Des écosystèmes saisis par la compliance1 et soumis à l’approche par la régulation
Depuis l’adoption du RGPD2, un nouveau paradigme a transformé la logique réglementaire d’application de la norme au sein des entreprises en logique de mise en conformité, impliquant tous les acteurs clés des marchés numériques – tels les responsables de traitements de données personnelles, les contrôleurs d’accès, les grandes plateformes, les concepteurs de systèmes algorithmiques à haut risque, les fournisseurs de services de médias, etc. –, car ils doivent dorénavant en assumer la charge.
Cette logique de compliance est mise en œuvre dans le cadre d’un régime de corégulation ou de supervision laissant à des autorités de régulation le soin d’en déterminer les outils pour y parvenir. Il en résulte une nouvelle forme de responsabilité d’engagement des acteurs inversant la logique de sa mise en jeu, qui de responsabilité ex post se transforme en responsabilité ex ante, découlant du respect d’obligations posées par les textes européens en vertu de l’application du principe d’accountability. Celui-ci légitime le fait, pour ces acteurs, de mettre en œuvre une approche par la prévention des risques3, de concevoir ensuite des mesures de prévention/protection par famille de risques en identifiant essentiellement les risques socio-techniques et économiques liés à l’accès aux données et aux écosystèmes.
UNE NOUVELLE FORME DE RESPONSABILITÉ D’ENGAGEMENT DES ACTEURS INVERSANT LA LOGIQUE DE SA MISE EN JEU
Cette approche suppose d’enchaîner la décision, l’évaluation d’une action (au regard de sa conformité aux obligations posées par le législateur) et les mécanismes de contrôle (par le régulateur) et de responsabilité qui y sont attachés. La responsabilité comprend toutes ces dimensions et elle engage plus particulièrement l’implication personnelle de l’auteur ou des auteurs réels du processus concerné. Ainsi, ce qui est évalué, c’est le comportement des acteurs davantage que le dysfonctionnement du système en lui-même, s’écartant ainsi des mécanismes classiques d’imputabilité4. Les mesures de réduction des risques trouvent leur traduction dans une série d’obligations adaptées à l’environnement des acteurs structurants (non encore mises en application) au sein des textes européens récemment adoptés.
CE QUI EST ÉVALUÉ, C’EST LE COMPORTEMENT DES ACTEURS DAVANTAGE QUE LE DYSFONCTIONNEMENT DU SYSTÈME EN LUI-MÊME
Cependant, les différents règlements prévoient expressément qu’un dialogue avec le régulateur, à l’issue d’une analyse de risques régulièrement conduite par les acteurs structurants, a pour conséquence de les amener à rendre des comptes, ou du moins à rendre compte de leur respect des obligations en adéquation aux risques liés à leur activité. En l’absence de cette adéquation, le régulateur aura la possibilité de faire évoluer la demande d’analyse de risques pour l’ajuster à l’objectif à atteindre, consistant prioritairement à garantir la transparence du système technique, de l’accès aux données, de l’accès à l’information, des classements de produits, des relations précontractuelles et contractuelles, des mécanismes de recommandation et de modération, du ciblage publicitaire, etc.
L’objectif avéré procède de l’ouverture des écosystèmes numériques pour faciliter l’accès et le partage des données dans un environnement fiable, et pour lutter contre les contenus illicites afin de garantir la liberté de choix des utilisateurs.
LA TRANSPARENCE NE DOIT PAS RESTER QU’UNE FAÇADE, MAIS BIEN DAVANTAGE ÊTRE LE PRINCIPE DIRECTEUR D’UNE LIBERTÉ DE CHOIX
La transparence ainsi établie dérive dans sa formulation de la loyauté et de l’équité, tout comme elle reprend l’idée de neutralité et de diversité en ce qu’elle doit conduire à la liberté de choix des utilisateurs5. Pour autant, la transparence ne doit pas rester qu’une façade, mais bien davantage être l’instrument, ou plus exactement le principe directeur, d’une liberté de choix, d’une diversité. Elle doit notamment assurer l’effectivité des droits des utilisateurs et garantir leurs libertés fondamentales6. Or, les écosystèmes numériques se nourrissent des données partagées par les utilisateurs, captifs d’un modèle économique dont ils sont la cible.
L’utilisateur pourrait-il être un acteur des écosystèmes numériques ?
La réponse à cette question essentielle du fonctionnement des écosystèmes numériques est totalement tributaire de la mise en œuvre de la compliance, aux termes des différents règlements de l’Union européenne envisageant de prime abord le processus de responsabilisation de l’utilisateur par une « mise en pouvoir d’agir », initiée par le RGPD, et visant à corriger les asymétries informationnelles liées à l’activité des acteurs économiques structurants.
CETTE LOGIQUE D’EMPOWERMENT INDUIT LA GARANTIE D’UNE NOUVELLE FAMILLE OU GÉNÉRATION DE DROITS
Cette logique d’empowerment induit la garantie d’une nouvelle famille ou génération de droits, que d’aucuns qualifient de droit à l’autodétermination informationnelle dans le domaine de la protection des données personnelles7, qu’ils souhaitent également étendre à toute forme de communication numérique8 ou enrichir d’un droit à l’autodétermination cognitive9 afin de protéger l’attention de l’utilisateur, véritable enjeu de ces écosystèmes10. Si ces droits ne sont pas formellement consacrés, les textes européens en ont édicté leurs déclinaisons concrètes, telles que le droit à l’information, le droit d’accès aux données, le droit à la déconnexion, le droit à l’oubli numérique, l’exercice du consentement, le droit à la portabilité des données à l’aune du droit à la contestabilité des écosystèmes, l’exercice de la modération des contenus, voire, depuis le 11 avril 2024, dans le cadre du règlement relatif à la liberté des médias, le droit des destinataires de services de médias d’avoir accès à une pluralité de contenus de médias indépendants et une forme de droit au paramétrage.
En outre, la Déclaration européenne sur les droits et principes numériques pour la décennie numérique en date du 23 janvier 202311, négociée par les États membres, le Parlement et la Commission, place l’utilisateur au centre du processus numérique et met les systèmes techniques au service de l’humain. La « mise en pouvoir d’agir » de l’utilisateur, issue des différents règlements européens, est relayée en grande partie par la teneur de cette déclaration à portée politique. Même si celle-ci n’envisage pas l’application concrète des droits proclamés12.
Enfin, le dénominateur commun des règlements de l’Union européenne reste la protection de l’utilisateur, pris en sa qualité de consommateur et de professionnel utilisateur de l’écosystème, pour une approche nouvelle du droit de la concurrence13 (DMA), des destinataires du service (DSA), des destinataires de services de médias (EMFA), des personnes14 (RGPD) ou plus largement de tout utilisateur d’un système algorithmique dans le cadre d’une activité professionnelle (règlement IA, voir supra). Le territoire ciblé par l’application de ces textes est donc celui des utilisateurs.
Comme pour les fonctionnalités des plateformes qu’ils réglementent, les textes européens ont également opéré en miroir des qualifications applicables à l’utilisateur selon la fonction attendue de ce dernier, ce qui contribue à l’adaptabilité du principe de transparence et à sa mise en œuvre. Ainsi, l’approche par la prévention des risques suppose de définir des « systèmes pertinents » en vue de procéder à une analyse d’impact, de manière à pouvoir caractériser des sous-systèmes, les liens d’interdépendance entre les acteurs et poser in fine les obligations idoines. Par conséquent, chaque règlement européen définit un système sociotechnique, des acteurs parmi lesquels se trouvent les utilisateurs, et un ensemble d’obligations dont la force est nécessairement atténuée par la négociation avec les parties prenantes et la procédure de colégislation.
L’HYPERPERSONNALISATION DES CONTENUS ANNIHILE, AU TITRE DES USAGES, TOUTE PRISE DE CONSCIENCE COLLECTIVE DES RISQUES
Cette approche centrée sur l’utilisateur est justifiée, car il s’agit désormais de lui fournir les moyens de lutter de manière offensive contre la désinformation, véritable enjeu de toute société démocratique. En effet, l’hyperpersonnalisation des contenus annihile, au titre des usages, toute prise de conscience collective des risques liés aux activités ou communications numériques et contribue inévitablement à rendre les utilisateurs captifs des écosystèmes numériques. Or, l’intérêt des utilisateurs ne doit plus demeurer au simple rang des intérêts à préserver par les acteurs structurants qui, à cette fin, rechignent à revoir leur modèle économique, mais également par le régulateur et par le juge. Ainsi, la mise en pouvoir d’agir est encore trop largement instrumentalisée par les acteurs structurants, mettant l’utilisateur en posture défensive15. Dès lors, la garantie défensive de ses droits est attendue, portée par la démarche de corégulation16. Toutefois, elle repose sur son engagement, l’acquisition d’une culture numérique et, plus encore, une culture du risque lui permettant de se déterminer dans ses choix. Cette démarche suppose d’assujettir préalablement l’utilisateur à des obligations ou des devoirs, afin qu’il puisse acquérir un esprit critique et prendre la distance nécessaire dans l’usage des écosystèmes numériques, en dépassant le seul rapport émotionnel, notamment lié à l’attrait de la nouveauté. Le processus de responsabilisation est alors enclenché dans le but de voir reconnaître la responsabilité de l’utilisateur, nouvel acteur de l’écosystème numérique.
La consécration de l’utilisateur : de nouveaux instruments et de nouvelles obligations
La logique de compliance suppose, en outre, d’outiller efficacement l’utilisateur afin de lui permettre d’interagir pleinement avec les autres acteurs du système.
IL CONVIENT DE RENFORCER LES PROCESSUS ÉDUCATIFS TANT SUR LE PLAN INDIVIDUEL QUE COLLECTIF
Mettre en pouvoir d’agir l’utilisateur justifierait, en amont, de développer ses facultés de compréhension du système et de ses potentiels comportements dommageables. Il convient de renforcer les processus éducatifs tant sur le plan individuel que collectif, en mobilisant toutes les parties prenantes (Éducation nationale et autres acteurs publics, associations et organismes privés à l’échelle nationale et européenne), de manière à constituer une task force pour lutter contre les enjeux majeurs de la société (gestion des interfaces par les enfants et adolescents, lutte contre la désinformation), et en posant une obligation de formation à la charge de l’utilisateur.
Or, les textes restent une nouvelle fois au milieu du gué, entretenant une confusion entre droit et obligation, de manière que l’utilisateur ne se braque pas face à une charge qu’il jugerait excessive, laquelle altérerait encore davantage la confiance qu’il accorde aux pouvoirs publics. La désinformation aura eu pour principal effet d’installer durablement le doute au sein de notre société.
Dès lors, l’acquisition de compétences numériques s’appuie sur la reconnaissance d’un nouveau droit issu de la Déclaration européenne sur les droits et principes numériques pour la décennie numérique. Le chapitre 2 du texte est dédié à l’éducation et aux compétences numériques : « Toute personne a droit à l’éducation, à la formation et à l’apprentissage tout au long de la vie ou devrait pouvoir acquérir toutes les compétences numériques de base et avancées. » Ce dispositif déclaratif est rendu contraignant par le règlement relatif à la liberté des médias (EMFA) qui définit l’éducation aux médias sous la forme d’un préalable nécessaire à la liberté des médias17. À ce titre, les professionnels des services de médias doivent outiller les usagers pour leur permettre de comprendre la fabrique de l’information et de se saisir de la désinformation. Plus globalement, l’implication de tous les acteurs structurants dans ce processus éducatif doit être assurée de façon continue en raison du caractère dynamique et protéiforme des interactions, et doit dépasser la seule communication descendante d’informations, comme déjà préconisé dans le cadre de la lutte contre les fausses nouvelles ou la haine en ligne. En application du DSA, elle doit être institutionnalisée par la mise à disposition d’outils de modération efficaces, utilisables pour tous les services des acteurs structurants et mis dans les mains de l’utilisateur afin de préserver le processus démocratique.
L’implication des autorités de régulation est également attendue pour accompagner les acteurs dans le choix d’outils idoines. Selon l’objet de la régulation, l’implication prend des formes variées, utilisant plateforme, systèmes algorithmiques, indicateurs, afin d’agréger les remontées d’informations et les cas litigieux partagés par les utilisateurs. Cette approche rejoint celle promue par l’Arcep concernant la régulation par les données18 et elle est validée par l’article 40 du DMA. Différents outils de « jouabilité » peuvent ainsi être mis à la disposition des utilisateurs – dans le respect du secret des affaires et des droits de propriété intellectuelle des plateformes – pour qu’ils comprennent les enjeux soulevés par les aspects techniques régissant le partage et la visibilité des contenus, et notamment l’impact de leurs interactions sur la diffusion d’un contenu qui varie selon les « métriques de réputation » de chacun19.
UN UTILISATEUR DEVENU ACTEUR DE LA RÉGULATION DOIT ÊTRE CAPABLE D’AGIR SUR LA RÉGULATION DU SYSTÈME
Or, un utilisateur devenu acteur de la régulation doit être capable d’agir sur la régulation du système. Le temps est un facteur important, car l’apprentissage est long. L’action de l’utilisateur pourrait se traduire par la reconnaissance d’outils lui permettant d’agir au cœur même du système. En ce sens, l’utilisateur doit se voir faciliter l’accès à des modalités alternatives de curation des contenus, pour sélectionner, éditer et partager ceux qu’il considère comme les plus pertinents pour une requête ou un sujet donné, en personnalisant son fil d’actualités selon d’autres critères que le niveau d’engagement. En contrepartie, les éditeurs de contenus doivent s’engager plus activement dans le respect de la diversité des contenus. Ainsi, l’article 3 de l’EMFA reconnaît « le droit des destinataires de services de médias d’avoir accès à une pluralité de contenus médiatiques indépendants sur le plan éditorial et [les États membres] veillent à ce que des conditions-cadres soient en place, conformément au présent règlement, afin de préserver ce droit, dans l’intérêt d’un discours libre et démocratique ». L’utilisateur doit, par ailleurs, se voir conférer le droit de modifier les paramétrages ou les données traitées afin de (ré)agir face aux risques d’enfermement ou d’exposition à des contenus non désirés. En ce sens, il est possible de déduire de l’article 20 de l’EMFA un droit à la personnalisation de l’offre de médias, ce qui relance le débat sur la consécration d’un droit au paramétrage, lequel fournirait à l’utilisateur les outils de jouabilité nécessaires à l’exercice de ses droits. Cet article prévoit à ce titre que « les utilisateurs ont le droit de modifier facilement la configuration, y compris les paramètres par défaut, de tout appareil ou toute interface utilisateur contrôlant ou gérant l’accès à des services de médias fournissant des programmes, et l’utilisation de ces services, afin de personnaliser l’offre de médias en fonction de leurs intérêts ou de leurs préférences dans le respect du droit de l’Union ». L’exercice de ce droit est cependant conditionné par l’existence d’une interface accueillant cette fonctionnalité adaptée attendue des développeurs et fabricants, et reste cantonné à l’utilisation des services de médias.
La consécration de l’utilisateur responsable ?
De ces obligations et de ces outils de jouabilité découle l’éventuelle responsabilité de l’utilisateur, résultant de son action en qualité d’auteur mais aussi en tant que relais de contenus illicites dès lors qu’il en a pleinement conscience. Doit-on retenir alors une logique de coresponsabilité propre à la logique systémique et, si oui, sous quelle forme ? Doit-on aller jusqu’à la création d’un délit spécifique ? Il est probablement encore trop tôt pour y répondre.
Il appartient au législateur de placer le curseur de manière à éviter toute sanction disproportionnée20. On peut, dès lors, regretter la portée de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, qui envisage les utilisateurs uniquement sous l’angle du droit pénal, considérant que certains de leurs propos pourraient porter « une atteinte grave à notre capacité de vivre ensemble ». Est ainsi proposée une infraction obstacle, à savoir la mise en danger de la vie d’autrui par diffusion d’informations contenant des « données personnelles », en réaction à l’attentat de Samuel Paty (article 223-1-1 du code pénal).
TOUTE SANCTION PÉNALE EST ILLUSOIRE SI ELLE EST DISPROPORTIONNÉE OU SI ELLE NE S’ACCOMPAGNE PAS D’UNE DÉMARCHE ÉDUCATIVE PRÉALABLE
Au-delà de la pertinence de la seule approche pénale, les textes ne manquent pas de faire l’objet de vives critiques, notamment l’analyse de leur compatibilité avec le DSA, ce qui invite à penser la reconstruction d’un dispositif par la régulation. Ce raisonnement a été validé par le contrôle de proportionnalité mis en œuvre par le Conseil constitutionnel en 2020, à l’occasion du contrôle de conformité de la loi relative à la haine en ligne. En réalité, toute sanction pénale est illusoire si elle est disproportionnée ou si elle ne s’accompagne pas d’une démarche éducative préalable. Le texte de la loi visant à sécuriser et à réguler l’espace numérique, adopté le 10 avril 2014 et soumis au Conseil constitutionnel (voir supra), poursuit dans cette voie en renforçant les sanctions envers les personnes condamnées pour propos haineux en ligne, pour cyberharcèlement ou autres infractions graves (pédopornographie, proxénétisme…), ainsi que pour la diffusion de deepfake. Elle crée également un nouveau délit d’outrage en ligne réprimant la diffusion de contenus injurieux, discriminatoires ou harcelants. Elle instaure à ce titre une peine de bannissement des réseaux sociaux formellement contes-table. Cependant, elle institue parallèlement un « stage dédié à la sensibilisation au respect des personnes dans l’espace numérique » pour les délits punis d’une peine de prison et des procédés divers de sensibilisation destinés aux adolescents et aux étudiants21. Dans sa décision n° 2024-866 DC du 17 mai 2024, le Conseil constitutionnel n’a pas estimé pour autant que la démarche était proportionnée à l’objectif à atteindre. Il convient de considérer également que l’utilisateur n’est pas encore parfaitement armé pour s’extraire a priori des risques de pollution de son environnement numérique, et pour apaiser les échanges.
Sources :
- Voir sur ce point, Frison-Roche Marie-Anne (dir.), Régulation, supervision, compliance, Dalloz, Thèmes & Commentaires, 2017, p. 81 et s.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ; Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique (DMA) ; Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché́ unique des services numériques (DSA) ; Texte approuvé le 24 mars 2024 en phase de traduction, législation sur l’IA, COM/2021/206 final ; Règlement (UE) 2024/1083 du Parlement européen et du Conseil du 11 avril 2024 établissant un cadre commun pour les services de médias dans le marché intérieur (Règlement relatif à la liberté des médias).
- L’existence de risques systémiques identifiés par le DSA, de risques d’atteintes à la vie privée identifiés par le RGPD, ou de traitements à haut risque prescrits par le Règlement IA, met en perspective tout l’intérêt de la démarche de manière à corriger les asymétries informationnelles, propres aux systèmes complexes et les atteintes aux libertés et droits fondamentaux que ces asymétries sont susceptibles d’engendrer structurellement.
- Jaeger Marcel, « Du principe de responsabilité au processus de responsabilisation », Vie sociale, n° 3, 2009, 71-81.
- Favro Karine et Zolynski Célia, « DSA, DMA : L’Europe encore au milieu du gué », Dalloz IP/IT, n° 4, 2021, 217.
- Idem.
- Il s’agit schématiquement du droit pour chaque individu de décider lui-même de la communication et de l’emploi des informations le concernant. Voir sur ce point, Charpenet Julie, « La modération des contenus en ligne. Essai sur une régulation de la conversation mondiale », thèse, Université Côte d’Azur, 13 décembre 2022, p. 375 et s.
- Idem, p. 369 et s. Le 18 juin 2020, le Conseil européen reconnaît, au côté de la liberté d’accéder aux services numériques, la liberté de s’y exprimer, tout particulièrement sur les réseaux sociaux. Il considère ainsi, pour la première fois, le rôle actif des utilisateurs non plus sur le seul fondement du RGPD mais également sur le fondement de l’article 11 DDHC (Cons. Const., n° 2020-801 DC, Loi visant à lutter contre les contenus haineux sur internet).
- Rochfeld Judith, Zolynski Célia, « La valeur des émotions : quel régime pour le capitalisme mental ? », in Mélanges en l’honneur de Pierre Sirinelli. Entre art et technique : les dynamiques du droit, Dalloz, 2022, p. 749.
- Zolynski Célia, Le Roy Marylou, Levin François « L’économie de l’attention saisie par le droit – Plaidoyer pour un droit à la protection de l’attention », Dalloz IP/IT, 2019, p. 614.
- JOUE C23/1, 23 janvier 2023.
- Voir sur ce texte, Le Roy Marylou, « La Déclaration sur les droits et principes numériques pour la décennie numérique : un texte en trompe-l’œil », PA, septembre 2023, p. 16.
- Utilisateur final et entreprise utilisatrice.
- Cela caractérise à la fois la personne physique bénéficiaire de la protection relative aux données à caractère personnel et la personne qui utilise concrètement les données issues d’un traitement. Cons. 23, 38 et 67 du RGPD.
- Legs de la Révolution française, le libellé de l’article 11 DDHC est remarquable de précisions. Il vise la liberté de l’émetteur, seul sujet de droits et débiteur d’obligations, et non celle du récepteur considéré comme passif, même si le caractère universel de la DDHC a permis d’étendre la liberté de communication à tous moyens qui procèdent de l’extériorisation de la pensée. La qualité de récepteur n’a jamais conféré la défense d’intérêts juridiquement protégés. Le droit de la communication s’est construit dans ce déséquilibre, reposant sur la protection du récepteur par l’émetteur, professionnel de la communication en position dominante. La Convention EDH en son article 10, tout en reconnaissant la liberté de réception et l’accès à l’information, n’augure pas d’une plus grande justiciabilité du récepteur, neutralisée par la référence faite au public, ou au droit du public à l’information.
- Anciaux Nicolas, Zolynski Célia, « Empowerment et Big data sur données personnelles : de la portabilité à l’agentivité », in G’Sell Florence, Le Big data et le droit, Dalloz, 2020, Thèmes & Commentaires, p. 219 ; Favro Karine, Zolynski Célia, « Pour une nouvelle régulation des contenus à l’ère de la conversation », in Penser le droit de la pensée. Mélanges en l’honneur de M. Vivant, Dalloz, 2020, p. 121.
- « Éducation aux médias » : les compétences, les connaissances et la compréhension permettant aux citoyens d’utiliser les médias d’une manière sûre et efficace et qui ne se limitent pas à l’apprentissage des outils et des technologies, mais visent à doter les citoyens de la réflexion critique nécessaire pour exercer un jugement, analyser des réalités complexes et reconnaître la différence entre des opinions et des faits (article 3).
- ARCEP, « La régulation par la data », Grand dossier, 24 avril 2024.
- Cnil, « Comment permettre à l’homme de garder la main ? », décembre 2017, p. 57.
- Favro Karine, Zolynski Célia, « Pour une nouvelle régulation des contenus à l’ère de la conversation », cit.
- Il est prévu que les collégiens devront être sensibilisés aux dérives liées aux contenus générés par l’IA, et les parents informés des dangers d’une exposition précoce et non encadrée des enfants aux écrans et des risques liés à internet. Les étudiants devront être sensibilisés aux cyberviolences sexistes et sexuelles.