Intervention de Philippe Aigrain

Madame la présidente, en ma qualité de membre fondateur de l'association La Quadrature du net et en tant que promoteur des droits positifs et des droits à capacités, je voudrais tout d'abord vous remercier d'avoir donné une importance à ces nouveaux types de droits que le développement du numérique et son appropriation massive par les citoyens ont mis en évidence jusqu'à les rendre incontournables.

Les choses deviennent plus compliquées quand nous nous interrogeons sur la manière de les rendre effectifs. Comme vous l'avez souligné dans votre exposé, la notion de donnée comporte désormais plusieurs facettes : trace, information, donnée, expression. Notre droit a été construit autour des concepts de donnée, de fichier, de finalité et de consentement, et nous avons tendance à penser que tout le reste va s'y intégrer.

Qu'est-ce j'appelle une information ? C'est, par exemple, le fait que vous soyez par hasard sur une photo prise lors du passage de la voiture qui alimente le site Google street view. Qu'est-ce que j'appelle une trace ? C'est un parcours de navigation capturé et analysé. Tout cela ne va évidemment pas relever des mêmes dispositions. Les individus n'ont souvent aucun moyen de savoir quelles traces de leurs activités sont recueillies. Si l'on se crispait sur la notion de donnée parce que nous avons tout un droit matériel accumulé sur le sujet, on risquerait d'être en décalage par rapport à la réalité des problèmes.

Qu'en est-il de l'érosion de la distinction entre vie privée et vie publique ? En réalité, je ne suis pas sûr de l'existence du phénomène. Les analyses des comportements effectifs des internautes montrent que la sphère de l'intimité reste au centre de leurs préoccupations, y compris quand ils s'exposent. Faites l'expérience et dites à quelqu'un que l'on peut lire les brouillons d'articles qu'il n'a pas encore publiés, sur une plateforme de blog. Décrivant son activité d'analyste, Snowden disait : « je peux lire vos pensées au moment où elles se forment, en suivant vos frappes, vos retours en arrière et vos corrections ». Quand ils apprennent ce genre de choses, les gens ne sont généralement pas contents.

Quand ils s'exposent, c'est avec un projet. Même s'ils n'en sont pas toujours explicitement conscients, ils font très rapidement l'expérience que la volonté de maîtriser une identité dans l'espace numérique est, en fait, une négociation sociale. C'est bien beau d'essayer de se construire une réputation mais celle-ci peut être mise à mal par des commentaires dépréciateurs. Les usagers de n'importe quel média social s'en rendent compte assez rapidement. En outre, ils sont confrontés à un espace public où la dimension d'anonymat a été extrêmement réduite notamment par la généralisation de la vidéosurveillance.

C'est lorsque l'on entre dans le registre des solutions que ces digressions un peu philosophiques prennent un vrai sens. La notion de portabilité fonctionne quand on l'applique au téléphone, par exemple : l'usager souhaite garder le même numéro, même en cas de changement d'opérateur. En revanche, le concept se heurte très vite à des limites quand on l'applique au champ des données, notamment lorsqu'il s'agit de traces et d'interactions qui unissent des personnes. Dans une architecture centralisée où les données ne sont pas dans les mains de l'individu, la portabilité va se heurter à des difficultés majeures. Or celui qui quitte un média ou un réseau social veut partir avec tous ses amis, pas tout seul.

Du coup, deux éléments se retrouvent au coeur de la réflexion et qui restent difficiles à appréhender pour le législateur lorsqu'il a l'habitude de penser en termes procéduraux : il s'agit des architectures et des modèles commerciaux.

Je crains que l'idée que les données représenteraient le troisième « or noir » du XXIe siècle nous empêche de comprendre que, sans promotion de tel ou tel modèle commercial, sans limites apportées aux modèles commerciaux, nous n'aboutissions à rien en matière de construction des droits-capacités.

Vous avez mentionné le fait que Google devait tout de même bien respecter ceux que vous avez appelé ses clients ; mais les usagers de Google ne sont pas ses clients. Qu'il s'agisse du moteur de recherche, de You Tube ou de la géolocalisation, les clients de Google, ce sont les annonceurs publicitaires. Les usagers sont en fait la marchandise que Google vend à ses annonceurs

Si nous laissons dominer des modèles qui retirent aux individus l'un des principaux moyens de faire respecter leurs droits, à savoir la capacité, en tant que consommateurs, de choisir les produits qu'ils ont à disposition, le système risque de ne pas fonctionner. De même qu'en ce qui concerne le concept de privacy by design : si l'on ne réfléchit pas aux architectures techniques et qu'on se contente de vérifier qu'il y a bien une couche de respect de protection des données, on créera une petite industrie du privacy by design mais je ne suis pas sûr que l'on servira réellement le respect de l'intimité.

Certains ont une autre approche et proposent que les fournisseurs de systèmes soient obligés, au moins, d'offrir le chiffrement de bout en bout des communications, afin de garantir qu'eux-mêmes n'ont pas accès au contenu des communications dont ils fournissent les services. Ils proposent de légiférer sur ce point.