Pour une protection sociale des données personnelles - - S.I.Lex - - 3 views
scinfolex.com/...ciale-des-donnees-personnelles
shared by Christophe Gauthier on 05 Feb 18
- No Cached
meslectures 2018 privacy publicité RGPD dialogue social convention collective plateforme syndicat digital labor protection sociale données personnelles
-
il faut concevoir la protection sociale en son sens le plus large, tel que le fait par exemple cette note publiée par le groupe de travail « Protection sociale, ESS et Communs » de la Coop des Communs
-
En protégeant les individus et les familles, la protection sociale protège en même temps la société elle-même contre les risques de désintégration qui se concrétisent chaque fois que les forces marchandes dominent toutes les sphères de la vie sociale. « Protéger » dans ce double sens, c’est permettre à l’individu de vivre en dignité en dépit de tous les aléas de la vie, et à la société de résister aux forces de désintégration qui la menacent
-
Le système juridique actuel reste en effet imprégné d’un individualisme méthodologique qui n’envisage la personne que de manière isolée et indépendamment des rapports sociaux
- ...43 more annotations...
-
Un premier phénomène inédit surgit dans le fait que nous ne soyons pas toujours consciemment parties prenantes d’une certaine expression de notre identité numérique
-
c’est l’encastrement des traces numériques de nos comportements individuels dans des comportements collectifs (le « graphe social« ), qui permet leur exploitation en tant que valeurs économiques. Ce qui appelle un premier commentaire : le consentement du point de vue de la gestion des données ne peut pas être uniquement individuel, dans la mesure où celles-ci incluent des informations sur nos relations sociales qui engagent des tiers (pensons par exemple aux carnets d’adresses qui constituent toujours les premières informations que les plateformes essaient de récupérer).
-
Cette triple perte de contrôle justifie à notre sens que notre relation avec les plateformes soit considérée sous l’angle d’une présomption de subordination d’usage
-
Pour faire émerger ce concept de « subordination d’usage », il paraît possible de s’appuyer notamment sur les travaux d’Alain Supiot, qui propose depuis la fin des années 90 des moyens conceptuels pour identifier des formes de travail « au-delà de l’emploi ». Il propose en particulier de saisir les « nouveaux visages de la subordination » à partir du critère de la « dépendance économique »
-
Ce qui nous échappe, c’est donc autant la perception (y compris physique) de nos traces et signaux numériques, que les processus de production (partant de l’exploitation de ces signaux et traces) qui forgent une donnée, et enfin leur exploitation ou utilisation sous la forme d’une expression explicite de nos identités et de nos activités
-
Pour Alain Supiot, ce poids donné à la plus petite échelle de négociation, et donc au niveau le moins collectif du consentement, dans la relation foncièrement inégalitaire qui caractérise les relations de travail, conduit au rétablissement des liens d’allégeance et des relations de féodalité caractéristiques de la période médiévale. Il y a lieu de se demander si le poids accordé au consentement individuel en matière de protection des données n’est pas la traduction d’un processus similaire de « vassalisation » des utilisateurs de plateformes
-
Irénée Régnaud, auteur du blog Mais où va le web, dans son billet « Revendre ses données « personnelles », la fausse bonne idée ». L’auteur explicite efficacement la logique politique libérale de financiarisation que sous-tend la négociation entre individus et plateformes, notamment en faisant miroiter la possibilité d’un revenu complémentaire pour l’exploitation des données
-
en même temps, la notion est à double tranchant, car subsumer la quasi-totalité de nos activités numériques sous la notion de « travail » revient à admettre que des pans entiers de nos vies intimes et sociales sont « aspirés » dans la sphère économique de marché sous l’effet des technologies numériques. Or il importe selon nous autant, sinon davantage, de « protéger les droits des travailleurs de la donnée » que de protéger le droit, plus fondamental encore, de ne pas devenir malgré nous de tels travailleurs de la donnée.
-
il s’agit de replacer le droit fondamental à une protection sociale pour les travailleurs sur les nouveaux régimes de travail numérique, afin de le rendre opératoire et opposable, en s’appuyant sur un effort de clarification d’un régime de travail décent
-
Il y a donc d’emblée une double dimension collective caractéristique de nos données « personnelles », qui s’exprime au sens d’un usage du monde « en lien » dans nos pratiques numériques, de la connexion et de la mise en relation – autant que du point de vue des rapports de production qui sont nécessaires à l’existence et l’exploitation des données. Ces deux répertoires d’actions numériques sont difficiles à distinguer précisément car l’approche centrée sur « l’émission » de données est marquée par une grande continuité des effets, sinon des pratiques individuelles et collectives
-
pour la chercheuse Antoinette Rouvroy, cette construction individualiste du statut des données est précisément ce qui entraîne aujourd’hui une « inadéquation des régimes de protection »
-
La loi Informatique et Libertés du 6 janvier 1978 est souvent présentée comme enracinée dans une approche « personnaliste », mais dans les faits, elle avait plutôt pour objectif initial d’instaurer un équilibre sous la forme d’un « faisceau de droits d’usage » répartis entre les individus, les entreprises et les autorités publiques. Avec le temps, le régime de protection des données a néanmoins eu tendance à « s’individualiser » en donnant une place de plus en plus centrale au « consentement » de la personne. Cette approche culmine à présent avec le RGPD qui fait du « consentement libre et éclairé » un principe à portée générale et la pierre angulaire de la protection au nom du droit à « l’auto-détermination informationnelle » des individus.
-
Philippe Ariès et George Duby sur l’Histoire de la vie privée, et notamment à travers la contribution d’Alain Corbin, la vie privée est toujours à saisir en tant que processus de construction historique et a connu depuis l’Antiquité des métamorphoses successives, toujours étroitement dépendantes des rapports de production. La pénétration du travail numérique dans notre vie privée, au sens où il est saisi par les plateformes pour le transformer en valeur économique, interroge à la fois nos conceptions et nos imaginaires contemporains relatifs à la vie privée et au travail, en particulier le travail domestique
-
Miser sur le consentement revient à faire reposer la régulation du système sur des choix que les individus devront prendre dans une situation d’isolement et de déséquilibre structurel face aux plateformes. C’est ce qu’exprime Valérie Peugeot dans un billet paru récemment
-
Le « privacy by design » permettrait de garantir que la personne exerce son consentement dans un cadre pré-paramétré
-
De manière identique, le RGPD va certes imposer aux plateformes de paramétrer par défaut leurs outils et services dans un sens protecteur pour les utilisateurs, mais en modifiant ces paramètres, les individus pourront « déroger » à ce réglage initial, en participant par eux-mêmes à la fragilisation de leurs droits d’une manière d’autant plus redoutable qu’ils exprimeront à cette occasion leur consentement
-
On ne peut dès lors que partager les analyses d’Antoinette Rouvroy qui reste sceptique face aux promesses de la généralisation du consentement individuel et du privacy by design, estimant que ces nouveaux mécanismes ne permettront pas d’enrayer une massification de l’usage des données personnelles que le RGPD chercherait en réalité davantage à accompagner qu’à freiner
-
Peut-être valait-il mieux d’ailleurs que le concept original de données d’intérêt général soit abandonné par le législateur, car on aurait mis dans les mains de L’État un pouvoir très puissant, alors que ce dernier se comporte parfois comme un Léviathan tout aussi inquiétant que les grandes plateformes (comme l’a dramatiquement montré l’an dernier l’affaire du méga-fichier TES).
-
Néanmoins, il nous semble que le concept de « données d’intérêt général » mérite d’être conservé, à condition de l’investir d’un sens complètement nouveau. Le rôle central donné à L’État dans la détermination de ce que seraient des données d’intérêt général vient du fait que cette notion a été forgée en s’inspirant de l’expropriation pour cause d’utilité publique. Mais on pourrait considérer qu’il ne s’agit pas de données dont L’État ou une autorité publique a décidé qu’elles étaient d’intérêt général, mais plutôt que toutes les données relatives aux individus doivent par nature être considérées comme des données d’intérêt général, et pas uniquement comme des données « privées ». Nos données personnelles sont produites dans le cadre de comportements qui, par ailleurs, sont identifiés du point de vue du droit comme appartenant à des espaces de la vie civile, là où nous exprimons notre citoyenneté et où nous vivons ensemble. On pourrait donc considérer que les traces numériques relèvent de l’intérêt général en tant que données « citoyennes »
-
Dans son billet déjà cité plus haut, Irénée Régnauld utilise une analogie intéressante entre les données personnelles et le droit de vote en démocratie. Les votes considérés un par un ne « valent rien » et ne « changent rien », car c’est seulement l’ensemble des votes de tous citoyens qui fait sens et entraînent le résultat du scrutin. De la même manière, les données personnelles n’ont de sens et de valeur qu’une fois reliées entre elles au sein du graphe social. Mais l’analogie entre le vote et les données se révèle surtout pertinente par le fait qu’à la dimension collective des données doit être attaché un pouvoir de décision collectif appartenant irréfragablement et solidairement à la collectivité, tout comme le droit de vote individuel est la conséquence de la souveraineté reconnue au groupe pour assurer la maîtrise de son destin. On retrouve une idée proche sous la plume de Zeynep Tufekci dans un article à propos de la vie privée publié par le New York Times :
-
en droit du travail, les employés disposent avec le droit de grève d’un moyen de pression leur permettant de déclencher des conflits sociaux obligeant les employeurs à négocier et à conclure des accords. De tels rapports de force sont très difficiles à provoquer avec de grandes plateformes numériques
-
Valérie Peugeot estime que cet élargissement de l’action de groupe est de nature à compenser, dans une certaine mesure, l’approche individualiste de l’empowerment inhérente au RGPD. Sans minimiser cette avancée, on peut douter cependant qu’une simple addition de revendications de droits individuels puisse déboucher à elle seule sur une action réellement collective. Comme l’explique la juriste Judith Rochfeld : Il y a bien un « groupe procédural », mais qui agit en coalition de cas particuliers, chacun continuant à porter son propre intérêt individuel.
-
« dé-judiciariser » la prise en compte de cet intérêt collectif pour imaginer un autre cadre dans lequel celui-ci pourra être revendiqué. Les institutions du droit social offrent de ce point de vue une source d’inspiration pour construire des espaces de négociations collectives et les imposer aux plateform
-
On pourrait ainsi imaginer que les conditions générales d’utilisation des plateformes (CGU) puissent faire l’objet, non seulement de recours en justice, mais aussi de négociations collectives, tout comme les conditions de travail dans les entreprises sont définies à travers des discussions professionnelles conduisant à l’élaboration de conventions collectives. Avant que la loi El-Khomri et les ordonnances Macron ne portent un coup presque fatal aux fondements même du droit social, ces négociations étaient organisées de manière à tenir compte du déséquilibre structurel entre les parties en présence. Cette protection légale prenait notamment la forme du«principe de faveur»,
-
Une telle « hiérarchie des normes » pourrait aussi s’appliquer avec profit en matière de protection des données. Des textes comme le RGPD ou la loi République numérique constituent déjà des socles de droits fondamentaux auxquels les CGU des plateformes ne peuvent (en théorie…) déroger. Des négociations collectives avec des représentants des utilisateurs, formalisées et encadrées par la loi, pourraient intervenir ensuite pour obtenir des conditions plus favorables de la part des plateformes.
-
Il y aurait aussi intérêt à ce que ces négociations puissent s’ouvrir au niveau local, par exemple celui des métropoles, car on sait que c’est à cette échelle que des conflits peuvent naître à propos de l’utilisation des données avec des plateformes comme AirBnB, Uber ou Waze et qu’il existe des enjeux importants en termes de récupération des données pour la conduite de politiques publiques infrastructurelles (dans les transports, le logement, l’urbanisme, etc.). Pourquoi d’ailleurs ne pas continuer à filer la métaphore avec le droit social et imaginer que l’effet des conventions plus favorables obtenues dans une ville ou une région puisse être étendu à l’ensemble du territoire, de la même manière que l’effet des conventions collectives peut s’étendre étendu à l’ensemble des salariés d’une branche ?
-
Vis-à-vis des formes collectives d’organisation permettant une mobilisation légitime dans ce type de négociations, la figure institutionnelle du syndicat parait particulièrement intéressante : elle permettrait aux usagers de construire une mobilisation autour d’un ensemble de pratiques autant que d’intérêt socio-politique convergents. La forme syndicale permet également une approche sectorielle :
-
Une « démocratie des données » conçue sur un mode purement arithmétique risquerait de nous faire retomber dans la « gouvernance par les nombres » dénoncée par Alain Supiot, avec ses dérives majoritaires et la faible capacitation des individus qui caractérise nos démocraties électives. On relèvera d’ailleurs qu’il y a quelques années, Facebook avait instauré des procédures de vote des utilisateurs destinées à valider les changements de Conditions Générales d’Utilisation (CGU). Les conditions de validité étaient fixées de telle manière (quorum de 30% minimum de vote des utilisateurs inscrits) que jamais la plateforme n’a été mise en situation de voir ses propositions rejetées et Facebook a finalement choisi de supprimer ce dispositif en 2012. Mais une certaine forme de « votation » continue à subsister sourdement dans le fonctionnement même de la plateforme, ne serait-ce que par l’effet de l’acceptation individuelle des CGU à l’inscription. Le RGPD va par ailleurs imposer un recueil du consentement des utilisateurs lors de la modification des CGU qui s’apparentera de facto à une sorte de vote. Pour parodier Ernest Renan, on pourrait donc dire que Facebook fonctionne grâce à un « plébiscite de tous les jours » et comme tous les plébiscites, celui-ci renforce sans doute davantage le pouvoir de la plateforme qu’il ne permet de le contrôler collectivement…
-
On pourrait dire que le rapport de forces qui pouvait être construit par la grève dans le monde industriel devient impossible à cause d’une forme de « lock-out inversé » (lock-in ?) que subissent les utilisateurs. Là où les patrons empêchaient physiquement les ouvriers d’occuper les sites de production en leur barrant l’entrée pendant les grèves, les utilisateurs des grandes plateformes ne peuvent réellement les « occuper » pour provoquer une situation de conflit. Non seulement la plateforme n’a pas besoin de barrer l’entrée aux contestataires, mais l’attachement « social » liant les individus les uns aux autres joue en sens inverse en les dissuadant de quitter leur réseau, alors que c’est pourtant le dernier moyen de pression qui leur resterait : lock-in = love it or (never) leave it
-
constitue également une bonne illustration de l’intérêt d’adopter une approche renouvelée en termes de protection soci
-
Des initiatives comme le programme MesInfos de la FiNG essaient de donner un sens concret à ce nouveau droit en imaginant des dispositifs renforçant la capacité des personnes à réutiliser par elles-mêmes leurs propres données. De nouveaux prestataires de services, à l’image par exemple de Cozy Cloud basé sur des logiciels libres, offrent aux internautes des espaces dans lesquels ils pourront conserver, organiser, gérer et croiser les données récupérées à partir des plateformes
-
ttre à l’individu de récupérer uniquement ses propres données ne fait pas complètement sens, attendu que c’est dans le graphe social au sein duquel elles sont insérées que ces données prennent leur signification et leur valeur. L’intérêt pour les utilisateurs d’exercer ce droit est donc limité et il faudrait par ailleurs encore qu’ils choisissent d’en faire massivement usage pour que la portabilité ait une incidence réelle sur les grandes plateformes en provoquant une « hémorragie de données » à même de les vider de leur substance au profit d’alternatives
-
imaginons à présent un « droit à la portabilité collective » qui puisse être actionné par des groupements d’individus agissant au sein d’associations ou de syndicats tels qu’évoqués plus haut, et plus seulement par des individus isolés revendiquant leur droit à la vie privée. Un tel droit collectif pourrait être opposé aux plateformes lorsque ces acteurs parviendraient à apporter la preuve que la récupération des données est nécessaire pour l’exercice de droits et libertés fondamentaux.
-
Dans son cahier « Smart City et données personnelles« , la CNIL n’est pas très loin d’envisager une telle évolution en imaginant un « droit à la portabilité citoyenne »
-
Si l’idée d’une « protection sociale des données » a un sens, ne devrait-elle pas précisément résider dans une faculté de déterminer quelle part de nos vies nous voulons voir saisies dans un rapport de production et quelle part nous voulons au contraire en préserver ? Admettre d’emblée que toutes nos activités numériques sont assimilables à du Digital Labor ne revient-il pas à entériner que ce basculement dans des rapports de production est inéluctable et que plus rien de nous permettra d’échapper à cette « financiarisation » forcée de nos vies, y compris dans ce qu’elles ont de plus intime ? Si tel était le cas, la « protection sociale des données » pourrait recevoir la même critique que celle qu’on adresse parfois à la protection sociale tout court : que ces mécanismes, installés dans leur forme actuelle pendant la période fordiste, visent simplement à « compenser » les rapports de domination imposés aux individus dans la sphère du travail et non à remettre en cause le principe même de la soumission qu’ils impliquent
-
S’il est clair que raccrocher l’activité d’un chauffeur Uber à l’emploi salarié aurait un effet protecteur, il serait au contraire désastreux de faire de même avec un micro-travailleur d’Amazon Mechanical Turk. La prolétarisation extrême à laquelle sont soumis les individus effectuant ces tâches morcelées interdit, au nom même du respect de la dignité humaine, de considérer que l’on puisse y voir des activités professionnelles pouvant donner lieu à l’exercice d’un « métier ». Du point de vue d’une protection sociale entendue comme participant à la construction d’un « régime de travail réellement humain », on peut se demander si la seule option souhaitable ne consiste pas pour le législateur à interdire purement et simplement que l’on rémunère ce type de tâches à la pièce
-
La question est loin d’être évidente : pour les livreurs de Deliveroo, il y a lieu par exemple de se demander si nous voulons réellement améliorer leurs conditions de travail ou si l’enjeu réel n’est pas plutôt de refuser d’accepter le développement de ce type d’activités par le biais desquelles notre société violemment inégalitaire fabrique une « nouvelle classe de serviteurs », comme André Gorz l’avait déjà très bien diagnostiqué dès le début des années 90.
-
Contrairement à la période antique, au cours de laquelle le travail était au contraire étroitement cantonné dans la sphère privée de l’Oikos et incompatible avec le statut de citoyen, c’est par sa participation à un travail socialisé que l’homme moderne accède à la citoyenneté
-
En imposant aux individus d’inscrire leur intimité dans un rapport de production, les plateformes provoquent en réalité un effondrement de la distinction entre la sphère publique et la sphère privée, phénomène lourd de conséquences qu’Hannah Arendt a identifié comme un des mécanismes par lesquels le totalitarisme s’empare des sociétés
-
lorsque nous utilisons des services numériques, de toujours être en mesure de savoir clairement si nous sommes engagés dans un rapport de production et de pouvoir en sortir, si nous le voulons. Sachant que cette possibilité de « sortir » reste en réalité profondément illusoire si n’existent pas des alternatives tangibles dans lesquelles nos activités sociales pourraient s’inscrire sans qu’on les soumette à des dominations à visée économique. C’est la raison pour laquelle une protection sociale des données personnelles passe nécessairement aussi par la construction de Communs numériques
-
qualifier les données d’intérêt général, c’est aussi ne pas laisser s’échapper le caractère profondément politique de leur usage : c’est réaffirmer la dimension sociétale de nos usages individuels et collectifs. Aborder les données par le prisme de la propriété comme le voudrait Génération Libre, c’est faire précéder le bien (la donnée produite) – qui de fait n’est pas directement produit par nos usages – au lien, qui pourtant est premier dans nos usages et qui les anime. Nos usages expriment d’abord la volonté du lien, d’un rapport au monde (des services connectés) et non pas la volonté du bien, c’est à dire la volonté de production ou de propriété sur ce monde
-
Une approche et une organisation en communs de nos usages pourraient correspondre à cet objectif qui réintègre l’enjeu de liberté de nos pratiques. C’est ce que souligne bien Aral Balkan dans son article Encouraging individual sovereignty and a healthy commons, proposé en français par Framasoft sous le titre Facebook n’est pas un réseau social, c’est un scanner qui nous numérise
-
A la précarité des travailleurs répond la faiblesse de notre organisation collective pour forger des relations numériques réciprocitaires, respectueuses de la dignité des personnes. Faire le lien entre éthique du modèle utilisateur et conditions décentes de production correspondrait finalement à la dimension inséparable des droits fondamentaux entre eux