Richard Stallman, le RGPD et les deux faces du consentement – – S.I.Lex –
▻https://scinfolex.com/2018/04/05/richard-stallman-le-rgpd-et-les-deux-faces-du-consentement
Par Lionel Maurel
La question que l’on peut se poser est de savoir si le principe de protection par défaut du RGPD (privacy by default) va aussi loin que l’interdiction par défaut que Stallman propose. Il dit bien qu’un système n’aurait le droit de collecter des données que si ces dernières sont strictement nécessaires à l’accomplissement de ses fonctionnalités. Est-ce que le RGPD de ce point de vue va interdire à la RATP d’identifier les utilisateurs des transports à Paris au motif qu’il y aurait une façon pour le passe Navigo de fonctionner tout en garantissant l’anonymat des personnes ? Le RGPD ne va sans doute pas aussi loin, car il n’emploie pas la notion de finalité exactement de cette manière. Le texte dit qu’un traitement réalisé sans finalité précise est illicite, alors que Stallman propose que la finalité d’un traitement soit en elle-même déclarée illicite s’il y a moyen de faire fonctionner un système sans collecter de données personnelles, ce qui n’est pas la même chose.
Néanmoins, il semble que le RGPD ne soit pas complètement fermé non plus à une telle interprétation et il n’est pas impossible qu’un service comme celui de la RATP doive revoir en profondeur ses principes de collecte et de traitement de données pour se mettre en conformité avec le RGPD. Mais c’est surtout la jurisprudence à venir qui sera déterminante, car c’est elle qui va fixer la portée exacte de principes comme celui de la protection par défaut des données (privacy by default). D’où l’importance des recours qui vont être lancés dans les premiers temps de l’application du texte, notamment les nouveaux recours collectifs, qui nous permettront de savoir si Stallman avait raison dans sa critique du RGPD ou si cette réglementation s’approchait au contraire de sa vision.
Néanmoins, on ne peut pas réduire le consentement à cette seule dimension « subjective » étant donné que la notion comporte aussi une face « objective », qui paraît bien plus intéressante en termes de protection des données. Dans cette conception, au lieu de donner à l’individu le pouvoir de fragiliser ses propres droits à travers son consentement, on va au contraire fixer des règles établissant qu’un consentement ne peut être valablement donné s’il a pour effet d’aboutir à une telle fragilisation des droits. C’est ce que permet la manière dont le consentement est défini dans le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Ce caractère « libre, spécifique, éclairé et univoque » du consentement constitue autant de critères « objectifs » qui vont permettre de déterminer des conditions dans lesquelles un individu ne pourra pas consentir valablement à un traitement de données. Il s’agit donc moins en réalité de donner à l’individu un pouvoir de consentir que de définir au contraire ce à quoi il ne peut pas consentir.
Le G29 a fixé des lignes directrices pour l’interprétation de la notion de consentement dans le RGPD qui vont encore renforcer cette dimension « objective ». Les autorités de régulation européennes considèrent notamment que pour être véritablement libre, le consentement doit être « inconditionné« , c’est-à-dire que la personne doit avoir un véritable choix et que l’absence de consentement ne doit pas avoir de conséquences négatives pour elle. Cela va mettre fin à ce que l’on peut appeler le « chantage au service » qui reste la règle dans l’environnement numérique, vu que les plateformes nous placent généralement face au choix d’accepter telles quelles leurs conditions d’utilisation ou de renoncer au service qu’elles proposent.
Mais tout ceci ne vaut que dans une conception « subjectiviste » du consentement, alors que le RGPD va accentuer au contraire la dimension « objective » de la notion. Or il existe une chance que le mode de fonctionnement de plateformes comme Facebook soient déclarées par les tribunaux « structurellement » incompatibles avec l’exigence du recueil d’un consentement libre et éclairé. Si cette lecture l’emporte dans la jurisprudence, alors le souhait de Stallman serait exaucé, car cela revient à dire que nous serons en mesure « d’arrêter la surveillance avant même qu’elle ne vienne demander le consentement » ou plutôt que les plateformes dont le modèle économique est intrinsèquement basé sur la surveillance ne seraient plus en mesure de demander un consentement valide. Comme le capitalisme de surveillance repose tout entier sur la « servitude volontaire » des individus, cela revient à dire que le RGPD aurait le potentiel de détruire purement et simplement ce modèle.
Bien évidemment, les grands acteurs du numérique (mais aussi sans doute les États…) vont tout faire pour empêcher que cette lecture s’impose dans la jurisprudence. C’est la raison aussi pour laquelle ils manoeuvrent déjà dans le règlement ePrivacy pour faire en sorte que certains types de traitements (géolocalisation, profilage) échappent à l’obligation de recueillir le consentement des individus. Et le RGPD comporte lui-même de nombreuses failles qu’ils pourront essayer de faire jouer, notamment en invoquant d’autres fondements comme l’intérêt légitime ou l’exécution d’un contrat pour se passer du consentement individuel (mais surtout se protéger de son redoutable versant « objectif »).