Ambition numérique. Pour une politique française et européenne de la transition numérique

459

Compilé en quatre volets et 70 recommandations, le rapport « Ambition numérique » est la synthèse de six mois d’une concertation publique, ayant suscité plus de 17 500 contributions de la part de 2 300 contributeurs. Il alimentera la future loi numérique portée par Axelle Lemaire, consacrée aux données personnelles et bâtie autour des trois axes « économie de la donnée, protection et confiance et accessibilité ». Le rapport Thieulin ouvre de nombreuses pistes pour le futur texte législatif. Le premier volet du rapport, intitulé « Loyauté et liberté dans un espace numérique en commun », a pour objectif de définir un cadre juridique capable d’assurer un environnement garantissant le respect des droits individuels et collectifs des consommateurs et des citoyens dans la société numérique. Le deuxième volet a pour ambition d’orienter la puissance publique « vers une nouvelle conception de l’action publique : ouverture, innovation, participation ». Le troisième volet intitulé « mettre en avant la croissance française : vers une économie de l’innovation » élabore une stratégie industrielle destinée à soutenir la compétitivité des acteurs numériques français. Le quatrième volet, « solidarité, équité, émancipation : enjeux d’une société numérique », esquisse les contours des enjeux numériques de demain à propos de la santé, l’éducation, la citoyenneté, les communs, mais aussi le travail, la justice ou encore la protection sociale.

Parmi les nombreuses recommandations du rapport, les données personnelles prennent une place à part, du fait de la transversalité de leurs enjeux. En effet, comme le rappelle Axelle Lemaire, secrétaire d’Etat au numérique : « La valeur, dans le numérique, ce sont les données. […] Cela fonctionne à l’inverse de la logique du capital au XXe siècle, où des ressources matérielles devaient être accumulées, comme le pétrole. Aujourd’hui, pour créer de la valeur, il faut favoriser la circulation des données. »

Le Conseil national du numérique souhaite ainsi consacrer en droit français le principe d’autodétermination informationnelle, comme l’avait déjà suggéré le Conseil d’Etat dans son étude annuelle de 2014 (voir La REM n°32, p.61), permettant d’entériner la transition entre la « protection » des données personnelles des années 1980 et la « maîtrise » des données personnelles depuis les années 2000, grâce à laquelle l’individu n’est plus passif et protégé malgré lui, mais actif, à la fois maître et responsable de ses données personnelles. L’autodétermination informationnelle, consacrée par la Cour constitutionnelle allemande dans l’arrêt EuGRZ du 15 décembre 1983, est « le pouvoir de l’individu de décider lui-même […] quand et dans quelle mesure une information relevant de sa vie privée peut être communiquée à autrui ».

A partir de ce principe, le rapport préconise de consacrer et d’activer ce droit pour que les individus puissent décider de la communication et de l’utilisation de leurs données personnelles : « Pour les individus, ce droit à l’autodétermination implique qu’ils puissent avoir accès à ces données, qu’ils puissent les lire, les modifier, les effacer, choisir ce qu’ils veulent en faire ; mais aussi qu’ils puissent décider des services qui y ont accès. »

En l’occurrence, le rapport demande que soit aussi consacré un « droit effectif à la portabilité des données » qui consisterait en « la restitution aux individus des données collectées dans le cadre de l’utilisation des services, pour leur usage personnel ou pour le partage vers d’autres services ». 
Sont ici visés les services numériques proposés par les GAFA et autres grands acteurs du web. Cette maîtrise des données par l’individu impliquerait la restitution de ces données personnelles, de manière simple, « dans des formats ouverts et standards et lisibles par des machines ». Ces données seraient à la fois celles générées par l’individu lorsqu’il utilise un service numérique, « volontairement ou non, consciemment ou non », mais également celles générées par le service en question « et qui présentent une valeur d’usage (favoris, mails, contacts, métadonnées des photos, playlists, traces d’usages, d’achats, de communications, graphe social, etc.) ». 
Le rapport demande également que le législateur et le régulateur soutiennent les technologies et logiciels qui rendent du pouvoir aux utilisateurs, et notamment les PIMS (Personal Information Management System). Aujourd’hui, les individus s’inscrivent à de nombreux services numériques qui fonctionnent selon une logique de silo, où ils deviennent captifs. Les PIMS consistent à inverser la logique en hébergeant l’ensemble de leurs informations personnelles sur une seule plate-forme, afin de permettre à l’individu de choisir quel service numérique aura accès à quelle information.

Le rapport préconise en outre d’étendre le droit d’accès d’un individu à ses données personnelles sur le marché secondaire de la donnée. Lorsqu’un individu consent à ce qu’un service auquel il s’inscrit transfère à des fins commerciales ses données à des tiers, le rapport souhaite qu’il soit possible de « prendre connaissance des circuits de circulation et de revente de leurs données, au-delà du collecteur initial » et même de « conduire une enquête sur les pratiques des data brokers en Europe, à l’instar des travaux conduits par la Federal Trade Commission (FTC) et le Sénat américain ».

Enfin, le Conseil national du numérique soutient la recommandation du Conseil d’Etat proposant l’ouverture d’une action collective par les associations agréées de protection des consommateurs, action destinée à faire cesser les violations de la législation sur les données personnelles.

L’ensemble de ces mesures destinées à redonner à l’individu le contrôle et la maîtrise de ses données personnelles s’inscrit dans ce que le rapport appelle le « principe général de loyauté », qui vise à « obliger les acteurs économiques à assurer de bonne foi les services qu’ils proposent sans chercher à les détourner à des fins contradictoires à l’intérêt de leurs utilisateurs ». Sont tout particulièrement visées les plates-formes en ligne dont la transparence du comportement fait souvent défaut, entre la promesse du service et les pratiques réelles, la plupart du temps opérées à l’insu de l’utilisateur. Cela passerait par un certain nombre de mesures, comme l’obligation d’édicter, en langue française, les conditions générales d’utilisation lisibles et non ambiguës, tout en expliquant clairement la destination et l’utilisation des données recueillies, y compris lorsqu’elles sont transmises à des tiers, et même si elles sont anonymisées. Ou encore : « assurer l’application effective de l’opt-in pour l’utilisation initiale et générale du service ». Faire en sorte que lorsqu’une nouvelle option est activée, par exemple la géolocalisation, l’utilisateur reçoive une notification l’informant précisément de la destination et de l’utilisation qui sera faite des données récoltées.

Pour que ces deux notions, d’autodétermination informationnelle et de loyauté, ne soient pas des coquilles vides, le Conseil national du numérique propose des moyens de contrôle de leur effectivité. Tout d’abord, à travers les autorités actuelles de régulation, la CNIL, l’ARCEP, le CSA, l’Autorité de la concurrence, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), la Commission des clauses abusives, la Commission d’examen des pratiques commerciales, etc. dont la concertation et la coopération pourraient être renforcées lorsqu’il y a un risque en matière de données personnelles. Ensuite, le Conseil propose deux dispositifs complémentaires : d’une part, une agence européenne de notation de la loyauté, appuyée sur un réseau ouvert de contributeurs et, d’autre part, un corps d’experts en algorithmes (ou « algorithmistes »), mobilisables sur demande exclusive d’une autorité de régulation. L’agence européenne de notation de la loyauté s’appuierait sur ce qui fait la force et la fragilité des plates-formes numériques : leur réputation. Cette agence aurait pour mission à la fois de « rendre accessible, via un point d’entrée unique, toute une série d’informations déjà rassemblées par les observateurs et des outils existants » et « d’ouvrir un espace de signalement de pratiques contraires à la loyauté et à l’autodétermination des individus ». Deuxième dispositif, le Conseil préconise de creuser l’idée du chercheur Viktor Mayer-Schönberger et du journaliste Kenneth Cukier qui « demandent aux entreprises de procéder à une évaluation officielle des impacts de la réutilisation des données personnelles sur les personnes concernées et de faire certifier les algorithmes destinés à certaines utilisations sensibles ». Il s’agirait de mobiliser un corps d’experts à la croisée des data scientists et des juristes, capables « d’intervenir en cas de suspicion forte de non-respect de la loyauté, à la demande exclusive d’une autorité de régulation ou dans un cadre judiciaire, pour aller examiner le fonctionnement de l’algorithme en question ». Mieux, il pourrait être imaginé de prendre en compte les principes d’autodétermination informationnelle et de loyauté dès la conception des services, dans la continuité du principe de privacy by design.

A n’en pas douter, le rapport du Conseil national du numérique fourmille d’idées, de recommandations et de propositions qui auront inspiré la future loi « pour une République numérique » portée par Axelle Lemaire, prévue pour la fin de l’année 2015, et dont la rédaction s’est également appuyée sur une grande consultation publique (8 500 contributions et 20 000 personnes) qui aura permis d’enrichir le projet de loi de dix nouveaux articles.

Ambition numérique. Pour une politique française et européenne de la transition numérique, (PDF) rapport du Conseil national du numérique présidé par Benoît Thieulin et remis au Premier ministre Manuel Valls, juin 2015.

LAISSER UN COMMENTAIRE