Data mining et protection des données personnelles, une urgence démocratique

Chronique rédigée par le comité de Carta Academica, publiée en primeur sur le site du Soir

Le traitement de nos données personnelles est un enjeu clé pour l’avenir de nos régimes démocratiques. Dans des sociétés dominées par des impératifs de gestion, de rapidité et d’efficacité, la volonté de rassembler des données diverses sur les citoyens est une réalité qui se déploie dans un nombre croissant de domaines. Que ce soit en matière de sécurité sociale et de sécurité publique (caméras de surveillance) hier, dans le domaine de la santé aujourd’hui, de la justice et de la sécurité toujours demain, le mouvement est en marche et englobe la totalité des traces électroniques que nous laissons derrière nous. À l’ère des Big data, on ne voit pas pourquoi ni comment il s’arrêterait, tant les évolutions technologiques et la fascination pour des modes de régulation par les algorithmes alimentent cette soif de compilation et de manipulation infinie de données. Et l’agitation autour du Règlement général sur la protection des données (RGPD), auxquels sont astreints aujourd’hui nombre d’acteurs publics (dont les Universités en matière de recherche) semble une parade bien dérisoire face à la marée montante et incontrôlée des gigantesques banques de données. Au point qu’on en arrive à se demander si la protection des données n’est pas un cadeau empoisonné pour la vie privée et la liberté individuelle qu’elle est censée protéger…

Diviser l’in-dividu pour mieux le contrôler

Ces dernières semaines, deux cartes blanches publiées dans Le Soir (celle des rectrices de l’ULB et de la VUB, et celle d’un collectif de juristes, avocats, médecins et spécialistes du traitement de données) confirment ce phénomène et les dangers qu’il recèle pour le peu de vie privée qu’il reste aux citoyens. On s’offusque à juste titre du système de contrôle chinois, mais la collusion entre nos États de droit démocratiques et le secteur privé, à commencer par les Gafam, donne un tableau guère plus réjouissant, d’autant que ces mêmes États se posent en défenseurs des libertés et n’hésitent pas à donner des leçons au reste du monde. Le processus en lui-même pose question. L’accumulation de données personnelles dans les domaines les plus divers, leur stockage et leur traitement à travers un réseau interconnecté de banques de données aux finalités souvent très divergentes et le transfert de ces données d’un domaine à l’autre a de quoi faire froid dans le dos. À l’ère du profilage et du data mining, c’est moins le monde de Kafka que Le meilleur des mondes d’Aldous Huxley ou le 1984 de George Orwell qui se dessine, un monde gouverné par le primat d’une logique de contrôle et de surveillance de nos actions, mais aussi de formatage de nos pensées et de nos désirs. C’est ce que Deleuze, Negri, Hardt ou Agamben dénonçaient déjà il y a plus de trente ans, avec l’émergence d’une société de contrôle relayant voire supplantant les institutions disciplinaires, où toutes les réalités sociales sont de plus en plus fragmentées, à commencer par l’in-dividu. Les publicitaires et les commerciaux ont bien compris l’usage possible de cette logique de contrôle invisible et de profilage construite à partir de la récolte de données personnelles, toujours partielles et souvent partiales, dont le croisement permet à divers acteurs privés d’optimiser sous forme de conseils ou de suggestions le message subliminal qu’ils souhaitent faire passer auprès d’un (in)dividu «profilé». De son côté, le monde politique a bien saisi également le profit à tirer d’une technologie permettant de rationaliser toujours plus l’action publique ou d’optimiser la gestion de la vie grâce à la collecte et au traitement automatisé d’informations nous concernant.

Quelle transparence?

Mais c’est aussi, sinon surtout, la mise en œuvre de la récolte, du traitement et de l’utilisation des données qui inquiète. Récolter des données peut bien sûr être utile aux gestionnaires de la cité comme aux citoyens, mais pas n’importe où, ni n’importe comment, ni pour n’importe quoi. Le processus devrait être cadré et limité par la loi. Le principe fondamental à la démocratie qu’est la séparation des pouvoirs doit en priorité s’appliquer ici; on est en effet en droit d’attendre, comme le rappellent les auteurs de la carte blanche collective, que dans un État de droit, la récolte de données personnelles, leur traitement et leur usage soient définis ou contrôlés par le parlement et les organes qu’il crée à cet effet; que ce triple processus fasse l’objet de normes législatives précisant quelles données seront récoltées, où et par qui elles seront traitées et stockées, à quelle fin elles seront utilisées; et que l’ensemble sera surveillé par une autorité indépendante, garante du contrôle démocratique et à l’abri de tout conflit d’intérêts dans un «marché» où, en raison de l’énormité des enjeux financiers, l’accumulation disproportionnée des savoirs sur les citoyens est liberticide. La garantie minimale que l’on puisse attendre de l’État en ce domaine est un contrôle sérieux, source de transparence minimale.

Il ressort de plusieurs enquêtes publiées par la presse ces derniers mois (voir aussi cet article sur notre site) qu’aujourd’hui, en Belgique, ce n’est pas le cas. C’est la transparence du citoyen et l’opacité du pouvoir qui est organisée, alors que cela devrait être exactement le contraire. À une régulation par le droit, fondée sur des textes clairs et précis, soumis à l’avis du Conseil d’État et à un éventuel contrôle de constitutionnalité, s’oppose une régulation technocratique à bas bruits, opérant en coulisses, confidentielle, régulièrement floue, peu visible ou accessible. L’instance indépendante chargée du contrôle de la récolte et de l’utilisation des données, l’Autorité de Protection des Données (APD), pose très largement question, comme l’a encore souligné la Cour des comptes dans un rapport d’audit sur le fonctionnement de l’APD remis tout récemment au Parlement. Sa composition soulève des problèmes clairs d’incompatibilité légale et de conflits d’intérêts, son indépendance a été questionnée par la Commission européenne, comme l’expliquent les articles cités et la carte blanche collective. Cela fait beaucoup. Quant au Comité de sécurité de l’information (CSI), organe qui autorise les transferts et la réutilisation des données d’une administration à l’autre et où les mêmes problèmes se posent, son fonctionnement semble tout aussi, sinon plus problématique encore. Selon les sources citées, il semblerait en effet que la plupart de ses membres ne sont pas convoqués ou ne participent pas à ses réunions, alors qu’il s’agit d’un organe qui remplit le rôle qui est normalement celui du parlement, comme l’a bien expliqué la professeure Elise Degrave. Autrement dit, aujourd’hui, la circulation de nos données personnelles s’apparente à un vaste circuit d’échanges dont la tuyauterie évolue sans cesse en dehors de tout contrôle démocratique, tel un organisme fou, voire un cancer incontrôlable.

Une gangrène institutionnelle

Les signataires font le choix conscient de ne pas s’attarder sur les responsabilités individuelles, fussent-elles énormes et flagrantes. Un certain nombre d’enquêtes, publiées notamment par Le Soir, se sont penchées dessus. D’autres investigations journalistiques, voire judiciaires, pourront suivre le cas échéant. Ce sur quoi ce texte s’attarde, c’est le caractère systémique de la gangrène institutionnelle qui ruine les fondements de notre organisation démocratique.

Il paraît urgent aujourd’hui que le parlement se (re)saisisse de cette question que la pandémie covid a fait apparaître au grand jour, qu’il fasse le ménage dans cette usine à gaz et qu’il assume pleinement la fonction de contrôle qui est la sienne dans nos sociétés contemporaines Le régime de la séparation des pouvoirs que nous a légué Montesquieu, avec un pouvoir législatif chargé d’édicter des lois, un pouvoir exécutif chargé de les mettre en œuvre et un pouvoir judiciaire chargé de les appliquer dans les cas particuliers, a en partie vécu. Aujourd’hui, le pouvoir d’initiative législative a très largement basculé vers l’exécutif et l’administration pour des raisons de compétence technique et de rapidité. Ce mouvement existe depuis un siècle, il s’accélère et n’est pas en soi illégal; la Cour constitutionnelle l’admet sous certaines conditions. Le pouvoir législatif n’a évidemment pas à renoncer à ses prérogatives originelles. Mais s’il tient à garder une légitimité dans ce contexte, le parlement doit–à l’image de ce que fait le pouvoir judiciaire (lorsqu’il est saisi d’affaires)–endosser plus largement sa fonction de contrôle de l’exécutif sans en déléguer la responsabilité à d’autres sous prétexte d’une plus grande «compétence» (comme en atteste le recours de plus en plus systématique à des boîtes de «consulting»). Et exiger des comptes. L’équilibre des pouvoirs, fondamental dans un État de droit, est à ce prix. Sur une question aussi sensible que la récolte, le traitement et l’utilisation de nos données personnelles, le moins que l’on puisse demander au Parlement, c’est qu’il joue son rôle de contrôle et de contre-pouvoir. Car n’est-ce pas l’aboutissement paradoxal et absurde d’une société du contrôle, que d’être contrôlée par une instance invisible que plus personne ne contrôle? Sans s’en rendre compte, notre société réinvente un Dieu tout-puissant et… arbitraire.