Introduction au droit des données

• https://lvsl.fr/diia-lappli-dystopique-de-letat-ukrainien/

"tout découle de l'identité"

le concept d'identité numérique est insaisissable pour le droit : il n'existe pas à ce jour de définition satisfaisante
"satisfaisante" = transposition juridique dans un texte légal, global, qui permettrait d'appréhender toutes les facettes de la notion

il y a énormément de travaux d'infocom sur l"identité virtuelle", mais le droit n'arrive pas à s'en saisir
"quand on vous parle d'anonymat, comment on fait le parallèle entre l'identité personnelle et son prolongement dans le numérique ?"
ces travaux sont essentiellement fondés non pas sur l'infocom mais sur l'économie : Amartya Sen (Nobel éco 98) et la capabilité
= capacité effective à jouir de ses libertés, individuelles ou collectives
"là en tant que juriste, on pense à des concepts qu'on connaît :"

• la liberté d'opinion (art 19 DUDH) et son corollaire la liberté d'expression (10 CEDH)
• le droit à la vie privée (8 CEDH)
• la liberté d'association (DDHC, loi 1901, etc.), "on a tendance à la minimiser, mais ça joue sur le lobbying"
  la capabilité vise à favoriser ces 3 grandes libertés

le droit consent à reconnaître l'identité numérique, mais il n'y consent que partiellement : que comme prolongement de l'identité personnelle
pourquoi ce choix du prisme des données personnelles ?

• le droit ne distingue pas entre l'identité personnelle et "Zozo84 sur Call of Duty" : s'il s'intéresse à cette identité numérique, c'est pour mettre la main sur l'identité personne qu'il y a derrière, le fondement ("on pourrait dire un ersatz, un détournement") de l'identité numérique
• le droit n'appréhende toujours que la donnée la plus concrète, et c'est toujours l'identité personnelle
• il faut un prolongement et un rattachement à l'identité personnelle, "parce que le droit c'est pas la philosophie", "Zozo84 je ne peux pas lui faire payer d'amende, mais l'identité personnelle qu'il y a derrière, oui"

dans l'histoire des États, c'est la première fois que des entités (les GAFA) connaissent plus de choses sur la population que les États qui la gouvernent, "on pensait que ça n'arriverait jamais avant le numérique"
"on arrivait à détecter les épidémies de grippe beaucoup plus vite en lisant les infos de Facebook qu'avec les moyens historiques de l'État" : données sensibles au sens du RGPD
"si on achète les données, on fait entrer les GAFA dans le fonctionnement régalien de l'État, et je n'ai rien à répondre à ça : on ne peut pas avoir le beurre et l'argent du beurre"
"les Five Eyes se sont fait prendre la main dans le sac, j'ose espérer que la France faisait la même chose à l'époque, je préfère ne pas le savoir"

"je le dis, je l'assume, j'ai eu l'occasion de le voir de mes yeux alors que j'y croyais pas une seconde" : la finalité du traitement de données est strictement respectée dans la police et la gendarmerie, "vous ne croirez pas les niveaux d'authentification"
"mais dans le cas de Snowden, ça ne relève pas de ça : on est dans la lutte contre le terrorisme, y'a le tampon secret défense, dès lors y'a plus rien de public et ça c'est insurmontable"
"on ne peut pas faire un État qui pèse internationalement et être totalement transparent : c'est la maladie du moment la transparence, mais ça ne peut pas marcher partout, la transparence absolue ne peut pas exister"

"la "sécurité nationale" en France ça n'existe pas, c'est un terme américain"
"en France on a le secret défense et la sécurité publique"

il y a donc une nécessité pour les États de mieux connaître leur population
exemple de la loi pour une République numérique (2016) : ses seules notions liées à l'identité juridique sont le coffre-fort numérique et la lettre recommandée numérique, "pas exactement une révolution"
Loi visant à sécuriser et réguler l'espace numérique (en cours) : "moi j'appelle ça la carte magique"
"j'ai participé à une audition en 2020 (...) toute la discussion a tourné autour de la reconnaissance faciale, y'avait que ça qui les intéressait"
"si c'est que pour FranceConnect, ça va, vous donnez déjà votre visage à Apple"
mais la finalité peut changer : exemple du FNAEG, "un fichier qui ne devait concerner que les pédophiles, et où il y a aujourd'hui 26,2 millions de personnes et 22% de taux d'erreur"

"vous savez qu'aujourd'hui, vous pouvez faire une demande auprès de la CNIL pour obtenir vos fichiers de police : faites-le"
"vous pouvez faire confiance à la CNIL, je connais très bien le vice-président"

"en 2000, les impôts qui fliquent les réseaux sociaux, c'était totalement illégal"
"et petit à petit, c'est devenu un serpent de mer, tout le monde savait qu'ils le faisaient, et ça a finit par devenir légal"
"vous voyez donc à quel point les choses peuvent évoluer et vite"
"quand c'est de la fraude fiscale je m'en fiche, mais quand c'est tout ce qui relève de l'intime au sens large, cette projection-là est importante, c'est ce que vous devez faire dans votre métier"

CEDH Marper contre R-U, 2008 : le gouv. britannique veut converser les données pendant 25 ans, la Cour dit : pas de proportionnalité entre l'infraction et la durée de conservation

"en numérique plus encore qu'en manière générale, le droit est systématiquement correctif"

en faisant de l'identité numérique un prolongement de l'identité personnelle, l'idée est de responsabiliser l'usager
"avez-vous l'impression que vos réactions sur les réseaux sociaux sont toujours réfléchies et raisonnées ?"
"la socio nous montre qu'on ne répond jamais à quelque chose, on répond à quelqu'un"
"parmi ceux qui postent des conneries, il ne peut pas y avoir que des gens qui ne se rendent pas compte de ce qu'ils font : ça montre bien qu'il y a une distorsion entre leurs identités personnelles et numériques"
le droit a besoin de cette responsabilisation, mais "il y a dix milles choses qui vont conditionner la teneur et la qualité de votre réponse ; c'est très intéressant pour la socio (et pour Google) mais ça n'intéresse pas les juristes"

le droit cherche à réduire la distorsion entre identités personnelle et numérique

les auteurs qui se sont intéressés à l'identité sur internet en ont distingué 3 dimensions :

• l'identité numérique : l'ensemble des données techniques qui vont établir le parcours d'un individu sur internet (ex. adresse IP)
• l'identité virtualisée : toutes les données relatives à la personnes qui vont être divulguées sur internet, tous les éléments, faits et propos qui vont permettre de caractériser la personne
• et l'identité immatérielle : identité qui n'a pas d'autre existence que dans son immatérialité (avatars de jeu vidéo)
  "classification de chercheur, très classique" qui intègre des éléments d'infocom, de socio et de droit

il n'y a pas de définition étendue de l'identité d'une personne
il faut remonter à un texte de 1794 (an II) qui dispose que "chaque citoyen doit disposer sur son acte de naissance d'un nom et d'un prénom"
"vous voyez bien la pauvreté du droit par rapport à tout ce qui peut s'envisager en termes d'identité"

"de fait, pour un juriste, parler d'identité numérique, c'est un abus de langage"
FranceConnect "c'est un identifiant, pas une identité"
au sens large, l'identité numérique, c'est l'image ("les images, même") que l'individu se donne de lui-même sur internet
pour le droit, l'identité numérique ne peut être qu'un moyen numérique de preuve de l'identité (passeport électronique)

la classification de Fanny Georges (thèse de 2007) ("certains préfèrent celles de Cardon, certes, y'a aussi autre chose") distingue les identités déclaratives, agissantes et calculées

• déclarative : tous les éléments déclarés par les utilisateurs
• agissante : tout ce qui est indirectement renseigné par votre activité
• calculée : produit d'un traitement de l'identité agissante
  c'est une sorte de synthèse entre les deux autres (surtout de l'agissante)

"cette classification colle avec l'usage actuel" : aujourd'hui, "la moindre PME peut collecter des données, mais pour en faire quoi ?"
"la collecte de données, je le maintiens, n'est pas très dangereuse en soi"
traitement statistique ("on le fait depuis des centaines d'années")/traitement algorithmique (biais algorithmiques, "on ne sait jamais exactement sur quoi on va tomber")
"le vrai enjeu du droit des données, c'est le traitement : c'est comment Amazon vous fait acheter des tas des trucs que vous ne vouliez pas achetez"
"et le RGPD ne favorise pas ça : si je l'applique strictement, j'interdis au maçon de mon quartier d'avoir un fichier client car il n'est pas sécurisé"
"80% de l'activité économique ne sera jamais en conformité avec le RGPD, et de toute façon ce n'est pas ces 80% qui intéressent le RGPD, il n'a pas été écrit pour ça"
"pourquoi le RGPD fait ça ? pour ne pas déclarer la guerre ouverte aux GAFAM, c'était leur premier signe de fermeture après deux décennies de laisser-faire"

"la première fois qu'on parle d'économie de la donnée en UE, c'est dans un projet de résolution de 1993, resté lettre morte, même après le virage des USA dans la 2e moitié des années 90"
"est-ce que ça signifie que les instances européennes étaient stupides ? non, c'est trop facile de dire ça, à cette époque l'économie de la donnée c'était de la science-fiction, comme la loi Informatique et libertés de 1978"
"en 1978 pour une fois, on a fait du droit préventif, on a anticipé des problèmes"
"le discours européen des années 90 était cohérent pour l'époque : on n'a pas les moyens, laissons les entreprises s'implanter, c'est le progrès, on n'en tirera que des bénéfices"
"à mon avis, même si des chercheurs disent le contraire, on ne pouvait pas anticiper l'importance qu'on pris les GAFAM au milieu des années 2000"
"c'était tellement de la SF de parler de tout ça aussi tôt, que les gens qui écrivaient dessus n'étaient ni des romanciers ni des chercheurs, on les appelait les futurologues"

Michel Durampart propose une classification liée aux usages et aux usagers : l'idée de réciprocité des effets du technique sur le social et du social sur la technique
son point de départ : les services proposés par le numérique amènent l'usager à de nouveaux comportements, les données récoltées liées à ces nouveaux comportements poussent les entreprises à générer de nouvelles opportunités de nouveaux services ("si vous avez aimé ça, vous aimerez ceci"), qui génèrent de nouveaux comportements, etc.
"Facebook n'a pas implémenté ce cycle, leur bénéfice s'est cassé la gueule, contrairement à Google qui dispatche davantage son budget dans l'innovation"

(ça parle trop mal de BlackBerry je peux pas noter ça)

"chaque fois qu'on pense avoir fait le tour des données collectées, on en trouve d'autres à collecter" (montres connectées)
"on m'a fait écrire des conditions d'utilisations les plus floues et les plus vagues possibles, mais au moins l'avantage c'est que je sais comment les attaquer"

"j'aurais jamais cru dire ça un jour, mais Hadopi était une loi géniale"
"pour une fois, on vous dit : on va faire un peu de pédagogie, on va vous laisser faire des conneries, on va vous prévenir une fois, deux fois, et si ça suffit pas on va vous tomber dessus ; voilà l'exemple d'une législation préventive et intelligente"
"si tout le monde s'est foutu de la gueule de Hadopi, c'est que la loi est arrivée beaucoup trop tard ; si elle avait été adoptée plus tôt, ça aurait tout changé"

"l'avocat de Zazie est un de mes potes, elle a fait 5000€ de dommages/intérêts en poursuivant des centaines d'ados qui mettaient ses paroles de chansons sur leurs blogs"
"quand y'a pas de cadre juridique, c'est le far west : je sors le code de la propriété intellectuelle, hop jurisprudence Zazie ; un pauvre instit de 25 ans avec une fillette de 1 an se fait réveiller à 6h du mat, prend 48h de GAV, 3 ans plus tard il a 1 an avec sursis et 45000€ d'amende pour avoir téléchargé des chansons" (CA Aix 2007 ? "je vais la retrouver")
"les petites affaires de Zazie se sont arrêtées instantanément le jour où on lui accordé 1€ de dommages/intérêts au tribunal de Bobigny : et ce frein à main, il a été tiré par les magistrats"
"ça pose un problème de sécurité juridique : au bout de 2 ans, le législateur voit que le magistrat ne sanctionne plus dans aucun tribunal de France (le juge est souverain en France, il n'y a pas de peine plancher), là il se réveille"
"cet espèce de laisser-aller du législateur dans les années 2000, depuis cette histoire ça a fait jurisprudence"

"l'inertie du législateur a hypothéqué toute la lutte en matière de protection des œuvres de l'esprit, et elle les hypothèque encore"
"on a vendu du matériel hors de prix aux jeunes des années 2000 pour leur dire qu'ils n'avaient pas le droit de s'en servir"

la loi Informatiques et Libertés invente le concept d'autorité administrative indépendante : la CNIL est la toute première AAI
on a besoin d'inventer un nouvel intermédiaire entre l'usager, le législateur et le juge : à l'époque, pour un juriste, c'est inédit, "révolutionnaire, génial"
dans les 30 ans qui ont suivi, on a crée 29 autres AAI
"il a fallu adopter une loi en 2017 pour les réduire"
"on a fait disparaître plein d'AAI, mais en même temps on n'a fait qu'accroître les pouvoirs de la CNIL" : "est-ce que vous estimez que c'est le rôle d'une AAI de coller des amendes à 150 millions d'€ ?"
"j'aime beaucoup la CNIL, mais pour moi ce n'est pas son rôle : le médiateur de la donnée est devenu le policier de la donnée"
"l'Arcom voudrait reprendre un rôle central sur la donnée, il y a une lutte intestine entre les ministères"

depuis, tous les états européens se sont basés sur la loi Informatique et libertés
la directive 95/46/CE de 1995 est "une belle transposition de la loi Informatique et libertés"
on a depuis amendé la loi de 1978 pour transposer le RGPD mais elle reste le texte de référence

"j'aurais pu vous citer la directive du 12 juillet 2002 (2002/58/CE)" qui couvre certains champs laissés de côté par la directive de 1995
"et aussi celle du 15 mars 2006 (2006/24/CE), le grand texte initial sur la conservation des données", invalidée en 2014 par la CJUE (Digital Rights Ireland) car jugée "trop extensive, disproportionnée"

directive de 1995, 3 éléments majeurs à encadrer : marchandisation, internationalisation, traçabilité

• la marchandisation des données : nouveauté par rapport à 1978
  à l'époque, ça ne concernait que des données administratives ou éventuellement policières, "et encore à l'époque ça n'inquiétait que les journalistes"
  en 1995, on voulait réglementer un écosystème d'une multitude d'opérateurs ("vous n'avez pas connu cette époque, quand Amazon n'était qu'une librairie en ligne") ; "aujourd'hui, l'écosystème c'est 4 entreprises, et la RGPD on a mis des trucs vagues dedans mais on sait très bien à qui elle s'adresse"
  "regardez même la manière dont les GAFAM se restructurent, Alphabet et Meta : c'est aussi un moyen d'éviter certaines législations (l'impôt mais pas que)"
  "cette volonté du RGPD de tout couvrir y compris les fichiers du garagiste, c’est souvent critiqué, oui c'est ridicule, mais entre nous on s'en fout"
  "en 1995 on est vraiment aux prémisses de l'économie de la donnée, et l'UE n'est pas idiote, elle suit de près le virage économique que sont en train de prendre les USA"

• l'internationalisation des flux, "ça aussi on s'en moquait un peu, une fois qu'on avait protégé les données régaliennes"
  à partir du moment où ça devient un bien marchand, un écosystème mondial se crée, et la projection sur l'internationalisation devient indispensable
  ce qui pose deux questions : d'une part, l'identification des entités appelées à accéder aux données ("qui va manipuler ces données") ; d'autre part, la localisation des données pour déterminer le droit applicable ("qui peut contrôler")

"je dis ça sans jugement de valeur, mais il y a des cultures juridiques : le juge de comté de Triffouily-les-Oies dans l'Alabama, il est élu, et le shérif du coin, il est élu"
"je le dis souvent, dans 20 ans il ne restera rien du mandat de Trump, rien, sauf 20 kilomètres de mur à la frontière mexicaine - et les juges de la Cour suprême, nommés à vie, où là il faudra de 50 à 70 ans pour s'en remettre"
"sauf si un avion s'écrase avec plein de juges dedans, mais même ça c'est impossible car ils ont pas le droit de voyager ensemble"
"je ne remets pas en cause le système démocratique américain, je dis que le système de contrôle n'est pas le même, d'où l'intérêt de s'intéresser à l'internationalisation des flux"
"regardez le virage en 2001, la surveillance de masse, c'est octobre 2001, au nom de quoi ? de la lutte contre le terrorisme"
"contrairement à ce que tout le monde dit, les documents de Snowden, c'est des ramifications illégales d'une procédure qui elle a bien une base légale"
"imaginez un monde post-11 septembre où il n'y aurait pas eu de loi informatiques et libertés, de directive de 1995 ; les atteintes à la constitutionnalité, à la liberté, auraient été encore plus graves ce que qu'on a eu déjà"

• les questions de traçabilité : c'est ce qu'Internet rend possible à cette époque
  "pendant longtemps on a été limité par la technique, aujourd'hui on a des capacités de traitement quasiment sans limites"
  "quand je vois les milliards que la recherche militaire met dans les technos quantiques, je me dis qu'ils vont finir par trouver quelque chose, et là ce sera un autre problème"
  notion plus large de trace : toute activité en laisse, de manière plus ou moins directe
  "à l'origine, le fichage permettait de savoir qui vous êtes ; aujourd'hui, il permet aussi de savoir ce que vous faites et quand vous le faites"

la directive de 1995 s'accompagne aussi d'un renforcement des pouvoirs et des sanctions des autorités de contrôle nationales (comme la CNIL)
"c'est la source de cette évolution de l'AAI vers un rôle de juge sans être juge, c'est né quasiment là"
la loi de 1978 distinguait entre le caractère public ou privé d'une donnée ; la directive de 1995 remplace ce critère par le degré de sensibilité, apprécié au regard :

• de la finalité du traitement
• et de la nature des informations
  "en 1995 on réalise pas ; aujourd'hui, vous la faites cette connexion, vous voyez bien que le distinguo de 1978 n'avait pas de sens"
  "est-ce que ça intéresse Google de savoir que vous avez un cancer ? non ils s'en foutent, ils veulent juste vous vendre des chaises ; mais les assurances, les banques, oui, et c'est bien de la donnée commerciale"
  "ce changement de finalité est au cœur du système de protection des données"
  "et ce qui est inédit dans l'histoire des sociétés humaines, c'est que ça touche tous les domaines en même temps : marchand, régalien, économique... et ce avec une multitude de données"

le changement de paradigme de la directive de 1995, "le législateur français a un peu de mal à s'en imprégner"
la directive ne sera transposée qu'avec la loi du 6 août 2004 : pourquoi ?
"je ne sais pas si c'est un compliment ou une critique" : pendant longtemps, ce changement de finalité a été vécu par le législateur français comme une atteinte à la démocratie ("ah non non nous en France on ne fiche jamais les données sensibles voyons")
"au moins le législateur se pose la question de l'acceptabilité : vous me direz ce n'est que de la philo, mais ça conditionne l'activité législative, toute la répression pénale repose là-dessus"

depuis la loi de 1978, "on a tout de même été largement dépassés par d'autres pays"
par ex : le droit à la protection des données personnelles est formellement consacré dans la loi fondamentale allemande, alors que ce n'est pas inscrit dans la Constitution française (c'est formellement protégé depuis la décision du Conseil constitutionnel du 22 mars 2012 relative à la carte d'identité biométrique)
"l'effet cliquet des décisions du CC, ça vous parle ? c'est pas grave, mais sachez que tout le socle de libertés vient de là"
"quand j'enseigne le contentieux constit, je dis que l'effet cliquet n'existe plus, mais attention : à proprement parler, il n'y a pas d'automatisme dans l'effet cliquet, mais dans des notions aussi importantes que les données personnelles, il existe encore"
"sauf si le modèle démocratique est en train d'évoluer, ce que je crains mais dans ce cas la décision du Conseil serait inconstitutionnelle"

"data" = pluriel du latin datum, "chose donnée"
mais les "data" sont tous sauf données, certains scientifiques (comme Bruno Latour) suggèrent qu'on parlent de capta, de choses prises
"bon ce n'est pas aussi manichéen que ça, on a commencé par accepter qu'on nous les prenne"

mesurer n'est pas la même chose que quantifier :

• mesurer, c'est déterminer directement une valeur, "c'est un thermomètre"
• la quantification exprime et fait exister sous forme numérique ce qui était auparavant exprimé par des mots, et non par des nombres

ex. indice des prix de la consommation : quel bien je dois choisir ? quel consommateur je dois viser ? comment je choisis la pondération ("qu'est-ce qui est le plus important, le jambon ou le sucre ?") ?
il faut hiérarchiser tout ça pour arriver à une quantification qui semble juste
"on en revient à des questions de socio : est-ce que les ouvriers et les cadres consomment la même chose ?"
les données brutes sont incompréhensibles ; la donnée obtenue est à proprement parler incompréhensible, mais elle devient pertinente lorsqu'elle est contextualisée (avec le salaire moyen, la géographie, les catégories socio-professionnelles) : "et là je fais du traitement de données"

"tout ce qui tourne autour des données prouve que les données brutes sont incompréhensibles"
"vous avez déjà essayé de télécharger un jeu de données de data.gouv.fr ?" ("le RNE est super drôle quand même, vous l'ouvrez, vous regardez 10 minutes, vous avez mal au crâne, vous le refermez")

la collecte de données implique de fait la constitution de banques de données
l'explosion de la collecte a donc entraîné l'explosion des banques de données, et donc de la quantification
"le seul moyen d'accéder aux jeux de données avant data.gouv, c'était de le louer aux boîtes privées"
"une grosse partie de l'économie numérique, c'est que je l'appelle de l'économie de présentation"
"au moins, les sociétés doivent fournir cet effort qu'elles ne fournissaient pas avant data.gouv"

les silos de données, c'est "le 4e âge de la révolution du numérique"

avec de telles quantités de données, la quantification ne peut plus être humaine, elle est nécessairement algorithmique ("c'est ce qu'on appelle l'IA aujourd'hui")

la différence entre les statistiques (= traitement déductif) et l'IA (= le traitement algorithmique inductif), c'est que "je ne sais pas ce qui va sortir"
"c'est pour ça que je refuse d'appeler ça "intelligence"', ce n'est rien de magique, ça ne se fait pas tout seul"

"quand vous demandez un permis de construire, il vous est octroyé en fonction du bâti, du terrain, il y a des règles juridiques : dans 80% des cas, il n'y a pas de subjectivité dans la décision, elle dépend du PLU et de la situation géographique"
"pour tout ce qui concerne ces décisions mathématiques, vous n'avez pas besoin d'humain, le traitement algorithmique fait ça très bien", "autant filer un boulot moins chiant à l'humain derrière"

en 5 ans, le volume de données est multiplié par 2
depuis 2016, il est doublé tous les 2 ans
"je suis presque étonné qu'on puisse encore le quantifier", "il n'y a plus de frein technique"

"on a fait un déjeuner il y a 15 jours avec le directeur Europe de la recherche à Google, c'est à l'américaine, vous ne déjeunez pas, vous discutez"
"le type vous dit très poliment - car il est anglo-saxon - vous avez raison il faut encadrer le traitement des données, et voilà fin de la conversation, il ne va pas nous ouvrir sa porte"
"les anglo-saxons aiment la régulation, nous on aime la législation, quand c'est obligatoire"

par définition, les big data sont souvent ("voire tout le temps") la propriété de ceux qui les collectent
leur traitement est souvent une sorte de "boîte noire entre guillemets"
"les données ouvertes, ça sert à ça en fait : on peut vérifier ce qui se passe et ce qui arrive en sortie"

• certains auteurs ("Cardon a dû le piquer à un juriste") font reposer la législation sur les données publiques sur l'article 15 de la DDHC de 1789 : "la société a le droit de demander compte à tout agent public de son administration"
  "quand je dis "maladie" de la transparence, attention, c'est bien la transparence, c'est une logique qui fait progresser la démocratie, je dis simplement qu'on ne peut pas l'ériger en principe absolu"
  "vous êtes en master, je peux me permettre des écarts de langage"
• plus récemment, loi du 17 juillet 1978 créant la CADA : à compter de cette loi, tout citoyen pouvait demander à l'admin d'avoir accès aux informations produites dans le cadre d'une mission de service public
  mais : l'admin n'est pas tenu de mettre ces infos à disposition automatiquement, "c'est pas encore les données ouvertes"
  "l'instruction par la CADA des demandes d'accès, c'était un enfer : vous commencez par faire une demande, ils commencent par mettre 6 mois, ils commencent par répondre non"
  au milieu des années 2000, sous l'impulsion des politiques de transparence ("du Parti socialiste"), le terme "administré" disparaît au profit d'"usager" : l'administré est géré par l'admin comme bon lui semble, l'usager fait usage de - et donc a des droits
  "d'un coup, à partir de là, l'accès aux documents administratifs se démocratise, et c'est significatif d'un changement de conception de l'administration"
• loi pour une République numérique de 2016 : oblige les administrations à mettre par défaut les données publiques en ligne

l'open data concerne donc essentiellement les données produites par l'État central, les collectivités et certaines entreprises publiques, "on ne va pas forcer les entreprises à rendre publiques des données qui n'ont pas vocation à l'être"
"et même ça" : pour arriver aux données telles qu'elles sont mises en ligne, même "brutes", il faut du traitement, et ça a un coût ("et ça ne rapporte rien")
il faut rendre les données lisibles, ensuite il faut trier pour retirer ce qui n'a rien de public
anonymisation : la logique marche, mais l'agrégation des données risque de la mettre à mal

"on a beaucoup discuté de ces enjeux de la protection des données, j'aimerais faire un résumé" :

• prioritairement, c'est l'idée de mondialisation : internationalisation des flux, fermes de données, paradis de données ("dans le nord de l'Europe, au Moyen-Orient, on vous pose pas trop de questions")
  "c'est marrant qu'on utilise du vocabulaire lié à la fraude fiscale et au trafic de stupéfiants"
  externalisation informatique : pour la modération de contenus illégaux
  "pendant longtemps, j'ai pensé que toutes les données n'avaient pas de valeur"
  "en observant comment travaillaient Google et consorts, j'ai réalisé que les données sans valeur, ça n'existait pas : il n'y a que des données qu'on n'a pas encore exploité"

• deuxième enjeu, la "vague technologique" (Alex Türk, ancien directeur de la CNIL "et père du juriste de talent Pauline Türk") : développement exponentiel des technologies actuelles ("ne les appelez pas "nouvelles technologies" par pitié, elles ne sont plus nouvelles depuis 25 ans")
  l'écart s'étend entre le temps technologique qui accélère sans cesse et le temps juridique, qui est incapable d'accélérer ("à part si je suis Elisabeth Borne et que j'aime beaucoup le 49.3")
  "vous avez vu le temps que ça prend de faire une loi contre les fake news, loi que je n'arriverai pas à la qualifier poliment donc je ne la qualifierai pas" ("ça et la loi Avia, quel naufrage juridique, j'ai eu honte")
  le droit est souvent correctif, il l'est presque toujours avec le numérique, il faut bien constater le fait social avant de pouvoir réagir juridiquement, "et ça prend un temps fou"
  "ce n'est pas inéluctable, le Parlement pourrait adopter des lois d'habilitation, mais vous imaginez la réaction politique"
  "j'ai des collègues qui ne sont pas du tout d'accord avec moi, mais je suis pour une procédure d'adoption accélérée de la loi, on pourrait descendre à 1 mois et demi/2 mois"
  "c'est pour ça que je dirige un master "droit du numérique" alors que je pense que le droit du numérique n'existe pas : je pense que la solution juridique elle est là, au moins moi je propose un truc"
  le traitement de la donnée est de plus en plus invisible : on génère tous de la donnée ("donnée ou prise") sans s'en rendre compte

• la vague sécuritaire : "j'ai parlé du virage du 11 septembre 2001, et je parle vraiment de virage, je suis certain qu'on en parlera encore dans 100 ans"
  "avant 2001, quelle que soit la démocratie dans le monde, tout en haut de la société, il y a la protection des droits du citoyen, dont la vie privée ; après 2001, la sécurité remplace la vie privée et reprend sa position ancestrale"
  "avant octobre 2001, on ne décrète pas qu'on va faire de la surveillance de masse"
  affaire PRISM : "on s'en doutait avant, désormais le doute n'est plus permis"

en 2013, en réaction à PRISM, le Groupe Article 29 ("en gros, c'est la super-CNIL européenne") pose le principe d'un nécessaire équilibre entre protection des données personnelles, innovation et surveillance : dispositifs ciblés et non-massifs
"si on n'a pas encore abandonné le ciblé et non-massif, ça y ressemble fortement"

national security anglo-saxonne et défense nationale européenne : "nous, on a une conception très permissive de l'ordre public"
"en gros, c'est une forme de quiétude : tant que vous ne perturbez pas, vous êtes dans l'ordre public" ; "chez les anglo-saxons, il n'y a pas seulement ce que vous faites, c'est aussi ce que vous êtes"

à cause de la lourdeur procédurale et du déséquilibre entre les parties, "dans 90% des cas y'a pas de procès : ça, c'est une véritable problématique de droit"

pourquoi en parler ? parce que "c'est une problématique de production, de gestion, de détention des données"
"aujourd'hui, on parle d'enjeu géopolitique des données : si un pays aujourd'hui ne fait pas du traitement de données, il a un sérieux problème"

3 applications de cette souveraineté numérique dans le cyberespace :

• les USA en tant que modèle originel
• la tentative de rattrapage de la Chine
• "la grande intelligence des Russes", "je sais qu'il faut pas dire du bien de la Russie en ce moment mais voilà"
  Info

  sur ce sujet : ce billet d'Hubert Guillaud mentionne notamment "Géopolitique du numérique" d'Ophélie Coelho et "Digital Empires" d'Annu Bradford

une multitude de définitions, "on va plutôt distinguer des approches" :

• Bernard Benhamou, "la première fois que j'ai lu le terme, c'était dans un article cosigné par Benhamou, en 2006"
  pour Benhamou, souveraineté numérique = "capacité à maîtriser l'ensemble des technologies, tant d'un point de vue technologique que social et numérique"
  "l'idée de maîtrise globale est novatrice pour l'époque"
• Pierre Bellanger ("oui c'est le patron de Skyrock"), "La souveraineté numérique" (2014)
  contrairement à Benamou il fait un premier positionnement : il considère qu'Internet doit conduire à une extension de la république dans le cyberespace
  "c'est aussi mon point de vue perso" : les États revendiquent les mêmes droits dans le cyberespace qu'ils ont sur leurs frontières, leur population, etc.
  - un des premiers éléments que Bellanger met en avant, c'est l'égalité, qu'il lie à la neutralité des réseaux, qui a vocation à servir la liberté des expressions des citoyens

"voilà grosso modo les premières approches françaises, assez classiques" : plutôt économiques

• Pierre Trudel, "une approche que j'aime beaucoup" : la souveraineté numérique est liée à la capacité de certains acteurs à se faire obéir, à imposer leurs lois dans l'espace public
  "c'est pas idiot : une des qualités d'un État, c'est d'imposer sa souveraineté"
  "et aujourd'hui, qui impose ses règles ? les États vont vous dire c'est nous, Google vous dira c'est moi ; en l'état, je pense que c'est plus Google que l'État français"

"forcément, je suis juriste, je pense à l'État", mais "il n'y a pas que les juristes qui s'intéressent à la souveraineté numérique"

cette classification par approches tripartite, on la doit à Pauline Türk, "à laquelle je vais rajouter une approche politique" :

• approche étatique : "là je parle bien de souveraineté classique", les instruments de la souveraineté deviennent indissociables des technologies numériques
  mais ça pose des problèmes : comment se faire imposer au-delà de nos frontières ?
  est-ce que cette revendication de reprise est vraiment liée aux qualités intrinsèques que doivent tenir tous les États ? "non", "c'est lié aux incapacités des États de lutter contre la souveraineté numérique des États-Unis"
  12 novembre 2018, appel de Paris (mis en place par l'ambassadeur du numérique français) : déterminer des règles de bienséance dans le cyberespace, "ça a été extrêmement intéressant"
  à l'issue de la conférence, les USA et les Five Eyes disent : on va pas signer
  les autres pays s'en sont servis pour les montrer du doigt : regardez, ce pays important ne joue pas le jeu, "c'est du bashing et ça a toujours bien marché en droit international"
  "la régulation du cyberespace ne se fera qu'en droit international : le droit de l'UE, quand on est américain, c'est une forme de droit international, c'est un droit de l'influence"
  "ça fait mal de le dire alors qu'on est en pleine guerre avec la Russie, mais le droit international, ça a plutôt bien marché jusqu'à aujourd'hui"
  c'est aussi du droit interne : la mise en œuvre d'une politique interne dans un État, "les meilleurs exemples c'est la Chine, la Russie, la Corée du Nord ; tous ceux qui ont une conception autoritaire de la souveraineté se sont dotés d'une armada juridique sans précédent pour tenter de contrôler cette souveraineté numérique"
  "quand la Chine décrète en 2017 que toutes les données produites sur le territoire chinois seront dorénavant stockées sur le territoire chinois par des sociétés chinoises, les grands défenseurs de la liberté que sont les GAFAM ont fait quoi ? ils ont passés des accords avec les Chinois"
  l'approche européenne du début des années 90 est "libérale défensive" : au milieu des 90s, il n'y a pas d'écosystème en Europe, donc on laisse les sociétés américaines se développer en Europe pour faire bénéficier les citoyens, les États se réservent le droit de défendre les citoyens s'il y a malveillance
  "jusqu'au moment où y'a l'affaire Snowden : l'UE l'a pas vu arriver, ils s'en doutaient mais pas dans ces proportions"
  "d'autres disent qu'on avait pas les cerveaux pour faire ça à l'époque : je n'en suis pas sûr, on avait les cerveaux et on les a laissés fuir"
  "demandez à vos enseignants, à un moment ou un autre on a tous été approchés par Google, à des prix défiant toute concurrence"

"y'a un bouquin sur Cambridge Analytica qui est très bien fait, qui s'appelle "Mindfuck", un des ingénieurs de l'époque"

"depuis la RGPD, on sort un règlement ou une directive tous les 3 mois, et c'est bien"

• approche économique : la souveraineté du point de vue des opérateurs économiques
  parce que justement, ce sont les GAFAM qui ont le pouvoir de fixer les règles : "pour les CGU, c'est vrai, puisque les utilisateurs ne peuvent pas se passer de ces services"
  monnaies virtuelles : "aujourd'hui, toute la bataille entre les États et les sociétés transnationales, ça tourne autour de ça"
  "si je l'encadre bien juridiquement, la monnaie virtuelle, c'est jamais qu'un ticket restau ; est-ce que vous ferez la révolution avec des tickets restau ?"

• approche libérale : l'idée de souveraineté numérique des utilisateurs, plus individualiste
  "ce dont je vous parle là, c'est la retranscription numérique de la souveraineté populaire" => l'autodétermination informationnelle
  "je ne parle pas de l'utilisateur, mais des utilisateurs : tout est une question d'influence, c'est l'empowerement, ça ne se pense pas individuellement"
  "j'en étais pas convaincu au début, j'ai discuté de ça pendant des heures avec Pauline Türk, mais maintenant je pense que ça peut marcher, je suis intimement persuadé que ça peut marcher"
  "c'est limite même plus simple avec les GAFAM qu'avec les États : dans les relations avec les États, y'a du non-rationnel, la manière dont Poutine et Orbán dirigent leurs pays n'a rien de rationnel ; les sociétés transnationales, elles ont un modèle économique elles"

• approche politique : "pas issue de la classification de Türk", c'est la souveraineté des citoyens
  la modernisation de la démocratie aujourd'hui passe par le numérique : les campagnes électorales, la capacité à s'informer, à contrôler, la question du vote
  "avant, pour lire le journal officiel, fallait trouver la version papier à la BU : aujourd'hui, j'en sais plus que ce que le journaliste du 20h va me dire"
  M5S en Italie, "ça n'aurait jamais été possible sans le numérique, l'accès au pouvoir est devenu rapide"
  "et je donne toujours le même exemple" : Emmanuel Macron, "qui n'a été ministre que pendant 14 mois et n'avait aucune structure politique pour le soutenir quand il a déclaré sa candidature ; il a fait comme Obama en 2006, une stratégie de campagne numérique"
  think tanks : "ça existe depuis 50 ans, mais on n'y trouvait que des profs à Paris ; si ça c'est démocratisé en France depuis 10 ans, c'est à travers le numérique"

au niveau international, la question de la souveraineté numérique se pose avec la création en 1998 de l'ICANN : société californienne à but non lucratif
mais "immédiatement mise" sous contrat avec les ministères US du commerce et de la défense
avant, "vous aviez en gros 4, 5 associations qui s'occupent des noms de domaine de 1er niveau"
"non seulement les américains dégagent toutes ces associations, ils créent l'ICANN et ils excluent tous les pays étrangers" : dans la première version de l'ICANN, les autres États sont "repoussés" dans un comité consultatif
cette situation dure jusqu'en 2009, où on augmente le pouvoir du comité consultatif
puis le point de bascule, l'affaire Snowden : en 2014 l'administration Obama ("qui a très très bien négocié alors qu'ils étaient dedans jusqu'au cou") annonce que le contrat avec l'ICANN s'arrête en 2016 et qu'il ne sera pas renouvelé
"par contre il faut renouveler toute la gouvernance de l'ICANN" : la crainte des USA, c'était que la Chine ou la Russie mettent la main dessus comme eux l'avaient fait précédemment
2015 : l'ICANN devient un organe indépendant géré par une communauté mondiale des acteurs d'internet, "plutôt une approche démocratique"
est-elle réellement démocratique ? "non, ces acteurs du net c'est les GAFAM, leur main-mise a remplacé celle du gouvernement fédéral, et dans les compte-rendus de réunion c'est palpable"
"le problème n'est pas réglé mais c'est toujours mieux que la situation d'avant : le contrat avec le ministère de la défense exigeait que certaines choses ne soient pas publiques, au nom de la national security, au moins on a gagné en transparence"

au niveau national, "on a commencé à utiliser l'expression "souveraineté numérique" avant même de savoir ce qu'elle voulait dire"
Michèle Alliot-Marie (ministre de l'Intérieur), 2009 : "garantir la souveraineté numérique, étendre à l'espace numérique l'état de droit"
"c'est une phrase politicienne, ça n'a pas de sens"
la notion est vulgarisée avant d'en avoir défini les contours
puis Snowden : en 2014, création des Assises de la souveraineté numérique, de l'Institut de la souveraineté numérique, qui publie Les Cahiers de la souveraineté numérique, "allez les lire c'est très pluridisciplinaire, y'a des choses très très bien"
"en France, pour penser le numérique, on a d'abord analysé les choses sous l'angle économique" : les membres du comité scientifique de l'Institut sont tous issus du monde économique
"ça n'aide pas à favoriser une approche citoyenne, voire une approche des utilisateurs : si je dois caractériser la France, c'est par cette approche qui privilégie l'économie numérique, mais je ne le critique pas forcément hein"

(réservé)