.svg)
Dans notre série The Privacy Soapbox, nous donnons la parole aux professionnels de la privacy et aux membres de notre industrie qui souhaitent partager leurs points de vue, leurs histoires et leurs perspectives sur la protection des données. Les auteurs contribuent à ces articles à titre personnel. Les opinions exprimées sont les leurs et ne représentent pas nécessairement celles de Didomi.
Vous avez quelque chose à partager et souhaitez prendre la parole ? Contactez-nous à blog@didomi.io
Le diagnostic est sans appel : l’Europe est malade de son inflation réglementaire ; elle croule sous les textes, étouffe sous les couches réglementaires, tant et si bien que la Commission européenne s’apprête à prendre le problème à bras-le-corps… en publiant un nouveau texte. C’est ce qu’on appelle, dans le jargon scientifique, soigner le mal par le mal, et on s’imagine que ça va marcher, comme s’imagine le médecin de campagne qui, pris de stupeur face à l’inefficacité d’un traitement prodigué (voire face à ses effets secondaires catastrophiques) décide d’augmenter les doses du médicament initialement prescrit. C’est malin si on veut, c’est en tout cas une manière comme une autre de justifier un salaire.
Cent cinquante-six pages, donc, pour simplifier. Le texte s’appelle d’ailleurs “Digital Package on Simplification”, pour dire si ça va simplifier ! Attention, ça va barder pour la complexité, on va lui en faire voir de toutes les couleurs, on va simplifier au karcher, tout ce qui ressemble à une nuance finira dans la grande broyeuse administrative. Promis, cette fois, on simplifie pour de bon, disent-ils à la Commission, et on les croit sincères.
De notre côté, nous ne serons en revanche pas aussi ambitieux, plus modestement on se concentrera dans cet article sur un des aspects de cette grande œuvre simplificatrice, l’article 88b, lequel remet au goût du jour un vieux serpent de mer : le consentement au niveau du navigateur.
La fuite prise comme moyen de consultation
Tout d’abord, interrogeons-nous sur la forme. Si j’ai pu accéder à ce projet, c’est d’abord et avant tout parce qu’il a fuité. On le trouve partout sur Linkedin.
Résultat, on a droit à un avant-goût de la sauce à laquelle on va être mangé. C’est sympa, même si ça ne fait pas très sérieux quand même, pour une autorité comme la Commission, de laisser traîner des projets de règlement comme ça. Ça ne donne pas l’impression d’une maison bien rangée. Pour un peu, on croirait que c’est fait exprès. Non pas par pur sadisme (quoique) mais plutôt pour tester la température, prendre le pouls du bétail numérique, obtenir des commentaires, tâter le terrain, avant même de lancer la consultation officielle. Si c’est bien cette dernière hypothèse, ce serait presque une bonne nouvelle, ça signifierait qu’on a encore un peu de temps pour éviter le pire.
Mais il suffit de gratter un peu ce projet pour que l’espoir se dégonfle. On lit noir sur blanc, en préambule de l’article 88b, qu’un accord de principe a été trouvé entre la DG Connect et la DG Just. Traduction : le ver est déjà dans le fruit, le compromis dans le règlement. On nous parle de fine-tuning, de simples ajustements à venir, bref, l’affaire est quasiment pliée.
Pour un projet de simplification, c’en est un, il simplifie même la démocratie.
Vers une simplification durable de la complexité simplificatrice
Le but fixé par la Commission, c’est de simplifier. Et pour simplifier, on va mettre le consentement au niveau du navigateur, s’est-elle dit. En clair, en lieu et place de multiples bannières de consentement, on va demander à l’utilisateur de faire un choix une fois pour toutes au moment de l’installation ou de la mise à jour de son navigateur. Un choix plutôt que mille. C’est quand même simple, la simplicité, quand ça tourne au simplisme.
Il est dit dans le texte que :
The data subject shall be able to [give consent or] refuse a request for consent and exercise the right to object pursuant to Article 21(2) through automated and machine-readable means.
Il faut donc que l’utilisateur soit en mesure de refuser de manière automatisée, c’est-à-dire sans voir la bannière de consentement. Une position de principe fera par exemple l’affaire : “je refuse tout, tout le temps, partout”.
Le problème, c’est que, comme Didomi le faisait valoir dans sa soumission à l’appel à contributions de la Commission en septembre dernier, si l’on veut faire ça, si l’on tient absolument à simplifier contre vents et marées, contre la logique finalement, il faut un protocole, un standard qui permette de communiquer le choix de l’utilisateur. En d’autres termes, il faut un langage commun entre les navigateurs et les éditeurs de sites (c’est le joli “machine-readable” du texte de la Commission). Il faut aussi une taxonomie des finalités de traitement, pour être bien certain que le consentement (dans le cas si parfaitement théorique où il serait donné) remplisse la condition de spécificité malgré tout prévue par le RGPD.
La Commission reprend cette solution à son compte et confirme qu’il faut un standard. Et le standard, bah y a plus qu’à, c’est au marché de se débrouiller, nous dit la Commission. Quant à savoir à quoi il pourrait ressembler, vous pouvez aller vous rhabiller, la Commission n’est pas là pour faire le sale boulot. Au lieu de ça, elle sous-traite. Ce sera à voir par les parties prenantes de l’industrie du numérique, ce sera à définir par les acteurs du marché de l’internet mondial, c’est-à-dire par une entité désincarnée s’il en existe. Car qui est l’internet mondial, qui a son numéro de téléphone ?
Cela étant, la Commission se rend d’elle-même compte que ce sera difficile de parvenir à un accord entre tous les acteurs de l’internet, alors elle se laisse la possibilité, si d’aventure elle constatait que la réponse de l’internet mondial était insuffisante (spoiler alert : elle le sera), d’obliger les fabricants de navigateurs et de systèmes d’exploitation (en clair à Apple, Google et Microsoft) à trouver une solution pour tout le monde, laquelle devra en bout de course être approuvée par la Commission elle-même. Voilà pour la simplification.
En clair, je crée les conditions pour qu’un refus de principe à l’utilisation des données voie le jour. Je laisse les acteurs du numérique se débrouiller avec ça. Si ça ne marche pas, je vais voir les GAFAM, qui pour l’essentiel se débrouillent très bien sans consentement, pour leur donner tous les moyens de devenir les gatekeepers du consentement des autres, et peu importe que ça vienne contredire tout le travail de la Commission sur la droit de la concurrence (DSA, DMA, amendes records pour rigoler), tout ceci n’est finalement qu’un détail.
Rappelons ici que le paquet Omnibus est un projet de règlement sur la simplification des acquis digitaux. J’adore simplifier, nous dit la Commission, empruntant le ton volontariste des alcooliques qui disent « j’adore le jus de raisin » pour se convaincre qu’ils tiennent le bon bout. La vérité est que je n’ai aucune idée de comment se range le concept de simplification dans la tête des membres de la Commission Européenne. Face à un tel mystère, mon tiroir à récit cohérent est parfaitement vide. Un seul mot me vient : clownesque.
La Commission : clown triste
Le problème avec les clowns, c’est que, parfois, ils sont tristes. Spinoza, qui s’y connaissait pas mal en êtres humains, disait que c’était à cause de leurs passions du même nom. Parmi les passions tristes identifiées par Spinoza, il y a le remords. Et ils ont l’air d’en avoir, du remords, je veux dire, à la Commission. Car ils ont tout de même conscience que tout ça va à peu près écrouler l’économie numérique européenne, ça ne leur échappe pas totalement, ce morceau d’évidence. Ils savent bien que généraliser le refus de consentement à tous les sites, applications et supports numériques, qu’obliger tous ces acteurs à reconnaître ce signal de refus, va contraindre l’internet européen à une cure d’amaigrissement d’un genre sévère. On peut être pour ou contre sur un plan moral, c’est entendu, mais il faut tout de même prendre la mesure du risque, c’est-à-dire qu’il faut comprendre que tout ceci a vocation à détruire le fondement publicitaire sur lequel repose toute notre économie numérique.
Et puis donner les clefs de la boutique du consentement aux Google, Apple et Microsoft est une idée vertigineuse de brillance, du moins dans la mesure où une corde est une solution brillante au problème qui se pose au futur pendu. Alors ils culpabilisent un peu, ils veulent sauver au moins un soldat européen, pour donner le change. Ils sont quand même sympas à la Commission, n’allez pas vous faire de fausses idées là-dessus.
Parce que vous comprenez, la démocratie, on ne rigole pas avec ça à la Commission, on veut la faire survivre, au moins juste assez longtemps pour rédiger quelques textes réglementaires supplémentaires. L’administration, ça administre. Alors, les organes de presse, quand même, on va pas les faire couler tout de suite avec tous les autres. On leur dit : pas besoin de suivre le signal de consentement automatisé, faites ce que vous voulez, vous, conscience morale de l’Europe, chevaliers fatigués, fers de lance d’une société démocratique aux abois.
Voici le texte du Considérant 39 :
Compte tenu de l’importance du journalisme indépendant dans une société démocratique, et afin de ne pas compromettre les bases économiques qui le soutiennent, les fournisseurs de services de médias ne devraient pas être tenus de respecter les indications lisibles par machine exprimant les choix des personnes concernées.
En somme, on distribue des bouées à ceux qu’on estime dignes de flotter. La logique sous-jacente est la suivante : vous allez tous perdre énormément d’argent, tout le monde est foutu, mais quand même ce serait bien qu’on puisse encore payer quelques journalistes, quand même on a besoin d’eux, quand même y en a des chouettes, donc on les exonère de responsabilité vis-à-vis du RGPD. Pour eux, c’est gratos, car au fond ils sont plus égaux que les autres, c’est la démocratie nom d’un chien.
Pourquoi pas, mais ça pose tout de même un sérieux problème éthique. Si on exclut les organes de presse, si on les autorise à ne pas appliquer le RGPD tel que détourné par la Commission européenne, c’est bien parce qu’on sait qu’ils vont mourir dans le monde préparé par la Commission. C’est une reconnaissance implicite de tout le mal qu’on s’apprête à faire au nom de la simplification. Mais alors pourquoi les autres auraient moins de valeur ? Pourquoi ne sauver qu’une seule industrie ?
Qu’on se rassure un peu, il est écrit en préambule que tout ça sera à “fine-tuner”, à ajuster finement. Tu m’étonnes, là va falloir bosser les loulous, parce que c’est ni fait ni à faire votre bourbier. On aime tous le cirque, c’est une évidence, réminiscence de l’enfance toussa toussa, mais de là à vouloir jouer aux clowns à chaque coup qu’on a trois minutes devant soi, quand même.
Extension du domaine du tout refuser
Dans le premier paragraphe de l’article 88b, la Commission semble prendre acte du fait qu’il a toujours été plus facile de refuser que d’accepter les traceurs et traitements de données. Elle ne parle même plus de consentement. Elle dit que l’utilisateur a le droit de refuser (pas de consentir) de manière automatisée. En clair, le consentement à des conditions pour être valide, mais pas le refus. Donc on peut refuser en bloc, partout, tout le temps, mais pas consentir de la même manière.
Vous ne me croyez pas ? Il suffit pourtant de regarder le premier paragraphe de l’article où il est écrit :
The data subject shall be able to [give consent or] refuse a request for consent (...).
Ici, le “give consent or” est entre crochets. En clair, on ne sait pas trop où le mettre, on serait même plutôt sur le point de le supprimer tout à fait. Sinon, pourquoi le mettre entre crochets ?
En réalité, ils savent bien à la Commission que c’est impossible de consentir en bloc, à cause du caractère spécifique du consentement, une condition déjà établie par le RGPD dans sa version actuelle. En revanche, il est parfaitement possible de tout refuser en bloc, car il n’existe pas de conditions de validité au refus. Et c’est bien ce que cherche à créer la Commission : un consent blocker.
Car si le texte du RGPD dit bien qu’il doit être aussi facile de retirer son consentement que de le donner, il ne dit pas qu’il doit être aussi facile de consentir que de refuser. La nuance est subtile, c’est même à ça qu’on reconnaît une nuance. Dit autrement, il y a des choix faits par les utilisateurs qui ne sont pas “aussi faciles” que les autres.
Soigner le malade imaginaire : méthode
Synthétisons ce qui vient de se dire.
- Objectif affiché de la Commission : rendre l’Europe plus compétitive en simplifiant ses règles.
- Méthode : ajouter un texte à la pile infinie de textes existants pour couper le robinet publicitaire, comme ça il n’y aura plus d’argent. Plus d’argent, donc plus de problèmes. Après quoi, on remet les clefs du consentement aux systèmes d’exploitation et aux navigateurs, c’est-à-dire aux gatekeepers américains.
- Petite contrainte relevée en passant : en faisant ça, on va tuer une bonne partie de l’industrie numérique, notamment la presse. Évidemment c’est un peu embêtant dans la mesure où nous sommes encore, pour quelque temps du moins, en démocratie.
- Solution : qu’à cela ne tienne, on va simplement exonérer les organes de presse, ils n’auront pas à appliquer tout ce foutoir réglementaire. A cause du principe d’égalité devant la loi.
- Résultat : on évite l’amputation de la jambe droite pendant qu’on arrête le cœur (métaphore saisonnière inspirée des célébrations du 11 novembre).
Clownesque, c’est le mot qui vous vient spontanément à l’esprit, je sais.
Évidemment, c’est un peu résumé (mais, comme je le dis souvent, dans la vie, il faut résumer, sinon on ne rend pas hommage à la simplification), mais on sent bien que la Commission perd un peu le fil. Elle a du mal à retrouver ses petits dans le brouillard qu’elle fabrique. À la réflexion, on dirait une comédie de Molière, dans le genre Malade imaginaire :
– Monsieur le législateur, mon économie tousse. Pouvez-vous faire quelque chose ?
– C’est qu’elle respire trop fort. Nous allons lui prescrire une coupure d’air publicitaire par Omnibus.
– Mais, docteur, ne risque-t-elle pas d’en mourir !
– Cher Monsieur, laissez faire les professionnels, la mort serait seulement la preuve que le traitement a fonctionné.
Et en effet, c’est une logique à toute épreuve, un malade qui ne se plaint plus est un malade guéri. Il faut bien reconnaître que, s’agissant de l’administration européenne, cette logique se tient, surtout si l’on admet que, de son point de vue, un bon administré est un administré mort.
Bon, en dehors de ça, il y a deux trois bonnes idées quand même. C’est le problème avec les productions de l’être humain, elles ne sont jamais tout à fait irrécupérable, tout à fait à rejeter en bloc. C’est même pour cette raison unique que les gens trouvent les enfants mignons, en général.
Il y a, par exemple, la prise en compte de la jurisprudence récente de la SRB qui introduit l’idée qu’il faut tenir compte des capacités réelles de réidentification pour déterminer si une donnée est une donnée personnelle. On bascule d’une analyse objective à une analyse subjective de la notion de données personnelles. Pas mal. Inutile toutefois d’approfondir ici, d’autres que moi ayant très bien décrit cette bascule (voir notamment les posts de Peter Craddock sur le sujet).
