Consultation CNIL : droit à l'oubli ou effet d'oubli ?

Entre les mois d’août et octobre 2013, la Commission Nationale de l’Informatique et des Libertés a lancé une concertation sur la question du droit à l’oubli numérique. En ma qualité d’enseignant-chercheur en sciences humaines et sociales appliquées aux usages numériques, j’ai été sollicité à l’instar d’autres acteurs de la recherche, de l’économie, du milieu institutionnel, et de la société civile.  Ce qui suit est le texte de ma contribution.

La concertation 2013 sur le droit à l’oubli s’inscrit dans le sillage de la réflexion menée au sein de la CNIL à partir des années 1990. Aujourd’hui, les nouveaux défis des usages sociaux du web, de l’informatique ubiquitaire et de « l’incursion des bases de données » (database incursions [Liu 2004]) dans le quotidien, rendent nécessaire de questionner la notion d’oubli pour prendre en compte le glissement profond de nos sensibilités et de nos pratiques. Face à l’informatisation de la société, l’oubli a cessé d’être une limite propre voire une fatalité de la mémoire humaine, pour devenir un acte délibéré de suppression d’informations relatives aux citoyens afin de respecter d’exactitude, la mise à jour et l’intégrité contextuelle de leurs données personnelles. Si dans son rapport d’activité de 1998, la CNIL décrivait l’oubli comme relevant désormais “du seul choix social”, il est opportun d’interroger cette notion avec les outils propres aux sciences sociales.

 

Ne demandez pas “quoi” oublier, mais “vis-à-vis de qui” oublier

Tout d’abord, il nous appartient de problématiser l’approche adoptée par la CNIL dans sa définition de cette notion. Le document de lancement de la concertation des professionnels 2013 précise que :

Le droit à l’oubli numérique sur internet serait la pos-
sibilité offerte à chacun de maîtriser ses traces nu-
mériques et sa vie - privée comme publique - en ligne.
Nécessité humaine et sociétale, ce droit ne doit, ce-
pendant, pas être interprété comme un impératif absolu
d’effacement des données et informations. Il est, en ef-
fet, nécessaire de trouver un équilibre entre le droit
à l’oubli d’une part, et la nécessité de se ménager des
preuves, le devoir de mémoire et la liberté d’expression
d’autre part, comme le prévoit d’ailleurs le projet de
règlement européen présenté par la Commission européenne
le 25 janvier 2012 et actuellement en cours de discussion. 

Cette façon d’encadrer le débat sur le droit à l’oubli numérique demeure centrée sur une vision de l'”information en tant qu’objet”, figée dans son état final, à l’issue d’un  processus de médiation et de structuration qui reste en dehors du questionnement. Pour autant que, dans les orientations actuelles, la création d’information relève de procédés automatisés de sélection, extraction, tri, analyse et présentation de données, il serait utile d’adopter ici une vision de l’information en tant que véritable processus de production des objets-data [Flichy et Parasie, 2013]. Ce processus de production est désigné par ses conditions matérielles et mobilise un jeu précis d’acteurs.

Plutôt que de se demander quel est le juste équilibre entre le traitement A (ex. effacement à des fins de respect du droit à l’oubli) et le traitement B (ex. préservation à des fins de sauvegarde des preuves) d’une information considérée comme une entité donnée une fois pour toutes, nous proposons de centrer l’analyse sur les structures sociales au sein desquelles l’information est produite et partagée.

La question du droit à l’oubli deviendrait, par conséquent, non pas une question de « quoi », mais une question de « qui ». Non seulement “sur qui porte l’information ?” mais aussi “pour compte de qui est-elle produite ? qui en profite ? à l’intention/dans l’intérêt de qui est-elle diffusée/préservée/révoquée ?”

 

Négociation de la vie privée, négociation de l’oubli

« Quoi » et « qui » : ces deux questionnements ne sont pas complémentaires, mais ils découlent de deux approches mutuellement exclusives. Se concentrer sur le « qui » (et encore plus sur le « vis-à-vis de qui ») met au centre du débat la nature relationnelle et intersubjective de toute information personnelle. Se concentrer sur le « quoi » gomme cette dernière, et abolit la nécessaire attention aux modalités de négociation de l’entité « information personnelle ». Dans la mesure où cette dernière se laisse reconnaître comme le résultat des efforts des individus et des groupes humains de gérer ce qui sort de (ainsi que ce qui rentre dans) leur sphère personnelle, la modalité de structuration de la privacy distinctive des sociabilités numériques peut être définie comme une négociation [Tubaro, Casilli & Sarabi, 2014 ; Casilli 2013], c’est-à-dire une la recherche d’un accord entre plusieurs parties, la quête d’une consonance, la confrontation de leurs intérêts réciproques, et l’échange de concessions mutuelles en termes de dévoilement et d’accès à des informations potentiellement sensibles.

Ce processus dynamique d’interactions dans lequel les individus, en dévoilant un aspect donné d’eux mêmes, envoient des signaux à leur environnement, et reçoivent un retour de cet environnement, leur permet d’adapter de manière itérative ces mêmes signaux afin d’intégrer leur groupe et d’en être reconnu en tant que membre. C’est donc, à proprement parler, dans une perspective de socialisation que le dévoilement de soi accompagne les processus de sélection et d’influence, de constitution du capital social en ligne et du contrôle des coûts (autant matériels que cognitifs et psychologiques) qu’il engendre.

La confidentialité et l’intimité, non plus dépendantes uniquement des idiosyncrasies individuelles, deviennent donc contextuelles, sujettes à une consultation à l’échelle des groupes sociaux dans lesquels les interactions ont lieu. Le souci de l’évaluation de l’impact de l’oubli sur ces groupes et sur leur capacité effective de négociation doit alors animer notre réflexion.

 

Un contexte hybride de production des données personnelles

Un aspect important de cette négociation est représenté par le contexte de production des données et informations relatives à la vie des individus. Actuellement nous assistons à un enchâssement des trois contextes de productions qui étaient, il y a à peine quelques années, relativement compartimentés :

  1. Le contexte régalien : le fichage des populations pratiqué par les Etats dans l’exercice des grandes fonctions souveraines (ainsi qu’à des fins de surveillance et de répression) [Agar, 2003] ;
  2. Le contexte épistémique : la statistique publique réalisé par des organismes nationaux et internationaux, à des finalités d’étude et de recensement [Desrosières, 1993] ;
  3. Le contexte organisationnel: les informations et les contenus produits par les citoyens mêmes et cédés plus ou moins volontairement aux acteurs du secteur privés [Yates, 1989].

dataprod

Ces trois contextes de production convergent actuellement dans celui des collectes massives de données via les réseaux numériques. La nature hybride de ce nouveau contexte explique sa flexibilité, mais aussi les risques et les dérives associés à ses applications. Ces informations représentent autant des outils pernicieux de surveillance, que des opportunités de connaissance des réalités sociales, ou des occasions d’échange économique et possiblement de redistribution des richesses sans précédents.

Il est important alors de poser la question du droit à l’oubli par rapport à la question du « qui » (qui oublie l’information de qui, et vis-à-vis de qui on l’oublie) ainsi que par rapport aux  applications à la fois régaliennes, épistémiques et organisationnelles de ces informations (à quel fin ont-elles été produites ? pour quel finalité sont-elles oubliées ?).

 

Quelle est la durée maximale d’un contenu inactif ?

En vue de l’adoption du nouveau règlement européen sur le droit à l’oubli, la CNIL propose un certain nombre de mesures visant à améliorer l’effectivité réelle de ce droit. Des solutions juridiques et techniques susceptibles d’offrir aux citoyens des moyens efficaces de maîtriser la production, la diffusion et le partage contextuel de leurs données personnelles sont présentées dans la concertation.

Tout particulièrement, le texte de la CNIL préconise la définition et l’harmonisation à l’échelle européenne d’un référentiel standard de la durée maximale de conservation d’un contenu personnel en ligne, à la fin de laquelle ce dernier sera automatiquement supprimé (si inactif) par le responsable du site, après avoir averti l’internaute.

La CNIL propose qu’une réflexion soit initiée dans le cadre
du G29 [Groupe de travail Article 29 sur la protection des
données est un organe consultatif européen indépendant sur
la protection des données et de la vie privée.] pour la dé-
finition de ces durées de conservation. Cela pourrait se
traduire par l’élaboration d’un document de référence à
destination des responsables de traitement. Ce document
servirait alors de guide pour la définition d’une durée
maximale de publication des données à caractère personnel
pour une finalité déterminée.

Cette mesure se heurte à deux problèmes majeurs en termes d’applicabilité :

  1. le premier est relatif aux services d’archivage du Web au titre du dépôt légal (v. en France les initiatives dans ce sens lancées par l’INA et la BnF) ;
  2. le deuxième est relatif aux usages personnels. Les motivations de la publication ou bien du partage d’un contenu en ligne relèvent non seulement d’une intention documentaire (sauvegarder, rapporter les pratiques et marquer des moments importants pour l’usager même [Salaun, 2011 : Ertzscheid, 2009]) mais aussi d’une intention stratégique (accomplir un geste ou bien signaler une opinion à l’intention de quelqu’un, désigné ou pas désigné [Cardon, 2008 ; Casilli, 2012]).

Au vu de cela, l’établissement d’une durée standard pour la préservation de données personnelles ne peut pas négliger de prendre en compte la variété des exigences pour le dépôt légal à l’échelle de l’état et la documentation à l’échelle individuelle—surtout dans le contexte du partage social de documents des usagers. Les intentions stratégiques des usagers interfèrent profondément avec cette mesure. La nature relationnelle de la production d’information dans le contexte actuel fait en sorte que tout destinataire implicite ou explicite d’un contenu numérique (la personne « à l’intention de laquelle » le contenu est mis en ligne, ou avec lequel il est partagé) soit en quelque mesure partie prenante et porteur d’intérêt autant de sa publication que de sa suppression proposée.

Ceci revient à dire que toute tentative d’élaboration d’un référentiel standard devient futile, car à tout moment où un nouveau destinataire s’ajouterait à la consommation ou à l’échange d’un contenu, il “remettrait à zéro le compteur” de la durée maximale de mise en ligne.

 

Le web éphémère et l’“effet d’oubli”

La CNIL s’interroge également sur la mise à disposition d’outils permettant de définir une date limite de diffusion d’un contenu. Cette mesure est préconisée afin de permettre une meilleure maîtrise de la publication des données des internautes.

L’auteur d’une publication [pourrait] définir en amont une
date limite de diffusion de celle-ci. Ces outils de para-
métrage pourraient ainsi permettre à l’intéressé, soit
d’adopter une limitation préalablement définie par défaut,
soit de paramétrer librement la durée de diffusion selon
ses propres choix, à la condition que celle-ci ne dépasse
la durée maximale de conservation de la donnée (telle
qu’elle serait par exemple définie dans le cadre du ré-
férentiel précédemment proposé).

Cette proposition semble en effet cohérente avec la tendance identifiée par certains analystes à l’affirmation d’un « web éphémère », à première vue non centré sur le traçage constant de l’activité des utilisateurs [Perez, 2013 ; Knuttila, 2011]), illustré par certains services assurant une accessibilité limitée dans le temps des contenus mis en ligne par les utilisateurs (ex. Snapchat), voir par le respect du pseudonymat/anonymat dans certains aménagements de socialisation « contingente » (ex. Chatroulette, 4chan).

Bien qu’intéressants et révélateurs d’une exigence de maîtrise, de tri et d’effacement sélectif de l’information personnelle, ces services en ligne risquent de bercer les utilisateurs dans une fausse impression d’emprise sur leurs contenus. En général ils n’empêchent pas l’utilisation frauduleuse ou abusive d’une information, mais la limitent dans le temps. Egalement, ils ne remplacent pas les dispositifs de protection contre la surveillance et contre l’usage non-négocié des données personnelles. Qui plus est, ils introduisent un « effet d’oubli », en large partie illusoire : les utilisateurs qui voient disparaitre de leurs profils ou de leurs résultats de recherche leurs propres contenus, peuvent méprendre cette disparition (due en fait à la révocation d’un privilège d’accès) pour une suppression effective des serveurs qui hébergent le service. Ils négligent ou ignorent que les données et les métadonnées associées à ces contenus sont ordinairement conservées dans les bases de données des services en question—à des fins (déclarés) de sauvegarde, d’analyse ou d’exploitation commerciale.

Pour rompre cet « effet d’oubli », il faut poser la question de la maîtrise et de la péremption non seulement par rapport au destinataire initial du contenu (par ex. la personne à laquelle une photo a été envoyée) mais aussi par rapport aux concepteurs et gestionnaires des services à travers lesquels le contenu circule.

Pour ce faire il est recommandé de :

  1. assurer, d’un point de vue légal autant que technique, qu’à la disparition d’un contenu « à l’écran » corresponde la suppression dans les bases de données correspondante des entités et des attributs ayant un rapport avec ce même contenu ;
  2.  assurer que cette péremption prenne en compte le versionnage d’un contenu pratiqué par les plateformes de publication et de partage. Lorsque celles-ci gardent trace des versions successives ou alternatives (historique de révisions, traduction dans une autre langue, conversion dans un autre format, etc.) d’un même document, établir sur laquelle de ces version la faculté de modification ou le droit de péremption s’exerce (uniquement sur la dernière version/la version originale ? sur toutes ? à quel moment ?).

 

Le paradoxe du déréférencement

La maitrise des données personnelles publiées par un utilisateur prévoit aussi l’amélioration des outils actuellement en vigueurs pour la modification, l’effacement et le déréférencement des données et contenus personnels. La CNIL prône donc :

-       une obligation juridique de déréférencement sans
délai à la charge des moteurs de recherche, dès lors que
l’internaute aurait obtenu l’effacement de l’information
initiale ;
-       la possibilité pour l’internaute de gérer l’inde-
xation de ses données.

Ces propositions, assurément recevables, nécessiteraient néanmoins d’une mesure supplémentaire pour permettre leur application – à savoir, anticiper que tout déréférencement et toute gestion de l’indexation risquent de produire des nouvelles données personnelles.

Dans leur forme actuelle, en effet, ces recommandations s’appuient sur deux présupposés :

  1. que les propriétaires des moteurs de recherche concernés par une requête de déréférencement s’exécutent ;
  2. que les usagers desquels la requête émane consacrent une partie de leur temps à la vérification de leurs informations personnelles sur le Web (et investissent sur la formation personnelle et la mise à jour des compétences informatiques nécessaires).

Si on peut présupposer (espérer ?) qu’un cadre juridique contraignant assure la réalisation de la première condition, la deuxième quant à elle se heurte à une contradiction relative aux outils de veille e-réputation actuellement permettant la vérification individuelle des informations personnelles en ligne. Ces outils sont eux-mêmes producteurs d’autres données et métadonnées relatives aux individus effectuant ces contrôles sur leur propre réputation.

Les pratiques contemporaines de vérification des informations personnelles sont, en ligne générale, liées à l’utilisation de logiciels désignés (services et applications fournissant des statistiques et des métriques de performance sur les médias sociaux ; services de veille e-réputation ; alertes automatiques sur un terme ; etc.) ou bien à des pratiques informelles d’exploration des contenus relatifs à un usager (egosurfing, c’est-à-dire l’utilisation de moteurs de recherche pour vérifier les informations circulant sur soi-même ; faking, c’est-à-dire la création de faux comptes dans le but de gagner l’accès à l’information sur soi-même qui serait accessible exclusivement aux inscrits sur une plateforme ; etc.).

Au vu de cela, tout déréférencement et toute gestion de l’indexation devrait aussi prendre en compte l’examen, la modification, la suppression des traces de ces pratiques de vérification, faute de quoi l’information supprimée se retrouverait non seulement sauvegardée mais aussi dupliquée (ex. l’alerte qui signale la persistance d’un contenu que l’on souhaiterait supprimer, représente en soi une duplication dudit contenu).

 

Note conclusive : ne pas mettre toute la responsabilité sur les individus

Plus en général, l’approche consistant à confier à l’internaute l’initiative du déréférencement / indexation des contenus qu’il/elle-même aurait produits (et aux gestionnaires des services web l’obligation d’agir en conséquence) semble encore exclure de ce processus de négociation les tiers, utilisateurs désignés de ces informations personnelles : interlocuteurs, connaissances, collègues, public… Si, en soulignant la nature relationnelle de l’information partagée en ligne, nous avons jusque là insisté sur le rôle de porteurs d’intérêt, sur le plan de la publication ainsi que de la suppression de données, de ces tiers, il est aussi fondamental de rappeler et de consolider leurs obligations légales : à ne pas conserver abusivement des données d’autrui, à de ne pas tracer, à ne pas contraindre à révéler des informations privées. Ces obligations devraient peser de manière ferme, par exemple, sur les employeurs voulant pousser un travailleur à révéler son mot de passe, sur les acteurs économiques (banques, assurances, entreprises, data brokers) manipulant des données personnelles en dehors de tout contrôle et de toute vigilance publique, sur les acteurs institutionnels dépourvus des titres légaux pour instruire une enquête sur un citoyen.

L’approche consistante à faire porter la responsabilité de la vérification et de la gestion des information personnelles exclusivement aux individus directement concernés ne doit pas se transformer en une artifice pour déresponsabiliser les autres acteurs dont l’engagement est nécessaire pour garantir le respect de l’intégrité de la sphère privée de chaque citoyen et l’effectivité de son droit à l’oubli.

Références

Agar, J. (2003) The Government Machine. A Revolutionary History of the Computer, Cambridge: MIT Press.

Cardon, D. (2008) Pourquoi sommes-nous si impudiques ?, Actualités de la Recherche en histoire visuelle.

Casilli, A. A. (2012) Être présent en ligne : culture et structure des réseaux sociaux d’Internet, Idées Economiques et Sociales, n° 169 : 16-29

Casilli, A. A. (2013) Contre l’hypothèse de la fin de la vie privée. La négociation de la privacy dans les médias sociaux, Revue Française de Sciences de l’Information et de la Communication, n° 3.

Désrosières, A. (1993) La politique des grands nombres. Paris : La Découverte.

Ertzscheid (2009) L’homme est un document comme les autres : du World Wide Web au World Life Web, Hermes, n° 53 : 33-40

Flichy, P. & S. Parasie (2013) ‘Présentation’, Sociologie des bases de données, Réseaux, n° 178-179 : 9-19.

Knuttila, L. (2011) User unknown: 4chan, anonimity and contingency, First Monday, n° 10.

Liu, A. (2004) Transcendental Data: Toward a Cultural History and Aesthetics of the New Encoded Discourse’, Critical Inquiry, 31.1

Perez, S. (2013) The Rise of the Ephemeralnet, TechCrunch, 30 juin.

Salaun, J.-M. (2011) Une approche documentaire du Web, The Need for Information Architects, IEA Collegium de Lyon.

Tubaro, P., Casilli, A. A., & Y. Sarabi (2014) Against the Hypothesis of the End of Privacy. An Agent-based modelling approach to social media, Berlin : Springer.

Yates, J. (1989) Control Through Communication. The Rise of the System in American Management, NY: Johns Hopkins University Press.