Produire les données en pleine conscience, n’est-ce pas, finalement, la meilleure façon de bien gérer les données à caractère personnel ?

Le Règlement général pour la protection des données personnelles (RGPD) édicte des règles pour protéger les données personnelles des citoyens et promet de lourdes sanctions aux entreprises qui contreviendraient à ces règles. Pourquoi une nouvelle réglementation ? N’est-il pas normal de respecter la vie privée d’autrui ? Cela devrait effectivement être normal mais ça ne l’est plus depuis qu’un quarteron de GAFA gaffeurs a confisqué les règles du jeu et foutu la pagaille.

Le nouveau Règlement européen essaie de ramener un peu de la normalité perdue mais il ne peut pas tout faire tout seul. Les entreprises doivent agir, les citoyens aussi, en ayant pleine conscience de la production des données qui les concernent.

Les exigences du RGPD

Le RGPD énonce un certain nombre d’obligations pour les entreprises afin de limiter l’usage et la manipulation de données dont l’agrégation permet de décrire la vie privée des gens, ce qu’ils font dans la sphère privée et qui ne regarde qu’eux, ce qu’ils pensent et qui ne regardent qu’eux. En résumé déjargonné, les entreprises ont obligation (à partir du 25 mai 2018) :

  • vis-à-vis du client ou administré, d’une part de recueillir son consentement (vous êtes d’accord, cliquez-là), d’autre part de lui transmettre diverses informations sur la gestion de ces données (elles seront détenues par telle entreprise, pendant tant de temps, utilisées pour telle finalité et vous avez un droit de regard là-dessus) ;
  • vis-à-vis des autorités de contrôle, décrire dans un document (dénommé « registre des traitements ») : 1/ les activités de l’entreprise qui utilisent des données à caractère personnel, que ce soit celles des internautes, des consommateurs ou des collaborateurs ; 2/ la justification de l’existence de ces données (finalité de leur production, de leur conservation et de leur exploitation) – l’absence de justification induisant l’illégitimité desdites données ; 3/ les mesures de sécurité mises en œuvre pour éviter une faille informatique, un piratage, une destruction malencontreuse, etc. (la sécurité des données répond ici à la gestion du risque au regard du droit).

Dans les entreprises, la supervision de la conformité au nouveau règlement européen est confiée à un délégué à la protection des données (DPO pour data protection officer, anglais oblige).

En outre, les entreprises seront susceptibles d’être poursuivies en justice par les citoyens (les justiciables) qui se sentiraient illicitement marchandisés ou harcelés, puisque le droit fonde désormais cette possibilité.

Si on en croit la presse depuis quelques mois, le stress monte dans les entreprises au fur et à mesure que ce rapproche la date du 25 mai et la crainte d’une sanction financière salée.

Du côté des entreprises

Les modalités de la conformité au règlement ne sont pas du ressort du règlement. C’est le rôle des guides, modes d’emploi, etc., qu’ils soient émis par l’administration ou par des acteurs privés. Ils sont nombreux, et inégaux, l’appel d’air provoqué par l’entrée en vigueur du règlement suscitant de nombreuses vocations d’ »experts RGPD » de dernière minute.

Sur le terrain, on constate néanmoins une certaine fébrilité en voyant se rapprocher la date fatidique du 25 mai. Différentes solutions sont mises en œuvre dans les entreprises selon les experts que l’entreprise envoie en première ligne.

Une première série de mesure est de nature informatique et technologique. Nos chers outils vont résoudre le problème ! Et de surenchérir sur des technologies de sécurité et d’analyse de données pour répondre à toute requête.

Une autre série de mesure est de nature juridique avec des analyses détaillées des données existantes et de l’impact des processus d’entreprises (les entreprises lancent de nouveaux projets tous les jours). Le règlement exige toute cette documentation analytique.

L’aspect documentaire et archivistique de la question de la bonne gestion des données à caractère personnel est hélas plus rarement abordé. Le contexte de création et le cycle de vie des documents qui contiennent les données sont toujours aussi négligés. Les entreprises se contentent souvent d’avoir le nez sur le guidon et ne s’embarrassent pas de définir des durées de conservation, exigence pourtant explicite dans le RGPD (voir à ce sujet Les quatre compétences du DPO sur le blog du CR2PA).

Bon an mal an, les projets avancent tout de même. Le point d’attention que je veux souligner ici est une caractéristique, insatisfaisante, de la majorité des initiatives : les mesures retenues sont trop souvent des mesures correctives, et pas assez préventives. Pour rechercher la conformité au RGPD, les entreprises proposent de ceinturer leur existant de données, pléthorique et touffu, à l’aide d’un jeu de verrous technologiques, afin de mieux contrôler l’intérieur du « lac de données ». Il est vrai que le RGPD exige des mesures de sécurité et que les analyses juridiques relèvent normalement de la prévention. Cependant, si l’on considère que l’esprit général du Règlement est de prendre la défense des citoyens cernés par un trop grand nombre d’aspirateurs de données toujours plus performants dans l’aspiration (sauf dans l’aspiration d’un grand nombre d’individus à ce qu’on les laisse tranquilles !), force est de reconnaître que tout cet arsenal juridico-technologique conduit à ajouter une surcouche de données et de la complexité, là où l’objectif était plutôt de réduire l’excédent de données.

Peut-être attache-t-on trop d’importance au traitement et pas assez à la production des données ?

Du côté des citoyens

Les personnes physiques sont qualifiées par le RGPD de « personnes concernées ». Outre les conditions du consentement des personnes (article 8 essentiellement), pas moins de sept articles du règlement (numéros 15 à 21) détaillent les droits des « personnes concernées » : droit d’accès aux informations collectées, droit d’information sur le traitement (quoi, pour qui, combien de temps?), droit de copie, droit de rectification, droit à l’effacement («droit à l’oubli»), droit de retirer son consentement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition.

Plus généralement, on peut dire que les « personnes concernées » sont doublement « concernées » par la production des données à caractère personnel. En effet, l’individu n’est pas simplement concerné de manière passive dans un processus qui le dépasserait et qu’il subirait de bout en bout. L’individu est aussi concerné comme acteur de la collecte. A côté des données capturées à la barbe des gens ou « à l’insu de leur plein gré » (géolocalisation, données de connexion et de navigation, interactions sur les réseaux sociaux), il y a une grande quantité de données fournies activement et volontairement par les intéressés eux-mêmes au bien-aimé Big Brother au travers de formulaires divers et variés et de toutes sortes de validations aussi anodines dans la forme qu’engageantes au fond.

Or les internautes n’ont qu’une conscience moyenne de cette « matérialisation numérique » de leur personne et du rôle qu’ils jouent ou peuvent jouer dans cette affaire.

On peut distinguer trois types de comportements des « personnes concernées » face à la Grande Collecte des Données :

  1. l’insouciance: je clique, j’ai ce que je veux, je n’ai rien à cacher et la vie est belle ; les utilisateurs du Net sont concernés mais ne se sentent pas concernés…
  2. la soumission: on se laisse piloter par l’outil ; si l’écran demande de saisir le prénom et la date de naissance de sa mère pour acheter un casque de moto en ligne, on obéit sans se poser de question, c’est comme ça ; le .com ou le .fr ont acquis auprès des plus fragiles ou des plus naïfs l’autorité qu’avait jadis le képi du garde-champêtre ; si « Internet » le demande, c’est qu’il faut le faire ; ils n’ont même pas idée de remettre la chose en question ; c’est la servitude volontaire, joyeuse ou résignée selon les caractères ;
  3. la méfiance: apanage de quelques ringards ou excités il y a encore deux ou trois ans, la méfiance devient tendance… Les scandales à répétition liés à des piratages ou fuites de données personnelles – Cambrigde Analytica pour ne citer que le dernier – ont nourri la presse et les conversations. La prise de conscience s’étend : mes données m’appartiennent et je suis « concerné » par leur utilisation, leur conservation, leur exploitation.

Il serait trop facile d’opposer les méchantes entreprises aux gentils internautes. Les premières sont certes coupables d’exploiter sans scrupule le filon généreux de la technologie connectée, mais les derniers sont aussi complices de la situation où ils se trouvent par leurs actions de consommation aveugle et leur omission de protestation.

Et là encore, la presse et les experts insistent trop peu sur la production des données inutiles.

La pleine conscience appliquée à la production des données

La méditation de pleine conscience séduit aujourd’hui un nombre croissant de personnes parce qu’elle apporte de l’apaisement dans l’exercice de la vie quotidienne et fait diminuer le stress. Tirée de l’enseignement du Bouddha, la pratique vise à avoir une conscience vigilante de ses pensées, de ses actions et de ses motivations, afin de réduire la pression d’une vie subie et le stress consécutif à une mauvaise maîtrise ou appréhension de ses faits et gestes.

Avoir conscience de ses actions et de ses motivations quand on tient un smartphone ou une tablette, ou quand on utilise un objet connecté.

Réduire le stress consécutif à des faits et gestes numériques mal contrôlés.

Et si la méditation de pleine conscience était la première étape d’un retour à l’équilibre pour le respect de la vie privée des citoyens ?

Oui mais alors, quel mode opératoire pour cette conscience de la production des données personnelles ?

L’article 13, alinéa 2, e) du RGPD comporte une formule fondamentale de ce point de vue. Le règlement y dit que l’entreprise « responsable du traitement » doit fournir aux personnes concernées « des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ». Les deux mots importants sont « réglementaire » et « contractuel ».

En effet, quel autre type de relation peut-il y avoir entre deux personnes, physiques ou morales, en dehors de A) une relation réglementaire, et B) une relation contractuelle ? Ou bien, vous êtes dans une relation hiérarchique, obligatoire, où vous êtes tenu d’appliquer la réglementation. Ou bien, vous êtes dans une relation consentie où vous assumez le rôle de cocontractant et vous négociez l’objet du contrat. S’il n’y a ni contexte réglementaire ni contrat à négocier (y compris contrat tacite), c’est qu’il y a abus (vol, manipulation, extorsion….) et les abus doivent être dénoncés.

Cette approche concrète de la production des données personnelles doit faciliter la prise de conscience des personnes concernées face à la production de données. Il en ressort un logigramme très simple propre à supporter une méditation quotidienne en pleine conscience de ses actions et engagements au milieu du réseau, un schéma épuré pour fixer votre attention sur ce que regardent vos yeux, sur ce que font vos mains…

Premier niveau, de deux choses l’une :

  • vous êtes acteur de la production des données, ou
  • vous subissez le ratissage technologique en dehors de tout consentement ; dans ce dernier cas, vous pouvez décider d’exclure le « Gros Frère » de votre vie (j’ai pour ma part viré Amazon qui avait poussé le bouchon trop loin à mon gré et je ne m’en porte pas plus mal) et/ou participer à des actions de groupe, par exemple signer la pétition contre les GAFAM lancée par la Quadrature.net.

Deuxième niveau : vous êtes acteur de la production des données et vous avez deux cas de figure :

  • vous êtes dans un contexte réglementaire et vous avez l’obligation de fournir certaines données (déclaration de revenus, situation familiale, passage en douane…) ; assurez-vous quand même de ce que disent les textes qui exigent la fourniture de ces données (ce qui n’empêche pas de ne pas être d’accord avec la loi et d’agir, démocratiquement, pour la changer, mais c’est un autre sujet) ;
  • vous êtes dans une relation contractuelle, même informelle, c’est-à-dire que vous recherchez à échanger un bien ou un service qui vous intéresse contre quelque chose que vous possédez (de l’argent, des données…) et vous avez la possibilité d’évaluer la nature de l’échange et d’accepter ou de refuser les conditions : un vélo électrique contre la somme de 500 € et une carte de fidélité du magasin, un abonnement au théâtre pour 80 € plus les coordonnées de cinq personnes de votre choix qui recevront une invitation « gratuite » à un prochain spectacle, un livre sur les plantes « offert » contre le remplissage d’un formulaire sur vos pratiques horticoles et vos goûts culinaires, etc.

Troisième niveau : de deux choses l’une :

  • ou bien les données qui vous sont demandées par votre cocontractant (le commerçant, le réseau social, l’association…) sont nécessaires à l’application du contrat initial et indissociable de sa validité (votre adresse pour vous livrer, votre n° de téléphone pour vous prévenir en cas d’imprévu dans le déroulement du contrat) ;
  • ou bien les données réclamées par l’autre partie n’ont pas de lien direct avec l’exécution du contrat initial et vous vous trouvez en situation de négocier un avenant au contrat (OK, je donne mes données mais qu’est-ce que j’ai en échange ?). Ce nouveau contrat peut-être du type « données personnelles avec autorisation d’exploitation pour telle finalité (statistique, marketing…) contre une réduction du prix d’achat prévu dans le contrat initial, voire contre un bon d’achat ». On est proche de la vente de ses données personnelles par les individus qui, si elle n’est pas à proprement parler interdite, est très contestée. Mais il faut admettre que, droit ou pas, c’est aujourd’hui une réalité et les prix du marché sont très bas (la plupart des internautes « vendent » leurs données pour une bouchée de pain).

Quant aux collaborateurs des entreprises qui sont impliqués dans les processus de collecte et de traitement, ils peuvent aussi se poser, individuellement, ces questions, méditation toujours fructueuse.

La société a atteint un stade où le temps aplati par l’accélération actuelle (l’absence de mémoire), le caractère éphémère de toute chose si on n’y prend garde, l’aliénation anodine et ludique de l’humain à la technologie, créent un déséquilibre que seule une démarche de prise de conscience peut corriger. Cette production des données personnelles en pleine conscience ne règle pas tous les problèmes liés à la mauvaise utilisation des données mais c’est une première étape de clarification des enjeux.

2 commentaires

  1. Lumineux. A diffuser largement (avec le nom de l’auteur-rire).
    Quoiqu’on pense des excès marketing des indo-sino foutaises de la pleine conscience, le constat est juste et presque éternel : c’est par la prise de conscience que l’on peut espérer être libre.
    Et ce n’est pas les innombrables mails des entreprises qui inondent nos boîtes de réception depuis le « big band » du 25 mai qui doivent nous faire accroire que les choses sont réglées.

    • Merci Bruno.
      L’article récent de Lionel Maurel dans le Monde https://www.lemonde.fr/idees/article/2018/05/25/les-donnees-personnelles-un-enjeu-collectif_5304520_3232.html, met en évidence que les données ratissées à l’insu des intéressés sont terriblement plus nombreuses que les données personnelles dont les personnes concernées sont co-auteurs mais cela n’enlève pas ce besoin de conscience, et du reste les deux ensembles de données sont liés (si vous ne fournissez pas une donnée à un tiers, un Gafa ne pourra pas l’aspirer en aspirant les données du tiers).
      Quant aux mails de confirmation/infirmation des listes de diffusion qui explosent ces derniers jours, c’est vraiment n’importe quoi et, en tout cas, pas la réponse à la conformité RGPD.

Commentaires fermés