Alexis Roussel on Nostr: L’impossible consentement L’acceptation d’un traitement de données ...
L’impossible consentement
L’acceptation d’un traitement de données personnelles, pour leur sauvegarde, leur utilisation pour des fins autres que le service prévu initialement, leur revente à des fins commerciales se présente souvent comme une simple case à cocher, validant également des conditions générales obscures. Le consentement est considéré acquis lorsque l’utilisateur a validé son choix. La législation la plus stricte connue à ce jour, le règlement général sur la protection des données de l’Union européenne (RGPD), impose des obligations notamment de transparence et de forme, mais ne remet pas en cause la logique du consentement donné. Malgré un consentement toujours faible, le RGPD impose également de fournir à l’utilisateur la possibilité de choisir le niveau de l’atteinte. Vouloir plus de contrôle du côté de l’utilisateur est une bonne chose, mais ce n’est pas encore suffisant.
Rencontrer une personne inconnue et lui serrer la main implique un consentement implicite d’atteinte légère à l’intégrité physique – on constate d’ailleurs en pleine pandémie de coronavirus que ce geste qui semblait anodin dans notre culture n’est pas sans risque. Certaines sociétés refusent une telle pratique et préfèrent un salut à distance. Si une poignée de main est accompagnée d’un consentement implicite, c’est bien que nos sociétés ont considéré qu’un individu peut généralement mesurer l’impact de ce geste et en déterminer le risque d’atteinte violente. Il peut aussi facilement le refuser et tout de même engager une relation sociale avec autrui. D’autres engagements nécessitent un consentement renforcé. Ainsi le mariage ne sera valide qu’en présence de témoins identifiés d’une signature manuscrite sur un contrat authentifié par une personne représentant l’autorité et d’un cérémonial très précis. D’un consentement implicite à un consentement formel, la société ajuste les variables nécessaires afin qu’un individu puisse toujours accepter une altération de son intégrité de façon la plus éclairée possible.
Si l’on accepte que les données personnelles font partie de notre individualité, qu’elles sont une extension de soi-même dans le numérique, alors leur récolte ne peut pas être considérée comme allant de soi. Pourtant, la simple interaction d’un individu avec un service suppose une récolte de données et donc une atteinte à l’intégrité numérique. En principe, un site internet ou une application récolte des données. Les milliards de données récoltées quotidiennement dans le monde entier ont une valeur immense. Des entreprises financent tout ou partie de leurs activités en procédant à la récolte des données et à leur traitement. Les moteurs de recherche, les réseaux sociaux, les médias ont façonné leurs modèles d’affaires sur un rapport de force malsain. Ils améliorent constamment le service à l’utilisateur grâce à la connaissance qu’ils tirent de l’analyse des données personnelles collectées. Il revendent ensuite la connaissance extra-fine des interactions sociales et des profils individuels à des fins publicitaires. Les abus ne se comptent plus, notamment des groupes d’entreprises qui recoupent leurs bases de données. Ces services comptent sur l’ignorance profonde des utilisateurs, leur incapacité réelle à consentir et surtout leur capacité à partager des informations qui concernent leurs proches sans leur autorisation.
Ce rapport de force entre la protection des données des individus et les intérêts économiques est palpable. Pour les autorités de nombreux pays, la tendance est plutôt de favoriser les intérêts économiques. La protection des données existe, mais elle est perçue comme un frein à l’innovation plutôt qu’un droit fondamental qui protège les individus. Une conception fallacieuse du consentement éclairé perdure alors qu’un bon consentement devrait être la base fondamentale d’un internet libre et libéral, permettant aux individus de s’engager de manière identifiable et authentifiée. Au fur et à mesure que les scandales s’accumulent, on constate que la prise de conscience s’établit, lentement.
Les conditions générales d’utilisation, devenues la norme sur internet, ont d’ailleurs l’immense inconvénient d’être si volumineuses qu’il faudrait des journées entières pour qu’un individu puisse en prendre connaissance s’il prenait la peine de les lire à chaque fois qu’il doit en accepter. Le juriste François Charlet résume sur son blog le contenu de ces conditions générales avec humour : « En cliquant sur accepter, tu renonces à tous tes droits de la personnalité ; tu renonces à attaquer l’auteur de ce blog en justice ; tu le reconnais plénipotentiaire de ta vie digitale ; tu acceptes de prier devant sa photo et d’allumer un cierge tous les jours pour l’honorer ; l’auteur du présent contrat se réserve le droit de le modifier en tout temps, sans préavis, et à tes dépens » En définitive, les conditions générales d’utilisation ont la particularité d’être beaucoup trop générales et de servir d’arsenal juridique pour les entreprises qui les rédigent afin de les protéger et de leur octroyer des droits sur les données personnelles des utilisateurs. La capacité de la population à consentir de façon éclairée dans la dimension numérique ne semble étonnamment pas concevable aux yeux ni des entreprises, ni du législateur. Mais il est possible d’atteindre un niveau acceptable en formalisant le consentement grâce à des outils adéquats.
Notre société doit se doter d’une palette d’outils de consentement, chacun adapté, afin de permettre à l’individu d’approuver de manière éclairée une atteinte à son intégrité, en fonction du degré de gravité du préjudice encouru. Un consentement tacite peut paraître acceptable pour un enregistrement des simples données de connexion sur un site. Mais il ne le sera pas pour une utilisation intensive des données par des tiers. Parmi ces outils, la signature électronique représente probablement un des outils de consentement les plus forts, à condition d’être efficacement géré et utilisé par la société. De nombreux échanges entre individus ou avec des entreprises nécessiteront de la part des individus de maîtriser un outil de signature électronique.
Extrait de « Notre si précieuse intégrité numérique » par Alexis Roussel et Grégoire Barbey
L’acceptation d’un traitement de données personnelles, pour leur sauvegarde, leur utilisation pour des fins autres que le service prévu initialement, leur revente à des fins commerciales se présente souvent comme une simple case à cocher, validant également des conditions générales obscures. Le consentement est considéré acquis lorsque l’utilisateur a validé son choix. La législation la plus stricte connue à ce jour, le règlement général sur la protection des données de l’Union européenne (RGPD), impose des obligations notamment de transparence et de forme, mais ne remet pas en cause la logique du consentement donné. Malgré un consentement toujours faible, le RGPD impose également de fournir à l’utilisateur la possibilité de choisir le niveau de l’atteinte. Vouloir plus de contrôle du côté de l’utilisateur est une bonne chose, mais ce n’est pas encore suffisant.
Rencontrer une personne inconnue et lui serrer la main implique un consentement implicite d’atteinte légère à l’intégrité physique – on constate d’ailleurs en pleine pandémie de coronavirus que ce geste qui semblait anodin dans notre culture n’est pas sans risque. Certaines sociétés refusent une telle pratique et préfèrent un salut à distance. Si une poignée de main est accompagnée d’un consentement implicite, c’est bien que nos sociétés ont considéré qu’un individu peut généralement mesurer l’impact de ce geste et en déterminer le risque d’atteinte violente. Il peut aussi facilement le refuser et tout de même engager une relation sociale avec autrui. D’autres engagements nécessitent un consentement renforcé. Ainsi le mariage ne sera valide qu’en présence de témoins identifiés d’une signature manuscrite sur un contrat authentifié par une personne représentant l’autorité et d’un cérémonial très précis. D’un consentement implicite à un consentement formel, la société ajuste les variables nécessaires afin qu’un individu puisse toujours accepter une altération de son intégrité de façon la plus éclairée possible.
Si l’on accepte que les données personnelles font partie de notre individualité, qu’elles sont une extension de soi-même dans le numérique, alors leur récolte ne peut pas être considérée comme allant de soi. Pourtant, la simple interaction d’un individu avec un service suppose une récolte de données et donc une atteinte à l’intégrité numérique. En principe, un site internet ou une application récolte des données. Les milliards de données récoltées quotidiennement dans le monde entier ont une valeur immense. Des entreprises financent tout ou partie de leurs activités en procédant à la récolte des données et à leur traitement. Les moteurs de recherche, les réseaux sociaux, les médias ont façonné leurs modèles d’affaires sur un rapport de force malsain. Ils améliorent constamment le service à l’utilisateur grâce à la connaissance qu’ils tirent de l’analyse des données personnelles collectées. Il revendent ensuite la connaissance extra-fine des interactions sociales et des profils individuels à des fins publicitaires. Les abus ne se comptent plus, notamment des groupes d’entreprises qui recoupent leurs bases de données. Ces services comptent sur l’ignorance profonde des utilisateurs, leur incapacité réelle à consentir et surtout leur capacité à partager des informations qui concernent leurs proches sans leur autorisation.
Ce rapport de force entre la protection des données des individus et les intérêts économiques est palpable. Pour les autorités de nombreux pays, la tendance est plutôt de favoriser les intérêts économiques. La protection des données existe, mais elle est perçue comme un frein à l’innovation plutôt qu’un droit fondamental qui protège les individus. Une conception fallacieuse du consentement éclairé perdure alors qu’un bon consentement devrait être la base fondamentale d’un internet libre et libéral, permettant aux individus de s’engager de manière identifiable et authentifiée. Au fur et à mesure que les scandales s’accumulent, on constate que la prise de conscience s’établit, lentement.
Les conditions générales d’utilisation, devenues la norme sur internet, ont d’ailleurs l’immense inconvénient d’être si volumineuses qu’il faudrait des journées entières pour qu’un individu puisse en prendre connaissance s’il prenait la peine de les lire à chaque fois qu’il doit en accepter. Le juriste François Charlet résume sur son blog le contenu de ces conditions générales avec humour : « En cliquant sur accepter, tu renonces à tous tes droits de la personnalité ; tu renonces à attaquer l’auteur de ce blog en justice ; tu le reconnais plénipotentiaire de ta vie digitale ; tu acceptes de prier devant sa photo et d’allumer un cierge tous les jours pour l’honorer ; l’auteur du présent contrat se réserve le droit de le modifier en tout temps, sans préavis, et à tes dépens » En définitive, les conditions générales d’utilisation ont la particularité d’être beaucoup trop générales et de servir d’arsenal juridique pour les entreprises qui les rédigent afin de les protéger et de leur octroyer des droits sur les données personnelles des utilisateurs. La capacité de la population à consentir de façon éclairée dans la dimension numérique ne semble étonnamment pas concevable aux yeux ni des entreprises, ni du législateur. Mais il est possible d’atteindre un niveau acceptable en formalisant le consentement grâce à des outils adéquats.
Notre société doit se doter d’une palette d’outils de consentement, chacun adapté, afin de permettre à l’individu d’approuver de manière éclairée une atteinte à son intégrité, en fonction du degré de gravité du préjudice encouru. Un consentement tacite peut paraître acceptable pour un enregistrement des simples données de connexion sur un site. Mais il ne le sera pas pour une utilisation intensive des données par des tiers. Parmi ces outils, la signature électronique représente probablement un des outils de consentement les plus forts, à condition d’être efficacement géré et utilisé par la société. De nombreux échanges entre individus ou avec des entreprises nécessiteront de la part des individus de maîtriser un outil de signature électronique.
Extrait de « Notre si précieuse intégrité numérique » par Alexis Roussel et Grégoire Barbey