A l’occasion de la parution de l’étude annuelle du Conseil d’Etat (consacré aux Technologies numériques, libertés et droits fondamentaux) et de la présentation en ligne de la version preprint de la contribution du sociologue Antonio Casilli à l’étude (Quatre thèses sur la surveillance numérique de masse et la négociation de la vie privée), le juriste, bibliothécaire et blogueur Lionel Maurel (Calimaq) produit une analyse passionnante des liens entre privacy et biens communs .
Une gouvernance en communs des données personnelles est-elle possible ?
La semaine dernière, le chercheur Antonio Casilli a publié sur son blog un document intitulé “Quatre thèses sur surveillance de masse et vie privée”, destiné à alimenter des travaux que le Conseil d’Etat mène en ce moment en vue de la réalisation d’une étude sur le thème “Technologies numériques et libertés et droits fondamentaux”, à paraître à la rentrée.
Chacune de ces quatre thèses est particulièrement intéressante par l’éclairage qu’elle apporte, mais c’est surtout la quatrième qui a retenu mon attention : “La vie privée a cessé d’être un droit individuel pour devenir une négociation collective“. Elle fait écho en effet à plusieurs tentatives opérées depuis le début de l’année pour essayer de penser la question des données personnelles à travers le prisme des biens communs, que l’on retrouve par exemple chez Valérie Peugeot ou Silvère Mercier. J’ai de mon côté également essayé de me joindre à ce débat, en mettant en lumière la nécessité de sortir du paradigme individualiste à propos des données personnelles.
La vie privée comme négociation collective
Antonio Casilli ne se réfère pas dans son texte à la notion de biens communs, mais il arrive remarquablement à mettre en lumière la dimension collective à l’oeuvre dans notre façon de nous comporter à propos de ces données au quotidien. Cette caractéristique de notre relation aux données personnelles est pour l’instant laissée de côté par le droit, qui en concevant le droit à la vie privée uniquement comme un droit individuel, reste aveugle aux phénomènes collectifs. Antonio Casilli montre bien en quoi cette approche “personnaliste” est aujourd’hui insuffisante pour rendre compte de ce qui se passe dans ce champ et propose de passer d’une “privacy as penetration” (un “droit du particulier à être laissé tranquille”) à une “privacy as negociation” :
La privacy en tant que droit individuel, pour autant qu’elle incarne une attitude normative, représente une situation idéale, difficilement reconnaissable dans la vie courante […]
Avec l’éclosion du Web, les acteurs sociaux sont davantage mis en condition de déployer une volonté stratégique de créer et entretenir leurs espaces d’autonomie. Dans ce nouveau paradigme, la privacy n’est pas une prérogative individuelle, mais une négociation collective. Elle résulte d’un aménagement relationnel, qui prend en compte des éléments intersubjectifs et se modèle selon les impulsions venant des personnes avec lesquelles un individu interagit. La spécificité de la vie privée dans le web social et des relations équipées par les technologies mobiles est un processus décentralisé, complexe et multidirectionnel […]
Parce qu’elle est basée sur la recherche d’un accord entre plusieurs parties, plus que sur une régulation émanant d’une seule d’entre elles, cette vision de la vie privée est assimilable à une négociation collective.
Du collectif aux biens communs
En mettant l’accent sur cette dimension collective de la régulation opérant en matière de vie privée, Antonio Casilli donne à mon sens un outil très précieux à ceux qui cherchent à penser la relation entre données personnelles et biens communs. Jusqu’à présent en effet, notre réflexe a été de partir du terrain juridique, pour essayer d’imaginer de nouvelles règles, permettant à l’image de ce qui s’est produit pour le logiciel libre, d’instaurer une possibilité maîtrisée d’organiser la mise en partage des données personnelles tout en les rendant inappropriables. C’est par exemple ce que Silvère Mercier a esquissé à partir de la notion de “faisceau de droits” (bundle of rights) et l’idée de créer des Privacy Commons, comme il existe pour les oeuvres des Creative Commons :
Ni privé, ni public comment penser des données personnelles en biens communs? Car c’est une piste peu étudiée : celle de faire de ces fameuses données personnelles des biens communs, quelque chose qui appartient à tous et à personne. Ne pas les sanctuariser par la loi, ni les commercialiser sans vergogne mais bien de repenser autour de leurs usages un faisceau de droits. Il ne s’agit pas de refuser de leur appliquer un régime de propriété mais d’en repenser la nature. Et s’il fallait inventer des creative commons des données personnelles, des privacy commons? Reste à définir une gouvernance partagée de cette ressource commune. La question est effroyablement complexe et je ne prétends bien sûr pas la résoudre ici…
J’ai moi-même essayé de montrer à la suite que le droit des données personnelles, tel qu’il est formulé actuellement dans la loi, permettrait sans doute d’instaurer de telles licences pour la gestion des données personnelles, en faisant référence à des travaux précédents imaginant la création d’un “privacyleft”. Mais cette approche, si elle paraît féconde et devrait sans doute continuer à être creusée, est insuffisante pour résoudre la question principale : il ne peut y avoir de “biens communs” au sens propre que lorsqu’une communauté se donne des règles de gouvernance pour la gestion d’une ressource mise en partage. Les licences restent fondamentalement des instruments de gestion individuelle, chaque individu décidant à son niveau des usages qu’il souhaite autoriser sur ses données. A elles seules, les licences ne créent jamais d’elles-mêmes un “commun”. Il faut en plus de cela qu’une communauté s’organise et se dote d’institutions pour “faire commun”. Pour reprendre des exemples connus, Wikipédia ou Debian sont véritablement des biens communs, pas seulement parce qu’ils sont placés sous des licences libres les rendant inappropriables à titre exclusif, mais parce que les communautés qui produisent et maintiennent ces ressources ont su créer un appareillage de procédures et d’instances mettant en place une gouvernance ouverte.
Remettre au centre la question institutionnelle
A la question “une gouvernance en communs des données personnelles personnelles est-elle possible ?“, il faut donc d’abord chercher une réponse d’ordre institutionnelle, et pas seulement juridique. Antonio Casilli pointe d’ailleurs très bien cette dimension dans son texte, en évoquant des “collectivités sociales” en formation dans le champ des données personnelles :
La vie privée s’est transformée et n’est plus une transaction où chaque individu serait seul face aux autres, mais une concertation où les motivations des citoyens se combinent pour créer des collectivités sociales (groupes de pression, association spécialisées, instances reconnaissables de porteurs d’intérêts) qui engagent une confrontation avec les organisations industrielles et les pouvoirs étatiques. La nature éminemment collective de la négociation qui se mène actuellement autour de la vie privée, permet de lire sa défense avant tout comme une confrontation conflictuelle et itérative visant à adapter les règles et les conditions d’usage des services aux besoins des utilisateurs.
Traditionnellement et à la suite des travaux d’Elinor Ostrom et de son école, on tend à définir les biens communs à partir d’un tryptique : une ressource mise en partage (1) pour laquelle une communauté (2) se dote de règles de gouvernance ouverte (3). Mais certains auteurs appellent aujourd’hui à reconsidérer le poids respectif de ces trois éléments et à faire passer en premier la dimension institutionnelle, renvoyant aux modes de gouvernance ouverte. C’est le cas par exemple de Pierre Dardot et Christian Laval, dans leur ouvrage “Commun : essai sur la révolution au XXIème siècle” paru cette année. Pour eux, davantage que “les biens communs” – appellation qu’ils appellent d’ailleurs à abandonner -, ce qui est importe réellement c’est “LE commun”, au sens de pratique instituante :
Le commun ne peut être un objet […], le commun n’est pas non plus une chose (res), pas plus qu’il n’est une propriété ou une caractéristique d’une chose […]. Le commun est avant tout affaire d’institution et de gouvernement […] Chaque commun doit être institué par une pratique qui ouvre un certain espace en définissant les règles de son fonctionnement. Cette institution doit être continuée au-delà de l’acte par lequel un commun est créé. Elle doit être soutenue dans la durée par une pratique qui doit s’autoriser à modifier les règles qu’elle a elles-mêmes établies. Une telle pratique es ce que nous appelons une praxis instituante.
Il y a quelque chose de paradoxal de prime abord à affirmer que les données personnelles ou même la vie privée pourraient être considérées comme un commun, dans la mesure où ces termes renvoient au personnel et à l’intime. Mais ce paradoxe disparaît dès lors que l’on comprend que dans les Communs, ce qui importe à titre principal n’est pas tant la ressource partagée que l’organisation d’institutions fonctionnant sur la base d’une gouvernance ouverte. Or Antonio Casilli dans sa troisième thèse affirme avec raison que “au lieu de s’estomper, le souci de la société se démocratise dans la société en réseau”. Ce qui est en train de “faire commun”, c’est la prise de conscience de l’importance de défendre la vie privée comme un bien collectif et la nécessite pour cela d’inventer d’autres règles que celles imposées de manière inique par les firmes à la tête des grandes plateformes sociales ou les États, dont la collusion est en train d’organiser la mise à mort de la vie privée.
Dépasser l’action collective “éruptive”
Ce qui est remarquable, c’est que dans les premiers temps du web social, les plateformes étaient en quelque sorte “obligées” de prendre en compte la dimension collective dans la gouvernance des données personnelles, même si c’était pour mieux la neutraliser. Facebook pendant plusieurs années a ainsi organisé des procédures de vote pour que ses utilisateurs se prononcent sur les changements des conditions d’utilisation. Cette formule constituait en grande partie une sorte de “trompe-l’oeil”, puisqu’il était nécessaire que 30% des utilisateurs expriment un vote pour que la décision soit prise en compte, ce qui n’est jamais arrivé. En 2012, Facebook a d’ailleurs supprimé ce mode de validation par vote des changements de CGU, pour tenter d’imposer en force des modifications unilatérales que les utilisateurs sont réputés accepter par anticipation. La brutalité de cette politique a entraîné la réaction de la puissante Federal Trade Commission aux États-Unis, qui a imposé à Facebook d’informer les utilisateurs à chaque changement de CGU susceptibles d’avoir une incidence sur leur vie privée et de leur faire approuver.
Mais cette formule n’est pas réellement protectrice, les individus approuvant dans leurs grande majorité mécaniquement ces modifications, pas plus d’ailleurs que ne l’était vraiment la procédure de vote, devant laquelle les individus restaient passifs. Pourquoi ? Parce que le vote, tout comme l’acceptation des modifications contractuelles s’adressent à l’individu isolé. Il n’existe pas encore un tissu d’institutions suffisamment dense et structuré au sein de la société civile pour que cette défense de la vie privée devienne une véritable “cause commune”, génératrice d’actions collectives efficaces.
Pour être plus précis, il faut constater qu’il y a eu par le passé des moments d’action collective “éruptive”, lorsque les plateformes ont cherché à aller trop loin et trop vite dans l’exploitation des données personnelles. Facebook par exemple a été contraint de reculer en 2009 lorsqu’il a cherché à conserver les droits sur tous les contenus, même ceux retirés par ses membres. Instagram en 2012 a été sévèrement mis à mal en cherchant à se faire octroyer des droits d’exploitation publicitaire très larges sur les photographies postées par les usagers. Google s’est empêtré pendant des années dans la “NymWar”, à propos de l’usage des pseudonymes sur Google +, avant de devoir reculer. Dans ces moments de colère et de réprobation, la force collective des internautes s’affirme et se donne à voir, amplifiée par les phénomènes de circulation virale de l’information et les possibilités d’action que donne Internet à tout un chacun. Mais ces irruptions du collectif restent à ce jour insuffisantes, parce qu’elles ne débouchent pas sur une structuration de l’action à travers la mise en place d’institutions qui donneraient une consistance réelle à ces mouvements, pour déboucher sur un “faire commun”.
Les recours collectifs comme matrice d’un Commun des données personnelles ?
Cependant, les choses pourraient changer à mesure que les utilisateurs renouvellent leurs formes d’action. De ce point de vue, il me paraît très important de suivre le recours collectif, initié cet été par l’autrichien Max Schrems contre Facebook pour violation du droit protégeant les données personnelles. Le parcours de Max Schrems est particulièrement intéressant à observer. Ce dernier a en effet commencé par agir individuellement contre Facebook pour la défense de ses droits, à travers une prise de conscience personnelle. Mais voilà à présent qu’à travers le mécanisme du recours collectif, il a été à même de rassembler et de fédérer plus de 60 000 citoyens, à travers une campagne “Europe vs Facebook” brillamment orchestrée sur Internet. Il est d’ailleurs toujours possible de se joindre à ce recours pour participer à cette action et je vous recommande vivement de le faire.
La question essentielle à mon sens maintenant ne réside pas dans le fait de savoir si juridiquement cette action en justice va réussir ou échouer, mais si cette initiative collective va être capable de se structurer et de s’institutionnaliser, selon des modes de gouvernance ouverte, de manière à constituer l’embryon d’un véritable Commun autour des données personnelles. Si d’autres actions similaires se lancent et se dotent d’institutions, alors une “fédération” pourra émerger et donner naissance à un Commun global.
Tout autant que la création de nouvelles licences, l’action en justice peut constituer un levier intéressant pour donner naissance à une gouvernance en commun des données personnelles. Cela renvoie d’ailleurs dans l’histoire des biens communs à des pratiques identifiées. Au XVIIIème siècle, lorsque les droits d’usage dont les populations bénéficiaient sur les forêts et les pâturages furent menacés par le mouvement des enclosures en Angleterre, c’est en partie devant la justice royale que les “commoneurs” lancèrent des recours pour obtenir la protection de ces droits, dont certains furent couronnés de succès (voir ce sujet l’ouvrage “La guerre des forêts” d’Edward P. Thomson). On peut lire le recours collectif initié par Max Schrems comme une démarche similaire de “récupération du Commun”.
***
Si comme le dit Antonio Casilli, la vie privée a cessé d’être un droit individuel pour devenir une négociation collective, il nous reste à inventer et à faire émerger des institutions pour en faire un véritable Commun.