Compte-rendu de la journée d’étude conclusive du cycle d’ateliers Conventions qui a eu lieu le 29 janvier 2016 au Centre de conférences ministériel au Ministère des affaires étrangères.
Ouverture
La question de la globalisation du droit du numérique, de la lex electronica globale, est un sujet qui intéresse naturellement le ministère des affaires étrangères. En ce sens, plusieurs chantiers sont actuellement en cours de discussion.
Il y a tout d’abord la lutte contre la cybercriminalité, pour laquelle la convention de Budapest définit les normes de comportements. Est également en cours d’étude la mise en place d’une fiscalité du numérique, tant au niveau européen qu’international. Enfin, le dernier sujet en discussion est celui de la gouvernance internationale de l’internet. Il s’agit là d’une question essentielle puisqu’elle confronte un système multi-acteurs avec un système intergouvernemental, et se trouve dans une sphère où la production du droit est inhabituelle. Pour l’heure, cette gouvernance ne procède pas des États. Il est même possible d’affirmer que tout est fait pour que ces derniers soient laissés de cotés dans la mise en place de cette gouvernance.
Le droit du numérique devient une branche à part entière, qui s’immisce dans notre droit traditionnel. L’enjeu est ici de savoir comment contribuer efficacement à l’émergence de ce droit nouveau. Plusieurs interrogations vont donc se poser : Est-ce que la construction du droit est compatible avec le développement rapide du numérique ? On peut sur ce point prendre l’exemple du site « Air bnb » ; en l’espace de trois ans, ce site offre plus de chambres disponibles que les hôtels parisiens. Quel est le droit territorialement applicable sur internet ? Cette question a des répercussions significatives, notamment en matière de droit de la concurrence.
Pour répondre à ces interrogations, il faut réussir à bâtir un droit à portée universelle. Néanmoins, toute tentative de réglementation universelle trouve le risque de rentrer dans une négociation sans fin entre les États. Cela est donc totalement paradoxal. Il faudrait donc commencer par légiférer au niveau européen, ce qui est actuellement le cas puisque le règlement de l’Union Européenne sur les données personnelles entrera en vigueur au printemps 2018.
Première table ronde :
La protection des usagers des services numériques
Nous sommes actuellement à une date charnière au niveau de l’Union Européenne. D’une part en raison de l’arrivée imminente du règlement sur les données personnelles, et d’autre part, en raison des deux récents arrêts fondamentaux de la Cour de justice de l’Union Européenne : L’arrêt Google Spain du 13 mai 2014 qui reconnaît Google comme responsable de traitement de données personnelles, et l’arrêt du 6 octobre 2015 par lequel la Cour de justice annule les accords « Safe Harbour ».
- – Les nouveaux enjeux de la protection de la vie privée en ligne
Un des éléments qui attire l’attention est le constat que les premières personnes à avoir pensé à protéger la vie privée dans la sphère numérique sont les écrivains et romanciers de science-fiction. Pour l’écrivain Jonathan Franzen, « on n’a jamais eu autant de vie privée ». Pour justifier son propos, cet auteur opère un raisonnement inversé, en expliquant que c’est parce que notre vie privée explose qu’elle se monnaye très cher. Pour lui, les réseaux sociaux Facebook ou Instagram sont des journaux intimes partagés sur le réseau, au même titre que les cookies qui permettent de faire connaître nos habitudes.
Deux applications pour smartphone reflètent le défaut de législation en matière de vie privée ; les applications Stolen et People. La première citée, qui vient de disparaître, permettait de mettre en vente son compte Twitter. La seconde application est totalement différente puisqu’elle permet de noter ses amis tout en publiant cette notation. Ce manque de législation est d’autant plus important que ce partage sur les réseaux des éléments de sa vie privée est à l’origine de changements dans notre droit traditionnel. Par exemple, l’émergence de Facebook a fait complètement évoluer la jurisprudence en matière de divorce ou de droit du travail. Il faut bien entendre que l’utilisation des réseaux sociaux a un double effet. Certes ces derniers permettent de partager sa vie privée, mais ils deviennent aussi un élément à part entière et s’incorporent à notre vie privée. En effet, ils influencent notre vie dans le sens ou les utilisateurs naviguent dessus de manière quotidienne.
En matière de protection des données, ce qui se développe le plus sont les privacy policy et les mesures techniques de sécurité. Dans l’exemple de Facebook, de nombreux articles des conditions générales d’utilisation concernent la protection des données personnelles. En matière de mesures techniques, il est possible de prendre pour exemple les adblocks proposés par les serveurs internet. Ils servent à filtrer le contenu des pages web afin d’en bloquer certains éléments, en particulier les bannières de publicité. L’effet n’est pas ici de bloquer toutes les publicités, mais d’empêcher les publicités intrusives.
Une des questions qui se pose est de savoir si c’est le droit ou la technique qui va primer dans la protection des données. Certes la technique va apporter des réponses, mais celle-ci ne fera que ce que le droit lui permettra de faire. Il faut surtout s’intéresser à ce qui va naître des usages. Sur ce point, il faut avant tout prendre en considération la culture du pays. Par exemple en matière de système de paiement, la forte culture du mobile a permis à l’Inde de faire développer des solutions de paiement beaucoup plus libre qu’en Europe. Dans le même sens, les États-Unis ont une vision des données très différente de celle de l’Union Européenne. Il y a quand même des acteurs du monde juridique qui prennent leurs responsabilités, comme par exemple la Cour de Justice de l’Union Européenne dans son arrêt Google Spain. Par cette décision, la Cour a opéré une véritable innovation juridique en statuant au visa de l’article 8 de la Convention Européenne de Sauvegarde des Droits de l’Homme, soit en terme de droit fondamental du respect à la vie privée. La seule chose que l’on peut ici éventuellement regretter est que cette innovation juridique vient palier un déficit démocratique.
Il est possible de réfléchir aux questions de droit, mais il faut surtout penser à l’économie de la vie privée. Ce qui manque c’est le fait que les plateformes intègrent le coût de cette gestion de la vie privée. Il est par exemple fréquent qu’une personne se fasse harceler via les réseaux sociaux. Tant que les plateformes ne commenceront pas à intégrer le fait que le confort et la qualité de vie de leurs usagers ont un coût, il ne sera pas possible de gérer chaque contentieux. Il faut agir a priori et non uniquement a posteriori, ne pas hésiter à penser de manière locale pour régir le global.
- – La nécessité de promouvoir un niveau efficace de cyber-sécurité
Les composants de base de la cyber-sécurité sont les algorithmes cryptographiques. De manière métaphorique, ces algorithmes peuvent se voir comme les médicaments de la maladie, ici le piratage. Ces algorithmes s’appuient sur des outils mathématiques, tels que les probabilités, les théories de codes, ou encore la géométrie algébrique.
La cryptologie permet de détailler des calculs sur des données chiffrées, ce qui peut par exemple être utile pour connaître le nombre de données qui contiennent un mot clé précis. Toutes sortes de calculs peuvent être effectuées sur de telles données ; dans le contexte du cloud, il est possible d’effectuer certains traitements, principalement d’origine statistique, dont le résultat ne révèlera aucun élément sur les données en elles-mêmes. Les différentes techniques de cryptologie peuvent se combiner afin d’obtenir plus de précisions. Il est également possible de prouver les propriétés des algorithmes sans révéler la manière dont ils procèdent.
Ces techniques rencontrent certaines barrières pouvant constituer un frein à leur développement. Il y a tout d’abord ce qui peut être appelé le « risque business », qui correspond à la difficulté pour une entreprise de faire un choix entre les différentes techniques de cryptologies existantes. Une autre barrière est celle de la facilité d’utilisation du procédé. En effet, un utilisateur de base de données est habitué à une technique particulière et ne voudra généralement pas en changer. Il faudra donc que le procédé proposé s’adapte aux habitudes de l’utilisateur. Une autre limite réside dans l’éducation de l’utilisateur, dans le sens où la technique proposée ne doit pas être trop complexe dans son utilisation. L’utilisateur doit aussi être clairement informé du potentiel pratique de la solution ainsi donnée. Enfin, la dernière barrière est constituée par les freins d’origine légal ou règlementaire, comme par exemple l’utilisation des données chiffrées en matière de cloud.
Le potentiel des techniques utilisées en cryptographie (connaître précisément les possibilités et finalités d’un protocole, le nombre de communication entre deux personnes etc.) peut permettre de répondre à certaines questions juridiques.
- – Rendre plus efficace le règlement des litiges numériques
Par principe, la réglementation a toujours un temps de retard sur l’innovation. Une explication peut être donné en comparant le secteur de la technologie avec celui du luxe. En France, il y a beaucoup de « champion » ou de « géant » du luxe, et très peu en matière de technologie de l’information. En retournant le problème dans le sens inverse, on peut dire que quand on a beaucoup de « champion », on maîtrise mieux la régulation de l’économie en question.
À l’heure actuelle, on n’a pas vraiment de boum technologique, mais un essor des usages qui naissent chaque jour. Ces usages font qu’il y a plus d’intérêt à aboutir à une contractualisation de la justice. Le sujet devient plus complexe lorsqu’il faut sortir de l’autorégulation. On s’aperçoit alors des écarts qui se créent entre d’un coté, la façon dont se fait le business, et de l’autre, la règle de droit. Il faut donc sensibiliser les actionnaires des entreprises sur les effets générés par l’entreprise dans laquelle ils travaillent.
Débats
Sur la portabilité des données :
Aujourd’hui, la plupart des grands acteurs proposent déjà un système de récupération des données. Néanmoins, il faut souvent réadapter le format de ces données ainsi récupérées (généralement selon le format des données de Facebook). Il faut que ces données soient interopérables. La difficulté est de savoir le moment où il faut instaurer une limite.
Sur la possibilité de rapatrier les données d’Europe :
La plupart des sociétés Européennes ont, pour des raisons économiques, des Datas Center situés hors de l’Europe (principalement en Inde). Cela semble donc idéaliste de concevoir ce rapatriement de données, d’autant plus que la manière de traiter les données est différente en Europe qu’aux États-Unis. Cela reste possible mais il y a pour l’heure une incapacité à se mettre d’accord sur des standards d’utilisation des données à l’international. Enfin, si Arnaud Montebourg avait développé cette idée, cela n’avait pas pour finalité de mieux protéger les données, mais de permettre un développement économique.
Deuxième table ronde :
Le partage de la valeur dans l’univers numérique
On assiste actuellement à une verticalisation du web, dans les sens où l’évolution des plateformes depuis 10 à 15 ans a permis un changement de figure de l’internet. Ce changement a un impact sur la création de valeur, ce qui va poser des interrogations, notamment par rapport à notre conception de la notion de propriété.
- – Les biens numériques : entre propriété et
Trois questions doivent ici être traitées : Comment la valeur s’est modifiée ? Qui en profite ? Quel est le rôle du droit sur la question ?
On a l’impression que le bien, la propriété est de l’essence du droit mais cela est faux. En effet, l’idée de propriété ne semblait pas si naturel quand la propriété intellectuelle est arrivée sur le devant de la scène, ou encore lorsque le droit a reconnu au XIXème siècle que l’on pouvait être propriétaire d’une clientèle.
Il faut bien entendre que l’information travaillée par les acteurs (les utilisateurs qui retravaillent une œuvre pour en créer une nouvelle), de même que les données (notamment par les objets connectés) sont créatrices de valeur. Ces données, qui sont l’émanation des individus, créent une immense valeur, et doivent être considérées comme un trésor. À ces données, on peut également rajouter les créations désintéressées, comme les logiciels libres, ou encore les créations issues de plateformes de crowdfunding. En ce sens, il est possible de prendre l’exemple des casques de réalité augmentée, pour lesquels Facebook a racheté la société OCULUS pour deux milliards de dollars, alors que la création de ces casques n’en avait coûté que deux millions.
Traditionnellement, une personne est créatrice de valeur par sa force de travail ou par son génie. Désormais, elle peut l’être à son insu grâce aux données personnelles. L’autre évolution dans la création de valeur est la multitude. Les contenus générés par les utilisateurs sont du travail collectif de réutilisation. Cette création de valeur est captée par des grands infomédiaires qui sont d’un genre nouveau, puisqu’ils ne sont ni auteur, ni producteur. Ils sont capables de capter ces informations, de les hiérarchiser, et donc de les pousser vers l’audience, ce qui est la clé de voute de l’économie numérique. On est passé de la création de valeur à la captation de valeur.
À l’origine de ces contenus, il y a donc des individus qui peuvent légitimement capter la valeur. Le rôle du droit est ici de permettre cette captation de valeur pour l’individu, ou les individus, à l’origine de l’information créatrice de valeur. Le concept de propriété individuelle semble dépassé sur internet pour deux raisons ; d’une part, car l’idée de propriété des données personnelles est dérangeante, tant sur le plan juridique que philosophique, et d’autre part, car l’idée de propriété individuelle n’a aucun sens dès lors qu’il s’agit de multitude.
L’intervention du droit est ici nécessaire sur plusieurs plans. Tout d’abord, pour permettre un renforcement de la connaissance des internautes des contenus numériques qu’ils produisent, de la valeur qu’ils produisent. Il faudrait créer une sorte d’obligation générale d’information des contenus dont l’individu en est la cause, des contenus qu’il a produit. Ensuite, le droit doit permettre la promotion de tous les outils de maîtrise technique et juridique, par les personnes qui créent de la valeur, des usages qui sont fait de leurs informations. Il faut une réappropriation par les individus de leurs données pour qu’ils puissent en faire l’usage qu’ils souhaitent. Enfin, le droit doit, face à cette création de valeur collective, réaffirmer un droit de représentation de valeur collectif pour qu’il soit possible de mener une action collective.
- – Économie numérique et responsabilité des
Est-ce que l’ère du numérique, de la propriété partagée, crée de nouveaux types d’entreprises ? Il semble que oui. Il y a désormais des entreprises plateformes, par lesquelles émerge une nouvelle forme de capitalisme que l’on peut appeler capitalisme des plateformes. Le droit a donc ici un grand rôle à jouer, car une société sans droit est une société de conflits.
Avec le numérique, le partage a créé un bouleversement de la propriété individuelle classique. La possibilité pour certains grands intermédiaires de s’approprier des données sous forme de traitement va donner lieu à un fonctionnement sous prédation, et va leur permettre de se dispenser des règles. Ce qui caractérise l’économie numérique est qu’il ne s’agit pas d’un secteur de l’économie. En effet, il n’y a pas de modèle économique s’il n’y a pas de durabilité. Ces modèles peuvent se développer dans des modèles marchands, non marchands, et désormais dans un univers de partage par le biais des plateformes collaboratives.
Il y a un certain nombre de règles générales qui concernent toutes les plateformes. C’est le cas tout d’abord en matière de création de valeur, c’est à dire le fait de savoir comment l’information est stockée. C’est aussi le cas sur le management de la plateforme,
soit les conditions de la captation de la valeur, du partage de la valeur. De manière générale, plus l’intermédiaire est neutre, plus le partage de la valeur est équitable. À l’inverse, plus l’intermédiaire est actif (en déterminant par exemple qui peut entrer sur la plateforme etc.) plus il peut capter la valeur. Il y a donc plusieurs types de règles : les règles d’accès, de construction de la plateforme, de management.
L’attention doit être principalement portée sur deux passages. Tout d’abord, le passage de l’économie sociale et solidaire (dans lequel le détenteur du capital est privé des moyens de capter la survaleur) vers l’économie collaborative. Le propre des plateformes coopérativistes est qu’elles sont à même de pouvoir reféconder l’économie sociale et solidaire. Il faut que cette économie devienne une couveuse des plateformes collaboratives. Enfin, l’autre passage important est celui des plateformes marchandes à la prédation. Dans tous les cas, le caractère plus ou moins engagé du gestionnaire de plateformes semble être le critère central pour classer ces plateformes.
Quel équilibre doit-il y avoir entre neutralité des plateformes (moins de captation possible) et la possibilité pour les pouvoirs publics de contrôler certains contenus ? Il ne doit pas y avoir de neutralité absolue, dans le sens où toutes les plateformes n’ont pas à être neutre. Il doit y avoir une réglementation de valeur uniquement là où il n’y a pas de neutralité, soit là où il y a captation de valeur. La neutralité ne signifie pas loyauté, qui signifie que l’acteur doit dire et faire ce à quoi il s’engage. L’absence de neutralité n’est pas dérangeante tant que cela est fait de manière loyale.
- – La transformation digitale des entreprises et l’adaptation du droit face à l’uberisation de l’économie.
Le partage est ici abordé sous l’aspect géographique. Par la transformation digitale, on en est à la quatrième révolution industrielle. L’internet était la troisième, et aujourd’hui nous avons les objets connectés, les imprimantes 3D, l’intelligence artificielle. La transformation signifie l’invention de nouveaux modèles sociaux et commerciaux ; d’un côté cela supprime des emplois, de l’autre cela en crée des nouveaux).
La capitalisation boursière de Google est de 377 milliards de dollars (équivalent au PIB de l’Argentine), celui d’Amazon est de 200 milliards de dollars (équivalent au PIB du Koweït). La digitalisation de l’économie est un phénomène qui est en train de changer le monde ; le cloud n’a pas de frontière, le Big Data est un marché mondial, et la cybercriminalité opère au niveau international.
Le problème est que la technologie n’est pas en conformité avec les différentes régulations. Par exemple, des magasins à Hong Kong proposent aux clientes d’essayer un système permettant de voir la crème de soin qui correspond le mieux à la peau des clientes. Un appareil va tester la peau pour la diagnostiquer, puis va renvoyer les données ainsi collectées à travers une plateforme de connexion. Ces données relatives à la peau sont très personnelles et vont permettre d’avoir de nombreuses informations (lieu de résidence etc.). Normalement ces données sont soumises à des législations locales très sévères, mais ici aucune n’est respectée.
Quand on est fabriquant d’outils informatiques, comment fait-on pour respecter le droit en matière de transfert de données ? Il faut pour cela en revenir aux classifications classiques, et la plus importante est la distinction entre ordre public et lois supplétives. Le problème est que le transfert international de données impose des règles impératives différentes. Cette superposition de lois impératives ne peut pas être laissée de côté par les entreprises, ce qui crée des tensions entre mandatory law et droit non obligatoire.
Il est possible de dire qu’Uber ne constitue pas une évolution technique mais juridique, dans le sens où ils se sont frayés un chemin dans la réglementation des VTC.
Troisième table ronde :
Éléments d’une politique publique extérieure du numérique
Il est possible de combattre les phénomènes de captation excessive de valeur par la régulation, en instituant une taxation des groupes multinationaux du numérique notamment.
Quelle serait donc la politique étrangère à mener en matière de numérique ?
I – Renforcer la gouvernance internationale de l’internet: Il y a une dimension non juridique dans ce travail. En effet, cette question comprend un volet de politique industrielle où l’objectif serait que les géants du numérique ne soient pas tous concentrés en Californie du Nord, ou encore un volet cyber sécurité pour lequel il est nécessaire de se construire une autonomie stratégique en Europe et en France.
Sur le plan juridique, le renforcement de la gouvernance internationale de l’internet apparaît nécessaire. Ce sujet implique de réfléchir sur les instruments permettant de renforcer cette gouvernance. Le terme de gouvernance est défini dans l’agenda de Tunis. Il convient d’identifier les acteurs, les moyens et le but du renforcement de la gouvernance internationale de l’internet, qui comporte des aspects matériel et institutionnel, politique et technique.
En premier lieu, la gouvernance internationale de l’internet doit s’adapter au rythme des évolutions technologiques tout en préservant la liberté. Elle doit par ailleurs assurer le développement commercial en permettant l’accès aux plus pauvres et prendre en compte les revendications de souveraineté numérique des États. Une gouvernance mondiale est nécessaire car Internet est transnational. Mais le droit international actuel est-il suffisant ? Doit-on utiliser des instruments contraignants ou non contraignants, de façon horizontale ou verticale ? Dès Genève, les exigences du multipartisme et du multilatéralisme ont été posées. Certains avaient pensé à l’élaboration d’un droit administratif global au titre d’une régulation de l’internet. Toutefois, le renforcement de la gouvernance peut aussi passer par un renforcement du multipartisme comme de l’horizontalisme. Concernant le multipartisme, l’inconvénient est que les accords sont segmentés alors que la gouvernance devrait être intégrée. Le multipartisme crée une segmentation matérielle et institutionnelle de la gouvernance. L’affaire Snowden a mis en exergue les problématiques relatives à la gouvernance sur les droits, en matière d’atteinte à la vie privée notamment et à la gouvernance dans les biens avec les objets connectés etc. À cette segmentation s’ajoute une fragmentation des rôles entre États, sociétés civiles, acteurs privés et organisations internationales. Le multipartisme génère donc une vision segmentée de la gouvernance.
Un rapport a été rendu en 2013 sur le rôle de l’ICANN (Internet Corporation for Assigned Names and Numbers) dans les écosystèmes de l’internet. L’internet y est présenté comme un modèle social segmenté comportant différentes couches sociales. Cet exposé reflète le modèle actuel de la gouvernance. En réalité, cette présentation serait biaisée car les Etats ne figurent d’ailleurs pas sur ce schéma. Si le rôle de l’ICANN est important, il n’est pas le seul acteur nécessaire au renforcement de la gouvernance. En effet, quel que soit le modèle choisi, chaque couche de l’Internet est réglementée et contrôlée par une catégorie de parties prenantes. Or, chaque partie prenante s’insère dans un régime particulier qui entre en concurrence avec celui des autres parties prenantes (l’IETF (Internet Engineering Task Force) pour la communauté technique, l’ICANN pour les acteurs privés, les organismes intergouvernementaux pour les Etats) et il y a peu d’interaction entre ces différents régimes d’acteur de régulation. D’où l’idée de défendre une gouvernance intégrée.
Cette gouvernance intégrée devrait se penser de manière transversale et globale. Le modèle de gouvernance peut suivre la voie selon laquelle le Forum pour la gouvernance se verrait octroyer un pouvoir de décision. L’Europe est favorable à cette position. Toutefois, la Russie et la Chine s’y opposent et promeuvent quant à elles, un pouvoir de régulation privé. En effet, un système de gouvernance centralisée ne serait pas forcément adapté à la structure du réseau de l’internet d’où la nécessité d’une décentralisation de la gouvernance. Dans ce cas, il faudrait renforcer la coordination des institutions en place à
cette échelle décentralisée. Le réseau institutionnel actuel n’est pas assez efficace pour mettre en place une telle coordination, celle-ci impliquant que les spécialistes de chaque domaine coopèrent pour que le système soit cohérent. L’IETF devrait alors désormais s’ouvrir aux États, de même concernant les organisations intergouvernementales envers les couches techniques telles que l’IETF.
Comme exemple de coordination, la réglementation des activités dans le cyberespace se fait actuellement entre les États. En effet, l’ubiquité d’internet nécessite que les États se coordonnent. Il est à noter que les États-Unis sont prédominants dans ce domaine. Le renforcement de la gouvernance doit aussi apparaitre dans le multilatéralisme mais il se heurte à la divergence des positions actuelles. On assiste à un phénomène dit “de balkanisation du net” où chaque État revendique une gouvernance à son échelle nationale. Contrairement à ce qu’on avait pu penser, les affaires Snowden ne sont pas traduites par un renforcement des coopérations institutionnelles. L’on a plutôt observé des replis nationaux. Par exemple, nous avons d’un côté, la position américaine qui défend un leader ship et une prétendue neutralité dans le fonctionnement de la gouvernance, d’un autre côté, l’Europe qui essaie de marquer sa place et défend certaines valeurs qui lui seraient propres, ou encore la Russie et la Chine qui plaident pour un système gouvernance interétatique et défendent une idée de souveraineté numérique et enfin, le Brésil qui s’oppose à la gouvernance du modèle américain. Cela nous permet de dire que la gouvernance doit être répartie entre les acteurs mais la mainmise de cette gouvernance par les acteurs privés ne peut plus durer : il faut un retour des États dans cette gouvernance, le problème restant que les Etats ont des points de vue divergents.
Enfin, sur la proposition du Traité Trans Atlantique (TTA) établissant la gouvernance générale de l’internet, elle est défendue par la Commission commune d’information du Sénat.
Il est vrai que le traité, en tant qu’instrument de régulation, assure une certaine sécurité juridique et une prévisibilité. Cette solution qui peut paraitre souhaitable à long terme, présente des faiblesses en droit international public sur le fond et la forme.
Sur le fond, y a-t-il un droit international applicable à l’internet ? On a en fait deux tendances. L’une concerne la dimension physique du réseau avec la possibilité d’appliquer le droit existant, l’autre concerne la dimension immatérielle, virtuelle du réseau. Dans ce dernier cas, on a raisonné par analogie ou en adaptant les normes existantes à ce contenu (par exemple, en matière de lutte contre les subtilisations criminelles du réseau, de droit et libertés fondamentaux). Ainsi, un traité international serait inutile puisque les règles à appliquer aux activités de l’internet existent déjà dans d’autres textes. Une autre question se pose : faut-il une branche du droit international propre à l’Internet ? Plusieurs déclaration de principes ont déjà été adoptées notamment dans le domaine de la protection de la vie privée, de l’égalité d’accès de tous les États, de la participation de la société civile, ou encore relativement au principe de neutralité. Le droit international de l’internet pourrait se retrouver dans le principe de neutralité du net.
Sur la forme, la forme conventionnelle est-elle adaptée? La régulation par convention permet d’engager la responsabilité des acteurs en cas de violation du traité. Il faut toutefois replacer cela dans le contexte. La tendance est à l’évitement des traités internationaux. On leur préfère par exemple des guides pratiques car ils sont moins contraignants. S’élabore ainsi progressivement la lex electronica. La forme conventionnelle est donc non adaptée car les négociations préalables sont très longues et il existe un risque de n’aboutir à aucun accord entre les États. La soft law paraît de ce fait plus adaptée : elle permet d’associer les acteurs privés et s’adapte mieux aux progrès techniques qui sont en constante évolution. L’élaboration d’une convention internationale est en réalité un choix politique.
En conclusion, les solutions juridiques pour renforcer la gouvernance existent donc mais les divergences politiques et étatiques constituent les principaux obstacles à sa mise en œuvre. On a donc des instruments pour adopter un telle gouvernance, encore faut-il se mettre d’accord sur l’instrument.
Débats :
Adopter un traité était une manière de réintégrer les acteurs dont on a besoin, notamment la Chine qui a un marché de plusieurs millions d’utilisateurs. Le problème reste les divergences de conception du système et des notions. Une approche multi-partie prenante et multilatérale est nécessaire. En fait, l’intervention des États dans le numérique fait l’objet de suspicion de la part des utilisateurs et entreprises. L’internet est né aux États- Unis puis il est devenu un outil du privé qui a été approprié par ces acteurs privés. La légitimité de l’État dans le champ du numérique n’est donc pas historique, ils doivent alors s’imposer dans ce domaine. A l’évidence, l’adoption de norme doit associer les personnes qui ont la connaissance or l’État n’a pas la connaissance. Les normes techniques sont forgées par des ingénieurs qui viennent d’entreprises privées. Les États n’ont donc pas les moyens d’être dans cette production de norme. Quant à l’égalité des parties prenantes, cette égalité est un leurre. L’idée est que tout doit être traité de manière multi-partie prenante est une idée américaine. Or, c’est une forme de victoire pour les États-Unis car ils ont réussi à imposer l’idée que les États ne sont pas légitimes dans la régulation du numérique car ils sont dangereux. Les acteurs légitimes seraient les entreprises du GAFA et les organismes non gouvernementaux qui sont en fait dépendants des GAFA.
Quelle est la légitimité actuelle de la gouvernance? Il ne faut pas oublier que les États ont des conceptions très différentes de la notion de la gouvernance. On peut donc essayer de déconstruire ce concept : peut-on toujours parler d’une gouvernance ou de plusieurs gouvernances? Sur les inquiétudes Chinoise et Russes relatives à l’infrastructure de l’internet, elles concernent en réalité aussi les contenus informationnels circulant dans l’infrastructure. Concernant les propositions d’établissement d’une magna carta d’internet, le problème est que les principes que l’on veut y insérer figurent déjà dans des textes de soft law. La raison pour laquelle l’on veut établir une telle charte est de pouvoir engager la responsabilité des États en cas de non respect. Or, ces principes sont très généraux. On ne peut pas engager la responsabilité de l’État sur le fondement du non respect du principe de neutralité du net si on ne s’accorde pas sur le définition du principe de neutralité. À ce titre l’instrument conventionnel est inefficace.
Si les États veulent néanmoins affirmer leur légitimité, ce sera sans doute moins par le biais institutionnel mais au contraire par la production du droit. Les États peuvent encore être légitimes à produire des enceintes d’élaboration du droit (OCDE, G7) en espérant que la bonne norme chasse la mauvaise. Les entreprises cherchent à plus d’efficacité mais ne sont pas contre la norme. Cela se manifeste lorsque l’on voit le rôle de la compliance aux États-Unis). Le règlement sur les données a été adopté au bout de quatre ans et il contient beaucoup de renvois au droit national. Sa création est née d’une volonté politique. Comment donc aboutir à une gouvernance internationale en matière d’Internet quand l’on sait le temps que prend l’élaboration d’un texte dans un domaine seulement du droit du numérique ?
- – Le contrôle de la technique, de la répression des usages et de la taxation des bénéfices.
Tout d’abord il convient de s’interroger sur la définition de la notion même de numérique afin d’envisager les moyens d’une régulation du numérique. Est-ce une activité ? Un nouveau secteur de l’économie ? Une nouvelle dimension ? Ce qui complique les travaux de régulation est que l’on est face à un défi inédit. Il faudrait comprendre le numérique comme une nouvelle forme symbolique : ce serait une représentation active du monde. Notre histoire est un empilement de ces représentations actives du monde (langue, science, art) et le numérique devrait être une nouvelle forme symbolique. En procédant ainsi, on parviendrait à représenter le monde, à le mettre en forme (dans ses rapports à l’espace, au temps, à sa qualité de sujet ou objet) afin d’agir dessus.
Le droit est perturbé par l’apparition de cette nouvelle forme symbolique car cela met fin à deux/trois siècles de positivisme au cours desquels le droit était adossé à la force contraignante des Etats (système westphalien). Ils formaient un attelage fusionnel. Le numérique nous fait assister à une forme de dissociation, plutôt à une double défection. Tout d’abord, le numérique n’est pas matériel. Le numérique a trois caractéristiques : c’est une forme continue, infinie et homogène alors que notre monde historique est divisé entre États et est discontinu (entre les océans et les terres). Comment donc gérer la certitude ? Le droit est fondé sur une faillibilité de la mémoire du passé et l’éloignement dans l’espace. Au contraire, le Big Data aujourd’hui amplifie cette certitude : on a trop de présent et la faille n’est plus dans le passé mais dans le présent. Les formes traditionnelles du droit ancien liées à cette forme du monde se confrontent à des nouvelles formes de légalité. On a la légalité technique et la légalité juridique. C’est à travers la légalité numérique/technique que les informaticiens vont remplir cette part de la légalité juridique.
Les fondements sont donc bouleversés. Le droit se trouve à l’état de nature où l’on a une égalité de nature mais pas d’égalité politique. Les solutions seraient les suivantes : la négociation, forme dans laquelle on ne recourt pas à l’imperium, (comme le fait le gouvernement américain en négociant avec les géants du web) ; la contractualisation de la justice qui est un mécanisme archaïque, pré-étatique ; la recherche de médiation (cf l’exposé relatif à la cryptologie qui fait office de médiation même si l’on passe par la technique). On verrait faire ainsi surface un retour d’un rapport de force cru, une territorialisation des pouvoirs par la capacité de blocage.
Sur la forme de la régulation, on peut penser à la soft law mais la véritable solution consisterait à réinstaller une forme symbolique, une représentation active du monde. Il faut que le droit se fonde sur d’autres bases et sur d’autres légalités que les bases et légalités utilisées traditionnellement – la force de l’État notamment – afin de retourner la technique contre elle-même. Ainsi, on pourrait traiter les problèmes que posent l’information par l’information, par l’empowerment. Il conviendrait en outre de mettre en capacité la multitude, le diffus, pour faire masse face à l’intermédiation. Ce que pose le numérique, en tant qu’espace en pleine effervescence, est donc la question de la représentation de ses usages, la manière de les nommer, la question de la représentation des intérêts.
Comme en matière de loyauté des plateformes en ligne, il ne faut pas succomber à l’erreur d’une régulation du monde en dehors de l’intention du monde.
- – La conception et la négociation d’un droit transversal des données.
Sur ce sujet, l’on a navigué entre effroi et volontarisme. Nous devrions vraisemblablement essayer de construire un droit du numérique ou de reconstruire le droit empirique qui existe déjà, et ce, de manière plus transversale et au regard de la donnée. Une construction transversale est nécessaire car le numérique n’est plus qu’un secteur de la vie mais c’est une dimension couvrant l’ensemble de notre vie sociale et économique. Si cette dimension est appréhendable par le droit, il faut chercher partout car le droit du numérique est entremêlé avec toutes les activités humaines (droit judiciaire numérique, droit international privé numérique, droit des contrats, etc.).
Quand on regarde l’archipel de textes juridiques dit “droit numérique”, on se rend compte que parfois les mêmes mots sont utilisés pour dire des choses différentes. Par exemple, dans la loi de 1978 sur les données personnelles, le terme “donnée” n’a pas la même signification que celles figurant dans le Code pénal ou dans la Loi pour la confiance dans l’économie numérique. Cela, parce que les mots utilisés par le droit n’ont pas été définis en amont.
Le droit du numérique est hétérogène et il contient des concepts polysémiques, contribuant ainsi à fragiliser d’autant plus le pouvoir de dire le droit par le juge. En effet, les avocats peuvent utiliser les termes dans plusieurs sens et dire le tout et son contraire. Pour établir un droit transversal des données, il faut partir de la base : la donnée. Dans la loi Lemaire on parle plus de la donnée que “des données”. Pourquoi commencer par là ? La première raison est que nous sommes entrés dans une nouvelle étape de développement des économies numériques où la valeur est liée au traitement des données (la première étape est relative aux ordinateurs, la deuxième aux logiciels et la troisième aux données). La focalisation du pouvoir s’est déplacée car l’endroit où l’on perd et gagne de l’argent, est dorénavant la donnée. La deuxième raison essentielle est que le traitement des données est fait de plus en plus par les acteurs du numérique dont les GAFA. Ce traitement est un traitement indifférencié, on prend la donnée pour ce qu’elle est. La valeur est donc répartie dans l’ensemble des types de donnée quelle que soit sa nature.
L’erreur serait d’appréhender les données selon les différentes catégories du droit (ex: propriété intellectuelle, santé, etc.). Ces catégories ont certes un intérêt mais avant d’être une donnée personnelle ou une donnée protégée par un droit de propriété intellectuelle, c’est une Donnée. La donnée est la représentation d’une information. La donnée est distincte de l’information qu’elle contient : elle est ce qui permet d’accéder à l’information.
Sur la définition de la donnée personnelle, comparons l’article 2 de la loi du 6 janvier 1978 et le même article dans la version modifiée en 2004. En 1978, on parle « d’information nominative » et de « traitement d’information », puis en 2004 c’est « toute information portant sur une personne identifiée ». On mélange donc information et donnée dans cette dernière définition. Le projet de loi Lemaire adopté à l’Assemblée nationale ne résout d’ailleurs pas ce problème de définition. En définissant la donnée, cela permet de faire de la donnée le support de plusieurs droits de base qui s’articuleraient avec des droits spécifiques. On appliquerait d’abord le régime de la donnée, puis celui de la donnée personnelle à titre de seconde couche, puis le régime de la donnée personnelle de santé à titre de troisième couche du régime.
Concernant les droits de base attachés à la donnée, on pourrait avoir un droit, absent de la loi de 1978, de disposer de ses données pour les diffuser et les négocier. D’autres droits seraient le droit de sécuriser ses données, le droit de traiter ses données soit par soi-même soit par un tiers. En effet, les droits de la loi de 1978 ne portent que sur les données à caractère personnel et si elle établit un droit de contrôler l’usage des données, le pouvoir de les négocier n’y figure pas. La donnée c’est ce qui est produit volontairement mais aussi involontairement. Une fois la donnée définie et quelques droits fondamentaux attachés, il convient de définir les règles relatives aux garanties légales de transfert du dépositaire de la donnée (si je peux négocier mes données, je dois être sûr que l’entreprise protège mes données). Certaines de ces règles devraient être d’ordre public quand d’autres seraient seulement supplétives de volonté. Se pose en outre la question de savoir si la personne peut se déposséder définitivement de ses données (personnelles ou non personnelles) c’est-à-dire si elle peut les vendre.
Enfin concernant le traitement algorithmique, un principe de liberté du traitement algorithmique serait envisageable sous conditions de légitimité du traitement, de licéité des finalités du traitement, d’établissement d’un régime particulier pour le traitement des données à caractère personnel ou encore d’interdiction absolue de certains types de traitement, comme déjà établie dans la loi de 1978 (qui interdit la prise de décision des autorités administratives sur la base d’un traitement automatique de données). Cela reviendrait à introduire une sorte de principe de précaution. Si l’on s’acheminait vers un droit transversal de la donnée, il faudrait qu’il soit international. Cela implique de discuter avec les partenaires européens et américains ou autres pour déterminer la source de la valeur et le compromis à trouver pour de bonnes conditions d’exploitation de la valeur. À dessein, l’on pourrait recourir à une forme de magna carta numérique, une charte des droits essentiels du numérique, en se mettant d’accord sur des valeurs communes en y joignant un mécanisme de réglementation internationale permettant la dénonciation par un État d’un autre État qui ne respecterait pas la charte.
Débats
En réalité, la donnée figure derrière toutes les problématiques: cybersécurité, cybercriminalité et le problème de l’accès à la donnée se pose également. La logique autour de la donnée est à échelle mondiale avec diverses conceptions (la conception américaine, chinoise, européenne etc. de la donnée). Aux États-Unis, le droit américain prévoit une règlementation très contraignante en matière de données personnelles, c’est simplement qu’elle est segmentée par secteur. Afin de démontrer que la donnée est au centre de l’internet, l’on peut relever que les américains tentent d’imposer avec force l’idée du concept du “Free law of Information/ Data”. Il faut lutter en réalité contre cette idée. Il n’est pas question de remettre en cause le principe d’absence d’entrave au traitement des données, seulement les notions sont si imprécises qu’elles permettent tout.
Quand on parle des données et du droit de négocier ses données qui peuvent ne pas être personnelles, que concerne le terme “ses données” sachant que les données ne sont pas forcément brutes et peuvent être modifiées et retraitées. Par ailleurs, peut-on autoriser n’importe quel type de traitement des données ? Le droit de disposer des données concerne les données que l’on produit directement (les signes, ce que je tape sur mon clavier) et également les données que je produis indirectement (les “crasses”) dès lors que j’arrive à identifier que ces données ont été reproduites par moi. Sur les traitements autorisés de données, il semble que dans l’univers des données, tant que je procède un traitement légitime, je peux utiliser les données. Toutefois on risque d’avoir des traitements dont on ne maitrisera pas les risques futurs.
Il faut donc distinguer la donnée de l’information : le contenu et le contenant.
Synthèse
Le processus Confrontations a été très utile pour faire rencontrer les intervenants et faire naître les discussions. Une embauche de stratégie numérique est présentée dans cette synthèse. C’est un projet de stratégie ministériel qui s’inscrit plus dans les relations internationales que dans le juridique. Il faut avoir du recul par rapport au rythme d’avancée de la technologie, pour prendre le temps nécessaire d’évaluer une stratégie. On part de l’idée que la révolution a été bénéfique à l’Europe et à la France mais que l’on doit faire face à deux défis, celui des grandes plateformes, celui des États autoritaires. Il convient de viser un nouvel équilibre numérique avec un fonctionnement démocratique et une égale participation des États, ainsi que d’affirmer un équilibre entre droit fondamentaux et croissance économique.
Le premier axe de cette stratégie est intitulé “promouvoir un monde numérique ouvert, diversifié et de confiance”. Les enjeux de gouvernance du numérique ont changé. La gouvernance ne tient plus qu’au simple contrôle de l’aspect matériel du réseau mais comprend aussi des problèmes politiques (linguistique, d’accès à tous). Dans ce cadre, la gouvernance n’est possible que si elle est transparente, inclusive, et si les parties prenantes sont réellement parties prenantes (à l’inverse de l’ICANN aujourd’hui où les États ne sont en fait pas partie prenante). Dans cette perspective, la France devrait poursuivre les objectifs suivants: préserver un internet ouvert et interopérable et pérenniser l’interopérabilité d’internet, favoriser l’accès de tous à un internet diversifié (accès de tous, sûreté, bas prix et système ouvert, diversité des expressions linguistiques et culturelles) et enfin renforcer la confiance dans Internet (en assurant le plein respect du droit international dans le cyberespace et combattant la cybercriminalité et les zones de non droit numérique).
Le deuxième axe de cette stratégie est intitulé “affirmer un modèle européen d’équilibre entre croissance et droits fondamentaux”. L’Europe n’a pas seulement vocation à être une consommatrice de l’économie numérique et la taille du marché intérieur lui confère un pouvoir structurant. Toutefois, l’Europe doit se servir de ses atouts pour protéger la tradition qui est la sienne des droits fondamentaux. Il faut un modèle européen d’internet afin de consolider le modèle et d’avoir des supras permettant d’imposer notre gouvernance numérique européenne. Il convient donc de garantir un haut niveau de protection des droits fondamentaux en assurant une certaine maîtrise de l’utilisation des données à caractère personnel, en instituant un principe de loyauté des plateformes numériques, en préservant les droits de propriété intellectuelle tout en boostant l’innovation. Il faut en outre renforcer l’écosystème numérique européen en promouvant un environnement favorable à l’économie numérique, en garantissant des règles équitables en matière de concurrence et de fiscalité, en défendant le modèle d’internet européen dans les négociations internationales, enfin, en renforçant la sécurité et l’autonomie stratégique européenne dans le monde numérique par la maîtrise des infrastructures essentielles notamment.
Le troisième axe est intitulé “renforcer l’influence, l’attractivité, la sécurité de la France et des acteurs français dans le monde numérique”. Il conviendrait d’inscrire le projet de loi Lemaire dans une perspective internationale. Le but serait de faire de la France un pôle d’excellence dans le monde numérique en innovant en matière d’ouverture des données publiques, en renforçant l’attractivité et l’internationalisation des écosystèmes numériques français et en faisant la promotion de notre modèle juridique en matière de maîtrise par les individus de leurs données. L’un des buts premiers est donc de garantir la sécurité et l’autonomie stratégique de la France dans le monde numérique, notamment en matière de cybersécurité, de défendre la position de la France et de ses alliées dans le cyberespace et d’accroitre avec les partenaires la résilience de notre environnement numérique.
Débats
Sur la notion de souveraineté numérique, cette notion n’a pas à être assimilée aux États totalitaires car tous les États revendiquent cette souveraineté. C’est une façon pour eux d’affirmer leur droit numérique dans le cyberespace. Dans quelle mesure Internet serait ouvert et interopérable ? On bataille avec toutes ces notions. Un internet ouvert et interopérable serait entendu dans le sens d’un bien commun ou de lieu de neutralité. Les États-Unis avec la décision de relâcher le contrôle du département du commerce sur l’ICANN, s’accommodent d’une certaine façon avec la notion de Global Common (bien commun) mais dans leurs pratiques, ils tentent de conserver une certaine hégémonie.
Sur la question de la neutralité du net, l’on ne sait pas quelle est la définition retenue par les États-Unis. La protection des individus contre la Nasa se trouve en fait en filigrane derrière les notions de données personnelles et de cybersécurité. Le modèle européen que l’on cherche à promouvoir n’est pas un modèle de protection absolue mais un modèle de conciliation entre innovation et protection des droits et libertés fondamentaux. L’État français n’aura donc pas les mêmes pratiques que la Nasa. On cherche plutôt à promouvoir un équilibre.
