Création de la Ligue pour la Protection des Données Personnelles (LPDP)

En 2016, j'ai assisté incrédule à l'adoption du RGPD et de la Loi Lemaire. Sortant de huit ans de thèse en droit des données personnelles, j'avais bien imaginé que la prochaine étape dans le sujet serait plus libérale, mais pas à ce point. J'ai tenté d'influer sur le débat public, en participant à la mascarade de concertation de la loi Lemaire. J'ai tenté d'alerter la représentation nationale des risques de l'adoption de cette loi en termes de protection des droits de la personne humaine, en écrivant aux députés et aux sénateurs. Le résultat de tous ces efforts? Une note de bas de page d'un de mes articles dans un rapport parlementaire. Et ce nouvel état du droit, très favorable à la liberté de traitement des données personnelles.

En soit, pourquoi pas. L'Etat français et l'UE, en procédant ainsi, encouragent une activité porteuse de développement économique et d'innovation, l'activité numérique. Le seul hic avec ce procédé, c'est le respect des droits fondamentaux de la personne humaine. Ce que m'ont confirmé deux entretiens en 2016 avec des représentants, respectivement, des services du Premier ministre et du ministre de l'Economie de l'époque. Dans le premier cas, mes interlocuteurs - rédacteurs de la majeure partie du volet open data de la loi Lemaire -, m'ont avoué de manière assez gênée qu'ils étaient les seuls, lors de réunions de travail interministérielles sur le sujet, à ce soucier des droits de la personne humaine. A l'Economie, ça a été plus simple: la personne que j'ai eu en face de moi m'a juste dit que la protection des données, ils s'en foutaient tant que le numérique créait des emplois. Le pire dans l'histoire c'est que, dans ces deux cas, je ne déforme pas les propos rapportés. J'ai eu ces messages formulés de manière nette et claire.

Ces évènements, ainsi que l'expérience de l'appréhension par les entreprises de leur mise en conformité au RGPD, ont confirmé l'intuition que j'avais depuis la fin de ma thèse: en matière de protection des données personnelles, les enjeux en termes de protection des droits fondamentaux sont systématiquement sous-estimés par les pouvoirs publics comme par les responsables de traitement en général. L'exemple du traité FATCA d'échange de données fiscales entre la France et les Etats-Unis est assez révélateur du peu de cas que l'on peut faire de la protection des données personnelles: il ne contient littéralement aucune garantie pour la protection des données des contribuables français (voir mon étude sur ce sujet, parue à la revue Gestion et finances publiques en décembre dernier). Il en va de même pour le Privacy Shield, qui est une mascarade du point de vue de la protection des droits fondamentaux de la personne fichée. Je pense que l'on pourrait trouver assez facilement d'autres exemples, si l'on appliquait une démarche systématique.

Et tout cela nous mène où?

Très prévisiblement, à une société dans laquelle nous connaîtrons de plus en plus d'innovations, de services personnalisés, d'objets connectés, de villes intelligentes etc. Côté face, nous bénéficierons de ces services, qui nous apporteront de manière certaine: 1) de l'emploi pour les entreprises et start-ups qui les ont développés ; 2) l'accès à des services que je n'hésiterai pas une seule seconde à qualifier de futiles (un frigo connecté? Un four connecté? Mais grands Dieux pour quoi faire, pour de vrai?) ; 3) l'accès à des publicités d'une pertinence toujours plus grande (quel progrès!) etc. Bon, le point que j'essaie de souligner est qu'il y aura pas mal d'innovations légitimes dans le tas mais, pour l'essentiel à mon sens, ces "innovations" vont essentiellement avoir pour but de nous faire consommer plus, de perturber notre concentration par des sollicitations inopportunes, bref de nous emmerder la vie et de nous coûter de l'argent. Ca c'est le côté positif.

Côté pile, en négatif, voilà ce que je perçois: l'augmentation quantitative et qualitative des traitements de données personnelles. Demain, encore plus qu'aujourd'hui, nous n'aurons plus le choix de voir nos données personnelles collectées et traitées, par principe. Demain, encore plus qu'aujourd'hui, il sera donc possible de pouvoir gérer l'humain à distance, comme une tête de bétail. Prenons l'open data judiciaire, voté dans la cadre de la loi Lemaire. Pour ceux qui auraient la curiosité d'aller regarder les débats parlementaires, vous seriez peut-être surpris de voir la qualité des débats et la rage qu'ont eu les représentants du Peuple à défendre les droits des citoyens. En substance, quand est venu le temps de discuter de l'opportunité d'introduire l'open data judiciaire, un parlementaire a très justement objecté que ce dispositif emporte pas mal d'incertitudes en termes de protection des données personnelles des personnes. Réponse audit député d'Axelle Lemaire, alors Secrétaire d'Etat au numérique (je romance peut être un petit peu sur la forme mais le fond y est): "Ouaich Gros, alors comme la CNIL elle a dit qu'il n'y avait pas de problèmes [ce n'est pas vrai, la CNIL a toujours émis des réserves sur ce sujet] et qu'on en est au stade de la CMP et que je commence à en avoir marre de discutailler depuis un an, ben cet amendement introduisant l'open data au sein des juridictions judiciaires et administratives, on va le voter Gros, t'as vu". Et voilà, fin de la discussion parlementaire, l'amendement est voté.

Pour cet exemple, si on laisse faire l'open data judiciaire, ce sont des centaines de milliers - si ce n'est des millions - de décisions de justice qui se trouveront en ligne, à disposition de qui le voudra. Il est illusoire de penser que toutes ces décisions seront correctement anonymisées. Et même si elles le sont - Gloire au Big Data - les chances existeront pour que vous puissiez être réidentifiés par recoupement avec d'autres informations.

Donc je récapitule sur l'open data judiciaire: pour faire plaisir à trois start-ups et deux ingénieurs, on va autoriser la mise en ligne des décisions rendues par la justice nous concernant tous. Vous avez connu un redressement fiscal, vous avez divorcé, vous avez licencié sans motif valable votre nounou, vous avez été condamné à tant d'années de prison pour tel motif etc... Tout cela, se baladant à l'air libre sur le net, livré en pâture à quiconque aura la capacité de faire du reverse engineering en matière d'anonymisation. Et après il se passe quoi? Après, vous vous retrouverez en bout de course à ce que des banques, compagnies d'assurance ou vos éventuels employeurs puissent prendre connaissance de ces informations. Ou même de parfaits inconnus. La suite, je vous laisse l'imaginer: votre futur sera toujours déterminé par votre passé et non par votre présent. Votre aptitude à exercer votre libre-arbitre, pour changer, évoluer, mener votre vie en fonction de votre propre conscience, ce sera terminé. On pourra s'asseoir sur l'héritage des Lumières, sur ce cadeau fabuleux de la dignité de la personne humaine qui commande et permet à la personne humaine d'être Libre. C'en sera fini de cette parenthèse de l'histoire où la personne humaine aura pu se dire libre. Nous retournerons dans un déterminisme, cette fois technologique. Et cela ne nous desservira pas forcément: nous vivrons plus vieux, mieux divertis, mieux servis. Mais nous vivrons comme des moutons, incapables de décider de leur destin. Gérés à distance. Pour leur plus grand bien.

Alors bon, je sais pas vous, mais moi ça me branche pas trop ce futur. C'est pour cela que j'ai créé avec une poignée de citoyens tous aussi inquiets et conscients que moi de cette dérive la Ligue pour la Protection des Données Personnelles (https://ligue-de-protection-des-données-personnelles.com/presentation.htm).

Que ce soit bien clair: nous n'avons pas de moyens, nous n'avons que peu de temps mais nous sentons qu'il est nécessaire et urgent d'agir pour infléchir cette évolution que nous percevons comme néfaste pour la personne humaine.

Que souhaitons-nous faire?

Agir. Nous connaissons le droit, nous savons à quel point il est laissé de côté par les Pouvoirs publics aussi bien que par les entreprises et administrations cherchant à se mettre en conformité.

Agir comment? Par le droit.

Nous avons la chance de vivre dans un Etat de droit. Cela signifie en termes clairs que l'Etat est soumis au droit. La seule chose positive ayant émergé de la dernière guerre mondiale: cette idée que les Etats peuvent, quand ils adoptent des lois, faire des conneries qui desservent les intérêts de leur Peuple, et que l'on doit pouvoir corriger ces conneries en pouvant saisir un juge. Qui, le cas échéant, pourra engager la responsabilité de l'Etat ou annuler l'acte juridique manifestement contraire aux droits fondamentaux qu'il aurait pu adopter. Très concrètement, nous souhaitons à titre principal, à la LPDP, lancer une opération de toilettage de l'environnement normatif existant en matière de protection des données personnelles en vue de le rendre conforme aux standards de protection des droits fondamentaux tels qu'ils découlent des textes et de la jurisprudence de la CEDH, de la CJUE et du Conseil constitutionnel.

Nous souhaitons également, une fois passé le délai de cinq ans imposé par la loi pour une justice pour le 21ème siècle, lancer des actions collectives judiciaires.

Nous souhaitons également, dès le 26 mai 2018, lancer des actions collectives administratives, se traduisant par des vagues coordonnées d'exercice par les personnes concernées de leurs droits d'accès, à l'oubli, à la portabilité etc à l'encontre des responsables de traitement.

Nous agirons également en justice sur mandat (RGPD, article 80) pour permettre la réparation en justice du préjudice subi par toute personne, du fait du non respect des règles afférentes à la protection des données personnelles

Bien évidemment, tout cela serait incomplet sans des actions de sensibilisation auprès des citoyens, et sans la promotion et la mise en lumière de tout service ou procédé permettant aux citoyens de mieux protéger, par eux-même, leurs données personnelles et donc leur liberté (je pense par exemple à Qwant mais il y en a bien d'autres).

Dans la même optique, c'est également avec plaisir que nous contribuerons à susciter et alimenter le débat public sur l'opportunité même de faire évoluer notre société vers une numérisation globale de ses activités. L'internet des objets, le Big Data, les Smart cities... Je n'ai jamais consenti à tout cela et je ne pense pas que mes représentants à l'Assemblée Nationale l'aient également fait. Je n'ai jamais consenti à ce que Google ait autant de pouvoir sur moi. Idem pour les autre GAFAM. Je n'ai pas le sentiment qu'il y ait eu dans le domaine de l'informatique de débat de fond sur les conséquences politiques et sociétales de la diffusion massive de ces technologies. Cela a eu lieu pour les technologies du vivant, et nous avons eu la Bioéthique. Pourquoi n'y aurait-il aucune réflexion politique publique sur l'informatique et le numérique au sens large? Sur le type de société auquel cela nous conduit?

Mais pour faire tout cela, nous avons besoin:

1) De locaux;

2) De volontaires prêts à donner de leur temps et de leur énergie pour l'analyse des textes et la rédaction des mémoires contentieux;

3) De volontaires prêts à donner de leur temps et de leur énergie pour nous aider en matière de communication (design du site web, maintien du fil d'actualité etc.);

4) De manière générale, de tout aide ou appui qui permettra à la LPDP la réalisation de ses objectifs statutaires, à savoir la protection des droits et libertés fondamentales des citoyens dans un monde numérique. Cette aide peut prendre la forme d'un partage du présent post, de l'identification de "textes cibles" pour nos prochaines actions en justice (des conventions internationales, lois ou règlements ne respectant manifestement pas les règles de base en matière de protection des données personnelles), de l'hébergement des réunions publiques etc...

Les personnes intéressées pour adhérer à la LPDP peuvent le faire via le site (https://ligue-de-protection-des-données-personnelles.com/presentation.htm). En fonction des retours que j'aurai d'ici une semaine, j'annoncerai la tenue d'une première réunion publique d'information.

Et une fois les bonnes volontés rassemblées et coordonnées autour de projets bien cadrés, nous nous préparerons, nous aussi, pour le 25 mai 2018. Le RGPD nous donne l'opportunité d'être acteur non pas uniquement de la protection de nos données personnelles, mais également de celle de l'ensemble des citoyens. Saisissons cette opportunité historique qui nous est donnée pour que la Liberté dont nous jouissons tous aujourd'hui encore puisse profiter, demain, à nos enfants.