may 2014

Données personnelles et biens communs : s’inspirer de la construction de soi pour réguler les données personnelles

Le mouvement de l’Open Data, encouragé en France notamment avec la création d‘Etalab en 2011, possède d’ores-et-déjà quelques affiliations, selon les licences choisies, avec la philosophie des biens communs. Ouvrir les données publiques, c’est en effet considérer qu’elles appartiennent à tous, ou qu’une enclosure serait contre-productive. Mais ce n’est pas pour autant les sortir de la sphère du droit : ces données appartiennent toujours à quelqu’un, en revanche elles sont réutilisables, techniquement, sans problème. Cela ne signifie donc pas non plus sortir ces données de la sphère marchande, ni complètement les insérer dans une éventuelle sphère non-marchande. Non, les données ouvertes sont des données mises en commun et gérées, pour toute la communauté, par des institutions identifiées.

Mais l’ouverture des données porte encore sur un nombre réduit de données, principalement celles produites par les institutions publiques, à quelques exceptions près. Dès lors, à l’heure où les big data prennent de l’ampleur et sont en grande majorité produites ou coproduites par les individus, quid des données personnelles ?

Un article récent de Valérie Peugeot, chercheuse à Orange Labs, présidente de l’association Vecam et membre du Conseil national du numérique, intitulé “Données personnelles : sortir des injonctions contradictoires”, tente de faire avancer intelligemment le débat. Dans ce billet, Valérie Peugeot rappelle qu’“ouvrir les données”, c’est créer de la valeur : c’est bien pourquoi certaines données sont déjà ouvertes, à l’image des données produites dans la sphère publique et de certaines données produites par des entreprises. Mais ce qui paraît plus délicat dans la prise de position de la chercheuse, c’est l’insertion des données personnelles dans cette même sphère, celle des Communs donc. C’est ce qui fait toute la force et la portée polémique de son article d’ailleurs.

La crainte de l’ouverture des données personnelles se fonde sur une conception biaisée de la vie privée

Le sujet est devenu excessivement polémique. Le dernier rapport du Sénat sur le sujet, intitulé “La protection des données personnelles dans l’open data : une exigence et une opportunité”, co-écrit par MM. Gaëtan Gorce et François Pillet et tout juste rendu le 16 avril dernier, est d’ailleurs très emblématique : la protection des données personnelles (sans distinction aucune) se fait “contre” leur ouverture et est une “exigence”. Point. A aucun moment du rapport cette exigence ne semble pourtant justifiée, le rapport posant la question en ces termes : “l’impératif de protection de la vie privée est-il en mesure de toujours prévaloir ?”, sans véritablement expliquer le pourquoi ni le comment de cet impératif.

Pourtant, la question de la protection de la vie privée est un sujet bien plus complexe que ce qu’il n’y paraît, et ne peut se résumer uniquement à des restrictions : la vie privée est un espace de liberté, et c’est bien cette liberté qu’il faut protéger, non l’espace lui-même. J’avais ainsi pu souligner dans un article l’importance de l’extimité, compris comme corollaire de l’intimité, dans la définition de la vie privée. M’appuyant sur les travaux du sociologue Emmanuel Kessous ou encore du psychiatre Serge Tisseron, j’essayais de montrer que le “paradoxe de la vie privée”, qui souligne la peur d’être surveillé et fiché au regard de notre capacité à toujours plus nous étendre sur notre vie privée notamment sur les réseaux sociaux, n’en est pas vraiment un. De la même manière que l’ombre dépend de la lumière, l’intimité se fonde par opposition aux éléments que l’on choisit de dévoiler. L’extimité est ce besoin de partage et de confrontation pour se construire. C’est sur ce jeu de révélations et de secrets que reposent la vie privée, par extension la personnalité d’un individu, et par extension encore toutes les possibilités de l’ouverture des données personnelles.

La crainte de l’ouverture des données personnelles semble donc être tendancieuse. Dans un pays comme la France (et plus largement l’Europe) qui garde une longue tradition de protection de ce type d’informations, comme en témoigne l’existence et la notoriété d’une institution comme la CNIL, on pense directement à une remise en cause des libertés, au fichage, si ce n’est par les États (tendance amplifiée, sans doute à juste titre, par les révélations d’Edward Snowden), au moins par les groupes commerciaux. On pense réduction et non pas élargissement des possibles. Pourtant, même s’il ne s’agit pas d’une ouverture au sens “open data”, n’importe quel internaute échange déjà ses données personnelles contre des services : Linkedin, Google, Facebook, pour ne citer que les plus connus. Ils le font, ils y consentent, parce que ce partage est constitutif de ce qu’ils sont, de leur personnalité, de leurs activités, et parce que ce partage leur est utile.

De la protection à la régulation pour sortir d’une logique de surveillance

Cet écart entre les pratiques fondées sur l’utilisation de nos données et les craintes de ces mêmes pratiques montre que le problème n’est pas pris dans le bon sens. Il a une conséquence majeure : on ne parle plus des données personnelles que dans une logique de surveillance, et donc dans une logique de protection aveugle. Pire : à trop vouloir se protéger des utilisations possibles des données, on risque même de créer de nouvelles enclosures informationnelles, comme le précise le blogueur Silvère Mercier sur son blog, et de priver les utilisateurs de l’utilisation de leurs propres données.

Encore une fois, ce n’est pas la vie privée qu’il faut protéger : l’acception est trop large pour obtenir quelque chose de pertinent. Mieux vaut assurer et protéger la liberté d’ouvrir et de ne pas ouvrir, et plus encore, la liberté de gérer des accès à ces données personnelles. Certes ces données ont de la valeur, mais une valeur dont les utilisateurs sont aussi les premiers bénéficiaires : c’est d’ailleurs l’intérêt de projets mis en oeuvre comme “MiData” en Angleterre ou de “Mes Infos” en France qui tentent de proposer des solutions de cogestion de ces données, en cherchant un juste milieu entre gestion distribuée et gestion décentralisée. Le maître mot n’est alors plus “protection” mais “régulation” : ce n’est plus se prémunir uniformément contre toute surveillance, c’est autoriser certaines surveillances (et le mot lui-même peut être déjà très fort, quand il s’agit par exemple de récupérer des données pour cibler des publicités) pour son propre intérêt.

Cette régulation elle-même est sujette à discussion : comment réguler les données personnelles ? Comment faire prévaloir des droits sur nos propres données ? A ce titre, dans son article](), Valérie Peugeot pose un état des lieux lucide des nombreuses impasses qu’il nous faut éviter. Elle souligne par ailleurs l’urgence du débat en décrivant la situation de “prédation” dans laquelle nous nous trouvons : consciemment ou inconsciemment, nous produisons chaque jour des données personnelles qui sont monétisées malgré nous, sans que le droit puisse rien y faire. Ne rien changer constitue donc une première impasse. Passer à un régime de propriété en est une autre : réguler à l’échelle individuelle, via une gestion des droits assez similaire à celle de la propriété intellectuelle, c’est surtout créer des nouvelles inégalités entre les citoyens, entre ceux qui sauront ou pourront réguler, et ceux qui ne sauront pas ou ne pourront se le permettre. Une dernière impasse serait de donner une solution technique à un problème pensé comme technique : crypter nos données pour ne pas qu’elles soient utilisées. D’une part cela revient au choix de “protéger” plutôt que “réguler”, et donc tourner en rond ; d’autre part, comme le souligne Valérie Peugeot, “il y aura toujours une technologie capable de défaire la précédente” : la technique n’est pas vraiment une réponse.

Ce qui nous fait donc revenir à la démarche de l’open data, et plus précisément encore à la philosophie des biens communs. Il ne s’agit pas ici de considérer les données personnelles comme des données publiques, mais plutôt de s’inspirer de cette démarche d’ouverture pour, comme le précise Valérie Peugeot, sortir ces données à la fois d’un régime de gestion publique et d’un régime de marché.

Les biens communs permettent de gérer les données personnelles comme on gère sa vie privée

L’intimité et l’extimité s’inscrivent dans un ensemble de relations sociales codifiées (ou en cours de « recodification », et c’est d’ailleurs là tout l’enjeu du sujet) : certaines personnes me connaissent très bien, d’autres connaissent mes goûts, certains me connaissent de nom et via quelques informations sur moi égrenées ici et là sur des sites web, et d’autres enfin ne me connaissent pas du tout. Cet ensemble de relations sociales ne suit pas un schéma binaire, ce n’est pas “me connaître” contre “ne pas me connaître” : les stratégies liées au dévoilement des informations personnelles sont ainsi constituées de multiples nuances.

L’idée serait donc d’inscrire les données personnelles dans cette même voie de gestion, que ces données s’inscrivent également dans un ensemble de relations sociales codifiées qui ne se réduisent pas à “je peux utiliser les données” contre “je ne peux pas utiliser les données”. Toute l’idée de “régulation” prend son sens ici : je suis protégé non pas parce que personne n’a accès à mes données personnelles, mais parce que je choisis qui y a accès, comment et à quel niveau. Je définis chacune des “relations sociales” de mes données, ce qui comprend donc tout à la fois mes échanges marchands et non-marchands.

Cette idée de gouvernance des données, et par extension de régulation, est au cœur de la définition des biens communs. Un bien commun, c’est certes un bien partagé, mais c’est avant tout un bien protégé. Protégé par une communauté et par des règles de gouvernance. Comme le rappelle Valérie Peugeot, ces règles s’appuient notamment sur ce qu’Elinor Ostrom appelait un “faisceau de droits”, en référence au courant du réalisme juridique : ils correspondent à cet ensemble de relations sociales codifiées que nous soulignions, et qui permet la définition de règles de droits et d’usages différenciées (autorisation de réutiliser, de monétiser, de modifier, etc.). Dans son article, Valérie Peugeot s’appesantit d’ailleurs sur cette proposition de solution très prometteuse :

Cette approche par une discrimination à la fois temporelle des droits (donnée chaude, droits d’usage à l’entreprise, donnée froide, exclusivité de l’usager) et spatiale (stockage dans la plateforme, stockage dans un espace contrôlé par l’individu) pourrait ouvrir la voie à un bundle of rights positif, c’est-à-dire à la fois protecteur pour l’individu et en même temps ne tuant pas d’entrée de jeu le modèle d’affaires des entreprises du web qui proposent des services (hors marketing) construits autour de la donnée (ex : trouver un vélib).

C’est bien la liberté de l’utilisateur qui est protégée ici, liberté d’accorder des droits d’accès à ses propres données à des personnes ou services tiers. En plaçant les données personnelles dans les biens communs, on élargit à une plus grande échelle des stratégies que chacun d’entre nous met déjà en œuvre pour protéger son intimité et définir sa personnalité. Quoi de plus logique que de gérer ses données personnelles comme on gère sa vie privée ? C’est une solution plus respectueuse des utilisateurs que le “faible régime” actuel, pour reprendre les mots de Valérie Peugeot ; c’est également une solution bien moins “dangereuse” pour la vie privée que ce qui a pu être proposé. Se fondant sur des communautés, c’est surtout une solution qui nécessite des prises de position pour fonctionner. Ne posons donc plus la question de savoir si les données personnelles pourraient être des biens communs. Affirmons plutôt. Les données personnelles doivent être des biens communs.