Numéro huit
Retrouvez le numéro huit de
Third : Le numérique et notre vie privée
Retrouvez le numéro huit de
Third : Le numérique et notre vie privée
HP : Je dois d’abord préciser que l’objet de Charta21 est plus large que la protection de la vie privée car nous sommes une association de défense des droits fondamentaux. Ce sont l’inquiétude et l’indignation que suscitaient les multiples dérives de nos pouvoirs publics pendant la crise du Covid-19 qui ont motivé la création de cette association belge. Une spécificité belgo-belge de cette crise est en effet que les divers niveaux de pouvoir ont accumulé des décisions totalement illégales. La Belgique a d’ailleurs été épinglée par l’hebdomadaire The Economist dans son « Democracy Index » de 2021 comme le pays d’Europe occidentale où les droits fondamentaux avaient le plus reculé pendant la crise sanitaire. Avec deux ans de retard, mais sans surprise, les décisions judiciaires condamnant l’État fédéral et les régions commencent à tomber.
Le nom « Charta21 » est un hommage à « Charta77 », l’organisation tchécoslovaque fondée par Vaclav Havel et ses amis. Comme les opposants tchécoslovaques à la dictature communiste, nous exigeons que nos gouvernements (car en Belgique nous avons autant de gouvernements que d’autres, plus chanceux, ont de puits de pétrole…) respectent et appliquent la Constitution, les conventions internationales et les lois qui s’imposent à eux. Nous réclamons donc en résumé le respect de l’État de droit.
Parmi nos membres, nous comptons de nombreux juristes et spécialistes du droit de la vie privée et quand nous avons cherché des moyens d’enrayer la machine sur le plan judiciaire c’est très naturellement que nous en avons trouvé certains à analyser le RGPD. Avec le recul c’était une évidence. Les technologies qui utilisent le « Big Data » ne sont pas omniprésentes uniquement dans la vie des affaires : les politiques publiques en font également grand usage. La vie privée est donc, du point de vue des libertés fondamentales, à la fois le canari dans la mine puisque toute politique qui touche aux libertés fondamentales a un volet vie privée, et un fer de lance grâce aux dispositions détaillées et aux peines dissuasives que prévoit le RGPD, du moins à l’égard des acteurs privés. Une minorité d’États-membres de l’Union européenne, dont la Belgique, ont en effet soustrait les pouvoirs publics à l’application des amendes que prévoit le RGPD.
Le RGPD a par ailleurs la grande qualité d’être une réglementation européenne que l’État belge ne peut modifier à sa guise. Il faut d’ailleurs noter que l’Autorité de Protection des Données (APD), l’équivalent belge de la CNIL, a été un des rares contre-pouvoirs qui a exercé sa fonction de contrôle pendant la crise du Covid-19, relevant sans complaisance les multiples violations du RGPD que comportaient les réglementations qui lui étaient soumises.
L’APD traverse cependant une crise profonde. L’État belge cherche à la mettre sous tutelle, notamment en y faisant siéger les personnes qui sont responsables de la gestion des données privées pour son compte. Ces personnes sont donc à la fois juge et partie puisqu’elles peuvent venir l’après-midi approuver tout ce qu’elles ont fait le matin. C’est totalement illégal mais en Belgique on ne s’arrête pas à ce genre de détail – nous avons même un Ministre de la Santé publique qui a déclaré, en mars 2021, que les décisions judiciaires condamnant l’état « ne l’impressionnaient pas ».
Plutôt que de rétablir la légalité les deux lanceuses d’alerte, Alexandra Jaspar et Charlotte Dereppe, ont eu la vie dure pour avoir dénoncé la présence au sein de l’APD de personnes dont les fonctions (hors de l’APD) étaient incompatibles avec leur mandat. Ces lanceuses d’alerte ont fini l’une par démissionner et l’autre par être licenciée après avoir subi pendant des années un quotidien toxique. Vous ne serez sans doute pas étonné d’apprendre que la Belgique n’a pas transposé la Directive Lanceurs d’alerte, ce qui ne s’explique pas uniquement je crois par notre légendaire « je m’en foutisme ». C’est également un dossier qui préoccupe fortement Charta21.
Bref, comme vous le voyez, la vie privée s’est imposée à nous au moins autant que nous l’avons choisie.
HP : Grâce aux compétences professionnelles de nos membres, nous sommes parvenus à mener plusieurs actions qui ont forcé les pouvoirs publics à revoir leur copie, notamment en ce qui concerne l’application de contrôle du pass sanitaire, CovidScan, qui était un véritable moulin à vent sous prétexte de facilité d’utilisation. Le cadre légal très clair que fournit le RGPD est en effet difficilement contestable.
Nous sommes sans doute une association un peu sui generis : comme beaucoup d’autres jeunes associations belges (Trace Ton Cercle, Notre Bon Droit, I love my Constitution, etc.), nous sommes apparus pendant la crise du Covid-19, mais ne nous sommes jamais positionnés sur la vaccination en tant que telle, malgré de gros tiraillements internes. Nous ne sommes pas focalisés sur la seule vie privée comme None of Your Business (NOYB) par exemple, mais sur les libertés fondamentales et donc par la force des choses plutôt sur les politiques publiques. Par rapport aux associations plus anciennes de défense des droits humains, nous avons sans doute un profil politique plus neutre puisque les droits humains sont bien plus larges que les libertés fondamentales. C’est tout à fait consciemment que nous nous sommes en effet bornés à cette partie des droits humains qui bénéficie du consensus le plus large. Ceci étant dit, nous considérons ces différences comme un atout plutôt qu’un problème et privilégions la collaboration avec d’autres associations chaque fois que c’est possible, dans le respect des spécificités de chacun. Les chantiers sont nombreux, importants et les moyens limités. La collaboration entre les divers acteurs est donc une nécessité.
Notre objectif est d’obtenir le respect scrupuleux des libertés fondamentales et de l’État de droit. Le contexte belge est important à cet égard, car une des conséquences du délitement de l’État belge est que nos pouvoirs publics sont structurellement inefficaces et qu’ils semblent considérer que la variable d’ajustement ce sont les libertés des citoyens. Nous nous opposons à ces dérives et nous espérons pouvoir les enrayer. En ce sens, notre démarche est avant tout juridique plutôt que politique si on compare à la France, où on peut discuter de l’opportunité des décisions qui ont été prises mais où, du moins à ma connaissance, il n’y a pas réellement débat au sujet de leur légalité.
HP : Nous ne sommes opposés à l’usage des données personnelles, bien au contraire. Il est tout à fait évident que le « Big Data » peut avoir un rôle très bénéfique dans le domaine médical – mais inversement ils peuvent également être mis en œuvre au détriment des personnes concernées. Nous estimons que ces usages doivent être justifiés et balisés de manière extrêmement stricte. Sauf très rares exceptions, ils doivent être autorisés par la personne concernée et lui bénéficier, ou à tout le moins ne pas lui nuire. Personnellement, je crois que la différence entre le public et le privé n’a pas dans ce contexte une grande importance, ne serait-ce que parce que toute donnée collectée par un acteur privé peut être « réquisitionnée » par les pouvoirs publics. Quand ces pouvoirs publics sont par ailleurs étrangers, il faut être conscient qu’on ne bénéficie même pas des (maigres) garanties et recours dont on dispose contre l’État dont on est citoyen (ou un autre État-membre de l’Union pour les Européens).
Entendons-nous, je n’entends pas par là que ce que fait le privé de nos données n’a aucune importance, bien au contraire. Mais en se bornant à cet aspect des choses on ne prend pas je crois la mesure de l’ampleur véritable du phénomène. Les évolutions politiques des dernières décennies nous démontrent en effet que la démocratie et les libertés fondamentales ne sont pas des évidences et que si on ne les défend pas au quotidien on risque de les voir s’évanouir très rapidement. Le droit à la vie privée est un droit humain et son importance est devenue gigantesque en raison de l’évolution technologique. Il renforce les autres droits humains et souvent sa violation est également une atteinte à un autre droit humain. C’est ce droit à la vie privée qui doit être au centre de tout le dispositif légal de protection des données personnelles et protégé par des peines qui sont à la fois dissuasives et de nature à rétablir les droits de l’individu lorsqu’ils ont été violés.
HP : C’est une question fondamentale et je vous avoue que je n’ai pas de réponse toute faite à vous donner. Je vais donc me borner à énumérer une série d’éléments de réponse que j’espère pertinents.
Le RGPD a l’énorme mérite d’exister et il faut reconnaître que ses concepteurs ont anticipé de manière visionnaire sur des questions dont l’importance et l’ampleur n’apparaissaient pas à tout le monde à l’époque. Il n’est sans doute pas parfait mais on exagère souvent la complexité de sa mise en œuvre. La protection de l’information contre des usages non-autorisés, données personnelles mais aussi toutes les autres données confidentielles, est fondamentale pour toute organisation. Ne pas s’en préoccuper est une faute de gestion grossière. L’application de la « méthode RGPD » aux informations confidentielles est en réalité du simple bon sens si on veut en assurer la sécurité. Elle recoupe largement ce que ferait tout bon professionnel, même en son absence, pour protéger l’information de son organisation. Je crois donc que globalement le volet obligatoire du RGPD est une grande réussite et qu’il a bénéficié aux entreprises et aux pouvoirs publics en imposant une méthode qui est utile non seulement pour les données personnelles mais également pour d’autre types d’information. Il y a sans doute moyen de faire mieux mais la base me semble saine.
Ce que le RGPD n’est pas parvenu à faire par contre est de mettre chaque individu aux commandes de l’utilisation qui est faite de ses données personnelles. On peut certes incriminer les textes, qui semblent avoir été écrits pour des individus qui ont une excellente compréhension du « Big Data » et la motivation et le temps de paramétrer l’usage de leurs données personnelles selon leurs vœux. Si vous me permettez la comparaison, le RGPD est comme un programme informatique très efficace et puissant mais dont l’utilisation est peu intuitive et requiert des connaissances dont peu de gens disposent. Le symbole de cette connexion ratée avec un large public est sans doute l’autorisation des cookies, une procédure qui semble futile et énerve beaucoup d’internautes. Monsieur et Madame Tout-le-Monde ne sont sans doute pas suffisamment conscients de l’usage qui peut être fait de renseignements qui leur paraissent anodins quand on les recoupe avec d’autres. Ils ne sont donc pas très motivés pour faire l’investissement de temps et d’attention nécessaire pour se renseigner. Je dis cela sans aucune condescendance, c’était mon cas jusqu’à il y a peu. Il n’y a que 24 heures dans une journée, qu’on n’a pas nécessairement envie de consacrer à une matière qui semble abstraite et loin de préoccupations quotidiennes tout aussi importantes. Je crains qu’il faille un gros incident qui fera des dégâts spectaculaires pour renverser la vapeur. La plupart des gens ne pensent à mettre de bonnes serrures sur leurs portes et à installer une alarme qu’après avoir été cambriolés. Et il faudrait sans doute inventer de meilleurs outils pour donner le contrôle à l’individu, mais j’avoue que je n’ai pas moi-même la moindre idée de la forme qu’ils devraient prendre.
Il me semble aussi qu’il faudrait approcher le numérique avec un peu plus de réalisme, et notamment intégrer l’idée que le gratuit est trop beau pour être vrai. Sur Internet, si vous ne payez rien, c’est vous le produit. En soi, il n’y a rien de mal à cela mais il faut en être conscient et se rendre compte que les usages qu’on peut faire de données personnelles ne se bornent pas à des publicités ciblées. Donc peut-être faut-il que chacun envisage d’utiliser un webmail payant qui respecte la vie privée, de ne pas attendre d’avoir été hacké avant d’utiliser un antivirus, un pare-feu et un gestionnaire de mots de passe, payants eux aussi. Chacun d’entre nous intéresse des gens aux moyens et à l’imagination démesurés qui mettent en œuvre toutes sortes de petites merveilles technologiques pour s’approprier nos données personnelles avec d’autant plus de facilité que le coût marginal d’utilisation de ces technologies est généralement dérisoire. Heureusement nous aussi pouvons utiliser la technologie afin de réaliser nos propres projets plutôt que d’être celui de quelqu’un d’autre. Et on peut aussi toujours refuser d’utiliser certaines technologies, on l’oublie trop souvent. Personnellement je me passerais difficilement d’un smart phone (alors que je n’en ai pas ressenti le besoin pendant la plus grande partie de ma vie, soit) mais je comprends très bien ceux qui font le choix de ne pas en avoir.
En conclusion, je crois donc que nous sommes au milieu du gué. Le RGPD est un bon instrument qui est apparu au bon moment mais il est perfectible, surtout si on veut mettre le sujet des données personnelles aux commandes, ce qu’on pourrait faire par exemple en commençant par reconnaître qu’il a un droit de propriété sur ces données. La prise de conscience de l’importance de la protection des données augmente, mais elle a quelques tours de retard sur l’évolution technologique. Il faut espérer que tout cela ira dans le bon sens et qu’il n’y aura pas trop de casse en route !
En tout cas c’est une bonne chose qu’il y ait des associations, et Charta21 en fait partie, qui sont attentives au problème et veulent y apporter des réponses.