Jeudi matin se tiendra dans à SciencesPo un atelier présenté par Nathalie Kosciusko-Morizet qui questionnera l’idée d’un droit à l’oubli sur Internet, alors que deux sénateurs viennent de déposer une proposition de loi.

Avec l’essor des réseaux sociaux, on peut publier et partager ses informations de plus en plus facilement sur le Web, y compris des données personnelles : photos de vacances, vidéo de la dernière soirée, situation amoureuse, opinions…

Cela provoque plusieurs interrogations, notamment quant à l’utilisation de ces données par les sites Web. À ce titre, le tollé qu’ont suscité les modifications des conditions d’utilisation de facebook a posé le problème de la légalité du service vis-à-vis de la problématique de l’utilisation commerciale et de la conservation des données (réglementée en France par la loi informatique et libertés, que la CNIL se charge d’appliquer).

À l’évidence, étant donné le caractère personnel des informations recueillies, savoir quel est leur devenir est crucial. Difficile d’assumer face à son employeur l’activité du profil facebook recensée quelques années auparavant quand on était étudiant. Dans cette situation, le droit à l’oubli permettrait de faire supprimer ces données indésirables, un peu comme par magie (ou comme le « trou de mémoire » de 1984).

Le programme de l’atelier pose la question,

Existe-t-il des solutions techniques permettant de faire table rase de son passé numérique ?

Malheureusement, je dois avouer que je vois mal comment un tel droit à l’oubli pourrait fonctionner concrètement. D’une part, la pratique est déjà réglementée par la loi informatique et libertés. Nous avons déjà des droits que nous pouvons exercer sur la détention de ces données. Qu’apporterai un droit à l’oubli supplémentaire ?

D’autre part, la notion d’oubli numérique n’est-elle pas simplement utopique, le réseau peut-il oublier ? Je pense que non. C’est pourquoi il n’existe pas de solutions techniques pour faire table rase de son passé numérique. La magie ne se trouve pas de ce côté là. Il semble donc que le droit à l’oubli se trouve à la fois dans une impasse législative et une impasse technique.

En fait je pense que le problème est mal posé. Car si déjà la loi en vigueur pouvait être appliquée convenablement pour éviter le fichage illégal ou abusif (que ce soit par des sites web, des entreprises privées ou publiques, ou par l’État), une partie des inquiétudes quant aux « traces » disparaitrait.

Le contrôle des données

Pour autant, je ne dirai pas que la vie privée est un problème de vieux cons.

Il est souhaitable que les citoyens puissent être en mesure de savoir quelles informations les concernant sont détenues et quelle est leur utilisation. Cela est déjà garanti.

Le problème alors est que chacun ne peut avoir que très peu d’influence sur la manière dont le contrôle est exercé sur ses propres données. Lorsqu’on s’inscrit à facebook, on doit nécessairement accepter les règles du jeu proposées par facebook. Et si on les refuse, on s’exclut du réseau facebook. Le contrôle qu’exerce facebook sur les données personnelles – tant qu’il reste dans le cadre de la légalité – dépend entièrement du bon vouloir de facebook.

Si demain facebook change ses conditions d’utilisation, ses dizaines de millions d’utilisateurs seront-ils prêts à quitter le réseau et à perdre toutes les données qu’ils y ont publié ? Au fur et à mesure, facebook détient de plus en plus de photos, mais aussi des flux, des connexions qui lient les utilisateurs et énormément d’autres données de valeur aux yeux de l’utilisateur.

Mais même sans imaginer cette hypothèse, dans l’état actuel des choses, comment s’exerce le contrôle ? Il est totalement central et géré par facebook. D’ailleurs, quand vous voulez oublier une information publiée sur facebook et que vous cliquez sur « Supprimer », qu’est-ce qui prouve que l’information a effectivement était supprimée des serveurs de facebook et de ses bases de données ? Il apparaît au contraire qu’une photographie supprimée sur facebook est gardée par facebook.

Quelle solution ?

Il faut que chacun prenne en main le contrôle de ses propres données et saisisse la différence entre ce qui est privé sur le réseau, et ce qui est public.

Ce qui est à caractère personnel sur le réseau, ce qui relève de la vie privée, n’a pas vocation à être publié. Si on veut partager quelque chose de cette nature sur le réseau, il faut impérativement le faire tout en gardant le contrôle de ses données.

Lorsqu’on envoie ses photos de soirées par email à ses amis, les photos sont stockées sur son ordinateur et sur l’ordinateur des destinataires. Éventuellement, ils peuvent utiliser un serveur de messagerie en ligne, mais leur contrôle sur les données est ultime (notamment parce que la correspondance privée est très protégée).

Mais sur un site comme facebook, on ne peut pas considérer qu’il s’agit de correspondance privée car c’est un site essentiellement public – même s’il faut s’y inscrire et même si on peut avoir des options de restrictions de publication. Ainsi, si je poste ces mêmes photos de soirées sur facebook pour que mes amis puissent les voir, je ne peux pas me plaindre si trois ans après elles me causent un tort. Ce ne sera pas la faute de facebook, ce ne sera pas non plus la faute à Internet.

La solution est donc de privilégier des outils avec lesquels chacun garde le contrôle de ses données personnelles. C’est impossible avec des services Minitel 2.0.