Les données personnelles peuvent-elle être des communs ?
Les données personnelles sont aujourd’hui la ressource économique sur laquelle les géants du Web construisent leurs fortunes, notamment à travers des publicités ciblées et des services et biens personnalisés. Malgré leur nature en tant que biens non-rivaux, c’est-à-dire que leur consommation n’empêche pas un autre de consommer du fait de leur caractère dématérialisé, les données des utilisateurs mondiaux sont récoltées et concentrées par des multinationales qui ont le monopole de leur traitement, comme Google, Facebook ou Amazon qui concentrent 80 % des données personnelles du Web 2.0 (Grumbach & Frénot, 2013). Bien que ce chiffre puisse paraître surprenant, puisque cela impliquerait que ces grandes entreprises possèdent plus de données personnelles que la grande majorité des États, cela est possible grâce aux « traces » que les individus laissent dans le Web. En effet, l’Institut National des Normes et de la Technologie du département du commerce des États-Unis considère les données personnelles comme « tous les renseignements sur un individu conservés par un organisme […] pouvant servir à distinguer ou à retrouver [son] identité […] et toute autre information liée ou pouvant être liée à une personne », ainsi toute l’information qu’on a mis (ou qu’a été mise) volontairement ou involontairement dans le web, toute forme d’identifiant en ligne et l’ensemble de nos actions enregistrées par des plateformes composent l’ensemble de nos données personnelles en ligne (McCallister, Grance, & Scarfone, 2010). Mais, s’il s’agit de nos actions et de notre information personnelle alors pourquoi on n’a pas forcément accès à ces données ? Si nous sommes ceux qui produisons cette ressource pourquoi est-ce qu’elle ne nous appartiendrait pas ? Et si ce sont des biens non-rivaux est-ce que leur appropriation est vraiment justifiée ?
L´économie des plateformes repose sur l’asymétrie d’information.
L’intermédiation a toujours existée dans les marchés biface et c’est une activité essentielle afin de garantir la rencontre entre l’offre et la demande d’un bien ou d’un service (par exemple, les banques commerciales jouent un rôle d’intermédiaires entre débiteurs et créanciers). Mais alors en quoi les plateformes numériques sont-elles vraiment disruptives ? En fait, ces nouveaux acteurs proposent une intermédiation bien plus efficace que celle des acteurs traditionnels par le biais de l’intermédiation algorithmique, c’est-à-dire à travers un traitement d’information instantané et dynamique qui permet de relier fournisseurs et consommateurs en temps réel (Grumbach, 2015). Ces algorithmes qui permettent de traiter une quantité massive d’information de manière précise sont au cœur de l’activité économique des GAFAM, mais pour qu’ils puissent fonctionner ils dépendent des flux des données qu’elles récoltent des utilisateurs. On peut dès lors considérer les « données » comme le carburant de ces « machines » mathématiques, une ressource qui est extraite, stockée et monopolisée par une poignée d’acteurs.
Dans ce processus les utilisateurs sont à peine conscients de l’extraction de leur information (et du type d’information), de la valeur de leurs données (puisqu’on ignore aussi leurs usages actuels et futurs), de la manière de récolter ces données (par exemple, Google enregistre de manière quasi-permanente votre historique de géolocalisation) et des catégorisations utilisées par les acteurs du numérique grâce aux données (modélisations dangereuses ou peu éthiques comme l’a démontré le scandale de Cambridge Analytica). C’est pourquoi, on peut considérer cette accaparation des données personnelles comme un vol, dans le sens où il s’agit d’une soustraction d’un bien d’autrui, et même si elle n’est pas frauduleuse puisqu’elle est légale, la légitimité de cette « extraction » repose sur notre ignorance concernant la nature, l’usage, la manière d’extraire et la valeur de ces données personnelles récoltées.
Une patrimonialisation des données personnelles est vraiment souhaitable ?
Face à une telle extraction de données que nous pouvons considérer illégitime, on cherche à se protéger avec le droit et notamment avec un droit à la propriété privée sur nos données. Ce paradigme de patrimonialisation est présent dans le Règlement général sur la protection des données (RGPD) qui définit une donnée personnelle comme « une information qui permet d’identifier une personne physique, directement ou indirectement » (Union Européenne, 2016). Dans cette conception la donnée est personnelle si elle permet d’identifier l’individu qui est à l’origine de celle-ci et de ce lien sont issus un ensemble de droits attribués au créateur de l’information en question. On peut interpréter ce « mouvement » vers la patrimonialisation comme une reprise en main de l’autorité du droit sur le monde du numérique afin de protéger les utilisateurs, mais aussi comme une responsabilisation des individus sur leur propre vie privée au sein d’un nouveau marché (Maurel, 2014). En effet, dans ce nouveau paradigme, les individus sont libres de vendre, acheter et transmettre leurs données (ils existent déjà des marchés de données tel que CitizenMe), c’est-à-dire que les individus seraient les seuls responsables de gérer et protéger leurs données (Peugeot, 2014). Ceux qui ne savent pas comment le faire ou ne souhaite pas le faire (parce qu’ils ont besoin de monétiser leur information) n’auront pas les mêmes droits de contrôle sur leur propre information, c’est-à-dire pas de vie privée.
Jusqu’ici on peut être « pour » ou « contre » cette tendance selon nos opinions concernant les vertus ou dangers des marchés de données. Pourtant, on est obligés de reconnaître qu’un tel paradigme ne nous garantit par pour autant que nos données personnelles vont être valorisées au juste prix (puisqu’on ne peut pas connaître l’ensemble des usages possibles présents et futurs de nos données) et les manières d’extraire des données vont probablement être transformées mais ne seront pas pour autant plus éthiques (on voit déjà un perfectionnement du design d’interface qui profite des biais humains pour conserver l’attention des utilisateurs) puisque l’objectif sera toujours d’inciter l’utilisateur à céder (échanger ou vendre) ses données (Peugeot, 2014). Ainsi, j’en déduit que le passage vers un régime de propriété sur les données (commerciale ou intellectuelle) se traduirait de manière générale par une plus grande liberté économique (probablement le monopole des GAFAM serait sévèrement affaibli) mais le respect de la vie privée est loin d’être garantit.
La donnée n’a pas une valeur intrinsèque mais relationnelle.
Certes les données personnelles sont profondément liées à l’individu qui les produit, mais l’intermédiation algorithmique des plateformes numériques n’utilise jamais une donnée de manière isolée, mais des agrégats de données. D’ailleurs, l’algorithme n’est utile que s’il y a un ensemble de données disponibles pour être traitées. On peut prendre l’exemple de l’algorithme de classification PageRank du moteur de recherche de Google. La fonction de celui-ci est de hiérarchiser les sites afin de mettre en avant ceux qui ont plus d’« autorité », pour cela il s’appuie sur les liens hypertexte que les internautes établissent de manière indépendante, plus le nombre de liens envers le site et dans le site est important et mieux ce dernier est placé dans la hiérarchie (Cardon, 2019). On peut dès lors en déduire que valoriser une donnée de manière individuelle est très compliqué, puisque les plateformes créées de la valeur grâce aux données qui sont mises en relation. D’ailleurs on constate même un effet de réseau qui s’applique, puisque plus une donnée est liée avec d’autres données et plus elle a de la valeur. Donc, penser la donnée personnelle comme une propriété monétisable s’avère très problématique puisque la valeur ne réside pas dans la donnée elle-même mais dans leur mise en relation.
Force est de constater que même si on arrive à estimer la valeur d’une donnée personnelle, ces dernières s’avèrent aujourd’hui difficilement « isolables ». En effet, toutes nos interactions avec d’autres utilisateurs (messages ; liste de contacts ; « Likes » …) font non seulement partie de nos données personnelles, mais aussi des données d’autrui sur lesquelles on ne dispose aucun droit. Ainsi, finalement dans un web 2.0 où la plupart de nos données personnelles sont issues de nos interactions avec d’autres acteurs, passer à un régime de propriété des données risque de s’avérer inefficace. Il est très probable qu’avec le développement de l’Internet des Objets l’autorisation individuelle va être par défaut omise, et le monde matériel qui nous entoure va être inondé de plus de capteurs communicants qui vont enregistrer en permanence afin de transmettre un flux permanent de données. On rentre de plus en plus dans un monde hyperconnecté où nos données personnelles seront très rarement dissociables des données des autres.
C’est pourquoi on peut affirmer que les données personnelles ne sont plus granulaires mais réticulaires, c’est-à-dire organisées en réseaux avec des données personnelles d’autres individus (Bellanger, 2014). Contrairement aux données personnelles isolées que les administrations avaient tendance à stocker, l’arrivée du Big Data implique un changement de paradigme. Les données qui étaient auparavant discrètes sont devenus des flux continus d’information constants et liant en temps réel les données de sources multiples. Enfin, on peut admettre que la richesse que les plateformes numériques construisent ne se fait pas grâce aux données en soi, mais grâce au travail de traitement, de mise en relation et d’interprétation (souvent visualisation) de celles-ci. Ce nouveau paradigme des données peut être mis en évidence par le « social graph » développé par Facebook, qui démontre que la richesse du réseau est en réalité issue du réseau de connexions et des relations entre les gens (Guillaud, 2007).
Pour une ouverture des données personnelles anonymisées.
Maintenant que nous reconnaissons que les réseaux de données constituent un objet en soi, dans lequel chacun dispose de droits mais qui ne peut pas être pour autant appropriable, nous sommes contraints à reconnaître qu’il devrait être en réalité d’un bien commun. En effet, un réseau de données, telle qu’une forêt, ne devrait être ni un bien privé ni un bien public, il s’agit d’un bien qui est accessible et partagé par tous, tel qu’un bien public, mais pour lequel la communauté doit gérer sa gouvernance et pas une institution étatique (il y a des risques évidents si c’était l’État qui gérait l’ensemble de nos données personnelles). Bien qu’il existe une volonté politique d’ouvrir les données publiques comme le démontre la création de l’Etalab en France (qui est l’organisme chargé d’ouvrir les données publiques), les pressions pour ouvrir les réseaux de données d’acteurs privées restent minoritaires.
Tout d’abord, il convient de définir ce qu’est réellement un réseau de données ouvert. Il s’agit d’un ensemble de données qui sont dans un format informatique manipulable, interopérable et automatisable et dont l’ouverture se fait souvent à travers des Application Protocol Interfaces (API). Pourtant, il existe trois défis importants dans ce qui concerne une ouverture des données privées. Le premier consiste à permettre une interopérabilité réelle entre les bases de données. En réalité les données dites « brutes » n’existent pas puisque non seulement le traitement des données de chaque plateforme est différent mais en plus même le processus d’extraction est fait dans une démarche de récolte particulière selon l’utilisation qu’on souhaite faire des données, ce qui rend souvent impossible ou très compliqué leur mise en relation avec d’autres réseaux de données. Ensuite, afin de respecter la vie privée des individus il est indispensable que les données soient anonymisées de manière permanente (et cela n’est pas du tout simple, puisqu’avec un travail rigoureux certaines données peuvent être désanonymisées) et les données doivent au même temps avoir un certain contexte (et des mises à jour) sinon elles risquent d’être inutiles. Enfin, le dernier défis c’est de convaincre les plateformes numériques, qui ont construit leurs monopoles à travers l’accaparation de l’information des utilisateurs, d’ouvrir leurs bases de données.
Certes, dans l’environnement social actuel il semble difficile d’imaginer un nouveau modèle où les entreprises ouvrent leurs réseaux de données. Pourtant, une telle démarche présente des avantages réels. Tout d’abord, de la même manière que pour l’État, l’« OpenData » des entreprises répond aux exigences de transparence des individus. C’est par exemple le cas de Nike, qui face à des critiques concernant les droits des travailleurs au sein de leurs entreprises sous-traitées, a décidé d’ouvrir au public les données sur ses manufactures dans le monde et des données personnelles (démographiques) sur leurs travailleurs (Dunoyer, 2018). Une telle démarche peut donc être considérée comme une stratégie de communication et de marketing qui permet à l’entreprise de se faire une bonne image auprès des consommateurs. En plus, l’ouverture des données peut améliorer les dynamiques d’innovation de l’entreprise, que ce soit en invitant des acteurs extérieurs à travailler avec ce réseau de données ou à encourager des acteurs au sein de l’entreprise à mener des initiatives de transformation ou d’innovation. Finalement, les entreprises pourront éventuellement créer des nouveaux modèles d’affaires. En donnant accès à des données elles pourraient éventuellement demander en échange aux utilisateurs certaines données personnelles, permettant ainsi un élargissement progressif de leur réseau des données. De même, certains acteurs proposent des nouveaux systèmes freemium où les données personnelles ne seraient partagées avec le public uniquement si l’utilisateur accepte de payer un service premium.
Vers la création d’un bien commun.
Concrètement, réaliser une ouverture des réseaux des données des entreprises nécessiterait l’intermédiation d’une institution qui structure, référence et rende interopérable ces bases de données. Surtout il est indispensable qu’une telle institution puisse gérer et garantir le bon usage, l’anonymisation et l’accès à ces bases de données qui incluent des données personnelles. Certains considèrent qu’accepter une telle intermédiation Étatique suppose renoncer à l’ambition de rendre les données personnelles un bien commun (Maurel, 2016). Pourtant, je considère que l’intervention d’un acteur public ne suppose pas pour autant l’impossibilité d’une gouvernance commune. Étant donné que les données « brute » n’ont aucune valeur en soi, mais c’est leur mise en relation et leur traitement ce qui permet d’en extraire de la valeur, on peut considérer que le critère pour pouvoir faire parti d’une gouvernance de cette ressource commune ce n’est pas le fait d’être détenteur de données personnelles présentes dans la base de données, mais d’être détenteur d’un réseau de données (objet qui constitue la véritable source de richesse). Ainsi, on peut concevoir un système de gouvernance partagé, entre un ensemble d’acteurs qui partagent leurs réseaux de données et où les pouvoirs publics assureraient un contrôle démocratique de la ressource.
Prenons un exemple réel qui constitue déjà un précédent pour un tel projet : la politique d’opendata de la communauté urbaine de Lyon initiée en 2012. Cette initiative, après un long processus de coordination de différents acteurs, a permis la création de la Centrale de mobilité (institution publique) qui gère la mise en relation d’une trentaine de réseaux de données créés par différentes organisations urbaines afin de créer une base de données ouverte qui permet d’offrir au public une représentation plus précise, plus personnalisée et plus efficace de l’espace urbain et de la mobilité métropolitaine (Courmont, 2018). Dans cet exemple l’État joue un rôle d’intermédiaire, non seulement entre les détenteurs de réseaux de données et le public, mais aussi entre les différents opérateurs urbains. Il s’agit d’un système de gouvernance partagé qui peut être interprété comme la gouvernance d’une ressource commune, puisque le Grand Lyon garantit aux opérateurs qui mettent à disposition leur réseaux de données que l’usage de cette ressource n’ira pas à l’encontre de leurs intérêts (qui ont été négociés et décidés ensemble). C’est pourquoi on peut affirmer qu’il s’agit de la gestion d’un bien commun puisque, tel qu’Elinor Oström et Harini Nagendra l’ont affirmée, la gestion efficace d’un bien commun requière de la confiance entre les membres de la communauté, des limites définis et vérifiables de la ressource en question et un nombre limité d’acteurs qui puissent empêcher des outsiders (non acceptés) d’accéder à la ressource en question (Le Roy, 2012). C’est pourquoi on peut affirmer que les bases de données peuvent être gouvernées comme un bien commun.
Bibliographie
Bellanger, P. (2014, Septembre 9). Principes et pratiques des données personnelles en réseau. Récupéré sur Skyrock: https://pierrebellanger.skyrock.com/3231110655-Principes-et-pratiques-des-donnees-personnelles-en-reseau.html
Cardon, D. (2019). Culture Numérique. Paris: Presses de SciencesPo.
Commission Nationale de l’Informatique et des Libertés. (s.d.). Donnée personnelle. Récupéré sur CNIL: https://www.cnil.fr/fr/definition/donnee-personnelle
Courmont, A. (2018). L’open data au Grand Lyon : l’émergence d’un gouvernement métropolitain de la mobilité. Métropoles, 1–19.
Dunoyer, E. (2018, Février 23). 7 arguments pour convaincre les entreprises d’ouvrir leurs données. Récupéré sur Medium: https://medium.com/datactivist/redefineopen-a4b3e38d28b
Grumbach, S. (2015). Qu’est-ce que l’intermédiation algorithmique ? . Bulletin de la société informatique de France, 93–111.
Grumbach, S., & Frénot, S. (2013, Janvier 07). Les données, puissance du futur. Le Monde.
Guillaud, H. (2007, Septembre 28). Comprendre le graphe social . Récupéré sur Internetactu: http://www.internetactu.net/2007/09/28/comprendre-le-graphe-social/
Le Roy, A. (2012). Des communs sans tragédie: Elinor Oström Vs. Garrett Hardin. EcoRev’, pp. 24–27.
Maurel, L. (2014, Juin 19). Le CNNum s’est prononcé contre l’instauration d’un droit de propriété privée sur les données personnelles. Récupéré sur — S.I.Lex — : https://scinfolex.com/2014/06/19/le-cnnum-sest-prononce-contre-linstauration-dun-droit-de-propriete-privee-sur-les-donnees-personnelles/
Maurel, L. (2016, Janvier 15). Ériger le réseau des données personnelles en bien commun ? Récupéré sur — S.I.Lex -: https://scinfolex.com/2016/01/15/eriger-le-reseau-des-donnees-personnelles-en-bien-commun/
McCallister, E., Grance, T., & Scarfone, K. (2010). Guide to Protecting the Confidentiality of Personally Identifiable Information (PII). U.S. Department of Commerce.
O’Neil, C. (2016). Weapons of Math Destruction. United States: Crown Books.
Peugeot, V. (2014, Avril 13). Données personnelles : sortir des injonctions contradictoires. Récupéré sur Vecam: https://vecam.org/archives/article1289.html
Union Européenne. (2016, Avril 14). Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Union européenne.