Retour aux articles
Peut-on réellement parler de consentement ?
Un RGPD le plus souvent neutralisé.- Sans aller jusqu’à imposer cette phrase réaliste, mais anxiogène, avant tout clic d’acceptation d’une politique de confidentialité ou de conditions générales d’utilisation (CGU), il apparaît néanmoins nécessaire de s’interroger sur la visibilité donnée aux utilisateurs quant à la portée réelle de leurs engagements, pour que leur clic matérialise un choix réellement libre et éclairé.
Le règlement général sur la protection des données (Règl. (UE) 2016/679, 27 avr. 2016, JOUE 4 mai, n° L 119, dit RGPD) a indubitablement renforcé les droits des créateurs de données personnelles. Notamment, parce qu’il a replacé au centre la notion de consentement du consommateur/utilisateur d’un service numérique.
Pour autant, le consentement aux conditions générales d’utilisation ou à une politique de confidentialité confine souvent à l’illusion d’une adhésion. D’abord parce ces clauses qui s’enchaînent avec une grande monotonie sont souvent illisibles, même pour un adepte de la littérature juridique. Ensuite, parce que la seule liberté, c’est celle d’accepter ou de refuser le service proposé. Et, enfin, parce qui voudrait se tourner vers un concurrent plus respectueux, souvent n’en trouvera pas en raison de la situation quasi monopolistique de certaines de ces plateformes.
Lassitude, inintelligibilité, temps de lecture trop important, les raisons ne manquent pas pour se détourner d’une lecture fastidieuse et qui plus est assez peu utile, dès lors qu’aucune clause n’est négociable. Et qui a déjà réellement lu les CGU fleuve proposées par les plateformes en ligne et autres réseaux sociaux ?
Car si l’on considère qu’un adulte est capable de lire 250 à 280 mots par minute et que le volume moyen des CGU est de 12 000 mots, il faut donc en moyenne, 48 minutes pour lire ces CGU (Deloitte, 2017 global mobile consumer survey : US édition, p. 12 ; The biggest lie on the internet : ignoring the privacy policies and terms of service policies of social networking service, 18 août 2018 ; The Duty to Read the Unreadable, 11 janv. 2019 ; La plupart des termes et conditions d'utilisation des sites sont incompréhensibles pour des adultes, Developpez.com, 14 févr. 2019). Autant dire une éternité à l’échelle d’internet.
Comme le relève Muriel Fabre-Magnan dans son dernier ouvrage, peu de consommateurs « songent à s’inquiéter de la consistance et des conséquences du consentement en matière de consommation de biens ou services ou des nouvelles technologiques, dont les effets sont pourtant ravageurs en termes de droit et libertés » (Fabre-Magnan M., L’institution de la liberté, PUF, oct. 2018, p. 76). D’autant que les réseaux sociaux et autres plateformes en ligne savent « noyer ces informations dans des documents fleuves impossibles à lire et dont l’acceptation est obligatoire pour obtenir les biens et services convoités » (Fabre-Magnan M., L’institution de la liberté, op. cit., p. 76). Où est la liberté dans ce type de consentement ?
La recherche d’un intérêt immédiat via un service mis, en apparence, gratuitement à disposition soulève la question du discernement de l’utilisateur. A-t-il compris la portée de ses engagements ? Les risques ont-ils été réellement appréciés ?
Renforcer l’impact du RGPD et redonner de la confiance à l’utilisateur.- Est-il possible de faire bouger les lignes, d’écarter ce chantage au service ? De redonner de la confiance à des utilisateurs désabusés qui ne lisent plus ces documents légaux et ignorent donc souvent la portée de leur clic valant acceptation ? Autrement dit, comme le résume parfaitement la députée Paula Forteza, rapporteur de la loi sur la protection des données (L. n° 2018-493, 20 juin 2018, JO 21 juin), « comment passer du clic de lassitude au clic de conviction » ?
Une idée pourrait être de parvenir à une certaine standardisation de la présentation des CGU, dont l’objectif serait non seulement d’éclairer le consentement des utilisateurs, mais aussi de favoriser la comparaison entre documents. Une mise en perspective de nature à leur permettre de mesurer la portée réelle de leurs engagements, selon qu’ils s’engagent avec tel ou tel prestataire. Et un vecteur de saine concurrence au bénéfice de l’utilisateur, en quelque sorte.
Autre réponse proposée dans le dernier rapport du think tank Génération Libre, sur la patrimonialité des données (Génération libre, « Aux data, citoyens, pour une patrimonialité des données personnelles », 16 sept. 2019).
La patrimonialité des données peut-elle être une solution ?
Le RGPD a favorisé une prise de conscience sur la nécessité de protéger les données personnelles. Mais est-il allé assez loin ? Avec une problématique de départ à résoudre : l’internaute fait-il le choix délibéré, éclairé et rationnel d’utiliser gratuitement ou non un service d’une plateforme numérique en échange de données ?
Des internautes passifs et captifs.- « Avec les prises de conscience et les scandales à répétition de ces dernières années, plusieurs sondages montrent que les utilisateurs accordent beaucoup d’importance à la protection de leurs données personnelles, tout en ayant un comportement en ligne à l’opposé de leurs réponses. C’est le paradoxe de l’intimité dont l’internaute est la victime » indique ce rapport.
D’autant que l’internaute n’est la plupart du temps pas conscient d’un déséquilibre significatif d’information, lié au fait que « La collecte et le commerce des données se fondent sur des technologies dont les internautes ignorent la complexité (cookies, suivi de l’adresse IP, combinaison de bases de données, enregistrement des données fournies volontairement sur des formulaires, des blogs, etc.). Cette ignorance engendre une asymétrie d’information sur l’utilisation des données ».
Le think tank souligne ainsi plusieurs paradoxes :
C’est en tout cas l’une des propositions de ce rapport.
L’objectif : rendre l’internaute moins passif et surtout moins captif (comportement qui se traduit par un clic d’acceptation des cookies).
Rééquilibrer le rapport de force plateforme/internaute par la détermination d’un prix.- Concrètement, pour lutter contre cette sensation de gratuité, le rapport propose deux modèles :
« - Une approche dite contractualiste : l’internaute doit choisir d’utiliser le service internet contre un partage de ses données ou un paiement monétaire ;
- Une approche dites propriétariste : l’internaute stocke ses données dans un portefeuille et autorise au cas par cas leur utilisation ».
Car pour les auteurs de ce rapport, « si l’échange est explicité, par le fait que le site explique comment les données seront utilisées et à quel point le site les protège, les internautes auront tendance à vouloir limiter les données transmises, et même à payer un surplus monétaire pour garantir leur confidentialité « (T. Tsai J., Egelman S., Cranor L. et Acquisti A., The Effect of Online Privacy Information on Purchasing Behavior : An Experimental Study, Information Systems Research, vol. 22, n° 2, 2011, p. 254).
Il s’agirait donc non seulement de provoquer une prise de conscience sur la valeur générée par les données laissées sur une plateforme (ce qui, pour ce think tank, passe nécessairement par un équivalent monétaire, c’est-à-dire un prix) mais aussi de créer un marché, pour favoriser la concurrence.
Un raisonnement qui repose donc sur deux postulats :
Car cette valeur, en pratique :
En revanche (si l’on met de côté le débat juridique sur la notion même de patrimonialité des données, qui n’est pas un petit débat), la seconde solution, dite propriétariste, suppose la mise en place d’un portefeuille (wallet) connecté à internet, ce qui techniquement serait faisable, mais néanmoins complexe (v. en ce sens, Solid, l'idée de Tim Berners-Lee pour reprendre le contrôle des données, Solid, l'idée de Tim Berners-Lee pour reprendre le contrôle des données, ZDnet, 3 avr. 2019).
En attendant, sans doute faudra-t-il passer par la délivrance d’une information plus précise et une éducation plus poussée des internautes. Avec pour objectif une meilleure prise de conscience des contreparties, plus ou moins cachées, de la gratuité des plateformes et autres réseaux sociaux.
Quant à la reconnaissance d’un droit de propriété sur les données, c’est un tout autre débat. Mais pourquoi ne pas envisager une troisième voie qui permettrait de tirer de la valeur des données générées par l’utilisation de services numériques, sans passer par la reconnaissance d’un prix ?
Consommation de services numériques gratuits : à quel prix ?
Tech&droit - Données
23/09/2019
C'est le modèle économique de beaucoup de plateformes, applications, réseaux sociaux, moteurs de recherche, etc. : en échange d'une infrastructure, ils récoltent des données, utilisées pour mieux connaître leurs utilisateurs. Mais les consommateurs de ces services ont-ils réellement conscience de la portée et des risques de cet accès gratuit ?
Peut-on réellement parler de consentement ?
Un RGPD le plus souvent neutralisé.- Sans aller jusqu’à imposer cette phrase réaliste, mais anxiogène, avant tout clic d’acceptation d’une politique de confidentialité ou de conditions générales d’utilisation (CGU), il apparaît néanmoins nécessaire de s’interroger sur la visibilité donnée aux utilisateurs quant à la portée réelle de leurs engagements, pour que leur clic matérialise un choix réellement libre et éclairé.
Le règlement général sur la protection des données (Règl. (UE) 2016/679, 27 avr. 2016, JOUE 4 mai, n° L 119, dit RGPD) a indubitablement renforcé les droits des créateurs de données personnelles. Notamment, parce qu’il a replacé au centre la notion de consentement du consommateur/utilisateur d’un service numérique.
Pour autant, le consentement aux conditions générales d’utilisation ou à une politique de confidentialité confine souvent à l’illusion d’une adhésion. D’abord parce ces clauses qui s’enchaînent avec une grande monotonie sont souvent illisibles, même pour un adepte de la littérature juridique. Ensuite, parce que la seule liberté, c’est celle d’accepter ou de refuser le service proposé. Et, enfin, parce qui voudrait se tourner vers un concurrent plus respectueux, souvent n’en trouvera pas en raison de la situation quasi monopolistique de certaines de ces plateformes.
Lassitude, inintelligibilité, temps de lecture trop important, les raisons ne manquent pas pour se détourner d’une lecture fastidieuse et qui plus est assez peu utile, dès lors qu’aucune clause n’est négociable. Et qui a déjà réellement lu les CGU fleuve proposées par les plateformes en ligne et autres réseaux sociaux ?
Des chiffres révélateurs du désintérêt des utilisateurs pour les CGU
- 91 % des Américains acceptent les CGU sans les lire (97 % des 18-34 ans)
- 99 % des CGU de 500 sites Web populaires, dont Google et Facebook, seraient illisibles
- pour une représentation visuelle du volume de pages que les CGU des réseaux sociaux les plus populaires représentent, v. l’œuvre de Dima Yarovinsky, intitulée I agree ;
- et pour une initiative qui audite les CGU d’une cinquantaine des plus grandes plateformes, v. https ://tosdr.org/Sources :
sources : The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Service, 18 août 2018 ; Deloitte, 2017 Global Mobile Consumer Survey: US édition, p. 12
- 91 % des Américains acceptent les CGU sans les lire (97 % des 18-34 ans)
- 99 % des CGU de 500 sites Web populaires, dont Google et Facebook, seraient illisibles
- pour une représentation visuelle du volume de pages que les CGU des réseaux sociaux les plus populaires représentent, v. l’œuvre de Dima Yarovinsky, intitulée I agree ;
- et pour une initiative qui audite les CGU d’une cinquantaine des plus grandes plateformes, v. https ://tosdr.org/Sources :
sources : The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Service, 18 août 2018 ; Deloitte, 2017 Global Mobile Consumer Survey: US édition, p. 12
Car si l’on considère qu’un adulte est capable de lire 250 à 280 mots par minute et que le volume moyen des CGU est de 12 000 mots, il faut donc en moyenne, 48 minutes pour lire ces CGU (Deloitte, 2017 global mobile consumer survey : US édition, p. 12 ; The biggest lie on the internet : ignoring the privacy policies and terms of service policies of social networking service, 18 août 2018 ; The Duty to Read the Unreadable, 11 janv. 2019 ; La plupart des termes et conditions d'utilisation des sites sont incompréhensibles pour des adultes, Developpez.com, 14 févr. 2019). Autant dire une éternité à l’échelle d’internet.
Comme le relève Muriel Fabre-Magnan dans son dernier ouvrage, peu de consommateurs « songent à s’inquiéter de la consistance et des conséquences du consentement en matière de consommation de biens ou services ou des nouvelles technologiques, dont les effets sont pourtant ravageurs en termes de droit et libertés » (Fabre-Magnan M., L’institution de la liberté, PUF, oct. 2018, p. 76). D’autant que les réseaux sociaux et autres plateformes en ligne savent « noyer ces informations dans des documents fleuves impossibles à lire et dont l’acceptation est obligatoire pour obtenir les biens et services convoités » (Fabre-Magnan M., L’institution de la liberté, op. cit., p. 76). Où est la liberté dans ce type de consentement ?
La recherche d’un intérêt immédiat via un service mis, en apparence, gratuitement à disposition soulève la question du discernement de l’utilisateur. A-t-il compris la portée de ses engagements ? Les risques ont-ils été réellement appréciés ?
Renforcer l’impact du RGPD et redonner de la confiance à l’utilisateur.- Est-il possible de faire bouger les lignes, d’écarter ce chantage au service ? De redonner de la confiance à des utilisateurs désabusés qui ne lisent plus ces documents légaux et ignorent donc souvent la portée de leur clic valant acceptation ? Autrement dit, comme le résume parfaitement la députée Paula Forteza, rapporteur de la loi sur la protection des données (L. n° 2018-493, 20 juin 2018, JO 21 juin), « comment passer du clic de lassitude au clic de conviction » ?
Une idée pourrait être de parvenir à une certaine standardisation de la présentation des CGU, dont l’objectif serait non seulement d’éclairer le consentement des utilisateurs, mais aussi de favoriser la comparaison entre documents. Une mise en perspective de nature à leur permettre de mesurer la portée réelle de leurs engagements, selon qu’ils s’engagent avec tel ou tel prestataire. Et un vecteur de saine concurrence au bénéfice de l’utilisateur, en quelque sorte.
Autre réponse proposée dans le dernier rapport du think tank Génération Libre, sur la patrimonialité des données (Génération libre, « Aux data, citoyens, pour une patrimonialité des données personnelles », 16 sept. 2019).
Le marché des données personnelles est estimé d’ici à 2020 à un trillion d’euros en Europe, soit 8 % du PIB.
Source : WORLD ECONOMIC FORUM, « The Value of Data », 22 sept. 2017
Source : WORLD ECONOMIC FORUM, « The Value of Data », 22 sept. 2017
La patrimonialité des données peut-elle être une solution ?
Le RGPD a favorisé une prise de conscience sur la nécessité de protéger les données personnelles. Mais est-il allé assez loin ? Avec une problématique de départ à résoudre : l’internaute fait-il le choix délibéré, éclairé et rationnel d’utiliser gratuitement ou non un service d’une plateforme numérique en échange de données ?
Des internautes passifs et captifs.- « Avec les prises de conscience et les scandales à répétition de ces dernières années, plusieurs sondages montrent que les utilisateurs accordent beaucoup d’importance à la protection de leurs données personnelles, tout en ayant un comportement en ligne à l’opposé de leurs réponses. C’est le paradoxe de l’intimité dont l’internaute est la victime » indique ce rapport.
D’autant que l’internaute n’est la plupart du temps pas conscient d’un déséquilibre significatif d’information, lié au fait que « La collecte et le commerce des données se fondent sur des technologies dont les internautes ignorent la complexité (cookies, suivi de l’adresse IP, combinaison de bases de données, enregistrement des données fournies volontairement sur des formulaires, des blogs, etc.). Cette ignorance engendre une asymétrie d’information sur l’utilisation des données ».
Le think tank souligne ainsi plusieurs paradoxes :
- selon Maxime Sbaihi, directeur général de Génération libre, « Nous produisons sans être propriétaires, fournissons sans rémunération, décidons sans choix » ;
- « la plupart des sondages indiquent que les individus sont de plus en plus préoccupés par la confidentialité de leurs données sur Internet, (mais) leur comportement en ligne indique le contraire ».
C’est en tout cas l’une des propositions de ce rapport.
L’objectif : rendre l’internaute moins passif et surtout moins captif (comportement qui se traduit par un clic d’acceptation des cookies).
Rééquilibrer le rapport de force plateforme/internaute par la détermination d’un prix.- Concrètement, pour lutter contre cette sensation de gratuité, le rapport propose deux modèles :
« - Une approche dite contractualiste : l’internaute doit choisir d’utiliser le service internet contre un partage de ses données ou un paiement monétaire ;
- Une approche dites propriétariste : l’internaute stocke ses données dans un portefeuille et autorise au cas par cas leur utilisation ».
Car pour les auteurs de ce rapport, « si l’échange est explicité, par le fait que le site explique comment les données seront utilisées et à quel point le site les protège, les internautes auront tendance à vouloir limiter les données transmises, et même à payer un surplus monétaire pour garantir leur confidentialité « (T. Tsai J., Egelman S., Cranor L. et Acquisti A., The Effect of Online Privacy Information on Purchasing Behavior : An Experimental Study, Information Systems Research, vol. 22, n° 2, 2011, p. 254).
Il s’agirait donc non seulement de provoquer une prise de conscience sur la valeur générée par les données laissées sur une plateforme (ce qui, pour ce think tank, passe nécessairement par un équivalent monétaire, c’est-à-dire un prix) mais aussi de créer un marché, pour favoriser la concurrence.
Un raisonnement qui repose donc sur deux postulats :
- « si l’internaute prend conscience de la valeur de ses données personnelles, il peut décider de les donner, les vendre, les céder contre un service ou payer ce service en monnaie plutôt qu’en données »
- « Pour qu’elles puissent faire l’objet de transactions, les données personnelles doivent devenir la propriété privée des internautes ».
Car cette valeur, en pratique :
- est liée au type d’utilisation par la plateforme des données (meilleur profiling pour adapter l’offre de service, etc.) ;
- varie en fonction de l’usage fait de la plateforme par l’internaute (usage quotidien ou pas ; type d’informations échangées, etc.)
En revanche (si l’on met de côté le débat juridique sur la notion même de patrimonialité des données, qui n’est pas un petit débat), la seconde solution, dite propriétariste, suppose la mise en place d’un portefeuille (wallet) connecté à internet, ce qui techniquement serait faisable, mais néanmoins complexe (v. en ce sens, Solid, l'idée de Tim Berners-Lee pour reprendre le contrôle des données, Solid, l'idée de Tim Berners-Lee pour reprendre le contrôle des données, ZDnet, 3 avr. 2019).
En attendant, sans doute faudra-t-il passer par la délivrance d’une information plus précise et une éducation plus poussée des internautes. Avec pour objectif une meilleure prise de conscience des contreparties, plus ou moins cachées, de la gratuité des plateformes et autres réseaux sociaux.
Quant à la reconnaissance d’un droit de propriété sur les données, c’est un tout autre débat. Mais pourquoi ne pas envisager une troisième voie qui permettrait de tirer de la valeur des données générées par l’utilisation de services numériques, sans passer par la reconnaissance d’un prix ?
Source : Actualités du droit
