Notre univers numérique - Le RGPD vu des deux côtés de l’Atlantique : des divergences philosophiques inconciliables ?



Le Règlement général sur la protection des données (RGPD) est entré en application en mai dernier, et avec lui son lot de provisions supposées renforcer la protection des données à caractère personnel. Prétendue révolution, ce texte n’est en réalité que l’expression plus aboutie d’une vision philosophique ancienne, tendant à rapprocher donnée, vie privée et personne humaine et s’opposant à une vision plus mercantile de la donnée, adoptée outre-Atlantique.

Transformation de la notion de vie privée

En développant massivement les services numériques, nos sociétés ont profondément transformé la notion de vie privée : consciemment ou non, chaque individu partage des informations plus nombreuses et plus diverses le concernant, faisant d’éléments ordinairement privés, des données connues par d’autres individus, des entreprises ou des administrations.

Parmi ces données comptent, de manière très immédiate et par exemple, les données de localisation collectées notamment par les smartphones et les diverses applications qui y sont installées, les données biométriques collectées à la demande d’édition d’un passeport ou encore les préférences alimentaires via les cartes de fidélité utilisées par les grands acteurs de la distribution.

En outre, la modification de la notion de vie privée est d’autant plus grande lorsque l’entité collectant initialement des informations sur un utilisateur, les recoupe, déduisant ainsi de nouvelles données, notamment par l’utilisation d’algorithmes.

Dans les deux cas, en face des possibilités offertes par la technologie, existent des risques pour les personnes concernées en cas de fuite de données comme le prouvent les nombreux scandales passés (Target, Ashley Madison, etc.) ou lors de la prise de décisions basées sur des données erronées. Dès lors, il appartient à chaque société, notamment par le droit, de contrôler les opérations portant sur des données à caractère personnel.

De la sacralité de la personne humaine à celle de la donnée

De l’anthropocentrisme aristotélicien à l’idée kantienne de respect de la personne, les philosophes européens ont longtemps considéré que toute chose de nature ontologique méritait une protection des plus absolues. Cette approche fondamentaliste, embrassant les droits de l’Homme, se retrouve par exemple en droit français dans le concept d’indisponibilité du corps humain, lui-même à l’origine de l’interdiction de vente d’organes, ou de la pratique des mères porteuses.

Le philosophe italien Luciano Floridi (Information : a very short introduction, 2010) crée à ce titre un parallèle éloquent entre la donnée et le corps humain en expliquant que la « quatrième révolution » (celle de l’informatique, en référence à Alan Turing) et la circulation accrue de données qui y est associée ont transformé la vie humaine à tel point que la donnée devrait être vue comme une extension de la personne humaine.

Ainsi, la marque de possession de la donnée à caractère personnel (« mes données ») se rapprocherait davantage du lien entre l’individu et son corps (« mon bras ») que de la marque de possession d’un objet (« ma voiture »).

En Allemagne, un droit à l’autodétermination informationnelle

En considérant la donnée comme une véritable émanation de la personne, celle-ci devient digne d’une protection très élevée. La volonté de protéger les données à caractère personnel est ainsi bien antérieure au RGPD en Europe, les premières législations relatives aux données à caractère personnel datant de 1970 (Land de Hesse, Allemagne), 1976 (Suède) et 1978 (France).

En Allemagne, la protection des données à caractère personnel revêt, en outre, un caractère constitutionnel depuis qu’en 1983 la Cour constitutionnelle a déduit de la Constitution fédérale un principe de droit à l’autodétermination informationnelle.

Ce principe dépasse la conception minimaliste de la vie privée (« le droit d’être laissé tranquille ») pour correspondre davantage à une protection large de la sphère privée et à la capacité de l’individu à participer de manière indépendante à la vie politique et sociale, comme l’expliquent Gerrit Hornung et Christoph Schnabel (« Computer law and security report », 2009).

Un renforcement progressif au sein de l’UE

L’Union européenne est également intervenue sur le sujet de la protection des données à caractère personnel avant le RGPD par l’adoption de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995), créant un cadre général relatif à la protection des données à caractère personnel ainsi que par l’inclusion, dans la Charte des droits fondamentaux de l’Union européenne, d’un article 8 relatif à la protection des données à caractère personnel.

Sans constituer une révolution, le RGPD vient toutefois renforcer sensiblement la protection des données à caractère personnel, en ligne avec l’idéologie fondamentaliste présente en Europe.

À titre d’exemple, le Règlement a une portée plus large territorialement puisqu’il s’applique à des contrôleurs de données situés en dehors de l’Union européenne. Substantiellement également, il accorde davantage de droits aux personnes concernées et prévoit notamment des sanctions plus fortes en cas de non-respect.

Aux États-Unis : laissez-faire, laissez-passer

À l’opposé de la vision sacrée de la vie privée et de la considération quasi corporelle de la donnée, existe une vision plus matérielle de cette dernière, dérivée d’une vision plus mercantile de la vie privée.

Dans An economic theory of privacy (1978), Richard Posner dépeint la notion de privacy comme nocive pour le marché en ce qu’elle prive d’informations les agents dans leurs prises de décisions. Dès lors, il m’apparaîtrait pas justifié d’accorder une protection particulièrement élevée aux données mais plutôt d’en autoriser la libre aliénabilité, notamment en créant un droit de propriété de l’individu sur ses données comme le défendait récemment le think tank Génération libre.

La structure américaine s’inspire de cette logique mercantile et est ainsi moins contraignante pour les entreprises désireuses de collecter et traiter des données à caractère personnel. Elle s’oppose au choix européen d’un régime protecteur de l’individu, destiné à sécuriser sa confiance en l’économie numérique.

Au contraire d’une intervention publique forte comme l’est le RGPD, les premières initiatives de régulation aux États-Unis sont l’œuvre des acteurs privés ayant produit des codes de bonne conduite (voir notamment les guidelines de la Direct Marketing Association).

La liberté laissée aux grands acteurs du secteur symbolise parfaitement l’approche libérale choisie par le législateur américain, suivant la doctrine libérale du « laissez-faire, laissez passer » élaborée par Vincent de Gournay au XVIIIe siècle. Cette expression, symbole de la confiance en la capacité autorégulatrice du marché, explique alors la structure parcellaire du droit américain de la protection des données à caractère personnel.

Ce seul exemple de la structure du droit suffit à mettre en lumière les différences juridiques résultant des différences philosophiques dont font l’objet États-Unis et Union européenne. En effet, aucun texte général relatif à la protection des données à caractère personnel n’existe aux États-Unis et le législateur n’est intervenu que sporadiquement sur des points particulièrement sensibles (la protection des jeunes enfants avec le Children Online Privacy Protection Act, 1998) ou pour certains secteurs comme les télécommunications (1996) et la finance (1970, 1999).

Des désaccords insurmontables ?

En somme, l’analyse philosophique et juridique comparée de la vie privée et de la protection des données à caractère personnel met en évidence d’importantes divergences entre États-Unis et Union européenne.

La multiplication des flux de données et les problématiques résolument transfrontières qu’ils engendrent pourraient pourtant inciter à la création de cadres plus larges. De telles améliorations permettraient notamment de faciliter la mise en conformité des différents contrôleurs de données et de sécuriser plus aisément la confiance des utilisateurs de services internationaux.

Quoi qu’une telle issue collaborative puisse séduire dans l’absolu, l’expérience passée n’incite pas à l’optimisme ainsi que le suggèrent les échecs passés dans les négociations internationales trop anciennes et limitées ou dans les négociations bilatérales remises en cause (invalidation du Safe Harbor) ou vivement critiquées (contestation du Privacy Shield).

Jòan Gondolo, Enseignant chercheur - Droit de la protection des données à caractère personnel, Université Paris 1 Panthéon-Sorbonne

La version originale de cet article a été publiée sur The Conversation.




Index |Info | Imprimer | | PDF Permalien

Écolibre

Écolibre

Notre univers numérique

Revue de presse RGPD