Le RGPD sauvera-t-il Internet ?
« Les bureaucrates européens ont réussi là où toutes les startups ont échoué : me désinscrire de toutes les newsletters importunes » : voilà ce que m’a rétorqué un professionnel du secteur de la technologie lorsque je l’ai interrogé sur sa perception des vertus du Règlement général sur la protection des données, ou RGPD, entré en vigueur le 25 mai. Son cynisme n’est guère isolé. Nombreux sont les observateurs qui reprochent à l’Union européenne d’avoir dégainé de son chapeau réglementaire un énième dispositif lourd, coûteux, opaque, et inapplicable. Une fois n’est pas coutume, une politique commune de l’Union fait la une des débats nationaux : les spéculations enflammées — et souvent effrayées — sur les conséquences du RGPD sur les modèles économiques de l’Internet laissent à supposer que nous nous trouvons à un de ces moments historiques où l’exercice du pouvoir supranational pourrait renverser la donne, et pas seulement en Europe.
Car s’il est un rejeton de l’Europe, le RGPD concerne tous les pays et entreprises qui ont affaire avec le marché européen, autant dire tout le monde, et en premier lieu, les géants tech américains — le coût d’une mise en conformité avec le RGPD pour une entreprise cotée est estimé à 15 M$. Ainsi, la politique de la donnée commune s’établit comme un nouveau pilier de l’Union. Dans un contexte où cette dernière n’a cessé de faire preuve d’une faiblesse géostratégique doublée d’un détachement vis-à-vis des préoccupations de ses citoyens, le RGPD apparaît pour certains comme une relance inespérée et inattendue de la machine européenne. Comme le formule Olivier Erzscheid dans un billet sur son blog Affordance, « Le moment est opportun. Ne gâchons pas cette occasion. Parce qu’elle sera probablement la dernière. »
Quel est ce moment opportun et comment pourrait-il être gâché ?
Il n’est dès lors guère étonnant que les observateurs chevronnés, nonobstant leur enthousiasme pour le RGPD, se gardent de juger de son efficacité ex ante.
Pour la première fois depuis l’existence d’Internet, le rapport des forces entre la légitimité d’une action politique et le capital sympathie des géants internet est inversé : les premiers, portés par une opinion publique indignée, sont appelés à agir, les seconds, sommés de s’excuser platement et de revoir leur copie. Car aujourd’hui, deux ans après l’adoption du RGPD, après les révélations sur le système d’utilisation des données d’un Facebook culminant avec l’affaire Cambridge Analytica, il n’est plus permis d’ignorer que l’organisation d’une large partie de l’Internet s’apparente à un vaste système de surveillance de masse, pour reprendre les termes de Zeynep Tufecki dans une tribune parue dans le New York Times.
Le problème n’est pas Facebook, comme aime à le rappeler Marc Zuckerberg dont les éléments de langage oscillent entre la pénitence larmoyante et les résolutions courageuses pour un monde plus libre et plus connecté. Le problème, c’est l’organisation du modèle économique d’un nombre croissant d’entreprises, technologiques ou non, européennes ou non, grosses et petites, qui repose sur un système d’aspiration massif et plus ou moins opaque de données personnelles, dont l’utilisation et la monétisation se dérobent aux yeux de tous, des utilisateurs comme des régulateurs. Ce ne sont pas les choix particuliers de telle ou telle entreprise qui sont à l’origine des fraudes, fuites et vols massifs de données, à la lisière de la légalité et de la cybercriminalité, mais la domination insidieuse et peu contestée du modèle du financement par la publicité, ou adtech.
Il n’est dès lors guère étonnant que les observateurs chevronnés, nonobstant leur enthousiasme pour le RGPD, se gardent de juger de son efficacité ex ante. D’abord, compte tenu de la puissance et du projet politique opaque des géants tech, il est sain de s’interroger sur la portée effective qu’un règlement, même assorti des sanctions les plus dissuasives, peut avoir face à des machines conçues pour éviter les lois et réglementations qui ne leur conviennent pas, surtout lorsqu’elles prennent leurs racines aux États-Unis ou en Chine.
Ensuite, la lettre du RGPD ne remet pas en cause le modèle de la publicité ciblée. Il se contente d’agir sur trois leviers principaux : le consentement objectif et éclairé des utilisateurs, le principe de minimisation de la collecte et la protection par dessein (privacy by design). Car l’Union européenne, fidèle à une conception du marché unique fondé sur la concurrence, n’a ni le mandat ni le pouvoir d’interdire directement, dans la lettre de la loi, tel ou tel modèle économique, d’autant plus lorsque ce modèle est l’une des conditions de l’attractivité d’un marché européen fragile.
Pourtant, tant que le modèle de l’adtech reste dominant sur Internet, toutes les entreprises (y compris ceux de la presse, comme le rappelle Doc Searl) et non pas seulement les géants tech, seront incitées à passer sur ou sous la table les données de leurs utilisateurs, participant, qu’elles le veuillent ou non, au système de surveillance de masse. À quelles conditions le RGPD, dont la lettre se concentre strictement sur les droits individuels et les procédés de collecte et de traitement de données, peut-il conduire à changer le mode d’organisation économique et la philosophie de l’Internet ?
Le RGPD n’accorde-t-il pas une trop grande confiance à la bonne volonté des entreprises et à l’attention que les utilisateurs concèderont aux changements dans leurs droits ?
Première étape, le rééquilibrage de la relation entre les utilisateurs et les entreprises. En la matière, aucune autre législation ne s’est jamais aventurée aussi loin dans la reconnaissance des droits objectifs des utilisateurs sur l’ensemble de leurs données personnelles. Pour Hubert Guillaud, qu’on ne peut pas soupçonner de complaisance vis-à-vis des géants tech, le RGPD « tente de rééquilibrer un peu la relation entre services et usagers, qui est par nature très déséquilibrée. Malgré ses faiblesses ou lacunes, il vise à remettre l’usager dans la boucle, à réaffirmer ses droits dans des services où ceux-ci sont toujours minimisés. »
Toujours est-il que les implications matérielles de ce rééquilibrage restent encore incertaines et, pour la plupart, intangibles. Facebook vient d’annoncer qu’il appliquera le RGPD à l’ensemble de ses utilisateurs, levant le voile sur un « nouveau Facebook » qui intégrera la protection par dessein, une gouvernance partagée et une économie de l’attention de ses utilisateurs. Pour un observateur qui a suivi de près les tergiversations de « Zuck » de ces derniers mois, l’annonce ne sera pas crédible tant qu’elle ne sera pas accompagnée de preuves. Car pour le moment, comme le montre Natasha Lomas dans son analyse point par point des infractions de Facebook au RGPD, à peu près rien de ce qui relève du traitement et de l’utilisation de nos données d’un Facebook n’est conforme à la lettre du RGPD. Et il n’est pas le seul.
Allons plus loin. Le RGPD n’accorde-t-il pas une trop grande confiance à la bonne volonté des entreprises et à l’attention que les utilisateurs concèderont aux changements dans leurs droits ? Si les géants tech et les grandes entreprises, avec leur armée de lobbyistes, avocats, conseillers et experts en tout genre ont les bonnes ressources pour s’y préparer — et aplanir ses aspérités —, les individus et les entreprises de taille réduite, y compris les startups, sont quelque peu laissés sur le carreau. Si certaines d’entre elles, à l’instar d’un Snips, affirment que la protection est intégrée dans leur produit par dessein et que la conformité au RGPD est acquise, d’autres ne cachent pas par leur désarroi.
L’arsenal de sanction du RGPD ne se révélerait-il pas impuissant face aux géants tech, tandis que les startups, dont on attend qu’elles créent et développent des modèles plus justes et transparents, finiraient écrasées par les obligations pléthoriques ? Quant à nous, utilisateurs, notre marge de manœuvre n’est pas fondamentalement changée : l’Union européenne, fidèle à sa réputation de verticalité opaque, n’a prévu aucun dispositif d’éducation de masse au nouveau droit des données. Ainsi, comme le note le très libéral Financial Times, tout dépend si les utilisateurs vont enfin devenir des « adultes numériques » et effectivement utiliser les pouvoirs que le RGPD leur confère, en particulier celui d’exercer les actions collectives.
Loin d’être un écart accidentel par rapport à un idéal fondateur, c’est la structure même de l’Internet qui est aujourd’hui biaisée.
Nous touchons ici aux limites d’une politique qui se limite à réaffirmer et à approfondir les droits et les obligations de chaque partie dans une relation qui demeure, par nature, bilatérale. Cette posture que Lionel Maurel appelle « l’individualisme méthodologique » est elle-même fortement contrainte, par dessein, en quelque sorte, car elle postule que dans un monde habité d’individus et d’entreprises responsables, seule une intervention ex post de la puissance publique est légitime. En matière de données, les comportements des uns et des autres n’ont cessé de démontrer le contraire, à l’exception notable des situations où la défense nationale (américaine) est en jeu.
De ce point de vue, le RGPD, loin d’être une révolution copernicienne, n’innove véritablement que sur un seul point : elle dote l’Union et les autorités de régulation nationale de nouveaux pouvoirs d’enquête et de sanction (4 % du chiffre d’affaires mondial ou 20 millions d’euros, le plus haut des deux montants). Car dans ses principes fondamentaux, selon Jean-Baptiste Soufron, « le RGPD n’est que l’actualisation de la loi Informatique et Libertés de 1978 ».
Tout dépendra de la jurisprudence de la Cour de justice européenne. Ainsi, selon Lionel Maurel, il ne reste plus qu’à attendre : « c’est surtout la jurisprudence à venir qui sera déterminante, car c’est elle qui va fixer la portée exacte de principes comme celui de la protection par défaut des données. D’où l’importance des recours qui vont être lancés dans les premiers temps de l’application du texte, notamment les nouvelles actions de groupe. » C’est sur les épaules de la Cour que reposera la délicate tâche d’établir si ce que le règlement définit comme un consentement « libre, spécifique, éclairé et univoque » est compatible avec la continuation des modèles économiques fondés sur le partage massif de données, ou si les organisations devront revoir de fond en comble leur organisation, au-delà d’une mise en conformité cosmétique des préférences d’utilisation.
Pour certains, dont les pionniers de la défense d’un Internet libre et décentralisé, il est déjà trop tard : des années d’anarchie de la donnée ont sonné le glas d’un modèle vertueux. Loin d’être un écart accidentel par rapport à un idéal fondateur, c’est la structure même de l’Internet qui est aujourd’hui biaisée. Il est un autre Internet, dont l’opacité, l’insidieuse intrusion dans toutes les sphères de notre vie privée et le manque de licéité sont des caractères constitutifs. Les déclarations de bonnes intentions et les règlementations n’y pourraient, selon eux, rien.
Dès, lors, le pessimisme des « pères fondateurs » face au RGPD prend une tout autre dimension. Richard Stallman préconise ainsi d’interdire purement et simplement toute collecte de donnée personnelle, car c’est le principe même de collecte qui est constitutif de l’état de surveillance de masse. Tim Berners Lee, dans une optique idéologique inverse à celle de Stallman, estime que de nouveaux outils permettant une interopérabilité parfaite des données rétabliraient une concurrence salvatrice (c’est d’ailleurs l’objet de son projet Solid, un ensemble d’outil et protocoles pour bâtir des applications sociales décentralisées).
À l’opposé des approches anglo-saxonnes, les penseurs continentaux jugent que rien ne changera tant que les puissances publiques ne reconnaîtront pas qu’elles ont face à elles des puissances privées dotées d’un programme politique, comme je l’expliquais dans un article précédent. La seule solution passe par la construction d’un nouveau droit politique collectif chargé de rétablir un équilibre similaire à celui que le droit du travail a institué au milieu de la jungle industrielle au XIXe siècle. Dans la continuité des travaux d’Antonio Casilli sur le « digital labour », Lionel Maurel plaide en faveur d’une approche « travailliste » : « on retrouverait dans le droit des données personnelles ce qui constituait la fonction “civilisatrice” du droit du travail, à savoir la protection de la personne humaine lorsqu’elle est soumise à des rapports de force déséquilibrés qui cherchent à la faire participer à son propre assujettissement. »
Autrement dit, tout le monde s’accorde à conclure que même si elle sera en mesure de prévenir les piratages, les manipulations illégales et l’aspiration massive des données, une réglementation relative aux données personnelles ne suffira pas seule à refonder Internet sur de nouvelles bases. Le RGPD n’est ainsi qu’une arme parmi d’autres que nous — citoyens, entreprises, pouvoirs publics, penseurs, artistes, écrivains — devons brandir pour faire de l’Internet autre chose qu’un étal de marchandises faussement gratuites couplé à une machine de surveillance de masse.
« On se surprend à se dire que ce sont encore les politiques et les intellectuels de 1978 qui comprenaient le mieux le numérique de 2018, et aussi qu’on n’a finalement pas tant besoin de maîtriser la technique ou de savoir coder pour bien penser la régulation, peut-être même au contraire », précise Jean-Baptiste Soufron. En d’autres termes, pour construire des modèles alternatifs à un Internet centralisé et opaque, nous aurons davantage besoin de philosophes chevronnés et de citoyens néophytes que de techniciens de la donnée. Car, comme le remarque justement Hubert Guillaud, « il y a encore un long chemin à accomplir pour que les politiques en matière de collecte de données personnelles s’ouvrent à ceux qui les utilisent dans la conception et la gouvernance mêmes des systèmes. » Les expérimentations en ce sens, qu’il appelle de ses vœux à se généraliser, s’accomplissent encore dans les laboratoires de recherche les plus avancés de la planète, comme au MIT Media Lab. Ce n’est pas encore demain que les organisations passées expertes en matière de fabrique de consentement accepteront de s’y plier.
Doit-on pour autant jeter le RGPD avec l’eau du bain ? Pour répondre par la négative, nous ferions bien de nous tourner vers les historiens et les juristes en droit européen. Les premiers nous rappelleront sans doute que l’Union européenne est née sur les cendres de la guerre la plus meurtrière, et que la communauté supranationale la plus aboutie du monde a fait ses armes comme accord de libre-échange du charbon et de l’acier. Quant aux juristes, ils ne manqueront de rappeler que l’approfondissement européen doit probablement plus à la détermination et la ruse de la Cour de justice de l’Union européenne qu’aux politiques tièdes et à une opinion publique suspicieuse.