Le droit public du numérique, une perspective française

  • 1 juin 2022

Entretien Causes Communes

Paul MOUSSIER
Chargé d’Enseignement
Université Paris 1 Panthéon-Sorbonne

Nous n’avons pas la même législation, mais matériellement nous avons les mêmes règles, et des équivalences au titre de la cohérence économique sur le continent européen. Tour d’horizon du droit public du numérique avec le spécialiste Paul Moussier, d’un point de vue européen et français, qui sont autant de sources d’inspiration. 

Olivia Bessat : Paul, parle-nous de ton sujet de prédilection.

Paul Moussier : Je suis spécialisé dans le droit public du numérique, qui est un droit appliqué notamment aux politiques publiques d’innovation. Il recouvre trois branches principales : le droit des données, le droit des technologies (comme pour l’intelligence artificielle ou la block chain), et le droit de l’innovation (marchés publics d’innovation et autres marchés publics de technologies de l’information). D’un point de vue du marché de l’emploi, il y a un vrai besoin et par conséquent beaucoup d’offres dans ce domaine, surtout grâce aux règlementations européennes, comme le Règlement Général sur la Protection des Données (RGPD) qui a commencé à être appliqué en mai 2018. Le RGPD a posé le cadre européen pour le traitement et la circulation des données à caractère personnel, et il a impliqué de nombreuses adaptations et développements pour les entreprises comme pour les administrations publiques. 

OB : En parlant du RGPD, j’ai noté qu’en 2021 c’est quelques 214 millions d’euros qui sont rentrés dans les caisses européennes au titre des sanctions liées au non-respect de la règlementation. Il y a un véritable enjeu financier.

PM : En effet, c’est ce pouvoir de sanction qui est très intéressant avec le RGPD. Pour l’administration publique, les amendes peuvent monter jusqu’à 20 millions d’euros, et pour le secteur privé, le plafond des amendes se monte à 4% du chiffre d’affaire. Ce n’est pas rien, tout spécialement pour les Très Petites Entreprises (TPE) et les Petites et Moyennes Entreprises (PME). Ces sanctions sont également intéressantes car elles sont quelquefois médiatisées, et aussi car elles ont mis en exergue l’argument du respect éthique du traitement des données, et donc du RGPD, comme argument de consommation et aussi de vente, comme une sorte de label. Un projet de « digiscore » est aussi en gestation, un peu comme ce qui existe sur certains aliments avec le nutriscore, et qui pourrait se traduire aussi dans les marchés publics comme critère de pondération et d’attribution du marché. 

OB : En soit, dirais-tu que le RGPD est une petite révolution ?

PM : Tout à fait. Historiquement, le droit de la protection des données est quasi-né en France en 1978, via la Loi Informatique et Libertés du 6 janvier de la même année, sur une logique déclarative. A cette époque, et donc pendant près de 40 ans, pour les administrations et entreprises, il s’agissait de déclarer à la Commission nationale de l’informatique et des libertés (CNIL), qui est le régulateur des données personnelles, la finalité et l’usage qu’on comptait faire des données qui étaient collectées. Ce système fonctionnait relativement bien tant qu’on ne traitait pas beaucoup de données. Mais avec l’avènement d’internet et l’augmentation des capacités de calcul et de traitement des données, c’est rapidement devenu ingérable pour la CNIL. Du coup, les responsables politiques ont décidé de mettre sur pied une nouvelle logique, dite de conformité, à travers le RGPD : les entités collectant des données doivent désormais cartographier les risques liés à la collecte de données, auditer leur usage des données, former les collaboratrices et collaborateurs. De son côté, la CNIL pourra procéder à des contrôles aléatoires, avec une part de planification en fonction de ses priorités annuelles. La véritable révolution juridique est là. Par exemple, pour ce qui est du cloud, la CNIL va regarder les rapports contractuels entre l’Administration et ses serveurs, à la demande des citoyen-nes ou sur la base d’une plainte. On voit bien là un système d’action commune, et une véritable cohérence dans l’action de contrôle. 

OB : Dirais-tu que les citoyen-nes se sont vraiment investi-es des questions des données ?

PM : Absolument. Un exemple très symbolique est celui de Max Schrems, qui est à l’origine de None of Your Business (NYOB), une ONG qui utilise les meilleures pratiques des groupes de défense des droits des consommateurs, des défenseurs de la vie privée, des pirates informatiques et des initiatives de technologie juridique et les fusionne en une plate-forme européenne de support d’application de la loi et du RGPD. On pourrait le qualifier de citoyen-lambda, qui un jour décide de fermer son compte Facebook et veut récupérer ses données. Il n’y avait pas de RGPD à l’époque, et il envoie tout simplement un mail à Facebook, qui lui envoie une copie de ses données, et où il réalise que plusieurs de ces dernières n’ont pas été effacées à la suite de demandes précédentes. Il s’adresse alors à l’autorité de contrôle compétente en Irlande, là où est domiciliée Facebook en Europe, jusqu’à la High Court of Ireland, leur Cour Suprême, qui finit par poser une question préjudicielle à la Cour de Justice des Communautés Européennes. Le juge européen lui reconnait le préjudice, en soulignant qu’il y a effectivement un problème de droit des données, enjoignant Facebook Ireland à effacer les données de Monsieur Schrem. Il a également annulé la décision d’adéquation et le traité d’échanges des données entre les Etats-Unis et l’Union Européenne, ce qui a permis d’ouvrir la voie d’un droit du numérique européen, obéissant à une logique complètement indépendante d’un système bien plus libéral dans son esprit. 

OB : Comprend-on véritablement la valeur des données ?

PM : En quelques sortes. On observe parfois un problème de compréhension quant à la valeur des données elles-mêmes. Par exemple, lorsque qu’un-e juriste spécialisé-e dans l’application du droit du numérique rédige des conventions d’échange de données, d’aucuns peuvent être surpris de ne pas y voir figurer un montant pécuniaire, et penser que ces conventions n’ont aucun enjeu financier. Mais la valeur des données n’est pas monétaire, elle réside dans la donnée elle-même. Si on prend l’exemple des données publiques, d’un point de vue de la théorie politique, elle ne peut être facturée. On a un réel besoin des données : aujourd’hui on ne produit essentiellement que du service, via des plateformes qu’il faut nourrir de données personnelles pour faire travailler l’intelligence artificielle qui est derrière. On peut aussi vendre les données dans les Etats sans RGPD ou règlementation protectrice, dans lesquels on peut vendre des jeux de données et des accès. C’est notamment par ce biais que le scandale Cambridge Analytica est arrivé, avec une véritable mise en place de market places pour les vendre. Dans l’Union Européenne, on a fait le choix de réguler et de contrôler. Ce n’est pas anodin, c’est un véritable choix politique, car on pense qu’il doit y avoir une éthique quant à la collecte et à l’utilisation des données personnelles. L’Etat contrôle le jeu de données et le met à disposition via des plateformes qui lui appartiennent, en open data. Ce choix découle d’une pratique des années 1970, lorsque l’Administration découvre que les fonctionnaires mais aussi les citoyen-nes veulent avoir accès à leurs données contenues dans des documents administratifs, et donc que celles-ci doivent être ouvertes. 

OB : L’open data est donc un choix politique fort ?

PM : La donnée publique est une donnée produite ou émise par le service public. Il y a donc trois raisons pour promouvoir leur accès libre, en open data : d’abord des raisons politiques, puisque ces données sont financées par l’impôt. Il apparait donc normal que ces données soient accessibles aux citoyen-nes. Ensuite, il y a une raison peut-être moins avouable, ou du moins moins avouée, qui est celle de favoriser l’innovation : en ouvrant les données publiques, on permet aux TPE, aux start-ups d’accéder à des jeux de données sans avoir à les payer, comme par exemple celles de l’Institut national de l’information géographique et forestière (IGN), et ce depuis la loi française du 7 octobre 2016 dite Loi pour une République Numérique, créant un principe d’ouverture des données publiques, disposant que les grandes administrations doivent ouvrir leurs données. Tel fût le cas notamment pour les applications COVID, pour accéder aux informations de disponibilités des doses. Enfin, l’open data est intéressant pour des raisons liées à la propriété des données. Celle-ci dépend des types de données disponibles. Pour ce qui est des données dites industrielles, ou non-personnelles, comme les statistiques ou les chiffres liés à la production, la propriété est simplement établie en étant celle du producteur ou de la productrice (comme par exemple une entreprise). Pour les données personnelles par contre, ça se complique : il n’y a pas de propriété en tant que telle d’un point de vue juridique. Certaines personnes militent pour que ce soit le cas, comme le libertaire Gaspard Koenig, mais rien n’établit qu’une donnée vous concernant vous appartienne. Le seul principe juridique qui s’approche d’une propriété établie a été dégagé par la Cour constitutionnelle allemande, dit « principe d’auto-détermination informationnelle ». Vous n’êtes pas propriétaire de vos données mais vous avez des droits quant à celles-ci, comme l’accès, la modification, la portabilité. En France, nous avons ajouté le droit d’exprimer des directives mortuaires ante mortem pour déterminer l’avenir des données qui vous appartiennent. L’open data permet de contourner les problèmes liés à ce vide juridique. 

OB : Comment peut-on garantir que l’intelligence artificielle respecte les principes du service public – égalité, continuité et neutralité ? 

PM : D’un point de vue technique, l’intelligence artificielle est un code informatique, un algorithme. Il faut donc l’entrainer pour qu’elle devienne de plus en plus performante, en la nourrissant de données (personnelles, photos etc…) sur la base de critères préalablement établis. On considère actuellement que l’intelligence artificielle a un niveau de reconnaissance et de lecture d’un enfant de six ans. C’était impensable il y a encore quelques années. Il faut donc lui donner de la matière « objective ». Seulement comme les critères définissant celle-ci sont établis par des personnes humaines, les limites de cette objectivité est directement corrélée à celles des programmeurs et programmeuses. Un exemple fascinant et franchement inquiétant nous vient des Etats-Unis, où des juges ont commencé à rendre des décisions sur la base de logiciels statistiques, comme le logiciel COMPAS, avec un algorithme qui prédit la récidive en fonction de données, notamment raciales, sans être capable de corréler celles-ci avec les lieux et les circonstances. Du coup, pour pratiquer l’euphémisme, il faut vraiment insister sur le besoin absolument crucial de bien entrainer l’intelligence artificielle pour éviter des dérives monstrueuses. La souveraineté européenne en la matière pour développer « nos » propres solutions est inévitable. 

D’un point de vue juridique, il faut se poser la question d’où employer l’intelligence artificielle. Nous n’en avons pas besoin partout, ni pour optimiser chaque processus ni la substituer à un travail qu’une personne humaine dotée de discernement pourrait et doit effectuer. Du fait qu’on n’a pas de technologie en propre, et qu’on est donc tributaire du prestataire à qui on achète les logiciels et donc l’intelligence artificielle qui va avec, il faut être en mesure d’instaurer des clauses de responsabilités robustes, et conséquentes. 

Télécharger le journal entier en PDF