futurs »
[8] Lifrange, M. (2018). Protection des données à caractère personnel : le consentement à l’épreuve de l’ère numérique. Travail de fin d’étude, université de Liège.
[9] Le RGPD a par ailleurs entrainé la révision de la loi française n° 78-17 du 6 janvier 1978 dite « informatique et libertés » (la « LIL »).
[10] 15 U.S. Code § 45. Unfair methods of competition unlawful; prevention by Commission
[11] Federal Trade Commission – About the FTC : “Our Mission: Protecting consumers and competition by preventing anticompetitive, deceptive, and unfair business practices through law enforcement, advocacy, and education without unduly burdening legitimate business activity.”
[12] Federal Trade Commission Report. (2012). Protecting Consumer Privacy in an Era of Rapid Change. Recommendations for businesses and policymakers.
[13] Respectivement : Google, Apple, Facebook, Amazon, et Microsoft
[14] Ragoucy, C. (2010). Le panoptique et 1984: confrontation de deux figures politiques d'asservissement. Psychanalyse, (2), 45-58.
[15] Charles Duhigg, Psst, You in Aisle 5, N.Y. TIMES, Feb. 19, 2012, § 6 (Magazine), at 30.
[16] Stepanovich A. (2018) Data protection in the United States: Where do we go from here ? Access Now. : “The Cambridge Analytica scandal highlights many of the problems with the U.S. approach. We generally have very little understanding regarding the amount of data that companies like Facebook collect about us, let alone understanding of the profiles they create or inferences they make from that data. Further, these companies are under little obligation to provide meaningful information about whether and how our profiles are purchased, analyzed, or transmitted. Terms of service/use are often long, complicated, and at the same time, provide little useful detail” https://www.accessnow.org/data-protection-in-the-united-states-where-do-we-go-from-here/
[17] The United States Department of Justice website (jan. 2020) : “The Privacy Act of 1974, as amended, 5 U.S.C. § 552a, establishes a code of fair information practices that governs the collection, maintenance, use, and dissemination of information about individuals that is maintained in systems of records by federal agencies.”
[18] Moutot A. (2018). Protection des données : l'Amérique peut-elle suivre l'Europe ?. Les Echos
https://www.lesechos.fr/2018/04/protection-des-donnees-lamerique-peut-elle-suivre-leurope-987980
[19] Article 5 §1.c et 5§.e du RGPD (équivalent en France article 6 de la loi n° 78-17 du 6 janvier 1978)
[20] Barraud B. (2017). Aux Etats-Unis, les données personnelles sont des biens commerciaux comme les autres. La revue européenne des médias et du numérique - N°42-43 Printemps-été 2017.
[21] Kahn S. (2020). En Californie, la loi sur la protection des données entre en vigueur. Le Figaro Tech&Web
[22] O’connor, N. (2018). Reforming the US approach to data protection and privacy. Council on Foreign Relations, 30.
https://www.cfr.org/report/reforming-us-approach-data-protection
[23] Lifrange, M. (2018).
[24] Centre national de la recherche scientifique, Trésor de la langue française, dictionnaire de la langue du XIX au XX e siècle, 1981.
[25] Villetorte, F. (2007). L'hétéronomie, une porte d'accès au désir et à l'autonomie. Le Journal des psychologues, (4), 51-53.
[26] Centre national de la recherche scientifique, Trésor de la langue française, dictionnaire de la langue du XIX au XX e siècle, 1981
[27] Lifrange, M. (2018).
[28] Schermer, B. W., Custers, B., & van der Hof, S. (2014). The crisis of consent: How stronger legal protection may lead to weaker consent in data protection. Ethics and Information Technology, 16(2), 171-182.
[29] Avis 15/2011 du Groupe de travail «Article 29» sur la définition du consentement, adopté le 13 juillet 2011, p. 8 , cité par Lifrange M.
[30] The White House. Mai 2014. Big Data and Privacy: A Technological Perspective. https://www.whitehouse.gov/sites/default/files/microsites/ostp/PCAST/pcast_big_data_and_privacy_-_may_2014.pdf
[31] Flaherty, D. H. (2008). Réflexions sur la réforme de la Loi sur la protection des renseignements personnels. Commissariat à la protection de la vie privée du Canada.
[32] Une étude a montré que chaque individu devrait consacrer plus de 24 heures par an à la lecture des politiques de confidentialités ; sans pour autant être garanti d’en comprendre tous les enjeux. Voir Schermer, B. W., Custers, B., & van der Hof, S. (2014). The crisis of consent: How stronger legal protection may lead to weaker consent in data protection. Ethics and Information Technology, 16(2), 171-182.
[33] Rouvroy, A., & Berns, T. (2013). Gouvernementalité algorithmique et perspectives d'émancipation. Réseaux, (1), 163-196.