“Droit à l’oubli”:||et la CNIL, c’est du poulet ?

Le 20 octobre 2010

La charte sur le "droit à l'oubli" numérique, censée permettre aux internautes de faire valoir leur droit à la vie privée, ne respecte pas la loi informatique et libertés.

MAJ: Fabrice Mattatia, ex-conseiller de NKM, me fait remarquer que la charte sur le droit à l’oubli “respecte” bel et bien le texte de la loi informatique et libertés, contrairement à ce que j’avais initialement écrit.
J’ai donc barré les passages en question, mais maintiens que ladite charte ne correspond pas à l’esprit de la loi, et en veux pour preuve le fait que la Commission nationale de l’informatique et des libertés (CNIL), précisément chargée de l’incarner, ne l’a pas signée…

#EpicFail : la CNIL n’a pas signé la charte sur le droit à l’oubli numérique, présentée par Nathalie Kosciusko-Morizet le 13 octobre, jour de la sortie de The Social Network (“une pure coïncidence“, dixit n_km).

C’est d’autant plus gênant que l’objectif de cette charte est de “mieux garantir le respect de la vie privée en permettant aux internautes d’exercer un meilleur contrôle sur les données qu’ils publient“, en mettant en œuvre “les droits et principes constituant le « droit à l’oubli »” qui sont, précisément, inclus dans la loi informatique et libertés que la CNIL est censée faire respecter, et permettre aux internautes d’exercer (voir aussi : Pour en finir avec les licenciements Facebook).

La presse ne s’est guère enthousiasmée au sujet de la charte sur le “droit à l’oubli dans les sites collaboratifs et les moteurs de recherche“. La quasi-totalité des journalistes ont ainsi relevé que ni Google, ni Facebook, ne l’avaient signée, Alex Hervaud résumant très bien, sur Ecrans.fr, l’incongruité de la situation :

Imaginez un instant que le Gouvernement décide de faire signer une charte de bonne conduite autour des parcs d’attractions en France.

Alors voilà, on convie la presse pour faire la promo de cette charte, mais surprise : au rayon abonnés absents, on trouve Eurodisney et le Parc Astérix. Le Luna Park de Royan est bien là, par contre.

Une charte qui ne “respecte” pas l’esprit de la loi informatique et libertés

Étonnamment, personne n’a relevé que la CNIL n’avait, elle non plus, pas signé cette charte, pas plus qu’elle n’avait signé celle sur le “droit à l’oubli numérique dans la publicité ciblée“, co-signée fin septembre par Nathalie Kosciusko-Morizet et dix associations professionnelles réunies sous l’égide de l’Union Française du Marketing Direct (UFMD).

Son objectif avait pourtant de quoi satisfaire le gendarme de nos données personnelles. Il s’agit en effet d’informer les internautes sur “l’exercice de leurs droits en matière de publicité ciblée, le rapprochement entre les données de navigation et les données personnelles, la publicité géo-localisée, le « capping » (maîtrise de l’exposition à la publicité) et la protection des publics mineurs“. Un objectif d’autant plus simple à atteindre que, et comme le précisait dans son discours Nathalie Kosciusko-Morizet, “Pour y arriver, il n’est pas nécessaire de changer la loi !” :

Les principes fondamentaux de consentement, de droit à l’information, de droit d’accès, de rectification et d’opposition figurent déjà dans la loi.

Sauf que les chartes sur le “droit à l’oubli” ne respectent pas complètement l’esprit de ladite loi. Début octobre, Alex Türk, le président de la CNIL, expliquait ainsi à ZDNet que, si la CNIL avait participé aux différentes réunions préalables à la rédaction de cette charte, elle avait refusé de la signer, et ce malgré les demandes pressantes de ses co-signataires : “Nous avons considéré que nous ne pouvions pas la signer, tout simplement car elle ne nous convient pas” :

Ce que je peux dire, c’est qu’un certain nombre de points nous préoccupent, dont des problèmes sur l’adresse IP et les cookies.

Nous avons aussi senti de fortes réticences en ce qui concerne les correspondants informatique et libertés. Beaucoup de ceux qui réfléchissaient à la charte étaient très réticents à l’idée de se doter de CIL.

Intervenant au World e.gov Forum au lendemain de la signature de la seconde charte, Isabelle Falque-Pierrotin, vice-présidente de la CNIL, a de son côté expliqué que celle-ci proposait, de fait, des “garanties moindres” que celles prévues par loi informatique et libertés, qu’elle n’était pas contraignante, et que la CNIL ne pouvait pas signer une charte avec des organismes refusant de se doter de correspondants informatique et libertés, censés, précisément, être les vigies de la CNIL au sein des entreprises, administrations et collectivités.

En résumé : si la charte s’inspire de la loi informatique et libertés, elle n’en “respecte” pas l’esprit… Un comble. On attend avec impatience une charte sur le droit à la sécurité routière, ou alimentaire, invitant les industriels à s’inspirer des normes de sécurité, mais sans être non plus obligés de pleinement les respecter…

MaJ, le 15/11 : Fabrice Mattatia, ex-conseiller de NKM, me fait remarquer qu’Alex Türk, président de la CNIL, n’en a pas moins envoyé une lettre de félicitation au sujet de la charte pour le droit à l’oubli où il… explique également que la CNIL ne peut pas “figurer officiellement parmi les soutiens de la charte”, ses signataires ayant refusé de désigner des “correspondants à la protection des données à caractère personnel” en leur sein.

Signée le 13 octobre, cette lettre n’a, je ne sais pas pourquoi, été scannée que le 26, mes articles datant, eux, des 20 et 21 octobre; je n’avais donc pas pu en prendre connaissance plus avant, et elle ne retire rien à ce que j’avais écrit par ailleurs.

L’important, c’est de communiquer

Mais alors, me direz-vous, à quoi peut-elle bien servir, cette charte-là ? A sensibiliser et éduquer les internautes (notamment mineurs), à empêcher les données “privées” d’être indexées par les moteurs de recherche, à faciliter la gestion (et la suppression) de ses propres données, ainsi qu’à permettre aux internautes de contacter un “guichet virtuel des réclamations“, sorte de service après vente censé permettre de faire valoir ses droits d’accès, de rectification et d’opposition…

Dit autrement : la charte ne vise pas tant à faire respecter la loi informatique et libertés par ceux dont le business est d’exploiter nos données personnelles qu’à les inviter à améliorer quelque peu leurs pratiques en la matière… avec le fol espoir qu’ils traitent les internautes comme des clients méritant un peu plus de respect et de considération.

Un peu comme si le gouvernement proposait gentiment aux fournisseurs d’accès à l’internet et autres opérateurs de téléphonie mobile de clarifier leurs conditions générales d’utilisation (de sorte qu’elles respectent la loi), et d’ouvrir des hotlines (pour que leurs clients puissent les contacter directement en cas de problème)…

Dans n’importe quel autre secteur d’activité, ces façons de procéder feraient hurler. Sur l’internet, on y est (hélas) habitués (voir Rions un peu avec l’Hadopi). Il serait d’ailleurs intéressant de savoir combien la préparation de cette charte aura coûté à la collectivité.

A la manière de l’instrumentralisation du débat sur l’insécurité, il s’agit d’abord et avant tout de montrer que le gouvernement a saisi la mesure du problème, et décidé de s’y atteler. La mesure de l’efficacité du dispositif n’est finalement qu’accessoire : l’important, c’est de communiquer. Même si, pour le coup, et puisque ni Google ni Facebook n’ont signé la charte du gouvernement, c’est plutôt raté.

A contrario, pour les signataires, cette charte, c’est du Bullshit Bingo, une occasion rêvée d’apparaître comme des chevaliers blancs de l’internet, voire de se refaire une virginité.

Il suffit d’ailleurs de consulter la liste de ceux qui l’ont signé : associations catholiques, familiales ou de protection de l’enfance (qui ne ratent jamais une occasion de rappeler que l’internet est truffé de dangereux pervers), marchands de données personnelles et éditeurs de réseaux sociaux (dont la particularité est de ne pas être leaders dans leurs secteurs, et/ou qui ont des choses à se faire pardonner), aucun d’entre-eux ne s’était précédemment illustré en matière de défense des libertés des internautes.

Les Pages Jaunes, rachetées à France Télécom par le fonds d’investissement KKR, et qui figure au “6ème rang mondial des sociétés en termes de chiffre d’affaires publicitaire sur Internet – les 5 premiers rangs étant occupés par des sociétés américaines“ ? En rachetant le moteur de recherche de personnes 123people, et en associant d’office les coordonnées des gens qui figurent dans l’annuaire avec leurs profils sur les réseaux sociaux, Pages Jaunes s’était attiré les foudres des internautes.

Le formulaire de droit à l'oubli des Pages Jaunes

Petite particularité : pour faire valoir son “droit à l’oubli“, il faut faire parvenir à Pages Jaunes… une copie de sa carte d’identité, via un formulaire en clair, et non sécurisé, au mépris des règles élémentaires de sécurité informatique.

Skyrock, et ses 30 millions de blogs, essentiellement adolescents ? Depuis des années, il collabore avec les autorités pour identifier les prédateurs sexuels, mais est également confronté, depuis quelques mois, au phénomène des DediPix, qui pousse certaines adolescentes à se dénuder en photos pour attirer l’attention des autres internautes et blogueurs.

Microsoft ? Son moteur de recherche Bing peine face à la concurrence de Google, sa messagerie Hotmail a été dépassée par Gmail, ses blogs Windows Live Spaces n’ont jamais vraiment décollé, et MSN fait très 90’s comparé aux réseaux sociaux type Facebook ou Twitter… tout comme Copains d’avant, Trombi.com et Viadeo, autres co-signataires qui, ciblant clairement les adultes, et n’encourageant pas particulièrement leurs utilisateurs à y gloser sur leur vie privée, sont au “droit à l’oubli” ce que les repas de famille ou Pôle Emploi sont à la libération sexuelle.

Le “droit à l’oubli” permettra de censurer ses enfants

En novembre 2009, invité à intervenir lors de l’atelier qui lança le débat sur le “droit à l’oubli numérique“, je m’étais retrouvé quelque peu esseulé, au beau milieu d’un parterre encravaté de représentants de commerce dont le business est de gagner de l’argent en exploitant nos données personnelles, et venus expliquer à quel point ils respectaient la vie privée de leurs clients, et utilisateurs. Le contraire eut été étonnant.

A contrario du discours ambiant, j’avais tenté d’expliquer que les internautes ne sont pas des exhibitionnistes, mais des gens qui cherchent à s’exprimer, et qu’ils ont donc autre choses à y faire que s’y montrer à poil (voir Ne montrez pas vos fesses sur le Net !), et que le problème, c’est la vie publique, pas la vie privée :

Facebook, ce n’est pas de la vie privée, c’est de la vie publique. A partir du moment où vous publiez quelque chose sur l’internet, les données transitent ou sont stockées par des prestataires privées, elles sont consultées par d’autres personnes, et donc elles vous échappent, vous n’en avez plus le contrôle.

Je pars donc du postulat que ce que je publie sur l’internet, c’est de la vie publique, pas de la vie privée. Facebook, c’est un “réseau social“, et c’est difficile d’avoir une vie privée sur un “réseau social“…

Et si l’on s’exprime publiquement sur les réseaux (sociaux ou internet), c’est pour être entendu, pas pour être oublié !

Dans un article intitulé Droit à l’oubli, devoir de mémoire, Laurent Chemla, pionnier de l’internet en France et auteur des mémorables Confessions d’un voleur, estimait de son côté que ce “pseudo droit à l’oubli n’est qu’une variation du manque d’éducation du public à ce véritable droit qu’il a récemment acquis : le droit à la liberté d’expression” :

Quand on a été éduqué pour ne prendre la parole qu’après l’accord de la maîtresse, une fois qu’on l’a dûment demandée en levant la main. Quand on est élevé pour se taire devant la télé, puis pour «donner sa voix» à un représentant et se taire ensuite. Quand on a été formé à lire ou écouter les avis des penseurs accrédités par les medias classiques sans pouvoir leur répondre autrement que devant la machine a café, il est bien difficile de se faire à l’idée qu’on peut (qu’on doit ?) s’exprimer librement, sans censure préalable, devant le public le plus large qui soit.

Pour sa défense, Google a d’ailleurs expliqué, de son côté, que “La protection des données personnelles est un droit fondamental qui doit être défendu, mais il est important pour nous de le faire en respectant d’autres droits fondamentaux tels que la liberté d’expression.

Poussant la logique encore un peu plus loin dans ses retranchements, Isabelle Falque-Pierrotin souligna également, au World e.gov Forum, les risques de dérives bien-pensantes, et l’hypocrisie sous-jacente à ce débat :

Le “droit à l’oubli“, c’est une expression qui marche très bien en communication, mais qui est dangereuse : il y a un risque de révisionnisme de sa propre histoire, ce qui ne serait pas un progrès dans une démocratie.

De fait, lors du tout premier débat organisé par Nathalie Kosciusko-Morizet, un militant UMP se leva, dans la salle, pour demander à la secrétaire d’Etat de… censurer un groupe sur Facebook qui appelait à la démission de Nicolas Sarkozy.

Lorsque j’ai appelé le cabinet du secrétariat à la prospective numérique, pour avoir des exemples de ce à quoi la charte servira, on m’a expliqué que cela permettrait, par exemple, à une maman de retirer un propos tenu par son enfant sur un réseau social, ou bien un site porno.

La charte portant explicitement sur les “données publiées intentionnellement par des internautes” (c’est la charte qui souligne, en gras), pourquoi ne pas demander à l’enfant ou à l’adolescent de le faire lui-même ?

Parce qu’il en va donc aussi, au delà du seul “droit à l’oubli“, du droit des mineurs, et de la responsabilité en matière de liberté d’expression : les parents sont responsables, devant la loi, des propos tenus par leurs enfants.

Or, en l’état, et au regard de la loi informatique et libertés, toute demande de retrait ou de rectification doit être “légitime“, ce qui peut poser problème dès lors que le propos n’apparaît pas clairement comme contraire à la loi.

Ce pour quoi, dans la charte, “les signataires considèrent que toute demande d’opposition est légitime“, même et y compris si le contenu n’enfreint pas la loi.

En d’autres termes, le “droit à l’oubli” instaure le droit des parents de censurer les propos dérangeants de leurs enfants. Fermez le ban.

Mettre les marchands de données personnelles autour d’une table pour les inviter à protéger notre vie privée, c’est bien, même si ça ne mange pas de pain. Passer, subrepticement, du “droit à l’oubli numérique des données publiées intentionnellement par des internautes” à la possibilité, sur simple saisine du SAV des moteurs de recherche et sites collaboratifs, de censurer les propos dérangeants, c’est autrement plus innovant.

Full Disclosure : après avoir participé à l’atelier qui servit de lancement de ce débat sur le droit à l’oubli, le cabinet de Nathalie Kosciusko-Morizet me fit suivre une version de travail de la charte. J’avais alors répondu que je ne voyais pas bien à quoi cela pourrait servir, et que je n’en comprenais pas l’intérêt.

Illustration : CC Banana République

Illustration de Une par Marion Boucharlat

Laisser un commentaire

Derniers articles publiés