Nos droits et nos devoirs face au numérique

14 février 2022

Accueil I regular I Nos droits et nos devoirs face au numérique

« Des devoirs réciproques obligent les citoyens envers la République, et la République envers les citoyens. » (Constitution de 1848, IIe République, Préambule, VI).

Les réseaux sociaux sont depuis plusieurs années des acteurs majeurs de l’Internet et les plus gros aspirateurs de toutes nos données personnelles : 

-4,55 milliards d’utilisateurs (57,6 % de la population mondiale), 409 millions de nouveaux utilisateurs en 2021 (+9 % en un an), soit 13 nouveaux membres à chaque seconde… pour les principaux acteurs du marché.

Et pour le seul Facebook, fin 2021 : 2,91 milliards d’utilisateurs actifs par mois dans le monde ; 28 milliards de dollars de revenus publicitaires ; 3 internautes français sur 4 y sont actifs et y passent en moyenne 20 heures par mois… Alors Facebook, fini ?

Rappelons aussi que : 65% des utilisateurs de Facebook ont ​​moins de 35 ans et qu’en France, 33 millions d’utilisateurs peuvent être atteints via des publicités Facebook…. Et avec une audience de plus 60% des internautes dans le monde (98% des entreprises en BtoC affirment l’utiliser !), Facebook demeure le réseau social le plus populaire et le plus consommateur de données… Alors, vraiment, fini Facebook ?

 

« Les réseaux d’échanges internet, télécoms fixes, mobiles, postaux et de distribution de la presse, constituent une « infrastructure de libertés ». Liberté d’expression et de communicationliberté d’accès au savoir et de partage, mais aussi liberté d’entreprise et d’innovation, enjeu clé pour la compétitivité du pays, la croissance, l’emploi et la cohésion nationale. » (Manifeste de l’ARCEP -Autorité de régulation des communications électroniques, des postes et de la distribution de la presse).

Cette belle déclaration de principes masque pourtant de nombreuses réalités dont le phénoménal bouleversement du « big data » et de l’Intelligence artificielle.

Devons-nous préciser que ce n’est pas l’émergence des « données massives » (traduction littérale de « big data ») qui bouleverse la distribution des cartes. C’est bien la saisie, la collecte, le stockage et le traitement de nos données personnelles. Cumulés à l’IA, la sélection, la modélisation et l’accélération de nos données personnelles à grande échelle sont LE véritable enjeu du numérique des années à venir avec deux questions : 

 

Quelles règles ? Quelles garanties ? 

 

Le Principe d’Egalité des Armes  (ou « NOTRE » « PEA » pour l’avenir)

Les chiffres cités en exergue démontrent, si tant est qu’il en soit nécessaire, l’asymétrie incroyable qui existe entre les GAFAM (et autres plateformes/portails/…) et les Etats, d’une part, et entre ces acteurs omniprésents dans nos vies et le simple Internaute que nous sommes. 

Mais, n’oublions jamais : si nous avons des droits, nous avons également des devoirs.

Des droits, pour la protection de nos données personnelles, nous en avons, à tout le moins en France, depuis plus de 40 ans. Et le RGPD est venu harmoniser et « extraterritorialiser » nos principes et nos règles.

Prenons le « droit d’accès » (art. 15 du RGPD), par exemple. Il permet de savoir si des données vous concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer. 

L’organisme auprès duquel vous demandez votre « droit d’accès » devra être en mesure de vous faire parvenir, à première demande et sous un délai d’un mois, une copie de la totalité des données qu’il détient sur vous.

La demande est simple, il suffit de préciser que l’on exerce son droit d’accès conformément au RGPD et de fournir une copie de sa pièce d’identité.

Beau principe : il est normal de savoir ce que Facebook fait de mes données qu’il a depuis si longtemps collectées, gratuitement, pour en tirer un profit…. Auquel je n’ai pas droit.

Mais, selon l’adage du XIIème siècle, « l’enfer est pavé de bonnes intentions ».

En effet, des conséquences insoupçonnées vont s’imposer à l’entité à laquelle on adresse sa demande de droit d’accès…

Selon le texte, elle  DOIT vous communiquer l’ensemble des éléments sans effectuer de tri, votre droit d’accès portant sur TOUS les documents sans exception.

TOUS les documents ? C’est-à-dire ceux dans lesquels vous êtes identifiés directement ou indirectement, notamment par référence à un identifiant, tels qu’un nom, un numéro d’identification, des données de localisation, des éléments spécifiques propres à son identité physique, génétique, psychique, économique, culturelle ou sociale, y compris ceux qui parlent de la personne sans la désigner nommément (lorsqu’on peut l’identifier).

 

L’effet pervers ? : aujourd’hui fleurissent des demandes de droit d’accès afin de se constituer un dossier appuyant une action judiciaire sans rapport avec l’objectif du droit d’accès ci-dessus rappelé, ce qui est manifestement un détournement de la loi et donc un abus de droit.
Si l’article 9 du Code de procédure civile oblige le demandeur à une action à apporter la preuve de ce qu’il avance, pour autant nul ne peut être obligé à produire des éléments contre lui-même, la procédure de la « discovery » anglo-saxonne n’existant pas en droit français….

Conclusion : Des droits ? Oui, mais faut-il encore mesurer leurs impacts… réels.

Pour ce qui est des devoirs, nous devrions également en avoir… Et c’est bien la contrepartie de « notre » droit d’accès « universel », que nous visons ici : le soi-disant droit à « l’anonymat », quasiment garanti par l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN).

Levons, tout d’abord, l’abus de langage : Il ne s’agît pas réellement « d’anonymat » mais plus de « pseudonymat ». Le premier est le degré zéro du second, les deux ayant pour objectif de « se cacher », voire si nous revenons à nos racines grecques, de « mentir » (pseudônoumos ayant pour radical pseudés, « menteur »). 

Le pseudonyme, le « faux nom » ou « fausse identité », est une élaboration totalement consciente et volontaire et peut avoir de multiples objectifs cumulatifs ou alternatifs : la précaution, la mystification ou encore la possibilité d’identités variées. 

Romain Gary/Emile Ajar est l’exemple type du « cumul » romantique. 

Sur Internet, le pseudonyme est monnaie courante et « les personnes éditant à titre non professionnel un service de communication au public en ligne » (LCEN), tels que les blogueurs, ne sont pas tenus de révéler leur identité, à condition d’avoir fourni à l’hébergeur les informations nécessaires à leur identification (ce qui d’ailleurs n’est pas réellement vérifié).

Mais, en cas d’incitation à la haine, à la violence ou à la discrimination raciale, en cas de cyber-harcèlement, de provocation directe au terrorisme, … la « levée d’anonymat » est pour autant des moins évidentes.

Si les hébergeurs et opérateurs ont l’obligation de conserver toutes les traces de connexion, celles-ci ne peuvent être obtenues que par décision de justice. Et encore, il est facile de « tromper » les données de connexion.  Reconnaissons-le, vous a t’il été déjà demandé, pour vous inscrire à un réseau social de fournir une pièce d’identité ? L’impunité est donc presque acceptée…. 

Certes, les grandes plateformes (Twitter, Facebook, etc.) consentent désormais à révéler l’identité de délinquants à la police. Mais, comme beaucoup le font remarquer (dont Philippe Coen, président fondateur de l’ONG Respect Zone) certains sites plus modestes, souvent basés à l’étranger, ne le font pas. 

Supprimer la « règle » de l’anonymat signifierait, selon certains, que nul n’aurait plus le droit de s’exprimer sur Internet sans révéler son identité. Ceci obligerait les internautes à confier des documents sensibles (carte d’identité, par ex.) aux plateformes, lesquelles sont très contestées pour les libertés qu’elles prennent précisément avec les données personnelles de leurs utilisateurs.

Selon nous, mettre en place des règles plus strictes permettraient de mettre fin aux tombereaux d’insultes, de trolls et autres déversements dont sont victimes politiques, vedettes et autres mineurs.

Rappelons-nous nos années noires… de 1942 à 1944, du Commissariat général aux Questions juives, et des cinq millions de lettres… anonymes.

Droits (d’accès) et Devoirs (d’identification) doivent être considérés par rapport à leurs fonctions dans la société et, certes, mis en balance avec les autres droits fondamentaux, conformément au principe de proportionnalité et ils ne devraient pas porter atteinte aux droits ou libertés d’autrui (considérants 4 et 63 du RGPD).

Les principes de « Transparence » et « Confiance » 

Les deux piliers nécessaires aux développements harmonieux et raisonnés de nos droits numériques ne peuvent être organisés que selon les principes de transparence, de chaque côté, et leur corollaire, la confiance, de chaque côté.

L’asymétrie évoquée ci-dessus doit connaître un frein radical. L’une des voies à explorer réside dans le concept d’« IAX », l’Intelligence Artificielle « explicable » qui n’est autre qu’un ensemble de processus et de méthodes qui permettent aux utilisateurs humains de comprendre les résultats et les conclusions créés par les algorithmes d’apprentissage automatique. On le sent au fur et à mesure que l’IA devient plus avancée, les humains sont mis au défi de comprendre et de retracer comment l’algorithme est arrivé à un résultat. Aujourd’hui la majorité des processus de calcul ne sont que des “boîtes noires” impossibles à interpréter. Demandez simplement à un adolescent s’il a jamais eu accès aux méthodes de sélection de «Parcoursup? »

L’explicabilité n’a que des avantages : elle peut aider les développeurs à s’assurer que le système fonctionne comme prévu ; elle peut être nécessaire pour répondre aux normes règlementaires ; elle est primordiale pour permettre aux personnes affectées par une décision de contester ou de changer ce résultat…

Mais, sachant qu’un système algorithmique complexe peut contenir environ 28 millions de lignes de codes, un lecteur rapide prendrait quasiment 4 ans pour le lire (mais, pas forcément pour le comprendre).

Que ce soit par de la documentation, de l’échange d’informations, l’explicabilité passe nécessairement par plus de transparence en prenant en compte principalement : 

– Qui (le destinataire de l’explication avec la prise en compte de ses capacités) ? 

– Quoi (le degré d’explication avec la prise en compte du secret des affaires et/ou de la Propriété Intellectuelle) ? 

Autrement dit, l’explicabilité se résume à ceci : Qu’essayons-nous exactement d’expliquer, à qui et pourquoi ?

Pour faire plus simple, l’explicabilité doit se développer selon les axes suivants :

– l’utilisateur : le système fournit une explication qui permet à l’utilisateur final de comprendre comment le résultat a été généré ;

– la régulation et la conformité : ces explications sont conçues pour, entre autres, assister dans la conduite d’audits, pour s’assurer de la conformité à des réglementations ou à des standards de sécurité;

– l’opérateur : pour améliorer ses services.

Le but, encore une fois, étant de générer grâce à la transparence évoquée ci-dessus, de la confiance et de l’acceptation par la société.

 

Si, le RGPD autorise la « prise de décisions individuelles automatisée », à condition qu’elle ne produise pas des « effets juridiques » ou affecte « de manière significative » la personne concernée, il n’en demeure pas moins que pour toutes autres hypothèses, une IA ne peut émettre qu’un avis à destination d’un humain chargé de prendre la décision.

Face à ces tendances qui vont considérablement se renforcer, peut-on avoir confiance dans les décisions prises, les avis émis ou plus généralement les traitements effectués par les IA ?

Cette confiance nécessaire (et réciproque) passe par l’explicabilité (Cf. ci-dessus) mais aussi : 

– la sûreté de fonctionnement, 

– l’équité, 

– la protection de la vie privée, 

Et 

– la viabilité écologique et sociale. 

Mais le temps de la réflexion est souvent en décalage (voire en net retard) sur l’innovation.

Prenons la voiture autonome, par exemple : Notre premier réflexe est de sauver le plus de personnes possibles quitte à sacrifier le conducteur. Discutable.

Et contradictoire avec le réflexe du vendeur : protéger les passagers (ses clients) en priorité. 

Sur cette question, le ministère des Transports allemand, pressé de prendre position, a présenté en septembre 2017 un rapport d’experts en intelligence artificielle, en droit et en philosophie, qui recommande de donner la même valeur à tous les humains, quels que soient leur âge, leur sexe, etc.

 

Les comités d’experts devront adopter la logique déontique (du grec déon, déontos : devoir, ce qu’il faut, ce qui convient) ou de variantes pour formaliser les rapports qui existent entre les quatre caractéristiques d’une loi : l’obligation, l’interdiction, la permission et le facultatif.

 

Nos droits numériques ne peuvent donc être traités que selon 4 axes: 

  • La confiance.
  • La responsabilité.
  • La Sécurité.
  • Le Contrôle. 
Partager l'article :Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Benjamin MARTIN-TARDIVAT

Associé fondateur du Cabinet d’avocats WITETIC, Benjamin Martin-Tardivat accompagne les entreprises et les créateurs depuis plus de 20 ans dans la gestion de leur patrimoine immatériel que ce soit en matière de propriété intellectuelle (stratégies, audits, protections, valorisations, défense, …) ou en matière de compliance (mise en conformité RGPD).

Spécialisé dans la protection des données personnelles, il intervient comme Data Protection Officer (« DPO ») auprès de nombreuses sociétés et associations françaises et étrangères. Il forme étudiants, créateurs d’entreprises et administrations afin de les sensibiliser aux problématiques du droit d’auteur, de la propriété industrielle et de la protection des données dans la société de l’information et l’impact des nouvelles technologies et de l’IA dans ces domaines.

Benjamin Martin-Tardivat,