Notes
-
[1]
Ces formes de régulation peuvent être exercées par des institutions publiques ou des agents privés. Ce troisième critère n’est pas représenté dans le tableau 2 pour le rendre lisible.
-
[2]
Lorsque des administrations (agences de régulation) y participent, on parle généralement de co-régulation.
-
[3]
Cette forme d’autorégulation est très présente aux États-Unis avec des labels de certification en ligne comme TRUSTe, BBB Online, web Trust et PwC Privacy Seal.
-
[4]
Le droit à l’oubli numérique a également une fonction préventive, situant évidemment cette forme de régulation entre les catégories 3 et 4 que nous avons distinguées.
-
[5]
Le premier critère s’apparente à un critère d’efficience (minimisation des ressources employées pour atteindre un niveau de performance donné), le second à un critère d’efficacité (degré d’atteinte des objectifs fixés).
-
[6]
Pour une comparaison plus large, cf. Rochelandet (2010).
- [7]
-
[8]
Les dépenses de logement de la CNIL représentent 44 % de son budget de fonctionnement ! Cf. Rapport d’information du comité d’évaluation et de contrôle des politiques publiques sur les autorités administratives indépendantes, Assemblée nationale, 28 octobre 2010.
-
[9]
Au titre des contrôles et des sanctions, la CNIL a effectué 270 contrôles, 91 mises en demeure, 5 sanctions financières et 4 avertissements en 2009, cf. CNIL (2010), Rapport d’activité 2009, Paris.
-
[10]
Cette défaillance des certificateurs privés justifierait l’adjonction de normes réglementaires comme l’obligation de publier en ligne les condamnations des sites certifiés. Mais un tel contrôle public des certificateurs privés et les coûts administratifs inhérents ne justifient-ils pas alors la mise en place d’un unique certificateur public (Rochelandet, 2010) ?
-
[11]
Voir son site internet http://www.privacybydesign.ca, ainsi que la récente déclaration internationale « Resolution on privacy by design », 32e Conférence internationale des commissaires à la protection des données et de la vie privée, Jérusalem, 27-29 octobre 2010.
-
[12]
Lorsqu’il s’est aventuré sur ce terrain, comme avec Google Buzz, ses pratiques n’ont pas été à la hauteur de ses proclamations vertueuses. Google a dû battre en retraite et signer un accord avec la Federal Trade of Commerce au terme duquel il s’engage à demander le consentement explicite des utilisateurs du service avant toute modification de la méthode de partage des informations personnelles.
-
[13]
Un litige l’oppose actuellement à l’Agence espagnole de protection des données qui veut l’obliger à déréférencer des pages contenant des informations préjudiciables à des plaignants, en vertu d’un droit à l’oubli.
1L’objectif de cet article est d’évaluer l’efficacité des modes de protection des données personnelles dans le contexte de l’utilisation massive des réseaux sociaux numériques (RSN). La régulation dans ce domaine vise à obtenir un équilibre socialement acceptable entre la protection de la vie privée des personnes physiques, les intérêts économiques des exploitants de données personnelles et des objectifs plus généraux tels que la garantie des libertés fondamentales, l’ordre public et l’innovation. Tout l’enjeu est de définir des critères pertinents pour caractériser un tel équilibre.
2Dans les années 1970, la protection de la vie privée fut conçue comme une protection des individus à l’égard des gros exploitants de bases de données personnelles centralisées : administrations, banques, assurances, etc. Aujourd’hui, elle est de plus en plus orientée vers le contrôle de ces données par les individus eux-mêmes. Cela prend deux formes. Ex ante, les individus sont incités à « paramétrer » les conditions d’accessibilité à leur vie privée. Ex post, la régulation vise à les doter d’un droit de regard sur l’utilisation de leurs données (droit de rectification, droit de suppression des traces personnelles…). Mais la multiplication des sources et des modes de collecte et de transfert de ces informations met en doute la faisabilité de telles mesures à l’ère du web relationnel. Un débat s’est instauré sur ce point : s’agit-il d’un moyen réellement efficace pour garantir à la fois leurs intérêts – le respect de leur vie privée – et ceux de la société – comme l’émergence de services innovants ou de nouveaux modèles économiques ? Les apports récents de l’économie behavioriste sur les comportements de vie privée des individus questionnent l’efficacité de telles régulations, centrées sur la responsabilisation des individus et soulignent, au contraire, la nécessité de contrôler davantage les exploitants. Mais ce contrôle pose d’autres problèmes, notamment de coût de surveillance et de frein à l’innovation.
3Nous commençons par analyser les types de dommages et de risques encourus. Nous envisageons ensuite la régulation comme un ensemble différencié de formes de régulation, ex ante ou ex post, orientées vers les exploitants de données ou les individus. Puis après avoir énoncé les critères d’efficacité, nous comparons l’efficacité relative des grandes formes de régulation adoptées depuis les années 1970 (la réglementation publique, la réglementation par le marché, l’autorégulation). Nous poursuivons en montrant l’impuissance structurelle de toute forme de régulation à l’ère du Web relationnel. Cela ouvre l’intéressante question de savoir ce qu’il convient de faire dans une situation de déficience structurelle de la régulation.
Réguler quels risques, limiter quels dommages ?
4La divulgation, la collecte et l’exploitation des données personnelles ont lieu parce que ces opérations procurent des avantages à ceux qui les effectuent. Mais elles impliquent aussi des risques, lesquels génèrent des coûts pour éviter ou réparer les préjudices. L’objectif d’une régulation de ces activités est de minimiser les risques pour un niveau donné d’avantages. Les risques encourus sont de nature diverse.
5Il est ici principalement question des risques encourus par les individus lorsqu’ils divulguent des informations personnelles et que celles-ci sont exploitées par des tiers. Les risques auxquels les individus s’exposent dans ce cas sont extrêmement variés, concernant aussi bien la sphère du travail que les relations intimes, familiales, amicales… Nous allons les classer selon la nature des externalités que ces activités engendrent et selon leur observabilité.
Externalités classiques et « externalités boomerang »
6Un premier classement analytique consiste à distinguer les risques selon le type d’externalité créée par la divulgation et l’exploitation de données personnelles. Une interdépendance entre agents économiques A et B est appelée externalité (Pigou, 1920 ; Meade, 1952) dès lors que l’action des agents A a des effets (positifs ou négatifs) sur des agents B (leur utilité ou leur profit) et que ces effets ne sont pas pris en compte par le marché. Dans ce cas, les décisions individuelles fondées sur les mécanismes de prix sont biaisées, car elles ne reflètent pas les coûts ou avantages sociaux qu’elles génèrent. Il faut donc un mécanisme de correction : taxes ou subventions étatiques, normes fixées par les pouvoirs publics, intégration de B par A amenant celui-ci à tenir compte des effets de son action sur B, négociations entre A et B déterminant des compensations… Ces mécanismes visent tous à internaliser l’externalité, à ce que l’effet produit par les agents A sur les agents B soit pris en compte par eux au moment où ils décident de leur action. Leur efficacité dépend de la qualité de l’ajustement de la correction opérée et du coût de leur mise en œuvre.
7Un dommage créé par la divulgation ou l’exploitation de données personnelles représente une externalité négative. Il faut toutefois distinguer dans ce cas deux types d’externalités négatives. Le premier type implique de pouvoir séparer clairement deux types d’agents A et B. L’action des agents A entraîne des effets négatifs sur les agents B. C’est l’exemple des spammeurs qui créent de la désutilité pour les internautes en les inondant de messages. Le cas est alors analogue à celui de la pollution de l’environnement physique. Le problème est de trouver une solution efficace dissuadant A de polluer B. Si le problème posé par ces externalités unidirectionnelles est simple, la solution est plus difficile à mettre en œuvre dans un univers informationnel que dans un univers physique.
8Le problème se complique lorsqu’il n’est plus possible de distinguer clairement deux groupes d’agents, les émetteurs et les récepteurs d’externalités. C’est le cas lorsque les individus en viennent à « se polluer » eux-mêmes en s’exposant sur les RSN. Prenons le cas désormais classique d’un individu A livrant des informations sensibles sur lui-même dans le cadre d’un RSN, informations utilisées ensuite par un employeur B pour le licencier ou ne pas le recruter. Il y a bien une externalité négative consécutive à l’action de B sur A, mais cette action est entièrement alimentée par l’exposition de A sur le RSN, B n’étant que le médiateur d’un effet boomerang. Le problème ici n’est pas seulement l’effet négatif de B sur A, mais l’effet négatif créé par l’ensemble de l’interaction A-B-A. Il y a bien externalité, car l’effet passe par l’action d’un tiers (B), mais cette action (B-A) n’existe que sous condition d’une autre, d’intention complètement différente, que l’on peut écrire A-A’ si l’on considère que l’individu parle à ses semblables (A’) dans un réseau numérique, ou dans une version plus narcissique, A-A si l’on considère qu’il parle avant tout à lui-même en plaçant son intimité sous le regard des autres.
9L’« externalité boomerang » s’apparente à une greffe opérée par un tiers sur un matériau informationnel autodéclaré par l’individu via ses relations à lui-même ou à autrui. La gestion de ce type d’externalité est plus délicate, car il ne s’agit plus de dissuader un agent A polluant un agent B, mais de dissuader l’agent A de donner à l’agent B des informations pouvant être exploitées contre lui. Si la nature de l’externalité est d’être un effet boomerang, l’agent B n’étant que le médiateur intéressé de cet effet, il faut bien agir sur la source de l’externalité, à savoir, paradoxalement, sur celui qui en est la victime. Nous verrons que le fait d’agir sur B laisse entier le problème. Le retour négatif fait à l’individu n’étant que l’exploitation de données sensibles livrées par lui, volontairement ou involontairement, on voit mal comment bloquer l’externalité sans tarir cette source. On voit encore plus mal comment tarir cette source sans tuer l’internet actuel. D’où l’impasse structurelle que nous développerons dans la dernière section.
Observabilité des sources des externalités, observabilité de leurs effets
10Un problème essentiel posé par les externalités négatives causées par la divulgation ou l’exploitation de données personnelles tient à leur plus ou moins grande visibilité. Moins les externalités sont visibles, plus difficile est la maîtrise que peuvent en avoir les individus et les réglementateurs. Il y a un problème de visibilité des sources, mais également des effets des externalités.
11Il est plus ou moins facile d’identifier la source d’émission de l’externalité. Prenons le cas du spamming qui constitue une des nuisances majeures du Net. Les spammeurs sont le plus souvent difficiles à détecter et à sanctionner, protégés par une succession d’écrans informatiques et/ou juridiques. Il n’est pas toujours facile non plus d’identifier la source de la divulgation de son adresse, sachant que l’on a pu la laisser à plusieurs commerçants et que ceux-ci ont pu revendre leur fichier d’adresses. Dans certains cas, la source est identifiable, mais inatteignable en raison de l’extraterritorialité juridique. Nous verrons plus loin que le développement des RSN rend plus difficile encore l’identification des sources.
12Les effets des externalités négatives sont d’autre part plus ou moins visibles. Ils sont visibles dans le cas du spam puisque l’avalanche de courriels non désirés fait perdre immédiatement du temps aux individus et amenuise leur capacité d’attention pour d’autres tâches. Les effets sont tout autant visibles quand des employés font l’objet de sanctions pour avoir critiqué leur employeur auprès de leurs « amis » au sein d’un réseau social. Mais d’autres externalités sécrètent des effets à visibilité très réduite, soit parce qu’ils sont inobservables, soit parce qu’ils sont différés dans le temps. Les pratiques discriminatoires des recruteurs sont par exemple difficiles à déceler et à prouver sur une base individuelle (Weichselbaumer, 2003 ; Bertrand et Mullainathan, 2004). L’obtention d’une information via un moteur de recherche peut en dire long sur la personnalité d’un candidat et conduire à un refus d’entretien d’embauche qui sera justifié par une autre cause (qualifications insuffisantes). Dans la même veine, citons les pratiques de discrimination par les prix des commerçants en ligne, où la disposition à payer des clients fidèles, supposée plus élevée, les pénalise par rapport aux clients anonymes. La différence de prix est parfois affichée (ainsi celle entre anciens et nouveaux abonnés d’un opérateur), mais elle peut être aussi masquée. L’information collectée sur les clients sert à construire des offres commerciales dont l’élément différenciant n’est pas toujours connaissance commune. Enfin, les effets peuvent être observables, mais différés dans le temps, ce qui revient à les rendre inobservables dans l’horizon temporel limité des individus, celui au sein duquel ils balancent avantages et coûts de leur action pour prendre des décisions. C’est l’exemple abondamment cité de l’adolescent qui peut se mordre les doigts, quinze ans après, d’avoir laissé diffuser en ligne les photos de soirées arrosées. Ou encore celui d’un candidat à un poste dans l’industrie nucléaire auquel on opposera une position antinucléaire rendue publique il y a dix ans sur le Net et mémorisée depuis lors sur les serveurs des moteurs de recherche.
13En croisant l’(in)observabilité des sources et des effets des externalités négatives liées à la divulgation ou l’exploitation des données personnelles, on obtient quatre grandes catégories d’externalités résumées dans le tableau 1.
Les types d’externalités
Les types d’externalités
14On distingue quatre zones de régulation distinctes : une zone théoriquement sous contrôle (A), une zone très critique (D) et deux zones problématiques (B et C).
15La zone théoriquement sous contrôle est celle visée par les législations de type Informatique et Libertés. Elle oppose un émetteur identifié (et atteignable) d’effets négatifs liés à la détention de bases de données personnelles et les victimes possibles de ces effets, ceux-ci étant relativement observables. La loi soumet tout émetteur potentiel de ces effets à des normes visant à limiter les dommages qu’il pourrait créer (droit de rectification des données, délais de conservation…). L’effectivité du contrôle se heurte toutefois à des problèmes pratiques. D’une part, les individus n’ont pas nécessairement la capacité ou ne sont pas incités à remplir le rôle que leur assigne la réglementation (par exemple, la demande de rectification de leurs données). D’autre part, l’agence de réglementation peut éprouver des difficultés à vérifier le respect des normes prescrites.
16Les zones B, C et a fortiori D posent des problèmes plus redoutables : si la source est mal identifiée ou non atteignable, le droit ne peut guère contrôler la production d’externalités négatives. De même, l’inobservabilité des effets rend difficile l’imputation du dommage créé à un agent et la sanction qui en découle.
17De quels outils dispose-t-on pour traiter le problème des risques et des dommages ? Les formes de régulation des problèmes créés par la détention et l’exploitation de données personnelles sont très variées. Il nous faut examiner cette diversité et la confronter aux problèmes ci-dessus énoncés afin d’en préciser les limites.
Une typologie des formes de régulation
18Qu’entendons-nous par « formes de régulation » des activités de collecte et d’exploitation des données personnelles ?
19C’est un ensemble complexe que l’on ne peut réduire à des lois. Tabatoni (2000) décrit la régulation comme un système articulant des lois et des réglementations associées à des préconisations, le rôle des médias et de la société civile, le jeu des marchés financiers (sanctionnant les entreprises touchées par un scandale lié au non-respect de la vie privée de leurs clients), la mise en œuvre de logiciels de protection et le comportement des firmes elles-mêmes (investissant plus ou moins dans le respect de leurs engagements ou la sécurisation de leurs systèmes d’information). La pondération de ces éléments varie d’un pays à l’autre et le degré d’implication des pouvoirs publics : les États-Unis recourent moins à la réglementation et s’appuient davantage sur le rôle des médias et de la société civile que les pays européens. L’objectif final recherché est le respect de la vie privée des individus sous ses multiples facettes : intimité, quiétude, autonomie des individus (Rochelandet, 2010).
20Afin d’ordonner le paysage complexe de la régulation, nous classons ses formes selon deux critères :
21– La période à laquelle s’applique la régulation. Celle-ci peut intervenir avant ou après l’occurrence du préjudice. La régulation ex ante (les normes collectives comme l’interdiction légale ; les règles déontologiques…) s’applique systématiquement aux activités présentant des risques, que le dommage ait lieu ou non, tandis que la régulation ex post (règles de responsabilité, procès pour l’exemple…) ne s’exerce que si l’activité à risque produit un dommage effectif.
22– Le type d’agents visés par la régulation : les exploitants de données personnelles ou les individus qui les divulguent.
23Le croisement de ces deux critères permet de distinguer quatre groupes de formes de régulation : celles qui interviennent ex ante et ont pour cible les exploitants ou les individus, celles qui interviennent ex post et ont pour cible les exploitants ou les individus? [1].
Une typologie des formes de régulation
Une typologie des formes de régulation
Groupe 1 : Les régulations ex ante orientées vers les exploitants
24Ce type de régulations ex ante consiste à émettre des règles collectives plus ou moins contraignantes, que leur émetteur soit une institution publique ou privée. Dans le cas de la réglementation publique, l’État définit des règles de protection de la vie privée auxquelles doivent légalement se conformer les exploitants de données personnelles. Théoriquement, la charge du coût de protection (respect des normes) est supportée par ces derniers et le niveau de protection corrélé positivement aux sanctions prévues par la loi (amendes, publicisation de l’infraction, compensations éventuelles, etc.). Cette approche est généralement retenue en Europe, tandis qu’aux États-Unis, elle est davantage sectorielle, ne concernant que certains types d’exploitation (données financières, sur les mineurs…). Inspirée des principes non impératifs de Fair Information Practices définies en 1973 par la FTC aux États-Unis, la loi française « Informatique et Libertés » confère aux individus un ensemble de prérogatives opposables aux exploitants privés et comprenant les droits à l’information, d’accès, de rectification et d’opposition à l’exploitation de leurs données.
25Plus récemment, le principe de « prise en compte du respect de la vie privée dès la conception » (privacy by design) a fait l’objet de résolutions et propositions à l’échelle internationale. Basée sur l’idée du « code is law » énoncée par Lawrence Lessig (1999), la protection de la vie privée dès la conception consiste à prévenir les risques d’exploitation abusive des données personnelles sans entraver l’innovation et les fonctionnalités des services en ligne (neutralité technologique). Les entreprises productrices ou utilisatrices des TIC devraient intégrer ces règles dans le design des technologies, de leurs pratiques d’affaires, des services en ligne, des infrastructures de réseaux, de matériel, etc., et les appliquer tout au long de la chaîne de collecte et d’exploitation des données.
26Des institutions privées comme des syndicats professionnels ou des certificateurs privés peuvent également émettre des règles collectives non impératives, suivies par des exploitants volontaires, telle la labellisation des firmes s’engageant à respecter une politique de confidentialité précise. La labellisation connaît deux variantes selon qu’elle repose sur l’action d’entreprises et d’associations professionnelles ou d’organisations issues de la société civile? [2]. Dans un cas, les règles collectives s’appliquent à des problèmes comme la qualité des services ou la déontologie des pratiques. Dans l’autre, les règles sont produites par des tiers certificateurs définissant des labels garantissant un type spécifique de comportement d’exploitation? [3]. Les certificateurs privés se différencient par le prix d’adhésion à la procédure de certification et les exigences en matière de contrôle et de protection des données.
Groupe 2 : Les régulations ex post orientées vers les exploitants
27Cette régulation s’applique une fois que le dommage a eu lieu. L’enjeu est de faire payer les exploitants jugés fautifs et non pas de contraindre tous les exploitants dont l’activité présente des risques en matière de vie privée. Il s’agit typiquement des règles de responsabilité reposant sur les autorités judiciaires. Dans cette perspective, le régime juridique du caveat emptor fait peser la charge de la protection sur les consommateurs, puisque les exploitants ne sont pas légalement tenus de s’engager sur leurs méthodes de collecte et d’exploitation des données personnelles. En revanche, s’ils affichent une politique de confidentialité sur leur site, ils sont légalement tenus de respecter leurs engagements contractuels. L’autorité judiciaire intervient uniquement en cas de plaintes des individus. La sanction peut varier : amendes et dommages et intérêts (logique double de réparation et de dissuasion), publicisation des condamnations (dissuasion par la réputation négative).
28La régulation ex post par le marché est une autre solution consistant à ne soumettre les entreprises à aucune contrainte légale et à laisser jouer les acteurs du marché (stratégies de différenciation au mieux-disant, promesse d’une protection supérieure des données personnelles) ou la société civile et les médias (alertes auprès des individus afin d’affecter la réputation des exploitants malveillants).
Groupe 3 : Les régulations ex ante orientées vers les individus
29Il s’agit d’inciter les individus à adopter des comportements prudentiels vis-à-vis des activités exploitant des données personnelles susceptibles de leur causer des préjudices. Les campagnes de prévention visent ainsi à prescrire certains types de comportements en matière de divulgation de données personnelles sensibles. Ces prescriptions passent par le relais des individus ayant une autorité morale comme les parents ou les enseignants. La prévention consiste aussi à subventionner la production et l’adoption de technologies protectrices de la vie privée afin de donner aux individus un moyen d’exclure techniquement l’accès à leurs informations personnelles ou d’en contrôler les utilisations (technologies de « transparence »). L’octroi de droits de propriété exclusifs aux individus sur leurs données personnelles constitue une autre solution possible, mais non pratiquée. Un large débat a eu lieu aux États-Unis sur la forme juridique que pourraient prendre de tels droits exclusifs : droits de possession ou nouvelle forme droit de propriété intellectuelle (Samuelson, 2000).
Groupe 4 : Les régulations ex post orientées vers les individus
30Elles s’exercent une fois que le dommage a eu lieu. Dans une certaine mesure, le « droit à l’oubli numérique » joue ce rôle? [4]. Préconisé dans un rapport du Sénat (Détraigne et Escoffier, 2009) et ayant donné lieu depuis à une charte signée par certains exploitants, il consiste à donner aux individus la capacité de faire effacer des données personnelles les concernant. Outre une durée légale de détention maximum de ces données par leurs exploitants, tout individu aurait le droit de faire supprimer les informations le concernant, dès lors qu’il estime qu’elles lui occasionnent effectivement ou potentiellement un préjudice. Ce droit s’appliquerait à des situations très différentes : du cas emblématique d’un individu ayant commis un crime pour lequel il a déjà subi une sanction à celui de la photo compromettante mise en ligne par des « amis » indélicats.
31L’autorégulation par les réseaux sociaux en ligne constitue une autre forme de régulation basée sur la capacité des individus à communiquer rapidement entre eux. Similaire à l’autorégulation par le marché, elle leur conférerait une capacité de dissuasion tant vis-à-vis des entreprises exploitant les données que des individus aux comportements malveillants. Le Web relationnel créerait une sorte d’« équilibre de la terreur » dissuadant les comportements générateurs d’externalités négatives. Ainsi, une nouvelle fonctionnalité non respectueuse de la vie privée provoque généralement une chaîne de réactions collectives des individus pouvant affecter l’image de l’exploitant ou du service en cause.
Efficacité et inefficacité des différentes formes de régulation
32Les formes de régulation que nous venons d’évoquer constituent les briques élémentaires des systèmes de régulation nationale en matière de protection de la vie privée. Leurs pondérations varient, reflétant les orientations politiques et culturelles des pays. Certaines demeurent mineures, voire à l’état de propositions. La question est de savoir si ces régulations permettent de résoudre les problèmes posés par la divulgation, la collecte et l’exploitation de données personnelles. En termes économiques, comment minimiser le coût social d’une activité génératrice d’externalités négatives tout en préservant ses éventuels bénéfices ?
Trois critères d’efficacité
33Chacune des formes de régulation présente des avantages et des inconvénients bien identifiés par la littérature économique (Hahn et Layne-Farrar, 2001 ; Romanosky et Acquisti, 2009). Deux critères sont utilisés de manière classique en économie du droit et de la réglementation pour comparer les solutions institutionnelles afin de réguler les activités engendrant des externalités négatives (Shavell, 1984). Nous leur ajouterons un troisième critère.
34Un premier critère consiste à prendre en compte les coûts de transaction associés à chaque forme de régulation. Ils comprennent les coûts d’information des agents, de définition et d’écriture des règles, de fonctionnement des institutions, de surveillance et de détection des comportements non conformes aux règles. Ils incluent également les coûts de coordination entre les agents – administrations, exploitants, individus – pour définir des institutions publiques ou privées dont l’objectif est de définir les règles et en surveiller l’application. Les coûts d’une forme de régulation donnée sont inégalement distribués entre les institutions, les exploitants et les individus. Cette distribution caractérise une forme de régulation (certaines font reposer les coûts surtout sur les institutions, d’autres sur les agents privés), mais ce qui importe socialement est la somme des coûts. Est efficace une forme de régulation qui, à niveau de performance donné, minimise les coûts de transaction que sa mise en œuvre implique.
35Un deuxième critère d’efficacité porte sur la propension des agents à adopter des comportements conformes aux objectifs d’une régulation donnée? [5]. Chaque régulation délègue un rôle à chaque type d’intervenant (institutions, exploitants, individus). Pour que la régulation atteigne ses objectifs, chacun doit remplir le rôle qui lui est assigné. Mais il n’a pas nécessairement la capacité (financière ou cognitive) ou l’incitation à le faire. Si tel est le cas, la régulation ne peut atteindre l’objectif qu’elle s’est fixée. Les comportements des individus et des entreprises varient selon leur perception, leur niveau d’information et de compétences, leur solvabilité, mais également la nature de l’activité considérée et le bénéfice que chacun en retire. La propension à adopter des comportements conformes aux objectifs d’une régulation donnée diffère donc d’un agent à l’autre aboutissant à un système d’incitations et à des résultats différents en matière de bien-être social.
36Un troisième critère nous semble essentiel à prendre en compte également, à savoir la capacité de la régulation à arbitrer entre, d’un côté, les libertés fondamentales des individus et les impératifs sociaux comme l’ordre public et, de l’autre, la nécessité de préserver l’innovation, non restreinte ici à la technologie, mais élargie à toute forme de changements socio-économiques (nouvelles pratiques ou organisation sociale). Théoriquement, les régulations ex post sont supposées plus favorables à l’innovation. L’analogie avec le débat réglementation sectorielle versus droit de la concurrence aide à le comprendre : selon les économistes libéraux, il vaut mieux laisser faire le marché et donc le processus d’innovation et de sélection, quitte à corriger après coup les éventuels dysfonctionnements telles les ententes restreignant la concurrence. Cependant, le contexte nous apparaît différent avec les données personnelles : une fois créé, le dommage devient irréversible, car portant sur un bien immatériel, non rival et donc non maîtrisable. Cette dimension est devenue cruciale avec l’avènement des RSN.
Comparaison des solutions mises en place depuis les années 1970
37Les formes de régulation oscillent entre État et marché et combinent des règles publiques (a minima le droit commun) et privées. Comparer l’ensemble des régulations évoquées plus haut dépasserait le cadre de cet article? [6]. Nous nous concentrons ici sur deux cas polaires, l’État (normes réglementaires) et le marché, et une forme hybride, l’autorégulation. L’analyse de ces cas permet de jauger leur efficacité relative.
Exemple 1 : Les normes réglementaires
38La régulation en France est fondée sur le poids prépondérant des normes réglementaires. La loi Informatique et Libertés est un exemple de régulation ex ante orientée vers les exploitants, de type législatif et administratif.
39Concernant les coûts de transaction, le respect des obligations légales (expliciter la politique de confidentialité, s’assurer de sa légalité et permettre l’accès et la correction des données personnelles par les individus) implique des coûts pour les exploitants. Les autorités publiques supportent des coûts d’information, de conseil, de surveillance et de vérification de ces obligations (budget de la CNIL). Des coûts élevés limitent l’efficacité de cette forme de régulation. Cela semble être le cas de la loi Informatique et Libertés. Selon l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel), 82 % des entreprises et administrations ne respecteraient pas les obligations que leur impose la loi Informatique et Libertés en matière de droit d’accès des individus à leurs données personnelles? [7]. De même, la CNIL est placée sous une forte contrainte budgétaire? [8] alors que ses missions de contrôle se sont rapidement accrues. Bien que très utile, son action apparaît dérisoire au regard des tâches à accomplir? [9]. Du côté des individus, la réglementation a l’avantage de normaliser les règles pour tous les exploitants – minimisant a priori les coûts d’information des individus.
40S’agissant des incitations, la réglementation fixe des sanctions garantissant théoriquement son effectivité. Mais auprès de qui ? Certes, les exploitants de données personnelles résidant en France et ayant pignon sur rue (donc aisément contrôlables) ont tout intérêt à ne pas subir de sanctions. Cela peut expliquer le succès des correspondants Informatique & Libertés qui permet aux exploitants de réduire leurs coûts de conformité à la loi en les soustrayant à l’obligation de déclaration auprès de la CNIL. Enfin, outre les activités de contrôle et de surveillance confiées à la CNIL, l’efficacité de la loi repose sur l’exercice par les individus d’un droit d’accès à leurs données et de rectification si besoin. Or ce droit est très peu exercé. Pour qu’il le soit, il faudrait que 1) les individus soient suffisamment informés (or, selon la CNIL, un tiers des citoyens s’estiment suffisamment informés de leurs droits en matière de protection des informations personnelles les concernant en 2008), 2) qu’ils aient les compétences pour le faire et 3) qu’il existe des incitations à le faire. Finalement, arbitrant entre ces coûts et l’utilité immédiate des services qui leur sont proposés, les individus ont une forte propension à ne pas contrôler le respect de leurs droits.
41De plus, les réglementations sont avant tout nationales, parfois locales (réglementation européenne ou accords multilatéraux). Or les activités se déployant sur Internet s’inscrivent d’emblée sur une base internationale nettement plus large. La régulation des données personnelles est confrontée donc à l’écueil de l’extraterritorialité juridique, de la détermination des lois à appliquer, voire de la concurrence réglementaire. La localisation des sièges sociaux et des serveurs dans certains pays permet aux exploitants de contourner des règles nationales plus contraignantes, le cas de Facebook étant à ce titre emblématique. Il s’agit d’une limite importante, soulignant l’inefficacité d’une régulation qui serait fondée uniquement sur des normes réglementaires.
42Enfin, s’ajoute le fait que les règles publiques sont décidées lors d’un processus législatif et administratif, soit de manière unilatérale par l’État, soit sous l’influence de groupes de pression (industriels, société civile). Un risque d’inadéquation peut de ce fait aboutir à l’institution de règles tantôt trop laxistes et insuffisamment dissuasives, autorisant des dérives ou aisément contournables, tantôt trop restrictives, empêchant certaines utilisations innovantes des données personnelles, pourtant bénéfiques aux individus.
Exemple 2 : La régulation par le marché
43Le laissez-faire serait-il alors plus efficace en tant que régulation ex post permettant d’économiser les coûts associés au fonctionnement des institutions publiques et aux obligations légales des exploitants ?
44Au niveau des incitations, il faut supposer qu’a minima, les sanctions marchandes exercent une pression suffisante pour amener les exploitants à ne pas utiliser les données personnelles d’une manière socialement inacceptable et à respecter leurs engagements en matière de vie privée. Ces sanctions passent par la réputation (publicisation des actes par les médias), les ventes (appel au boycott), voire même le cours boursier des exploitants. La privacy devient un élément de marketing et de différenciation des firmes, à l’instar de la concurrence qui oppose Google à Facebook, le premier mettant en avant une stratégie plus orientée vers le respect de la vie privée. L’efficacité d’une telle régulation dépend de la valeur que chaque firme attribue à sa réputation : celle-ci ne sera pas la même pour un spammeur lambda ou pour un commerçant en ligne ayant pignon sur rue. Elle dépend également des canaux de transmission de l’information, en particulier la capacité des médias à révéler des violations manifestes. Elle dépend enfin de la réactivité des consommateurs : sensibilisation, poids des associations de consommateurs, comportements effectifs.
45Pour autant, si l’on considère les coûts de transaction, une régulation par le marché souffre de défaillances majeures. En admettant que, sous la pression du marché, les firmes prennent des engagements contractuels pro-privacy, il n’en subsiste pas moins des coûts d’information et de négociation. La firme bénéficie d’asymétries informationnelles via une meilleure connaissance juridique et technique tandis que les consommateurs subissent des coûts de lecture et de compréhension des chartes de confidentialité qui leur sont proposées, ainsi que des coûts de surveillance du respect des engagements. Les individus subissent des coûts d’autant plus importants que les engagements contractuels varient d’un exploitant à l’autre. Ces asymétries ne sont corrigées par aucun mécanisme contraignant (tiers certificateur ou autorité publique) pour inciter les firmes à standardiser et à respecter leurs engagements. Face à des coûts élevés de détection et une probabilité très faible d’être sanctionnées par les consommateurs, les firmes sont incitées à afficher tout type d’engagement (charte de bonne conduite) pour se différencier et obtenir ainsi une rente d’autant plus importante qu’elles peuvent ensuite tricher en revendant les DP ou en sous-investissant dans la sécurisation de leurs bases de données pour augmenter leurs revenus…
46Dans un tel cadre de liberté économique débridée, l’innovation est hautement favorisée par des normes privées unilatéralement décidées par chaque exploitant en fonction de ses intérêts, mais au détriment des droits individuels qui sont ici protégés par les seules règles du droit commun.
Exemple 3 : L’autorégulation
47Face aux inconvénients d’une solution toute réglementaire ou toute marchande, l’autorégulation comme l’adoption de labels pourrait constituer une forme hybride permettant, selon ses défenseurs, de combiner les avantages des deux autres.
48S’agissant de la minimisation des coûts de transaction, la valeur du label tient à l’étendue des obligations et des contrôles imposés aux exploitants pour connaître les informations collectées, les méthodes de collecte et d’exploitation, les transferts éventuels, etc. Par rapport au laissez-faire, la standardisation de normes collectives (utilisation de logos génériques) diminue les coûts d’information et de vérification supportés par les individus. Tandis que la certification par des associations professionnelles diminue les coûts de contrôle des exploitants grâce à un niveau d’information supérieur à celui servant à l’élaboration des normes réglementaires.
49L’autorégulation inciterait également davantage les exploitants à se conformer aux règles. L’expertise d’industriels, leur connaissance des modes d’exploitation et des contraintes professionnelles, garantiraient leur légitimité et une acceptabilité plus forte au sein de la communauté professionnelle (Swire, 1997). Pour autant, l’autorégulation par les firmes a des inconvénients majeurs. Elle se heurte à une logique d’action collective (Olson, 1965) : plus la « communauté » est importante, plus les coûts de détection de violation de règles collectives augmentent, plus le coût de la tricherie (perte de réputation) est réparti sur toute l’industrie, plus les firmes ont intérêt à resquiller. Chacune bénéficie de la sorte autant de la réputation collective que du gain de la tricherie.
50Enfin, dès lors que des règles très protectrices de la vie privée diminuent leurs profits, les intérêts des industriels ne convergent pas forcément avec ceux des individus. Ils peuvent s’entendre sur des normes maximisant leur profit. Le risque d’entente conduit à une protection d’autant plus sous-optimale que la société civile est de facto exclue du processus de construction des normes. Sur tous ces aspects, le laissez-faire (concurrence vers le haut entre les règles privées) et les normes publiques (participation de la société civile à leur élaboration) sont socialement préférables.
51Face à ces inconvénients, une forme alternative d’autorégulation est la labellisation par des tiers certificateurs indépendants des associations professionnelles. Une telle variante minimise les coûts informationnels des individus tout en évitant la logique collusive. Cependant, les labels existants conduisent à une forme de sélection adverse, poussant les firmes les moins protectrices à davantage se faire certifier que les firmes disposant déjà d’une bonne réputation (Anderson et Moore, 2006). Cela conduit à un résultat paradoxal : Edelman (2009) montre qu’aux États-Unis, un site Internet certifié par le label dominant (TRUSTe) – recommandé par la FTC (Federal Trade Commission ) – a deux fois plus de chance de tricher qu’un site non certifié. De son côté, la FTC constatait au début des années 2000 que moins de la moitié des sites commerciaux respectaient les Fair Information Standards.
52De manière générale, cette tendance à tricher est d’autant plus forte que le label constitue un bien de croyance : il n’est pas possible de savoir si une firme labellisée n’a pas violé ses engagements, car les effets négatifs n’apparaissent pas immédiatement après ou bien, de manière diffuse. Répéter la transaction – et divulguer à chaque fois ses données – n’apporte à l’individu aucune indication supplémentaire. Par conséquent, devant l’impossibilité de signaler de manière crédible la qualité de leur politique, les exploitants souhaitant initialement respecter leurs engagements ne bénéficient en fait d’aucune incitation à le faire. Se pose également le problème classique de la crédibilité du certificateur : plus il détecte de fraudes, plus sa réputation augmente auprès des consommateurs, mais moins il aura a priori de clients, lesquels, exclus ou mis à l’index, s’adresseront à d’autres labels moins regardants. Quid de la crédibilité du label si une firme est détectée, mais non exclue ?? [10]
53En fin de compte, toutes les formes de régulation évoquées sont confrontées à une asymétrie informationnelle par rapport au comportement effectif des exploitants de données personnelles. Pour être effectives, les règles mises en œuvre supposeraient un contrôle systématique des exploitants. Or, non seulement cette activité est coûteuse et ses résultats incertains, mais elle risque de peser lourd sur l’innovation. De plus, la plupart des enquêtes sur les comportements de vie privée montrent que les individus ne sont pas incités à s’informer sur les stratégies de collecte et d’exploitation des informations les concernant et encore moins à exercer leurs droits (Milne et al., 2006 ; Acquisti, ce numéro).
54Nous allons à présent voir que les RSN posent dans des conditions nouvelles le problème de l’efficacité de la régulation.
De l’impuissance de la régulation de la privacy à l’ère des réseaux sociaux numériques
55Jusque-là, les problèmes associés à l’exploitation de données personnelles s’analysaient dans le cadre d’une relation où un groupe d’agents (les institutions publiques ou les entreprises) détenant ces données à l’occasion d’une transaction commerciale ou administrative pouvaient causer un préjudice à des individus. Le traitement de ces externalités négatives classiques est plus ou moins facile selon que leur source est plus ou moins identifiable et ses effets observables (cf. supra). Le développement des RSN et des traces laissées sur le Net introduit des problèmes nouveaux qui plongent la régulation dans une situation d’impuissance structurelle. Le débat ne porte plus alors seulement sur les mérites respectifs des différentes formes de régulation et leur combinaison optimale comme dans l’étape précédente, mais aussi sur les conséquences à tirer de l’impuissance intrinsèque de toute forme de régulation à l’ère des réseaux numériques.
Quels sont les problèmes nouveaux ?
56Ils tiennent à ce que les informations personnelles ne sont plus seulement livrées par les individus à un autre groupe d’agents dans le cadre d’une transaction commerciale et administrative. Elles sont aussi divulguées par les individus en s’exposant sur les RSN et plus généralement comme sous-produit de leur pérégrination sociale sur le Net. Dans un précédent travail (Rallet et Rochelandet, 2010), nous avons distingué l’exposition de soi ex ante de l’exposition de soi ex post. La première désigne la divulgation par les individus eux-mêmes de données à caractère sensible sur les RSN. La seconde est l’ensemble des informations sur soi laissées volontairement ou involontairement sur le Net, informations à partir desquelles il est possible de reconstituer tout ou partie de la personnalité d’un individu. L’exposition ex post n’implique pas nécessairement l’exposition ex ante, même si elle est d’autant plus forte que celle-ci est importante.
57Trois conséquences en résultent sur 1) la nature des informations divulguées, 2) le contrôle de la source d’émission et 3) le périmètre de circulation des informations.
58Tout d’abord, des informations infiniment plus sensibles que celles données à l’occasion d’une transaction administrative ou commerciale sont livrées. Car elles n’ont pas de limites a priori, contrairement à celles fixées par l’objet de la transaction administrative ou commerciale. Dans l’exposition ex ante, ce sont les individus qui fixent eux-mêmes les limites de leur exposition. Très variable d’un individu à l’autre, l’exposition de soi répond à une nécessité commune : le dévoilement par les individus de caractéristiques personnelles est un input nécessaire aux services du Web relationnel. Au-delà du narcissisme et de l’identification de soi dans le regard des autres, phénomènes qui ne sont pas nouveaux, mais auxquels le Web donne une ampleur nouvelle, le dévoilement de caractéristiques personnelles est l’ingrédient nécessaire à la réalisation des services d’appariement fournis par les RSN. C’est pourquoi le dévoilement de soi n’est pas seulement un phénomène générationnel, mais tient à la nature du web relationnel. Dans le cas de l’exposition ex post, la sensibilité des informations ne vient pas tant de chacune des traces de soi laissées sur le Net que de la capacité à les recouper pour produire un jugement pertinent sur la personnalité de l’individu. Le rapprochement de deux informations a priori anodines peut engendrer une information de grande valeur. Le décloisonnement des divers aspects de la vie d’un individu permet de reconstituer sa personnalité – ou des traits significatifs de celle-ci – qu’il était seul à connaître. Les informations ainsi produites ont une très grande valeur, car elles permettent de mieux prédire les comportements. Le web relationnel vient se substituer aux moyens très coûteux ou peu efficaces employés jusqu’ici pour saisir la personnalité des individus (graphologie, détectives privés…).
59Il est ensuite plus difficile de contrôler la source d’émission, or ce contrôle est ce sur quoi agit la régulation. Dans le cas d’externalités classiques, il s’agit de contrôler l’usage par un agent B de l’information livrée par un agent A dans le cadre d’une transaction entre A et B. Dans le cas des « externalités boomerang » qui prévalent dans le web relationnel, le problème est plus complexe, car il est très difficile d’empêcher des agents de type B d’exploiter des informations sensibles que les agents de type A font circuler entre eux ou des traces qu’ils laissent. Cette exploitation n’est pas la contrepartie d’un contrat, mais une opportunité créée par la circulation de données personnelles au sein d’une plate-forme sociale pour des raisons étrangères à celles qui fondent l’opportunité. Pour limiter les dommages, il faut agir non sur l’exploitant qui est dans son droit (comme le patron qui obtient la condamnation de propos diffamants tenus à son encontre par un groupe d’« amis » sur Facebook) ou hors de portée du droit (l’exploitation se fait à l’insu de la victime comme dans le cas de discriminations à l’embauche), mais sur le processus de génération des informations qui rendent possible cette exploitation. Dans le cas d’externalités boomerang, il faut ultimement agir sur la divulgation des données personnelles par les individus eux-mêmes. Or celle-ci est une dimension essentielle du web relationnel.
60Enfin, le périmètre de circulation des données personnelles est à géométrie variable. Dans le cas d’externalités classiques, il est a priori connu. Il est constitué de l’agent ayant collecté les données et de ses éventuels partenaires (commerciaux ou administratifs). Naturellement, les pratiques occultes de l’agent l’amènent bien souvent à élargir le cercle au-delà du périmètre officiel (croisement officieux de fichiers administratifs, revente cachée de fichiers commerciaux). Mais il n’en demeure pas moins qu’il existe un périmètre officiel que la régulation veille à faire respecter. Dans le cas du web relationnel, tout internaute devient le dépositaire potentiel de toute donnée personnelle ayant à un moment donné transité par le réseau. Les filtres de confidentialité mis à la circulation d’informations au sein des RSN sont extrêmement poreux (un ami du premier cercle peut toujours donner une information sensible à un ami du second cercle n’y ayant pas accès) et peu fiables (un ami proche peut exfiltrer une information sensible vers un exploitant). Ces traces peuvent être stockées sur des serveurs, être même retirées de la circulation et réapparaître plus tard. L’information numérique étant un bien non rival et persistant dans le temps, le web relationnel donne la possibilité à chaque internaute de détenir des informations sensibles sur d’autres internautes, dès lors qu’il s’en donne les moyens. Nous appelons « fuite informationnelle » l’impossibilité structurelle de confiner des informations au sein d’un périmètre défini au sein du Web relationnel.
61À l’ère du web relationnel, la régulation des données personnelles et de la vie privée doit ainsi affronter trois difficultés supplémentaires : les informations divulguées sont plus sensibles, leur émission est plus difficilement contrôlable, leur circulation est très pervasive.
L’impuissance de la régulation
62La régulation est relativement impuissante par rapport à ces difficultés. Reprenons les trois types de régulation censés traiter ces difficultés et empruntés aux divers registres de la régulation évoqués plus haut : la régulation publique, la régulation marchande, l’autorégulation.
63La régulation publique entend traiter le problème au travers du « droit à l’oubli numérique » (cf. plus haut). Mais elle se heurte au phénomène de fuite informationnelle et à l’impossibilité de confiner l’information divulguée au sein d’un périmètre donné. La non-rivalité et la persistance de l’information numérique dans le contexte d’interactions décentralisées où chacun peut la détenir et la remettre en jeu quand bon lui semble ne permettent pas de garantir l’effacement des données. L’effectivité de ce droit est donc très faible, même s’il donne un pouvoir d’intervention plus grand aux individus.
64Une solution réglementaire alternative serait la « privacy by design » (cf. plus haut). L’objectif serait de confiner l’information en prévenant les risques de fuites et donc d’exploitations préjudiciables des données. Plus précisément, en faisant porter la charge sur les entreprises, en particulier les exploitants, un des avantages de cette solution serait de pallier la faible propension des individus à adopter des PETs et autres comportements prudentiels. Comme l’indique avec optimisme Ann Cavoukian, promotrice de ce principe, « si l’individu ne fait rien, sa vie privée demeure toujours intacte »? [11]. Or, appliquée aux RSN, cette solution fait justement l’impasse sur le comportement actif des individus en matière de divulgation de données personnelles. Ce comportement pourrait être amplifié par l’illusion du contrôle (Brandimarte, Acquisti et Loewenstein, 2011) que la « privacy by design » instillerait dans les perceptions des individus, et ce d’autant plus qu’un des principes énoncés – la « privacy embedded into design » – stipule que l’intégration de la protection de la vie privée dans le système ne doit pas en diminuer les fonctionnalités. Dans le cas des RSN, les paramètres par défaut ne doivent pas désinciter les individus à s’exposer et à interagir, ce qui est l’utilité principale de ces réseaux et… la principale source de fuite informationnelle ! Dans le cas des RSN, il serait ainsi plus judicieux de parler de « no privacy by design », les individus devant paramétrer eux-mêmes les règles de confidentialité. La « privacy by design » apparaît comme une chimère techniciste de plus, où tout problème technologique peut être solutionné par la technologie elle-même.
65La régulation marchande est fondée sur l’autodiscipline de firmes menacées d’entamer leur réputation sur le marché en cas d’utilisation abusive des données collectées. Outre ses limites déjà mentionnées, la régulation marchande s’expose à une difficulté intrinsèque dans le cas du web relationnel. En effet, la divulgation et la collecte de données à caractère personnel ne sont plus les produits dérivés d’une transaction commerciale, mais les inputs nécessaires aux services d’appariement proposés. Le développement de ces services passe par la divulgation d’une masse croissante d’informations à caractère personnel. Aussi, loin de limiter la divulgation de ces informations, les RSN s’efforcent au contraire d’élargir la sphère de leur diffusion en manipulant les paramètres de contrôle. En modifiant périodiquement comme Facebook les paramètres de confidentialité par défaut, ils déplacent de facto les normes de confidentialité vers plus d’ouverture. Même si le réseau social doit, de temps en temps, battre en retraite, le changement des paramètres par défaut habitue les individus à trouver normal le déplacement du curseur vers plus d’ouverture. Il est vain d’attendre des firmes qui proposent des services fondés sur l’exploitation de données relationnelles à caractère personnel d’autolimiter cette exploitation. On voit cependant des firmes comme Google développer leur communication autour du fait qu’elles seraient davantage protectrices des données personnelles des utilisateurs de leurs services. Il s’agit d’un positionnement marketing dû à ce que le business de Google n’est pas directement fondé, à l’opposé de Facebook, sur l’exploitation de données relationnelles à caractère personnel (exposition ex ante)? [12]. Comme moteur de recherche, Google est cependant un des agents principaux de la capacité à exploiter les données de l’exposition ex post? [13]. La récente amende infligée par la CNIL à Google pour avoir capturé illégalement des données personnelles à l’aide de voitures dédiées à son service de navigation Street View montre par ailleurs les limites de cette firme à se faire passer pour un parangon de vertu en matière de respect de la vie privée.
66L’autorégulation par les individus n’est pas plus convaincante. Certes, les effets réseaux permettent aux individus d’exercer un contrepouvoir face aux firmes tentées d’exploiter de manière abusive les données à caractère personnel. Les individus auraient ainsi entre les mains un puissant outil de dissuasion des comportements malveillants de la part des exploitants. Ce pouvoir est incontestable, car les firmes dont le développement repose sur des effets positifs de réseau craignent que les mêmes effets, mais de sens inverse, n’aboutissent à leur faire redescendre la spirale de leur succès. Un même « équilibre de la terreur » dissuaderait les membres d’un réseau social de s’aventurer dans des comportements malveillants à l’encontre d’autres membres dans la mesure où ils pourraient faire l’objet de représailles. Cela est vrai aussi. Mais la protection ainsi apportée présente des failles importantes.
67Du côté de la relation firme/individus, la firme est capable d’instrumenter le rapport des individus à ses comportements malveillants. Car ces comportements (par exemple, un déplacement insidieux du paramétrage par défaut) accompagnent de nouveaux services dont l’utilité immédiate s’avère bien supérieure aux possibles et lointaines conséquences négatives. Celles-ci paraissent d’autant plus improbables que les individus sont soumis à une « illusion du contrôle » (Brandimarte, Acquisti et Loewenstein, 2011). En effet, ce qui importe aux individus est moins ce sur quoi porte le contrôle des données personnelles que l’existence d’un contrôle. Or, au travers de la variabilité périodique des paramétrages de confidentialité et du débat qu’il engendre, les réseaux sociaux attestent de l’existence d’un contrôle possible des individus sur leurs données. Le point est qu’il n’y a en vérité aucun contrôle, car les individus ne maîtrisent pas l’usage de leurs données par des tiers (fuite informationnelle). En focalisant l’attention sur le contrôle de la divulgation des données (est-ce que je divulgue publiquement ou dans un cercle restreint ma religion ?), le débat sur les paramétrages de confidentialité occulte l’impossible contrôle des individus sur l’usage de leurs données par d’autres (qui peut empêcher un de mes amis de transmettre l’information sur ma religion à un tiers ?). Pour cette même raison (la fuite informationnelle), la crédibilité de la dissuasion entre pairs sur un réseau est affaiblie. L’information sensible peut être exfiltrée du réseau à l’insu de celui qui en est victime et exploitée hors du réseau qui l’a révélée. Lorsqu’elle reste à l’intérieur du réseau, elle peut donner lieu à un buzz préjudiciable à l’individu, une descente aux enfers, bien loin des supposées vertus auto-équilibrantes des réseaux de pairs. L’autorégulation offre bien un cadre de protection, un parapluie contre l’exploitation malveillante de données à caractère personnel, mais ce parapluie est singulièrement percé.
68Aussi, ces régulations sont impuissantes à traiter efficacement les problèmes nouveaux posés par le web relationnel, à savoir, d’une part, la divulgation croissante de données personnelles comme moteur des services du web et, d’autre part, l’impossibilité à contenir les informations ainsi divulguées dans un périmètre donné. Cela soulève une question intéressante : que faire dans cette situation ?
Que faire ?
69Il est tout d’abord nécessaire de ne pas faire comme si la régulation pouvait traiter efficacement ces problèmes. Or une bonne partie du débat actuel consiste à imaginer une introuvable régulation. Ainsi, le débat sur l’oubli numérique. Cela ne signifie pas qu’il ne faut pas de régulation, mais qu’il convient de savoir que faire lorsque la régulation s’avère structurellement déficiente.
70Trois stratégies comportementales peuvent être tentées : la clandestinité, la contre-information, la multiplication des identités.
71Pour résoudre le problème de la fuite informationnelle, il n’est pas de stratégie plus efficace que la clandestinité totale. Une version plus soft consiste à livrer le moins possible d’informations sur soi dès lors qu’elles peuvent être exposées sur le Net. On réduit alors la possibilité d’une exploitation malveillante faute de données mises en circulation. Cette stratégie est extrêmement difficile à tenir. Car même si l’on réduit au maximum l’exposition ex ante (en refusant par exemple de s’inscrire sur un réseau social, ce qui revient fâcheusement à renoncer aux services qu’il est susceptible de rendre), reste l’exposition ex post, les traces (inintentionnelles dans ce cas) laissées sur le Net à l’occasion d’un travail effectué, d’un hobby pratiqué, d’une pétition signée… À partir du moment où le Net devient un support croissant d’enregistrement des pratiques sociales, il est de plus en plus difficile de ne pas laisser de traces numériques, à moins de refuser toute forme d’expression sociale de soi.
72La stratégie de contre-information consiste à manipuler les exploitants potentiels de données en ne livrant que des informations susceptibles de procurer des bénéfices aux individus qui les divulguent. L’exploitation des données personnelles par un recruteur ou un partenaire professionnel, amical ou sentimental devenant avec le temps connaissance commune, les individus sont incités à filtrer ce qu’ils livrent en se présentant sous un jour favorable. C’est le résultat logique d’un processus d’apprentissage fondé sur l’expérience personnelle acquise et les affaires révélées par les médias. Ces stratégies de manipulation de l’information divulguée se développent. Elles ont une certaine efficacité, non pas tant pour faire croire à des identités positives que pour jeter le doute sur les informations divulguées sur les réseaux sociaux. Car sachant que les individus savent que leurs données à caractère personnel sont utilisées à des fins de recrutement ou de sélection, les exploitants potentiels anticipent la manipulation de l’information. Plongée dans un jeu spéculaire infini, l’information divulguée perd toute crédibilité et devient inutilisable. Le revers de la médaille est de priver les individus des bénéfices attendus de la divulgation de données nécessaires aux services relationnels. C’est pourquoi ils n’ont pas intérêt à trop brouiller les informations sensibles qu’ils livrent. Par ailleurs, ne livrer que des informations contrôlées est une conduite difficile à tenir, car elle s’expose à être prise en défaut par recoupement avec des traces non contrôlées. Les masques peuvent facilement tomber.
73La multiplication des identités est la troisième stratégie possible. Elle est souvent recommandée. Sa forme la plus simple consiste à diviser l’identité en une partie privée et une partie publique. Dans la partie privée, la divulgation des données personnelles est riche en contenu, réalisée sous le nom réel des individus et limitée à un cercle restreint. Dans la partie publique, la divulgation s’effectue sous pseudonyme. La division de l’identité peut aussi prendre la forme d’une partie professionnelle limitée à des informations et des contenus relatifs au travail effectué et d’une partie privée consacrée à la sphère amicale. Dans la multiplication des identités, l’important est de pouvoir les cloisonner. Car sinon l’exploitant peut passer de l’une à l’autre. Or le cloisonnement des identités est très difficile à tenir, car les algorithmes d’indexation peuvent les croiser à partir d’infimes traces communes. On peut ainsi facilement remonter d’un pseudonyme à une identité réelle. La multiplication des identités est une protection illusoire de la vie privée.
74Nous sommes ainsi dans la situation singulière où aucune forme de régulation ne permet de traiter efficacement les problèmes de données à caractère personnel créés par le Web relationnel et où aucune stratégie comportementale ne permet de combler la déficience structurelle de la régulation.
Conclusion
75Avec le passage d’une informatique centralisée à Internet et davantage encore, avec le développement des services de Web relationnel, a débuté une « guerre informationnelle » à l’issue indéterminée. Quand une situation n’est pas régulée, il faut bien parler de « guerre », c’est-à-dire d’affrontements et d’épisodes tactiques ayant pour enjeu le déplacement d’une frontière. C’est bien à de tels épisodes que nous assistons aujourd’hui, de Wikileaks aux nombreuses escarmouches informationnelles accompagnant le développement des RSN. Les formes d’exposition de soi associées à des fuites informationnelles multiples rendent instable la norme sociale de la vie privée, rendant toute forme de régulation correctrice structurellement inefficace. Toute solution visant à contrôler les flux de données personnelles bloquerait totalement les processus d’innovation entourant la diffusion des RSN.
76Nous ne voyons que deux issues possibles à cette situation de déficience structurelle de la régulation. Dans l’immédiat, faute de pouvoir codifier une norme de vie privée qui est en mutation, la régulation devrait se donner comme objectif d’accorder des droits à compensation aux personnes qui s’estiment victimes de l’exploitation de leurs données personnelles. Elle serait alors un instrument parmi d’autres de la guerre informationnelle en organisant un transfert d’une partie de la rente économique des exploitants vers les individus. À plus long terme, nous assisterons à l’émergence d’une nouvelle norme de vie privée, quand la guerre informationnelle aura accouché d’une nouvelle frontière stabilisée. Les teintes du clair-obscur (Cardon, 2010) dans lequel se tient notre vie personnelle ne seront plus les mêmes. Certains aspects, auparavant tenus secrets, seront irréversiblement placés en pleine lumière tandis que les individus auront appris à ombrager d’autres aspects.
Bibliographie
Références
- ACQUISTI A. et H.R. VARIAN (2005), “Conditioning prices on purchase history”, Marketing Science, vol. 24, n° 3, pp. 367-381.
- ANDERSON R. et T. MOORE (2006), “The economics of security”, Science, vol. 314, n° 5799, pp. 610-613.
- BERTRAND M. et MULLAINATHAN S. (2004), “Experiment on Labor Market Discrimination”, The American Economic Review, vol. 94, n° 4., pp. 991-1013.
- BRANDIMARTE L., ACQUISTI A. et LOEWENSTEIN G. (2011), “Misplaced Confidences : Privacy and the Control Paradox”, W.P., Carnegie Mellon University.
- CARDON D. (2010), « Confiner le clair-obscur : réflexions sur la protection de la vie personnelle sur le Web 2.0 », in Millerand F., Proulx S. et Rueff J. (dir.), web social. Mutation de la communication, Québec, Presses de l’Université du Québec, 2010, pp. 315-328.
- DÉTRAIGNE Y. et A.M. ESCOFFIER (2009), Proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique », Sénat, 6 novembre.
- EDELMAN B. (2009), “Adverse selection in online ‘trust’ certificates”, Proceedings of 2nd International Conference on Electronic Commerce (ICEC’09).
- HAHN R.W. et A. LAYNE-FARRAR (2001), The benefits and costs of online privacy legislation, document de travail 01-14, AEI-Brooking Joint Center for Regulatory Studies.
- LAUDON K.C. (1996), “Markets and Privacy”, Communications of the ACM, vol. 39, n° 9, pp. 92-104.
- LESSIG L. (1999), Code and Other Laws of Cyberspace, New York, Basic Books.
- MALLET-PUJOL N. (2009), « Du droit à l’oubli numérique », Légipresse, n° 266, pp. 215-220.
- MEADE J. E. (1952), “External Economies and Diseconomies in a Competitive Situation”, The Economic Journal, vol. 62, n° 245, pp. 54-67.
- MILNE G.R., M.J. CULNAN et H. GREENE (2006), “A Longitudinal Assessment of Online Privacy Notice Readability”, Journal of Public Policy & Marketing, vol. 25, n° 2, pp. 238-249.
- OLSON, M. (1965), The logic of collective action: public goods and the theory of groups, Cambridge, Harvard University Press.
- PIGOU, A. C. (1920), The Economics of Welfare, 4e éd., Macmillan.
- RALLET A. et F. ROCHELANDET (2010), « Exposition de soi et décloisonnement des espaces privés : les frontières de la vie privée à l’heure du numérique », Terminal, n° 105 « Technologies et usages de l’anonymat sur Internet », pp. 71-86.
- ROCHELANDET F. (2010), Économie des données personnelles et de la vie privée, Paris, La Découverte, coll. Repères.
- ROMANOSKY S. et A. ACQUISTI (2009), “Privacy costs and personal data protection: Economic and legal perspectives”, Berkeley Technology Law Journal, vol. 23, n° 3, pp. 1060-1100.
- SAMUELSON P. (2000), “Privacy as intellectual property?”, Stanford Law Review, vol. 52, n° 5, pp. 1125-1173.
- SHAVELL S. (1984), “A Model of the Optimal Use of Liability and Safety Regulation”, RAND Journal of Economics, vol. 15, pp. 271-280.
- SWIRE P.P (1997), “Markets, self-regulation, and government enforcement in the protection of personal information”, in U.S. Department of Commerce, Privacy and Self-Regulation in the Information Age, Washington, D.C.
- TABATONI P. (2000), « Vie privée et management de l’information », Revue Française de Gestion, n° 129, pp. 108-116.
- VARIAN H.R. (1996), “Economic Aspects of Personal Privacy”, in U.S. Department of Commerce, Privacy and Self-Regulation in the Information Age, Washington, D.C.
- WEICHSELBAUMER D. (2003), “Sexual orientation discrimination in hiring”, Labour Economics, 10, pp. 629-642.
Notes
-
[1]
Ces formes de régulation peuvent être exercées par des institutions publiques ou des agents privés. Ce troisième critère n’est pas représenté dans le tableau 2 pour le rendre lisible.
-
[2]
Lorsque des administrations (agences de régulation) y participent, on parle généralement de co-régulation.
-
[3]
Cette forme d’autorégulation est très présente aux États-Unis avec des labels de certification en ligne comme TRUSTe, BBB Online, web Trust et PwC Privacy Seal.
-
[4]
Le droit à l’oubli numérique a également une fonction préventive, situant évidemment cette forme de régulation entre les catégories 3 et 4 que nous avons distinguées.
-
[5]
Le premier critère s’apparente à un critère d’efficience (minimisation des ressources employées pour atteindre un niveau de performance donné), le second à un critère d’efficacité (degré d’atteinte des objectifs fixés).
-
[6]
Pour une comparaison plus large, cf. Rochelandet (2010).
- [7]
-
[8]
Les dépenses de logement de la CNIL représentent 44 % de son budget de fonctionnement ! Cf. Rapport d’information du comité d’évaluation et de contrôle des politiques publiques sur les autorités administratives indépendantes, Assemblée nationale, 28 octobre 2010.
-
[9]
Au titre des contrôles et des sanctions, la CNIL a effectué 270 contrôles, 91 mises en demeure, 5 sanctions financières et 4 avertissements en 2009, cf. CNIL (2010), Rapport d’activité 2009, Paris.
-
[10]
Cette défaillance des certificateurs privés justifierait l’adjonction de normes réglementaires comme l’obligation de publier en ligne les condamnations des sites certifiés. Mais un tel contrôle public des certificateurs privés et les coûts administratifs inhérents ne justifient-ils pas alors la mise en place d’un unique certificateur public (Rochelandet, 2010) ?
-
[11]
Voir son site internet http://www.privacybydesign.ca, ainsi que la récente déclaration internationale « Resolution on privacy by design », 32e Conférence internationale des commissaires à la protection des données et de la vie privée, Jérusalem, 27-29 octobre 2010.
-
[12]
Lorsqu’il s’est aventuré sur ce terrain, comme avec Google Buzz, ses pratiques n’ont pas été à la hauteur de ses proclamations vertueuses. Google a dû battre en retraite et signer un accord avec la Federal Trade of Commerce au terme duquel il s’engage à demander le consentement explicite des utilisateurs du service avant toute modification de la méthode de partage des informations personnelles.
-
[13]
Un litige l’oppose actuellement à l’Agence espagnole de protection des données qui veut l’obliger à déréférencer des pages contenant des informations préjudiciables à des plaignants, en vertu d’un droit à l’oubli.