La question du régime juridique de la donnée est intéressante, car elle est la cause d’un fort trafic d’octets sur la toile. Billet juridique oblige, ce trafic n’est cependant pas pénalement répréhensible. Deux réflexions sont évoquées ci-dessous. Celle de juristes qui se sont retrouvés il y a peu en Suisse, et celle du Conseil d’État qui vient de publier un document intitulé le numérique et les droits fondamentaux téléchargeable ici.

source.

Commençons par l’article le plus court, celui de l’assemblée des juristes en Suisse. Le questionnement est suisse, mais facilement transposable chez nous A l’image des réglementations européennes, la Loi fédérale sur la protection des données actuelle présente des insuffisances qui, concernant le big data, laissent place à un champ d’interprétation trop vaste. Quel cadre légal instaurer pour protéger efficacement les utilisateurs ? Sur quels droits fondamentaux la législation devrait-elle s’appuyer ? Où situer la frontière entre données personnelles et anonymes ?
Et encore Le premier problème est le décalage qui existe entre l’activité du législateur, qui semble toujours regarder dans le rétroviseur, et les nouvelles technologies. Avec le big data, c’est encore plus le cas. Il faut repenser le cadre législatif de fond en comble (…) en combinant des informations a priori non personnelles à l’aide d’algorithmes, il est aujourd’hui possible de dresser le profil d’un utilisateur. En tout état de cause, il me paraît indispensable d’instaurer un droit à la souveraineté personnelle, qui donnerait à chacun la capacité de contrôler son double informationnel, conclut Alain Bensoussan.

Chers amis helvètes, dormez paisibles, notre Conseil d’État a trouvé la solution : Des choix stratégiques devront être opérés et une sécurisation juridique des usages du numérique, notamment en matière de données personnelles, est encore à assurer. La présente étude prend ainsi position dans les débats actuels en affirmant nettement que ces données ne doivent pas faire l’objet d’une appropriation patrimoniale mais que, pour autant, les intéressés doivent disposer d’un droit de regard et conserver la maîtrise sur les données qui les concernent : c’est ce qu’elle nomme, après la Cour constitutionnelle fédérale d’Allemagne, « l’autodétermination informationnelle ».

Trêve de persiflage, ce document est particulièrement dense et mérite une étude approfondie. Une première lecture permet cependant de retirer quelques éléments intéressants.

• L’étude du Conseil d’État propose de consacrer dans le droit positif le principe de neutralité du net, car il constitue une garantie fondamentale des libertés énumérées ci-dessus, en permettant à toute entreprise, toute association ou tout particulier de bénéficier d’un égal accès à tous les internautes.
• Il apparaît donc nécessaire de créer une nouvelle catégorie juridique, celle des plateformes, dont la définition ne reposerait plus sur le caractère technique et passif de leur rôle, mais sur le fait qu’elles proposent des services de classement ou de référencement de contenus, biens ou services mis en ligne par des tiers. Les plateformes devraient être soumises à une obligation de loyauté envers leurs utilisateurs, tant les utilisateurs non professionnels dans le cadre du droit de la consommation que les utilisateurs professionnels dans le cadre du droit de la concurrence. Oui, cependant à quoi correspondrait cette obligation de loyauté, et qu’imposerait-elle ?

Quelques vœux pieux aussi :

• L’encadrement de l’utilisation des algorithmes est un domaine nouveau pour les pouvoirs publics, mais devenu nécessaire en raison du rôle grandissant de ces mécanismes et des risques qu’ils présentent pour l’exercice des libertés. L’étude du Conseil d’État préconise trois méthodes d’encadrement : assurer l’effectivité de l’intervention humaine dans la prise de décision au moyen d’algorithmes ; mettre en place des garanties de procédure et de transparence lorsque les algorithmes sont utilisés pour prendre des décisions à l’égard d’une personne ; développer le contrôle des résultats produits par les algorithmes, notamment pour détecter l’existence de discriminations illicites. Oui, bien sûr, les informaticiens vont livrer les sources de leurs algorithmes… Et ils ne pratiqueront pas l’obfuscation lorsqu’ils les feront examiner. Et la version donnée à l’examen par la puissance publique sera celle utilisée réellement. Et quand il y aura des modifications, ils se précipiteront pour les faire valider… Et s’il y a un bug ?
• S’agissant des relations avec les États-Unis, le mécanisme du « Safe Harbour » devrait être profondément réformé , en prévoyant un droit de regard des autorités européennes sur les contrôles et en renforçant les obligations de fond (proposition n° 44).
• maintenir sans ambiguïté dans la proposition de règlement européen la liberté de réutilisation statistique des données personnelles, quelle que soit la finalité initiale de leur traitement, en prévoyant pour seule condition que cette réutilisation soit entourée de garanties d’anonymat appropriées (proposition n° 12). Et Une charte d’engagements et de bonnes pratiques pourrait donc être élaborée par l’État, les associations de collectivités territoriales et les représentants des utilisateurs des données, qui engagerait chaque organisme public adhérent à définir un programme d’ouverture de ses données publiques, à respecter des standards de qualité et à veiller à limiter les risques de réidentification (proposition n° 32). Ces risques seraient circonscrits par la définition de bonnes pratiques d’anonymisation et par la constitution au sein de chaque ministère d’un pôle d’expertise en matière d’anonymisation, a priori au sein du service statistique ministériel (proposition n° 33). Mais anonymiser des données coûte cher et ne rapporte rien, surtout quand les contrôles sont rares et les sanctions peu importantes.

Enfin, concernant les données personnelles, une proposition que je n’avais encore jamais vue :

• Il est parfois proposé de reconnaître aux individus un véritable droit de propriété sur leurs données, en pariant sur leur plus grande implication du fait qu’ils deviendraient financièrement intéressés à une bonne gestion de leurs données. Le Conseil d’État ne recommande pas une telle orientation. S’il préconise de renforcer la dimension de l’individu acteur dans le droit à la protection des données, c’est en envisageant celui-ci comme un droit à l’autodétermination plutôt que comme un droit de propriété (proposition n° 1). La reconnaissance du droit de propriété ne permettrait pas en effet de rééquilibrer la relation entre les individus et les acteurs économiques et compliquerait l’exercice de la régulation par les pouvoirs publics. Le droit à « l’autodétermination informationnelle », concept dégagé par la Cour constitutionnelle allemande en 1983, est à la différence du droit de propriété un droit attaché à la personne, tendant à « garantir en principe la capacité de l’individu à décider de la communication et de l’utilisation de ses données à caractère personnel ». Ce droit ne devrait pas être défini comme un droit supplémentaire s’ajoutant aux autres droits (droit d’information, droit d’accès…), mais comme un principe donnant sens à tous ces droits, ceux-ci tendant à le garantir et devant être interprétés et mis en œuvre à la lumière de cette finalité.

Moui, est-on cependant certain qu’aucune pression, amicale bien sûr, ne sera exercée sur les personnes pour leur montrer tous les avantages à communiquer leurs données ?