Intervention de Loïc Rivière

Mesdames et messieurs les députés, je veux tout d'abord vous remercier de m'avoir convié à m'exprimer devant vous sur les données personnelles en tant que représentant de l'Association française des éditeurs de logiciels et solutions Internet, qui regroupe quelque 350 entreprises du logiciel et d'Internet, dont certains acteurs majeurs que, si j'ai bien compris, vous auriez souhaité entendre aujourd'hui – mais nous pourrons en reparler plus tard.

Je salue, au nom du groupement que je représente, l'intérêt témoigné par la représentation nationale à ce sujet, dans la continuité des travaux menés par M. Bloche il y a quelque temps. C'est un sujet important pour les acteurs industriels que nous sommes, car nous souhaitons évoluer dans un univers de confiance numérique propice au développement de nos services, du cloud computing en particulier. Nous partageons de surcroît le sentiment, exprimé ici et là, que les pouvoirs publics français n'ont peut-être pas tout à fait pris la mesure de ces enjeux ni engagé l'investissement politique nécessaire. Il semble cependant que la situation évolue.

Pour notre part, nous espérons assumer ici notre responsabilité en présentant devant vous notre vision de ce sujet crucial.

Je voudrais tout d'abord revenir sur la notion de données personnelles. Si le sujet a fait l'objet d'un certain lobbying, c'est qu'il n'est pas simple. Multiformes et hétérogènes, les données personnelles sont des données sensibles concernant aussi bien l'identité personnelle que les traces comportementales, les traces numériques que l'on laisse sur Internet. Il s'agit d'une réalité hétérogène, mais également intangible, du moins en partie, comme l'a dit Mme Falque-Pierrotin. Ces données, en tant que telles, n'ont pas de réalité intrinsèque : elles en acquièrent une par le traitement que l'on en fait. Il ne faut donc pas en avoir une vision essentialiste de ces données. Si elles ressortent de l'intimité, elles ne sont pas l'intimité elle-même, et c'est pourquoi je n'adhère pas à certaines comparaisons qui ont été faites, même si j'en comprends le sens.

Derrière ces données ce profile aussi, et c'est ce qui fait qu'il y a débat, une formidable promesse de services. Nous avons évoqué la géolocalisation, où la donnée personnelle devient à la fois le fondement et la « monnaie » du service. Aujourd'hui se développent des applications où l'agrégation des données personnelles, consentie par les utilisateurs, fonde le service. Je pense à Waze, dont vous avez peut-être entendu parler : un service construit à partir des données personnelles envoyées par les automobilistes sur le trafic, les routes, les trajets.

La donnée personnelle est aussi la « monnaie » du service car, aujourd'hui, nombre de modèles économiques sur Internet sont fondés sur la publicité, laquelle a vocation à être ciblée en fonction des données personnelles que l'on peut collecter – encore qu'il y ait beaucoup de façons de procéder à cette collecte. C'est toute la complexité du problème.

Ces données doivent être protégées. Les usages vont vite, voire trop vite. Or, le droit censé les protéger n'évolue pas à la même allure, même si, depuis la directive de 1995, un certain nombre de textes en ont précisé le champ, et même si la loi « Informatique et Libertés » nous apporte encore aujourd'hui les preuves de sa pertinence. Il est évident que ce cadre avait besoin d'être rénové, et nous adhérons pleinement à l'initiative du projet de règlement qui aura le mérite de s'appliquer rapidement, sans qu'il soit besoin de le transcrire.

S'il est un problème, c'est celui des usages. Je reviendrai sur la notion de privacy paradox, discutée mais passablement éclairante. Nous vivons à l'heure d'une exposition maximale de soi, où l'on peut considérer que beaucoup de problématiques relèvent davantage de la vie publique que de la vie privée. On parle aujourd'hui de « marketing de soi », de personal branding. Les réseaux sociaux comme Facebook, Twitter, les blogs, sont des outils qui permettent à l'individu de faire la promotion de sa personne, de sa production intellectuelle ou artistique.

Cependant, tout en voulant s'exposer au maximum, chacun souhaite garder le contrôle. Si cette attitude n'est pas à proprement parler paradoxale, elle est pour le moins contre-intuitive. Je pourrais la comparer à celle des conducteurs qui roulent vite mais ne veulent pas aller dans le mur.

En fin de compte, la sécurité des données personnelles ressort peut-être plus de la sécurité routière que de la sécurité tout court. Il faut protéger les individus contre eux-mêmes et faire face à des stratégies différentes d'exposition de ces données personnelles, à des attitudes différentes. L'outil numérique doit prendre en compte cette hétérogénéité aussi bien que le droit, ce qui rend la situation beaucoup plus complexe que nous ne l'imaginions et renvoie à un volet important, évoqué par M. Bloche dans son rapport et que vient d'aborder Mme Falque-Pierrotin : celui de l'éducation au numérique. On ne mesure pas toujours les conséquences des nouveaux usages, même si les premières affaires, les premiers jugements, les premiers drames aussi, car il y en a eu quelques-uns, font progressivement émerger la conscience des limites de ces outils.

Notre organisation professionnelle ne peut que recommander, sur ce sujet, de ne pas figer l'innovation, d'adopter la neutralité technologique comme principe – c'est ce qui a d'ailleurs fait la force de la loi « Informatique et Libertés ». Concernant la portabilité des données, il s'agit de ne pas imposer de format trop strict, qui empêcherait l'interopérabilité.

S'agissant du consentement explicite, le sujet est beaucoup plus complexe. Opt-in, opt-out ? Consentement explicite, implicite ? Adoption de gradations supplémentaires ? Une même expression peut s'entendre de différentes manières. Certains acteurs industriels considèrent ainsi le paramétrage du navigateur comme une possibilité d'expression du consentement explicite. C'est une interprétation qui n'a pas été retenue par les autorités de contrôle, en particulier par la CNIL.

De même, il faut distinguer les cookies à finalité de traitement, installés par le service numérique que l'on souhaite consulter, des cookies tiers qui permettront de collecter des informations allant bien au-delà du site consulté et de suivre toute notre navigation sur Internet. C'est sans doute dans le paramétrage des navigateurs que réside une partie de la solution.

Un autre sujet concerne grandement les entreprises : celui de la coresponsabilité du traitement. Parce que nous souhaitons évoluer dans un cadre de confiance numérique, il convient que la responsabilité ne soit pas diluée. Or, nous craignons qu'elle ne le soit. Nous affirmons vigoureusement – et je crois que la CNIL partage notre position – que le cadre contractuel doit conserver sa force dans les relations entre le responsable de traitement et le prestataire. L'adoption des codes de conduite, ou BCR – binding corporate rules –, est également une solution à suivre, quoique un peu lourde pour un certain type d'entreprises. Il faut prêter attention à la façon dont les PME auront à respecter certaines obligations documentaires, car cela aura forcément un fort impact financier et administratif.

Certains amendements du rapport Albrecht nous ont tout de même inquiétés, en ce qu'ils visaient à imposer des obligations à des PME de moins de 250 salariés pour des traitements concernant 500 dossiers, ce qui est absolument ridicule. Un commerçant de quartier peut très facilement constituer un fichier de 500 personnes. Je paraphraserai un responsable britannique : il ne faut pas seulement établir une législation pour les grands acteurs industriels – il parlait en l'occurrence de Google –, mais aussi pour les PME, et il faut prêter attention à ce type d'éléments.

Quant au « droit à l'oubli », c'est une notion importante qui traduit une attente forte des citoyens, soucieux de contrôler leur image au fil du temps. Ils ont d'ailleurs la même attitude vis-à-vis de la liberté d'expression. On peut y voir une contradiction, mais ce ne serait pas la première fois que le citoyen exprimerait des aspirations paradoxales.

En effet, qui serait demain éligible au droit à l'oubli ? La question n'est pas simple. Les archivistes, les historiens, assez inquiets, ont d'ailleurs fait circuler une pétition sur ce sujet : « Sans nom, l'histoire a-t-elle encore le même sens ? » Nous devons être sensibles à leur préoccupation.

Si certains invoquaient demain le droit à l'oubli pour s'offrir une nouvelle virginité, par exemple en politique, la représentation nationale le leur accorderait-elle ? La justice le leur accorderait-elle? Je n'en suis pas certain. Il est très difficile de déterminer ce qui ressort de l'histoire et de la mémoire et ce qui justifierait un droit à l'oubli. Le rapport Albrecht renforce d'ailleurs les garanties du droit d'expression, ce qui nous semble important.

Sur la forme, nous avons déjà des éléments grâce au droit à l'image, au droit de conservation des données, au droit à l'opposition. Ces droits sont compliqués à mettre en oeuvre. Nous craignons que le droit à l'oubli ne confine à un droit au déréférencement, qui ciblerait uniquement les moteurs de recherche et non pas la source initiale ni même le cache de ces moteurs de recherche. Cela pourrait s'apparenter à un mécanisme de censure, rendant les moteurs de recherche responsables des contenus éditoriaux publiés sur Internet. Ils deviendraient finalement responsables de ce qu'est Internet, de ce qu'est la réalité numérique, ce qui nous paraît contradictoire avec la liberté d'expression et les libertés publiques.

L'enjeu du projet de règlement est aussi celui d'un projet de loi dont la représentation nationale pourrait, si j'ai bien compris, être saisie l'année prochaine pour répondre à ces différentes attentes contradictoires. Ne perdons pas de vue que la liberté d'expression nous commande de mettre en oeuvre un dispositif qui nous aide à prévenir l'arbitraire, sans retirer aux citoyens la responsabilité de contrôler leur exposition ni à l'industriel celle de leur donner, en toute transparence, les moyens de ce contrôle.