Vincent Gautrais

Dans quelques semaines (le 09 octobre prochain), la chaire Wilson aura le plaisir d’organiser une conférence sur les objets connectés, à savoir, ce phénomène de l’heure où multitudes d’objets de notre quotidien (on parle d’ailleurs souvent de l’internet des objets), automobiles, frigidaires, ordinateurs, montres, télévisions, etc., génèrent des données qui pourront être traitées, analysées, disséquées par des tiers intéressés à en connaître davantage sur les comportements qui en découlent. Évidemment, les conséquences juridiques sont faciles à identifier: possibilité de discrimination, vie privée menacée, sécurité des données peu maitrisée, et le consentement, ce «fluidifiant juridique» qui autorise tous les abus des entreprises, peut difficilement être employé ici tant la complexité du processus rend l’explication des usagers hasardeuse quant à l’usage qui est fait de leurs données.

PRECAUTION VS INNOVATION

Qu’importe: au-delà du traitement légal qui doit immanquablement être fait, il y a dans la doctrine, et notamment la doctrine états-unienne,  une fracture entre les «précautionnistes» et les «innovants» une opposition de principe préalable à l’analyse juridique. Pour les premiers, le saut dans l’inconnu est tellement grand, qu’il importe de marcher sur des oeufs; de faire attention.  Scott Peppet est de ce groupe; pour lui, il y a urgence d’agir tant le potentiel intrusif est énorme. Même crainte de la part de certains technologues dont le très connu Bruce Schneier qui depuis quelques années déjà identifie les risques à cette généralisation des objets connectés. Des objets qui, pour reprendre l’expression de Ian Kerr, génèrent des «émanations» sources d’indiscrétion.  Selon des auteurs d’un second groupe, il y a aussi des risques à être trop précautionneux. Adam Thierer est de ce clan et prend le soin de bien identifier les conséquences dommageables en terme de développement. Conformément à un propos qu’il avait développé dans un précédent livre, «Permissionless Inovation», le principe de précaution est la source de pesanteurs qu’il ne faut pas sous-estimer.

«[53] Generally speaking, the problem with “precautionary” policymaking comes down to this: if people spend all their time living in constant fear of worst-case scenarios—and premising public policy on such fears—it means that best-case scenarios will never come about. “Wisdom [and progress] are born from experience, including experiences that involve risk and the possibility of occasional mistakes and failures.” As the old adage goes, “nothing ventured, nothing gained.”

Croyant qu’il ne faut pas totalement mettre de côté l’une ou l’autre position, conformément au mythe que «Huxley and Orwell are the Bookends of our Future», tentons d’analyser ces regards.Watch Full Movie Online Streaming Online and Download

LES DONNÉES DES AUTRES

 Cette différence de positions polarise le débat. J’ai déjà évoqué la différence culturelle entre Europe et Amérique notamment sur les questions de vie privée et là encore, cette question de l’internet des objets montre l’opposition de principe. Le FTC par exemple présente une position non sans lien avec les défenseurs de l’innovation:

«On a more philosophical level, it also raises the question of what is the best approach for a government agency like the FTC to take with regard to technological and business innovation. The success of the Internet has in large part been driven by the freedom to experiment with different business models, the best of which have survived and thrived, even in the face of initial unfamiliarity and unease about the impact on consumers and competitors. It is thus vital that government officials, like myself, approach new technologies with a dose of regulatory humility, by working hard to educate ourselves and others about the innovation, understand its effects on consumers and the marketplace, identify benefits and likely harms, and, if harms doarise, consider whether existing laws and regulations are sufficient to address them, before assuming that new rules are required. » (pp.3-4)

Dans le sens contraire, certaines instances européennes voient d’un tout autre oeil la question avec pas moins de quatre pages de recommandations.

«For now, this analysis has only been stated in very general terms by a number of regulators and stakeholders, in the EU and elsewhere. The WP29 has decided to take the issue further by adopting this opinion. In this way, it intends to contribute to the uniform application of the legal data protection framework in the IoT as well as to the development of a high level of protection with regard to the protection of personal data in the EU. Compliance with this framework is key to meeting the legal, technical but also, since it relies on the qualification of data protection as a fundamental human right, the societal challenges described above. »

Ceci étant dit, et en dépit de positions quelque peu discordantes avec la vision traditionnelle européenne que nous avons pu avoir dans le passé, il n’en demeure pas moins, que les différents tiers qui participent à la circulation des données personnelles (des fabricants de capteurs jusqu’à ceux qui analysent les données), tous le font avec les données des autres. Aussi, le discours faisant prévaloir l’innovation fait bien peu de cas des risques, des atteintes et se complait avec beaucoup de facilité dans le discours selon lequel de toute manière, c’est trop tard. Reprenant les propos, de Hal Abelson, Ken Ledeen, and Harry Lewis, Thierer prend à son compte

«[w]e give away information about ourselves—voluntarily leave visible footprints of our daily lives—because we judge, perhaps without thinking about it very much, that the benefits outweigh the costs. To be sure, the benefits are many» (cité par Thierer, #90)

Point trop de droit disent-ils! [Thierer, #91-95] Mais peut-être faudrait-il davantage d’un droit dont la souplesse le caractérise.

FAUT-IL UN DROIT NOUVEAU?

Pour tous les domaines du droit confrontés à la nouveauté technique, vient très vite la question de la nécessité, ou pas, de nouveaux textes, de nouvelles lois. Le FTC, en début d »année, prend à cet égard position et considère que l’intervention du législateur est encore prématurée.

«The Commission staff recognizes that this industry is in its relatively early stages. Staff does not believe that the privacy and security risks, though real, need to be addressed through IoT-specific legislation at this time. Staff agrees with those commenters who stated that there is great potential for innovation in this area, and that legislation aimed specifically at the IoT at this stage would be premature. Staff also agrees that development of self-regulatory programs designed for particular industries would be helpful as a means to encourage the adoption of privacy- and security-sensitive practices.»

Personnellement, nous sommes généralement circonspects avec le réflexe législatif qui, au regard d’une analyse internationale, n’a à ce jour offert que des résultats mitigés. Davantage, je ne connais pas une loi en droit des technologies qui ne soit pas la source de critiques véhémentes de la part de la communauté juridique, et ce, tant en droit de la preuve, du droit de la vie privée, du droit d’auteur, etc. Nous reviendrons sur ce phénomène des «Normes énormes».

Ceci dit, il est intéressant d’analyser les outils juridiques préexistants et de regarder s’ils sont facilement transposables pour encadre les objets connectés. Plus précisément, il est aussi important de regarder les principes fondateurs des lois en matière de vie privée et de se demander ceux qui méritent d’être considérés avec le plus d’acuité. le groupe européen WP 29 considère à cet égard que les principes existants doivent être appliqués à la nouvelle réalité que génère ces nouveaux objets.

«IoT stakeholders qualifying as data controllers (whether alone or jointly with others) under EU law must comply with the different obligations that weigh on them in application of Directive 95/46/EC and relevant provisions of Directive 2002/58/EC, if applicable. This Opinion only deals with the application of provisions that deserve specific attention in this context, but this limited focus does not preclude the application of other remaining provisions.» (page 13)

Et en effet, il est plusieurs principes vieux comme le droit de la vie privée qui doivent être appliqués avec une rigueur toute particulière: en effet, les fondamentaux que sont finalité, sécurité, transparence, responsabilité, etc. demeurent d’une importance cruciale. Or, toujours en prenant les propos de Thierer, afin de

a sensible best practice for developers to follow, even if it proves difficult to enforce by law. Likewise, IoT developers would be wise to be highly transparent about their data use policies and also limit the amount of overall data collection to core functions as much as possible. Finally, they should limit retention of that data, limit sharing with too many third parties, and safeguard the data they collect against unauthorized interception or data breaches. (#96)

C’est donc en se basant sur un auteur que l’on ne peut pas taxer de «pro-vie privée», que nous aimerions avancer une solution qui nous apparaît utilisable pour encadrer l’internet des objets: la documentation.

Cette solution documentaire sur laquelle nous travaillons en ce moment a en effet l’avantage de concilier des positions très discordantes soit ceux des défenseurs de la vie privée et ceux qui au contraire semblent plus enclins à une plus grande utilisation des données. En effet, pour les premiers, c’est le moyen d’encadrer davantage les entreprises alors que pour les seconds c’est le moyen d’éviter du «droit dur» avec des nouveaux textes qui font peur.  Pour les premiers, on peut citer l’exemple de la proposition européenne de règlement de 2012/2013 (articles 28 et suiv.); pour les seconds, cela permet d’associer à une forme de co-régulation voire d’autorégulation.

DOCUMENTATION OUI, MAIS…

 Nous avons pu l’écrire à différentes occasions, nous croyons à la nécessité de documenter. Cette forme de «matérialisation de la diligence de l’entreprise» est un moyen fort efficace pour combler la perte de sécurité associée au papier. Cette voix, nouvelle, ne fait pas de doutes. Comme mentionné par les auteurs Daniel J. Weitzner, Harold Abelson, Tim Berners-Lee, Joan Feigenbaum, James Hendler et Gerald Jay Sussman (2007):

«[we argue] that debates over online privacy, copyright, and information policy questions have been overly dominated by the access restriction perspective. We propose an alternative to the « hide it or lose it » approach that currently characterizes policy compliance on the Web. Our alternative is to design systems that are oriented toward information accountability and appropriate use, rather than information security and access restriction. In a world where information is ever more easily copied and aggregated, and where automated correlations and inferences across multiple databases can uncover information even when it has not been explicitly revealed, accountability must become a primary means by which society addresses issues of appropriate use.»

Ceci dit, on peut s’interroger sur la tendance quelque peu pathologique de la documentation extrême qui est parfois suggérée par les organismes de normalisation. En effet, dans le domaine de sécurité et de la vie privée, des standards nationaux et internationaux pointent peu à peu, dont certains établissant des obligations qui sont loin d’être anonymes. Également, ces normes sont nombreuses et il est difficile de faire la distinction entre le bon grain et l’ivraie, tant ces normes de l’industrie sont aussi, pour reprendre l’expression de Nicolas Vermeys, sont aussi une «industrie de la norme». Et puis, la reconnaissance par les tribunaux demeure encore balbutiante, la technicité de ces textes ne permettant pas une intégration très harmonieuse par ces spécialistes du droit.

Assurément, l’Internet des objets est une illustration formidable, à l’orée de plusieurs droits, à l’orée de l’interaction «humain / machine», à l’orée d’un avenir souvent vu comme très prometteur, qui mérite toute notre attention.

Ce contenu a été mis à jour le 9 septembre 2015 à 8 h 15 min.