« Protection des données personnelles : pourquoi et comment réguler par la loi » par Marietta KARAMANLI

dimanche 12 mars

Le 14 février 2017 j’ai participé aux 8èmes rencontres pour l’économie du numérique. Ces rencontres permettent des échanges sur le thème des enjeux du numérique entre parlementaires d’orientations politiques différentes avec pour objectif d’aborder les évolutions en cours et leurs enjeux.
Je suis intervenue plus spécialement dans le cadre de la session 2 consacrée à « La donnée : une opportunité pour la France ».
J’y ai notamment développé les sujets de l’auto-régulation ; de la régulation ; et de ce que j’ai appelé les « usages sociaux intelligents dans un cadre institutionnel global ».
Plus précisément j’ai fait valoir l’importance croissante des plates-formes qui collectent des données, le plus souvent à l’insu des internautes, le fait qu’il peut exister une forme de régulation / protection de leurs données par les utilisateurs, ou les exploitants mais si l’autorégulation est utile est partiellement efficace.
La loi tant européenne que nationale est utile. Il faut en effet répondre à des questions basiques au sens de fondamentales : qui est propriétaire des données personnelles et collectées ? quels sont les droits des utilisateurs à consentir à leur collecte et leur exploitation par l’exploitant voire par un tiers ? Comment peuvent-ils y accéder, les récupérer et les « faire » oublier ?
Très concrètement la loi une fois les projets ayant fait l’objet d’une large concertation, peut réguler le secteur ; donner un cadre institutionnel pour assurer le recueil, la gestion et l’exploitation des données ; obliger les exploitants à fournir une information protectrice aux utilisateurs et faire valoir leurs droits ; enfin sanctionner quand cela s’avère nécessaire.
Là comme ailleurs les parlements nationaux continuent de créer du débat public et produisent de la délibération politique, toutes choses qui donnent son sens à la loi comme expression de la volonté générale. Ils sont donc, selon loi, indispensables à la protection des utilisateurs du net.

Voici le texte qui a servi de base à mon intervention orale.
Tout d’abord, je souhaite vous remercier pour cette invitation à venir débattre à l’occasion de ces 8ème Rencontres pour l’Economie du Numérique.
La Commission des affaires européennes de l’Assemblée Nationale a entrepris un important travail depuis plusieurs années autour du thème des données personnelles et de leur protection.
Nous avons élaboré et émis plusieurs résolutions sur la protection des données personnelles dans le cadre de l’Union, dans celui des partenariats et traités économiques, sur la façon dont la France devait articuler sa propre législation avec la réglementation européenne etc…
Il y a une semaine exactement, j’ai rendu compte devant mes collègues de l’avancement du marché unique numérique et des questions posées par la place et le rôle des plates formes.
Les plates-formes sont, en effet, au coeur des interactions entre acteurs dans la production et la diffusion de biens et de services, qu’ils soient audiovisuels ou non.
Celles-ci ont un rôle croissant car elles automatisent les relations entre les parties prenantes de l’entreprise (fournisseurs, clients, salariés, etc.).
A ce double titre, elles changent une partie de la donne économique.
De plus les plateformes peuvent constituer un moyen de « privatisation » (au sens d’une prise de contrôle par des grandes entreprises privées) sur un nombre significatif de services, et ce, hors de toute régulation.
Comme le dit Evgeny Morozov, chercheur et spécialiste du numérique «  Ces technologies permettent très facilement de tout gérer, les objets et les personnes, comme des produits qui s’échangent sur un marché ».
Elles collectent des informations et peuvent s’immiscer dans la vie des personnes.
Mon propos s’articulera autour des différents acteurs majeurs de cette histoire.
D’une part, les exploitants.
D’autre part, les utilisateurs.
Enfin les régulateurs « extérieurs » que peuvent être les Etats démocratiques, l’Union Européenne et les différentes autorités déléguées.
Je terminerai en évoquant ce que peut et devrait être une régulation efficace.
Autrement dit mon propos s’articulera autour de trois mots :
-  auto-régulation ;
-  régulation ;
-  et usages sociaux intelligents dans un cadre institutionnel global.

Aujourd’hui les données personnelles, sans lesquelles nombre d’appareils et de plateforme ne seraient pas « intelligents », jouent un rôle économique et politique majeur dans ce qu’on appelle la « révolution du numérique ».
Il convient d’observer que derrière ce mot « valise » de plate-forme numérique, chacun y met un peu ce qu’il veut et que les modèles sont multiples :
-  certaines plates-formes distribuent seulement des contenus,
-  d’autres sont prestataires de contenus ajoutés,
-  d’autres enfin personnalisent des services pour des utilisateurs finaux.
Au-delà de ces différences, elles se financent en tout ou partie par du ciblage, du profilage, des données algorythmiques, qui donnent à voir quoi, comment et à qui vendre ou proposer.
Parallèlement le mot régulation peut s’entendre comme l’action de ce qui règle.

Autorégulation : nécessité économique avérée ; efficacité limitée

Pour en revenir aux données, les utilisateurs et les exploitants peuvent s’autoréguler
Les utilisateurs peuvent communiquer entre eux rapidement et / ou sans laisser de trace ou encore ils peuvent disposer de moyens de contrôle pour empêcher la divulgation de leurs données.
Deux constats peuvent être faits :
- un intérêt croissant des utilisateurs pour leur vie privée ;
- une conscience que leurs données peuvent être un bien à préserver (« je paie pour ») ou à valoriser (« je les vends »).
Certaines entreprises proposent d’ores et déjà aux utilisateurs des dispositifs pour centraliser leurs communications et leurs données avec les sites web et ainsi en contrôler la possible dissémination.
Les exploitants, eux, peuvent proposer leurs propres outils « maison » de gestion des données personnelles et / ou opter pour des labels ou une certification de bonne conduite et de limitation.
Ils y ont un double intérêt économique : éviter la mauvaise réputation et valoriser leur(s) plateforme (s).
Néanmoins plusieurs études ont montré les limites de tels choix.
Les sites certifiés peuvent ne pas être les plus protecteurs.
La violation d’engagements n’apparaît qu’avec un certain délai et parfois de façon diffuse.
Le respect des engagements n’est forcément payé de retours dans une économie court-termiste
Le principe d’une limitation peut amener les utilisateurs à paradoxalement plus diffuser…
Ce qui importe c’est a priori l’idée du contrôle, mais qui contrôle in fine l’utilisation des données par les sites et les plateformes, voire par les acheteurs des données ?
En fait personne ou presque …
Le risque vient aussi du caractère industriel de la gestion des données : plus de données, plus de services et plus de risques…
A bien des points de vue, l’autorégulation est utile mais seulement partiellement efficace.
Comme l’ont signalé plusieurs auteurs, vus
- le caractère croissant des intrusions,
- les possibles réactions des utilisateurs et le choix de l’autorégulation,
- le constat est plutôt d’une illusion de maîtrise et de contrôle.
Dans ces conditions, l’intervention d’une règle extérieure, transversale et démocratique est nécessaire.

La régulation par des entités démocratiques et capables de sanctionner

A l’évidence, l’Union européenne et les Etats démocratiques sont aujourd’hui les plus efficaces pour :
- réguler le secteur ;
- donner un cadre institutionnel pour assurer le recueil, la gestion et l’exploitation des données ;
- obliger les exploitants à fournir une information protectrice aux utilisateurs et faire valoir leurs droits ;
- enfin sanctionner quand cela s’avère nécessaire.
En l’espèce agir en droit a une double dimension, il s’agit d’établir une diversité des activités économiques du côté des exploitants en permettant que soient maintenus des services de différents types, soit lutter contre le monopole qu’elles constituent ;
Les enjeux, peuvent être résumés de façon simple :
-  Qui est propriétaire des données personnelles et collectées ?
-  Quels sont les droits des utilisateurs à consentir à leur collecte et leur exploitation par l’exploitant voire par un tiers ?
-  Comment peuvent-ils y accéder, les récupérer et les « faire » oublier ?
Il s’agit d’une régulation par la norme, générale, obligatoire et sanctionnable.
Générale et obligatoire, ces mots peuvent effrayer mais

si la norme est impérative, elle aura été en amont et avant adoption discutée et contredite.

Les textes adoptés et ceux en cours d’adoption par l’Union européenne font une large place à un processus de recueil d’avis : études, baromètres, saisines ou autosaisine des parlements nationaux, consultations diverses…
Les approches sont à la fois par objectifs et transversales.
Les approches se font aussi par indicateurs : fiabilité des informations et des avis en ligne ;
Sont prises en compte aussi la portabilité et l’interopérabilité des contenus.
De plus le principe est celui que les obligations pour les acteurs soient proportionnées aux risques…
Il y a donc un souci d’adéquation de la loi avec les enjeux et les pratiques.
On le sait les lois pour être de bonnes lois supposent qu’elles soient comprises et que les acteurs s’en saisissent sans les dénaturer.
Pour moi clairement la question de la protection des données personnelles y compris dans sa dimension économique est une question politique, qui doit être réglée au niveau politique et ne peut se contenter d’un traitement par des décisions juridictionnelles.
Pour moi aussi clairement une participation active des parlements nationaux est nécessaire ; j’ai déjà pris l’initiative d’une rencontre interparlementaire (avec d’autres parlements nationaux) sur le sujet car je crois que les parlements nationaux continuent de créer du débat public et évidemment produisent de la délibération politique, toutes choses qui donnent son sens à la loi comme expression de la volonté générale.
Je le dis, ici, ce qui manque à l’Europe c’est peut-être le moment du débat public et de la délibération politique préalables à toute appropriation par les citoyens des décisions les plus fortes au moment où elles vont être transcrites dans le droit.
A n’en pas douter notre rencontre de ce jour participe et contribue à l’appropriation collective.

Source image : wikimédia commons