Comme toutes les réglementations, le règlement européen sur la protection des données (RGPD) se veut au service de la sécurité et de l’intérêt du consommateur. Il prétend établir des normes minimales objectives de confidentialité, de sécurité et de transparence des processus de traitement des données.
Il impose également des normes organisationnelles aux prestataires tout en les rendant, vis-à-vis des utilisateurs, débiteurs d’obligations légales, augmentant par là les coûts de conformité des activités entrepreneuriales dans l’industrie du numérique. Nous avons eu l’occasion de douter de l’utilité du RGPD – ou plutôt de sa dimension impérative – pour les utilisateurs.
Nous avons soulevé sa vaine prétention à objectiver les préférences de ces derniers en matière de con-fidentialité, de sécurité et de transparence.
La théorie économique enseigne que l’utilité d’un service et que les contreparties acceptables pour bénéficier de ce dernier sont entièrement subjectives[[Carl Menger, Principle of Economics, 1871]]. La tolérance à l’égard du caractère indiscret d’un service, le niveau de sécurité et de transparence ac-ceptable d’un processus de traitement des données, varient d’un individu à l’autre.
Nul ne saurait imposer à autrui sa conception d’un traitement optimal sous peine de verser dans l’arbitraire, de violer la liberté contractuelle des agents économiques et de perturber la rencontre entre l’offre et la demande de services numériques.
Notons à ce propos le fait qu’il existe déjà des travaux qui suggèrent un lien de causalité entre l’entrée en vigueur du RGPD et la baisse des flux d’investissements dans l’industrie numérique eu-ropéenne[[Jia, J, G Z Jin and L Wagman (2018), “The short-run effects of GDPR on technology ven-ture investment,” NBER, Working Paper 25248.]]. Ce n’est pas la première fois que des travaux soulèvent un lien de causalité entre ré-glementation du traitement des données et baisse des incitations à investir dans les activités qui dépen-dent de ces procédés informatiques.
Ainsi la méthode la plus juste et la plus optimale pour satisfaire la diversité des préférences réside-t-elle dans un marché libre de la transparence, de la sécurité et de la confidentialité. Dans son magnum opus « Capitalisme et liberté », le prix Nobel américain d’économie Milton Friedman décrivait en effet le marché comme le moyen d’atteindre « l’unanimité sans l’uniformité ».
En l’espèce, cette unanimité sans uniformité implique pour chaque consommateur la faculté d’accepter ou de refuser les services d’une firme en fonction du degré de transparence, de sécurité et de confidentialité que celle-ci propose.
Notons que ce marché ne requiert pas l’existence d’une législation et d’organismes étatiques de régula-tion. Il existe en effet déjà sur le web une multitude d’applications offrant des niveaux de transpa-rence et de confidentialité variés.
Les consommateurs les plus réticents à la perte de vie privée ont le choix de ne pas recourir aux ser-vices des entreprises jugées « intrusives ».
Ils peuvent se tourner vers des concurrents qui font d’une plus grande protection de la vie privée un élément clef de la qualité de leurs produits.
Dans ces conditions, l’utilité de la politique de confidentialité, de transparence et de sécurité d’une entreprise ne s’évalue pas en fonction de sa conformité à une réglementation arbitraire. Elle s’évalue exclusivement en fonction de sa réception par le marché et les consommateurs.
À quoi (et à qui) sert le RGPD ?
Si le RGPD ne sert pas l’intérêt du consommateur, à qui sert-il ? Dans son célèbre article intitulé The Economic Theory of Regulation publié en 1971, le Prix Nobel américain George Stigler – qui consti-tue une véritable référence dans la théorie dite du « Choix public » – analyse la réglementation comme le résultat de pressions protectionnistes émanant de producteurs dotés de bonnes connexions poli-tiques.
Parmi les mesures protectionnistes existantes, Stigler cite notamment les normes qui affectent les subs-tituts et les produits complémentaires, ou encore les politiques de contrôle des prix. Le RGPD appar-tient assurément à cette dernière catégorie.
Si la vie privée est le prix que l’utilisateur est amené à payer au fournisseur de services numériques, toute législation limitant la quantité et la qualité des données traitées s’apparente de fait à l’imposition d’un prix-plafond.
Les gagnants de cette réglementation sont par conséquent les entreprises qui demandent un prix plus faible en matière de vie privée en contrepartie d’un produit de moindre qualité.
Ainsi il ne faut pas s’étonner qu’Éric Léandri, fondateur du moteur de recherche « Qwant » se ré-jouisse de l’amende de 50 millions d’euros récemment infligée à son principal concurrent. À défaut de fournir un produit de qualité, Qwant – qui compte la Caisse des dépôts à son capital au mépris des principes de concurrence loyale – ne peut que s’appuyer sur la capacité du régulateur à réprimer arbitrairement son concurrent pour faire valoir un business model somme toute un peu fragile.
C’est en effet ce que révèlent ses données financières et son incapacité à entreprendre sans faire appel à la garantie souveraine d’un organisme d’État.
Des régulateurs aux pouvoirs arbitraires et à la capacité d’interprétation illimitée
La récente sanction de la CNIL contre Google confirme en effet les craintes d’arbitraire que nous avions soulevées quelques mois plus tôt. Dans sa décision datant du 21 janvier 2018, la CNIL re-proche en effet à Google d’avoir manqué à ses obligations de transparence et de ne pas avoir valable-ment recueilli le consentement de ses utilisateurs.
Il est plus particulièrement reproché à Google de ne pas avoir assez travaillé l’ergonomie et l’accessibilité de la présentation des informations nécessaires à la compréhension du traitement. « Des informations essentielles […] sont excessivement disséminées dans plusieurs documents, qui compor-tent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations com-plémentaires », explique la CNIL pour justifier sa décision.
On peut douter de la bonne foi de cette accusation étant donné qu’une plus grande condensation de la présentation de la politique de confidentialité – nécessairement complexe pour une entreprise comme Google – l’aurait rendue indigeste. De la même manière, le régulateur s’entête à trouver certaines in-formations trop « vagues » et « peu claires ».
La perversité de cette accusation réside dans le fait qu’elle ne peut jamais être contestée en l’absence de critères objectifs permettant d’évaluer le niveau de clarté d’un texte. Le régulateur a donc tout le loisir d’interpréter les exigences de clarté à sa guise au détriment des entreprises contrôlées. Ce faisant, il se substitue au consommateur qui, seul, a la légitimité de décider si la clarté des termes du contrat qui le lie à une entreprise est acceptable compte tenu de la confiance qu’il place dans son prestataire.
Notons en effet que la transparence absolue des processus de traitement n’est pas une fin en soi. Elle n’est qu’un moyen, pour les fournisseurs de services numériques, d’inspirer confiance aux consom-mateurs. En l’espèce, le succès de Google et des modèles d’affaires similaires suggère que le con-sommateur lambda ne ressent pas le besoin « d’avoir une appréhension globale des traitements dont il peut faire l’objet et de leur portée », comme l’énonce la CNIL, si tant est que cette « appréhension globale » est possible.
Si une entreprise parvient à inspirer confiance par d’autres moyens (via la réputation par exemple), contraindre celle-ci à détailler le fonctionnement des processus de traitements au-delà de ce qui est nécessaire ne fait que noyer les informations que le consommateur juge réellement importantes dans un flot incompréhensible de renseignements à l’utilité questionnable. Ainsi, les prescriptions du régu-lateur contribuent à obscurcir la nature de la relation entre les entreprises et leur clientèle.
Enfin la CNIL reproche à Google de ne pas avoir recueilli valablement le consentement des utilisa-teurs. Le régulateur estime que ce consentement ne peut pas être « suffisamment » éclairé en s’autorisant une nouvelle fois à déterminer unilatéralement le degré de connaissance auquel doit par-venir l’utilisateur.
Elle estime que le consentement de l’utilisateur n’est pas univoque en raison du fait que certaines cases sont cochées par défaut. Il est plus difficile de contester ici le bienfondé de l’interprétation du RGPD par la CNIL. Àu travers de son considérant 32, le règlement pèche en effet par excès en adhé-rant à un formalisme radical non dénué de fantaisie.
Le fait que des cases soient cochées par défaut ne nuit pas à un consentement univoque. L’utilisateur demeure après tout libre de ne pas utiliser ou d’acheter le service en question. Ce remplissage par dé-faut se justifie en matière d’expérience utilisateur. Il permet de gagner du temps et de réduire les coûts de transaction. En tout état de cause, la conclusion d’une transaction devrait suffire à constater l’existence d’un consentement univoque sauf à entacher de vice du consentement tous les rapports commerciaux caractérisés par un faible degré de formalisme.
La même critique pourrait être adressée à l’accusation de ne pas recueillir un consentement « spéci-fique » pour chaque finalité. En l’espèce, la CNIL reproche notamment à Google de ne pas obtenir valablement le consentement pour les finalités relatives à la publicité ciblée. L’interprétation de la CNIL s’attaque ici de front à l’idée même de contrat d’adhésion. Son injonction est comparable au fait de conditionner la validité de tous les contrats à l’existence d’une signature apposée en dessous de chaque stipulation. Autant de prescriptions qui apparaissent là encore fantaisistes et contraires à l’objectif de réduire les coûts de transaction entre les entreprises et leur clientèle.
Admettons néanmoins, pour les besoins de l’argumentation, que cette approche soit fondée. L’approche punitive à l’égard de Google surprend en raison du fait que la firme de Mountain View fait partie de celles qui offrent un très haut degré de personnalisation possible en matière de traitement des données et de publicité ciblée. Ainsi que l’écrit Bruno Alomar, dans une tribune pour Le Monde, « estimer, comme le fait la CNIL, que Google pourrait en faire plus est une chose. Prétendre ne pas voir que ce que Google fait est parmi ce qui se fait de mieux sur le marché aujourd’hui en est une autre ».
Protectionnisme et populisme technophobe : la CNIL surfe-t-elle sur « l’anti-gafaïsme » ?
Dans cette même tribune, Bruno Alomar rappelle que l’amende infligée à Google fut prononcée aux termes d’une procédure particulièrement expéditive qui n’a donné lieu à aucun échange ni recours aux mécanismes précontentieux, comme une éventuelle mise en demeure (alors que ces mécanismes sont régulièrement utilisés pour des cas plus anodins). Le zèle du régulateur vis-à-vis de Google permet donc de se poser des questions sur ses motivations.
Le discours politique contemporain présente les administrations, les autorités administratives indépen-dantes et les agents qui les composent comme des philanthropes bénévoles et désintéressés. La théorie du choix public se veut plus réaliste et analyse les incitations des bureaucrates de la même manière que celles des agents du secteur privé. Comme n’importe qui, les bureaucrates chercheraient avant tout à maximiser leurs intérêts personnels. Ces intérêts se manifestent pas la croissance de leur prestige, leur pouvoir discrétionnaire, leur salaire, leurs conditions de travail, le budget de leur administration (qui confère au personnel plus d’opportunités)…[[Eamonn Butler, Public Choice: A Primer, Institute of Economic Affairs, 2012]]
Notons que sur ce dernier point, la CNIL a connu une augmentation substantielle de ses revenus ces 18 dernières années. Son budget avoisinait 4 971 196 euros en 2000. Il atteignait 17 035 799 euros en 2018, bien qu’il soit vrai que le régulateur français semble « mal doté » par rapport à ses homologues européens.
Nul doute qu’au regard des objectifs politiques susmentionnés, sanctionner de grandes multinationales américaines s’avère rentable. Ces sanctions ont l’avantage d’être prononcées dans un contexte où les ressentiments envieux dominent de plus en plus les élites et les opinions publiques européennes qui découvrent à quel point le vieux continent est en retard dans le secteur des nouvelles technologies de l’information. La jalousie et « l’anti-gafaïsme » ambiants promettent à tous les opposants aux « GAFA » (sigle qui en dit long sur le besoin de présumer l’unité d’action et d’intérêts de firmes qui exercent des métiers différents) l’influence et le prestige auxquels ils aspirent.
Du point de vue des agents de la CNIL, il est sans doute intéressant d’interpeller l’opinion publique – et indirectement la classe politique – en frappant un bon coup sur une méchante multinationale étran-gère pour espérer des responsables politiques qu’ils favorisent leur carrière et leurs conditions de tra-vail. La CNIL démontre sa capacité à alimenter le budget de l’État en infligeant des amendes à des entreprises réputées ne pas payer assez d’impôts. Elle peut davantage attirer l’attention sur le fait que lui conférer plus de moyens constitue un investissement rentable. Hasard du calendrier, la sanction contre Google est tombée quelques jours avant qu’Isabelle Falque-Pierrotin quitte ses fonctions de présidente de l’autorité administrative indépendante.
La CNIL et les multinationales : l’Etat de droit en question
L’affaire Google est assurément une belle prise pour la carrière et le prestige politique des agents de la CNIL. Elle est en revanche une défaite pour l’état de droit tant les principes de proportionnalité, de sécurité juridique et de liberté contractuelle ont été bafoués. Bien sûr, Google a annoncé avoir saisi le Conseil d’État pour contester la décision de la CNIL. Mais il est peu probable que ce recours donne quoi que ce soit compte-tenu des relations ambigües qu’entretiennent les juges administratifs et les régulateurs qui composent les autorités administratives indépendantes.
Les détracteurs des GAFAs et les partisans de cette sanction semblent tous se réjouir de « l’exemple » que constitue l’amende infligée à la firme de Mountain View. Il ne faudra pas s’étonner que cet « exemple » soit interprété par les entreprises du secteur comme une invitation à ne pas investir dans le big data et tous les secteurs qui en dépendent en Europe. Pour lutter contre l’arbitraire de l’administration, l’IREF maintient sa position : la législation en matière d’encadrement des processus de traitement des données doit perdre sa dimension impérative pour se muer en normes facultatives. Le rôle de l’autorité politique consiste à faire régner la justice en sanctionnant le respect des contrats et non à persécuter arbitrairement les entreprises qui fournissent des services utiles à la population.
1 commenter
comparaison n'est pas raison, m'enfin…
Dans le même temps l'imposition forcenée, et contraire à toute idée de démocratie, par le monopole d'état (de fait) EDF du compteur Linky avec toutes les dérives connues, y compris sur le Big Data, ne pose pas de problème au régulateur. Tout va donc bien dans le sens décrit par l'article : la mainmise absolue de l'état sur tout et tous.