Mardi dernier, lors de l’annonce du plan de déconfinement à l’Assemblée nationale, le premier Ministre Édouard Philippe a reconnu qu’il « ne savait pas si l’application Stopcovid fonctionnera » et a préféré repousser en conséquence le débat parlementaire à un moment ultérieur en promettant qu’un vote spécifique aurait lieu sur la question. Cette décision fait suite à des semaines d’intense polémique à propos de cette application de traçage numérique. Le même jour, la Commission nationale consultative des droits de l’homme publiait d’ailleurs un avis estimant que « du point de vue des libertés fondamentales, ce système est dangereux » et hier c’est le Conseil de l’Europe qui déclarait à propos de des dispositifs de backtracking : « Compte tenu du manque de preuves au sujet de leur efficacité, les promesses valent-elles les risques sociaux et juridiques ?« …
J’ai déjà eu l’occasion dans un précédent billet de dire tout le mal que je pensais de StopCovid et je ne vais pas en rajouter à nouveau dans ce registre. Je voudrais par contre prendre un moment sur la délibération que la CNIL a rendue en fin de semaine dernière à propos du projet d’application, car elle contient à mon sens des éléments extrêmement intéressants, en particulier sur la place du consentement en matière de protection des données personnelles.
Consentir ou ne pas consentir, telle la question…
On a pu lire que la CNIL avait validé le projet StopCovid dans sa délibération (n’est-ce pas Cédric O ?), mais les choses sont en réalité beaucoup plus subtiles que cela. Je vous renvoie pour le comprendre à l’excellente analyse que l’avocat Jean-Baptiste Soufron a publiée sur son blog. Il met notamment en avant un point important sur lequel je vais m’attarder : la CNIL s’est prononcée sur ce que l’on appelle la « base légale de traitement » sur laquelle l’application devrait s’appuyer pour exploiter les données collectées à partir des smartphones des utilisateurs. Ce concept est issu du RGPD (Règlement Général de Protection des Données) et il impose aux responsables de traitement de choisir parmi six bases légales différentes lorsqu’ils collectent et utilisent des données personnelles (voir tableau ci-dessous). Ce choix est très important, car selon la base retenue, le cadre juridique applicable varie substantiellement avec plus ou moins de garanties pour les personnes et plus ou moins de marges de manœuvre pour le responsable de traitement.
Le gouvernement n’avait eu de cesse de cesse de répéter pour légitimer son projet que le téléchargement de l’application resterait strictement volontaire et que StopCovid fonctionnerait sur la base du consentement des individus. Pourtant la CNIL écarte cette hypothèse et elle préfère se référer à une nécessité liée à une « mission d’intérêt public » comme base légale pour le fonctionnement de StopCovid :
En l’espèce, le gouvernement s’interroge sur la possibilité de fonder l’application StopCovid sur la base légale du consentement de 6 ses utilisateurs ou, à défaut, sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
[…] La Commission relève que la lutte contre l’épidémie de COVID-19 constitue une mission d’intérêt général dont la poursuite incombe en premier lieu aux autorités publiques. En conséquence, elle estime que la mission d’intérêt public, au sens des articles 6.1.e) du RGPD et 5.5° de la loi « Informatique et Libertés », constitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid.
Contrairement à ce que l’on a pu également lire, la CNIL n’a pas dit ici que l’application StopCovid présentait nécessairement un intérêt dans la lutte contre le coronavirus. Elle dit seulement que si le gouvernement décide de la mettre en circulation, alors il devra s’appuyer sur une mission d’intérêt public et il devra démontrer que l’application est bien nécessaire pour l’accomplissement de cette mission. La CNIL le dit explicitement un peu loin en indiquant que : »Le RGPD requiert néanmoins que les finalités du traitement en cause soient nécessaires à la mission d’intérêt public en cause« . Cela revient donc, non pas à valider a priori le projet, mais au contraire à suspendre au-dessus de lui une redoutable épée de Damoclès, car la charge de la preuve pèse à présent sur le gouvernement. Il lui sera sans doute très difficile de prouver que le recours à cette application est réellement nécessaire, alors qu’il n’existe aucun consensus sur ce point, ni parmi la communauté scientifique, ni chez les juristes et encore moins dans la société civile. Autant dire que la CNIL a offert sur un plateau d’argent un argument à tous les opposants à StopCovid qui pourront l’invoquer, devant elle et/ou en justice, sitôt que l’application sera rendue disponible…
StopCovid ou l’impossible consentement ?
Ce choix de la CNIL de se tourner vers la mission d’intérêt public plutôt que vers le consentement individuel pourrait paraître à première vue surprenant.
En effet, même si dans le RGPD les six bases légales ne sont pas hiérarchisées entre elles, la Commission tend quand même à accorder au consentement une certaine priorité, au nom du respect du droit à « l’autodétermination informationnelle ». Ce concept postule que l’individu est le mieux placé pour décider ce que l’on peut faire ou non avec les données le concernant et que c’est à cette échelle « micro » que l’essentiel de la régulation devrait être réalisée. La CNIL est généralement attachée à ce principe et cela tend à lui faire privilégier le consentement comme base de traitement (voir ici par exemple, dans un document à propos des traitements à des fins de recherche : « le consentement des personnes constitue le premier fondement légal à envisager en application du principe général d’autodétermination informationnelle« ).
Néanmoins pour l’application StopCovid, les opposants avaient justement souligné les limites de cette approche en dénonçant une instrumentalisation possible du consentement des personnes, dans un contexte de crise où des pressions de toutes sortes vont nécessairement s’exercer pour pousser les gens à utiliser ce dispositif. Voyez par exemple ce qu’en dit la Commission Nationale Consultative des Droits de l’Homme dans une partie de son avis intitulé « Un consentement libre et éclairé sujet à caution » :
La CNCDH s’interroge sur l’authenticité d’un consentement libre dans le contexte actuel. Comme le soulignait la présidente de la CNIL devant les députés, « le refus de consentir ne doit pas exposer la personne à des conséquences négatives ». Le gouvernement ne paraît manifestement pas conditionner le déconfinement des personnes à l’utilisation de l’application. La CNCDH souligne que cela s’oppose également à ce qu’un employeur impose à son salarié de télécharger et d’utiliser l’application, ou que cette dernière conditionne l’accès à l’espace public12. D’autres facteurs de contrainte sont néanmoins à craindre, tenant notamment aux risques de pression sociale, tant à titre individuel que familial13 ou professionnel, pouvant s’exercer dans un contexte de crise sanitaire particulièrement aigüe. L’impératif de santé publique, la lutte contre la propagation du Covid-19, la préservation du personnel soignant, sans doute invoqués à l’appui de la mise en place de l’application, constitueront autant de leitmotivs qui pèseront sur le choix des individus, appelés à agir en citoyens responsables. Par ailleurs, la CNCDH craint des risques de stigmatisation et de harcèlement à l’égard de tout individu qui refuserait d’adhérer à ces mesures de suivi.
Il y a dans ce passage des arguments qui relèvent de deux plans très différents. On nous dit en effet d’un côté que le consentement est valide uniquement si l’on n’attache aucune conséquence négative en cas de refus. C’est la condition fixée par le RGPD pour que le consentement soit considéré comme « libre » et dans ce cas, on est bien dans la dimension protectrice de la base légale du consentement. Cet aspect est important, car dans d’autres pays qui ont déjà déployé des applications de traçage, comme l’Italie, on commence déjà à voir des dérives, avec des pressions mises en place par le gouvernement pour pousser les personnes à utiliser l’appli :
Mais la CNCDH nous dit aussi quelque chose de très différent : même sans mesure de rétorsion plus ou moins appuyée exercée par le gouvernement, le consentement des personnes pourrait rester très ambigu, en raison des pressions sociales que les individus vont subir en cette période de crise sanitaire. Ce point est intéressant, car il tend à montrer que le consentement individuel est en réalité toujours plus ou moins une forme de fiction, l’humain étant un être social, soumis à diverses déterminations exercées par son environnement. Comme toutes les fictions juridiques, le consentement individuel peut être utile, mais on doit aussi lui fixer des limites pour éviter que la fiction perde pied face à la réalité. Or c’est exactement ce qui est en train de se passer dans un contexte de crise comme celui que nous traversons : on voit bien qu’un concept comme celui de « l’auto-détermination informationnelle » touche à ses limites et qu’il pourrait même finir par devenir dangereux si on continuait à le prendre pour argent comptant.
La CNIL ne l’abandonne pas complètement dans sa délibération, mais elle le fait de manière nuancée, en introduisant une distinction subtile, mais importante, entre le consentement et le volontariat. La Commission considère en effet comme essentiel que l’adoption de l’application reste basée uniquement sur le volontariat et elle met même en garde le gouvernement contre toute volonté de l’imposer :
Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Ainsi, l’accès aux tests et aux soins ne saurait en aucun cas être conditionné à l’installation de l’application. L’utilisation d’une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun. Les utilisateurs de l’application ne devraient pas davantage être contraints de sortir en possession de leurs équipements mobiles. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application. Ceci constituerait en outre, en l’état du droit et selon l’analyse de la Commission, une discrimination.
La CNIL aurait dit exactement la même chose si elle avait retenu la base légale du « consentement libre et éclairé » pour l’application StopCovid. Mais en l’espèce, comme on l’a vu, elle préfère lui donner comme fondement la nécessité liée à une mission d’intérêt public. Cela montre que, même dans un tel cadre, le respect du volontariat des personnes peut être exigé, tout en ne servant pas de base légale au traitement. Cela mérite que l’on s’y arrête et je vais tenter d’interpréter cet aspect du raisonnement de la CNIL en l’articulant avec la question de la subordination.
Subordination hiérarchique et subordination sociale
Le caractère particulier de la relation de subordination est en effet pris en compte dans le RGPD, qui considère que ce type de rapports déséquilibrées empêche normalement de se baser sur le consentement des personnes pour traiter des données personnelles (voir Considérant 43) :
Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière.
Il en découle que le consentement ne doit pas être retenu dans les relations de travail, entre un employeur et des employés à cause du lien de subordination, tout comme il doit être écarté dans les relations entre administrations et administrés dès lors que les premières utilisent leurs prérogatives de puissance publique. On comprend que dans de telles circonstances, un consentement « libre » ne peut plus être exprimé par les individus et c’est donc « structurellement » que le consentement est écarté au profit d’une autre base légale.
Sans le dire, on peut considérer que la CNIL a raisonné d’une manière un peu similaire dans sa délibération sur l’application StopCovid : si l’usage de l’application reste volontaire, les individus ne sont pas dans une relation de subordination avec la puissance publique, mais quand bien même, les pressions qu’ils vont nécessairement subir de la part du corps social dans lequel ils sont immergés matérialisent une forme de « subordination sociale » qui rendrait très problématique le fait de retenir la base légale du consentement. La situation rend donc « structurellement » impossible de se placer dans le cadre du libre consentement, tout comme cela doit être exclu dans les rapports plus classiques de subordination au travail.
La question va d’ailleurs sans doute rapidement se poser dans les entreprises, car on commence déjà à voir des acteurs privés qui envisagent de développer leurs propres applications de traçage numérique pour faciliter la reprise d’activité. C’est le cas par exemple du Crédit Agricole qui a fait une annonce en ce sens cette semaine. Ici aussi, ces entreprises ne pourront sans doute pas se baser sur le consentement des personnes, même si le recours à ces outils reste volontaire, eu égard au cadre de subordination hiérarchique dans lequel ce dispositif est déployé. Les conséquences juridiques ne sont pas anodines, car les entreprises devront alors se replier vers une autre base légale figurant dans le RGPD – l’intérêt légitime de l’entreprise – qui est sans doute l’une des plus fragiles, car il ne peut être invoqué que dans la mesure où « les intérêts ou les libertés et droits fondamentaux de la personne ne prévalent [pas] compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable de traitement« . Cela ouvre donc tout un champ de contestation possible pour les salariés, mais aussi (et surtout) pour les syndicats qui pourraient trouver là une excellente manière d’affirmer leur rôle de gardiens des données personnelles des employés.
Le parallèle avec StopCovid est intéressant à souligner, car tout comme les entreprises devront prouver qu’elles ont un intérêt légitime à déployer des applications de traçage (avec le risque que leur soit opposé les libertés et intérêts de leurs salariés), l’État va devoir prouver que StopCovid constitue une nécessité pour exercer une mission d’intérêt public. Et dans les deux cas, c’est l’existence d’un contexte de subordination – directe et hiérarchique dans un cas ; indirecte et sociale dans l’autre – qui justifie que l’on se place sur ce terrain juridique plutôt que sur le consentement individuel et la fiction – devenue insoutenable – de la prétendue « liberté ». Ce qui ne signifie pas que la dimension du « volontariat » soit écartée, car comme dit la CNIL, attacher des conséquences négatives à un refus pourrait être juridiquement considéré comme une « discrimination » interdite.
En finir avec le « Consent Washing »
Une des choses que je retiendrai de cette crise du coronavirus est la manière dont cette question du « consentement » a pu être instrumentalisée jusqu’à l’outrance et complètement intégrée dans les rouages de la gouvernementalité oppressive que nous subissons. Cela permet par exemple au gouvernement d’annoncer, en restant droit dans ses bottes, qu’il envisage de mettre en place un système de bracelet électronique pour les malades du Covid-19 pendant la période de déconfinement, mais rassurez-vous, citoyens, on ne le fera bien entendu qu’avec le consentement des personnes !
Allons plus loin : le retour à l’école des enfants, qui fait lui aussi tant polémique, se fera également – comme par hasard – sur la base du « volontariat ». Grossière farce que voilà ! Car il est bien clair que ce volontariat sera à géométrie extrêmement variable, selon que les foyers seront nantis ou modestes et que les parents pourront ou pas continuer à bénéficier du télé-travail et de conditions sociales favorables (appartement spacieux ou pas, recours à des gardes d’enfants à domicile, etc.). En surface, tout le monde pourra exercer un « consentement libre » et « s’autodéterminer » pour décider si les enfants doivent retourner à l’école. Mais dans la réalité crue, loin des abstractions juridiques, ce seront comme par hasard les plus pauvres qui devront prendre le risque de contaminer leurs enfants et de se contaminer eux-mêmes, et – histoire de joindre l’insulte à la blessure – on fera en sorte de leur faire porter la responsabilité d’avoir fait ce soit-disant « choix » par le biais duquel ils auront exprimé un « libre consentement » !
Le passage ci-dessus permet, je pense, de montrer assez clairement le fond ignoble de saloperie dans lequel baigne toujours plus ou moins un concept comme celui de « libre consentement » et « d’auto-détermination individuelle ». Ces fictions sont en réalité parfaitement compatibles avec l’idéologie néolibérale, dont le rêve ultime consiste précisément à enrober toutes les relations de domination derrière un voile bien commode de consentement. Dans son « Post-scriptum sur les sociétés de contrôle« , Gilles Deleuze avait déjà parfaitement anticipé que nous étions en réalité peu à peu sorti des sociétés disciplinaires, dont la gouvernementalité s’exerce à travers la contrainte, pour passer graduellement à des sociétés de contrôle aux dispositifs beaucoup plus fluides. Leur objectif est de contrôler les individus « de l’intérieur » par des systèmes de pilotage cybernétique, impliquant envois de signaux et rétroactions. Le numérique aura permis de donner corps à cette vision qui n’est, ni plus ni moins, qu’une « gouvernementalité par le consentement ».
J’ai déjà eu l’occasion de dire que tout ceci avait de lourdes implications en matière de protection des données personnelles. D’autres que moi, comme Helen Nissenbaum, ont déjà dénoncé ce qu’elles appellent la « farce du consentement » à l’oeuvre sur Internet et d’autres encore ont fait le lien avec la dénonciation de la « fabrique du consentement » déjà mise en avant par Noam Chomsky. Voyez par exemple cette interview récemment donnée par Christophe Masutti à l’occasion de la sortie de son livre sur le « Capitalisme de surveillance » dont ce passage m’a frappé :
[Le RGPD] prouve que nos institutions veulent agir, c’est une marque de bonne volonté. Mais le RGPD ne fait que formaliser le don du consentement […]. Notre société de surveillance émane aussi de notre propre culture, de notre acculturation à l’informatique et donc à la surveillance. Notre consentement, nous l’avons fabriqué.
Le drame est que le « consentement libre » du RGPD est doté d’une certaine efficacité contentieuse, qui pourrait faire croire qu’il s’agit encore d’un moyen sur lequel miser pour parvenir à réguler le système. Il a en effet déjà permis à la CNIL de sanctionner quelques abus, notamment en matière de géolocalisation à des fins publicitaires. Je peux donc comprendre que l’on s’y accroche à des fins tactiques, mais j’ai peur que l’on finisse par confrondre le niveau de la tactique avec celui de la stratégie, sans voir que la bataille de libertés ne peut pas être gagnée sur le terrain du « libre consentement », car c’est une notion déjà complètement intégrée aux rouages de l’idéologie néolibérale.
Il faut donc en finir avec le « Consent Washing », à commencer en nous-mêmes, ce qui risque d’être extrêmement complexe… C’est pourtant nécessaire, car que se passera-t-il lorsque les efforts déployés à la fois par la propagande gouvernementale et par les puissances privées du capitalisme de données auront réussi à convaincre la population des bienfaits des technologies de surveillance (« la bien(sur)veillance« , comme dit Cynthia Fleruy) ? Les individus finiront par « consentir librement » aux pires menaces à leurs libertés, sans même qu’il soit besoin de les menacer de sanctions, et le levier juridique que l’on aura cru pouvoir saisir pour se protéger aura achevé sa transformation en une arme redoutable retournée contre les personnes pour les faire participer à leur propre asservissement.
J’ai néanmoins l’impression que cette crise du coronavirus et la surenchère sécuritaire dans laquelle elle nous entraîne sont en train de jouer comme un accélérateur de prise de conscience sur ce rapport trouble que nous entretenons avec la notion de consentement. J’ai noté par exemple cette phrase dans une tribune contre l’application StopCovid publiée par Jean-Baptiste Soufron dans Libé :
Le consentement n’est pas un sésame pour toutes les atteintes aux libertés, et ce encore moins quand il est contraint par la peur de l’épidémie, ou par la coercition directe ou indirecte à travers des sanctions plus ou moins informelles – pense-t-on par exemple à la possibilité que l’application soit imposée aux salariés par des employeurs ou à des étudiants par leurs établissements d’enseignement ?
Autant les coercitions directes ou indirectes sont illégales sur la base du RGPD, parce qu’elles violeraient la condition du « consentement libre » et/ou l’interdiction des discriminations, autant cette notion sera de peu d’intérêt pour nous protéger des effets de la simple peur de l’épidémie ou d’une propagande bien orchestrée du gouvernement qui viendrait habilement « fabriquer un libre consentement »…
Dès lors, je trouve intéressant le raisonnement de la CNIL dans sa délibération, qui a préféré écarter la base légale du consentement en commençant à reconnaître l’incidence des contextes de « subordination sociale ». Car nous pourrons dire : « Opprimez-nous, exploitez-nous, avilissez-nous, Messieurs les dominants, mais au moins, ne prétendez pas le faire avec notre consentement« .