Quand les données personnelles font problème
Alors que, sous l’effet croisé des innovations technologiques et des recompositions du capitalisme, la collecte de données personnelles s’accroît, le privacy paradox ( «paradoxe de la vie privée ») est souvent mis en avant : les individus se déclarent massivement préoccupés dans les enquêtes d’opinion par l’exploitation de leurs données personnelles, quand dans le même temps ils partagent un nombre conséquent d’informations.
Ce paradoxe s’explique notamment par le fait que ces flux informationnels sont inscrits dans des structures socio-économiques sur lesquelles nous n’avons qu’une prise limitée. Refuser la collecte de données est souvent coûteux dans un écosystème numérique construit autour de l’exploitation des données personnelles. Certains auteurs ont dès lors avancé l’idée d’une digital resignation (« résignation numérique ») : face aux difficultés à contrôler le flux d’informations personnelles, les individus se résigneraient à les partager.
Ces concepts masquent toutefois la diversité des pratiques quotidiennes de résistance à la collecte de données mises en avant par les enquêtes empiriques sur les usages numériques. Les individus négocient, au cas par cas, leur vie privée : ils développent des stratégies pour contrôler les informations qu’ils souhaitent diffuser et à qui.
Du morceau de scotch sur la webcam à la fourniture de fausses informations dans les formulaires en passant par l’installation d’un bloqueur de publicité ou l’utilisation de plusieurs adresses email, les individus mettent en œuvre des tactiques et développent des compétences profanes en matière de protection de leurs données personnelles.
L’« arme du droit » constitue une autre modalité de résistance individuelle à la collecte de données personnelles. Depuis la fin des années 1970, des législations, reposant sur le principe de l’auto-détermination informationnelle, ont doté les individus d’un ensemble de droits techniques devant leur permettre de consentir ou de s’opposer à l’usage par autrui de leurs informations personnelles. Quarante ans après la Loi Informatique et Libertés, de portée nationale, le Règlement général sur la protection des données (RGPD), entré en application en mai 2018, a consacré ces droits et les a uniformisés à l’échelle de l’Union européenne.
Dès 2018, les plaintes reçues par la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité française en charge de la régulation des données personnelles, ont augmenté de 33 %, puis de 27 % supplémentaires en 2019 avant de se stabiliser autour de 14 000 plaintes en 2020.
Alors que les tenants du paradoxe de la vie privée s’interrogent sur les raisons qui poussent les individus à se dévoiler et à donner accès à leurs informations personnelles, on peut, à l’inverse, se demander pourquoi les individus se mobilisent pour leurs droits relatifs à la protection de leurs données personnelles.
Pour apporter des éléments de réponse à cette question, le Laboratoire d’innovation numérique de la CNIL (LINC) a étudié qualitativement les courriers et plaintes reçues par la CNIL durant les mois de mai 2016 et mai 2019. Les premières consultations de ce matériau surprennent par le très faible nombre d’appels, de courriers ou de plaintes qui ciblent les grands acteurs de l’économie numérique. De même, les affaires et scandales médiatiques n’ont qu’une répercussion limitée sur les plaintes adressées à la CNIL : si les attentes envers la CNIL portent largement sur ces sujets dans le cadre des débats publics, force est de constater que le traitement des plaintes relève d’une dynamique très distincte.
Pour les individus, les données personnelles font problème dans des situations quotidiennes. Cela fait écho aux travaux de Helen Nissenbaum selon laquelle la vie privée est toujours enracinée dans un contexte. La philosophe rappelle que la vie privée ne doit pas être opposée au partage de l’information, mais à la diffusion inappropriée de l’information qui heurte alors ce qu’elle appelle « l’intégrité contextuelle ».
Cette dernière diffère selon les normes informationnelles, les finalités, les valeurs et les intérêts propres à chaque contexte (technologique ou social). Par exemple, une même information sera aisément partagée dans une relation médicale, mais sa diffusion jugée anormale dans une situation professionnelle. Ces normes informationnelles ne se restreignent pas à ce qui est légalement possible de collecter et de diffuser. Elles incluent les valeurs politiques, les finalités de la situation, les intérêts des acteurs impliqués, la nature de leur relation, des contraintes qui s’imposent, etc.
Les contours de la vie privée varient ainsi socialement et culturellement. Les plaintes et les signalements reçus par la CNIL offrent un regard sur ce que les individus considèrent comme des atteintes à « l’intégrité contextuelle », c’est-à-dire leur perception des technologies et des pratiques de collecte et de diffusion des informations comme une menace pour leur vie privée.
Quatre principales situations problématiques quotidiennes
Quatre situations principales conduisent les individus à se mobiliser pour leurs droits auprès de la CNIL : quand leur réputation est menacée par des informations disponibles en ligne, lorsqu’ils sont victimes d’intrusion dans leur sphère privée par de la prospection commerciale, en cas de surveillance sur leur lieu de travail, et enfin à cause de leur inscription dans des fichiers nationaux (accidents bancaires, antécédents judiciaires). Ces quatre situations sociales témoignent de quatre manières de concevoir la protection de la vie privée et des données personnelles : l’auto-détermination informationnelle, le respect de la sphère personnelle, le refus de la surveillance abusive et les risques du fichage informatique.
La suppression d’informations publiées en ligne ou le déréférencement de contenus disponibles via des moteurs de recherche constitue le premier motif de plainte auprès de la CNIL. Ces plaintes sont révélatrices des enjeux liés aux caractéristiques des espaces publics en réseau, qui compliquent les manières de protéger sa vie privée, en rendant les individus plus vulnérables à ce que la sociologue Danah Boyd appelle un « effondrement de contexte ». Elles témoignent également d’une préoccupation des individus de contrôler la circulation des informations les concernant.
Par exemple, cet individu, devenu surveillant pénitencier, souhaite que soient supprimées les informations le concernant pour cloisonner ses différentes sphères sociales, et ainsi protéger sa famille :
« Je me permets de vous solliciter afin que vous procédiez sans délai à la fermeture des pages où mon nom apparaît et ceux pour des raisons de protection. En effet, je suis dans une nouvelle orientation professionnelle, surveillant dans l’administration pénitentiaire, ce qui m’oblige à me protéger vis-à-vis d’internet et des moteurs de recherche aussi bien pour moi que pour le bien être de ma famille. » (mai 2016)
Ces demandes témoignent d’une sensibilité des individus pour la protection de leur vie privée et l’exposition de soi. S’ils ne disposent pas nécessairement des compétences pour construire leurs identités numériques, par leurs recherches sur des moteurs de recherche, ils veillent à ce que les informations les concernant ne nuisent pas à leur réputation. À ce titre, ils cherchent à définir leur représentation de soi en ligne et à maîtriser les frontières entre leurs différentes sphères sociales. Ces pratiques soulignent que les individus ne sont pas passifs vis-à-vis de leur vie privée. Ils sont au contraire inscrits dans des pratiques réflexives pour définir et gérer leurs identités, personnelle et sociale, en maîtrisant ce qui est visible ou non.
La prospection commerciale est la deuxième raison pour laquelle les individus sollicitent la CNIL. Dans ces plaintes, contrairement à la situation précédente, l’atteinte à la vie privée n’est pas un dommage à la réputation individuelle, mais une intrusion dans la sphère privée :
« Démarchage téléphonique que nous subissons régulièrement par des individus non identifiées la plupart du temps. C’est une violation de la vie privée parce que matraquage (…). RAS LE BOL. » (mai 2016)
Ces situations s’inscrivent dans le prolongement de la définition historique de la vie privée et de son cadre protecteur, établis à la fin du XIXe siècle par les juristes américains Louis Brandeis et Samuel D. Warren : the right to be left alone (le droit d’être laissé tranquille).
La surveillance au travail constitue le troisième motif de plainte auprès de la CNIL. Si des techniques de surveillance ont toujours été mise en œuvre pour les besoins du management, la baisse des coûts a rendu plus accessibles des dispositifs tels que la vidéosurveillance ou la géolocalisation des véhicules professionnels.
La vidéosurveillance concentre le plus de plaintes, en particulier lorsque les caméras filment les postes de travail comme les lieux de pause ou sont consultables à distance. Les salariés dénoncent à la fois le manque d’information préalable à la mise en place des caméras, l’orientation de celles-ci sur leurs activités et leur usage à des fins de management par leurs employeurs, des usages interdits. Une vendeuse témoigne : « On m’avait dit [que les caméras] ne servaient que pour la sécurité et non pour nous espionner et nous donner des ordres ou remarques désobligeantes. » (mai 2016).
Si la surveillance est en réalité discontinue, les salariés ont le sentiment d’être constamment surveillés. Dès lors, comme l’analysait Michel Foucault à partir du panoptique de Bentham [1], que la surveillance soit ou non avérée, la seule présence de caméra suffit à conditionner le comportement individuel des salariés.
La quatrième catégorie principale de situations conduisant les individus à solliciter la CNIL pour exercer leurs droits concerne le fichage informatique, notamment dans les fichiers d’incidents bancaires ou d’antécédents judiciaires. Ces cas témoignent de situations où les individus ne sont pas informés de leur inscription dans des fichiers informatiques et le découvrent (ou le suspectent) de manière fortuite. Les plaintes concernent plus spécifiquement des contestations d’inscription ou le maintien de l’inscription des personnes alors qu’elles ont régularisé leur situation :
« Récemment confrontée au refus d’une demande de crédit auprès de ma banque, j’apprends avec étonnement que mon nom figure au FICP [fichier national des incidents de remboursement des crédits aux particuliers]. J’ai contacté la Banque de France pour en connaitre l’établissement. Il s’agit de [un établissement de crédit] alors que j’ai remboursé le crédit renouvelable depuis 2016. » (mai 2019)
Ces situations relatives au fichage font directement écho à la mobilisation collective et aux débats des années 1970 qui ont conduit à la loi Informatique et Libertés. Face à l’informatisation des services de l’État et des fichiers d’administrés, des tensions se font jour sur les données collectées, leur exploitation, leur durée de conservation, l’interconnexion des fichiers et la possibilité des individus d’intervenir sur ces données. À l’époque, la mobilisation est collective contre ces projets de fichage. Ici, la dénonciation est individuelle.
Des situations déséquilibrées, des individus isolés face aux organismes
De fait, le cadre juridique de la protection des données personnelles dérive des droits fondamentaux des individus et reposent sur le principe de l’autodétermination informationnelle. Faire respecter ces droits individuels peut s’avérer cependant difficile lorsque les personnes sont seules et isolées face à un organisme. Les plaintes reçues illustrent ces relations asymétriques.
Le processus traditionnel pour faire valoir ses droits nécessite pour les individus de s’adresser directement aux organismes concernés. Les personnes doivent ainsi tenter préalablement de résoudre par eux-mêmes leur problème auprès de l’organisme responsable de la collecte et du traitement de données en établissant un premier contact. Si ces tentatives échouent (difficultés, absence de réponse, réponse insatisfaisante), elles peuvent alors solliciter l’appui de la CNIL et sortir de l’entre soi des parties concernées. Le processus est ainsi long, tumultueux et incertain pour les individus qui se retrouvent bien souvent isolés dans un rapport de force déséquilibré, ce qui restreint leur capacité à obtenir réparation.
En premier lieu, ils doivent être en mesure d’identifier l’organisme responsable et d’obtenir ses coordonnées. Une démarche fastidieuse lorsqu’une ribambelle d’acteurs, formant un réseau d’intermédiaires peu lisible pour les usagers, interviennent dans le traitement de leurs données. Difficile de savoir comment son numéro de téléphone s’est retrouvé dans un listing d’appels, ou encore de déterminer l’éditeur d’un site sur lequel ils veulent faire retirer une information.
S’ils parviennent à identifier l’organisme responsable, encore doivent-ils être en mesure de faire respecter leurs droits. Certaines plaintes témoignent de l’impossibilité de faire valoir ses droits en l’absence de dispositifs (formulaires de contacts ou de modifications d’informations, adresse email, procédure non numérique) pour s’adresser à l’organisme, ou lorsque les informations ont été mises en ligne plusieurs années auparavant et qu’ils ne disposent plus du mot de passe pour accéder à leur compte. Ces cas peuvent aboutir à des situations kafkaïennes où pour supprimer son compte, il faut s’y connecter, ce qui est impossible lorsqu’on ne dispose plus de ses identifiants. Une internaute fait cette demande :
« Je souhaiterai supprimer un très vieux blog que j’avais étant petite. Étant donné son ancienneté, il m’est impossible de me rappeler mon mot de passe de l’époque. De même pour l’adresse mail qui y était liée. (…) Ainsi je viens vers vous pour pouvoir supprimer ce blog, qui n’est plus en activité depuis des années. » (mai 2016)
Toutes ces frictions restreignent la mise en œuvre des droits. Un nombre très important de plaintes contiennent des expressions telles que « je ne sais plus quoi faire », « ras le bol », « j’en ai marre », « je suis fatigué », etc., qui témoignent de la lassitude des individus, engagés dans des démarches longues et infructueuses et ressentant une impuissance pour obtenir réparation. N’arrivant pas à résoudre la situation par eux-mêmes, les individus se tournent en dernier recours vers la CNIL pour retrouver des « prises » face à une situation qui leur échappe et faire évoluer le rapport de force en leur faveur.
Les droits individuels, une affaire collective
Ces relations asymétriques posent la question du rapport au collectif et de la manière dont il serait possible de les faire respecter non plus dans une relation asymétrique, où l’individu, seul face à un organisme, cherche l’appui d’une autorité aux moyens nécessairement limités, mais dans des rapports de force plus équilibrés entre groupes sociaux.
Aujourd’hui, la CNIL considère chaque plainte et chaque personne qui s’adresse à elle, fait en sorte de répondre à ses besoins et, le cas échéant, enclenche des mesures depuis le contrôle jusqu’aux sanctions afin de mettre en conformité les acteurs qui n’auraient pas respecté le cadre légal. Elle tire souvent, de situations individuelles, une analyse qui concerne un large groupe de personnes, utilisateurs ou employés de l’organisme mis en cause et les plaintes constituent pour elle un capteur fin des attentes de la société.
Pourtant, la CNIL reçoit plus de 14 000 demandes de plainte chaque année et ses moyens, s’ils augmentent, permettent difficilement de répondre dans un temps court à autant de questions et de sollicitations individuelles.
La CNIL n’est heureusement pas seule face aux individus d’une part, aux « responsables de traitements » d’autre part. Associés à ses actions, la constitution de nouveaux corps intermédiaires de la donnée, la prise en compte de ces sujets par des syndicats, mais aussi les actions des associations de consommateurs et de défense des libertés publiques, des communautés de développeurs, de l’État et des collectivités locales peuvent permettre de renforcer la protection des données et de la vie privée. Ces acteurs ont notamment la possibilité de se saisir de l’article 77 du RGPD, qui ouvre la possibilité pour l’introduction de plaintes collectives. Les droits individuels sont aussi une affaire collective.