Blog du Droit Pénal

Si le big data est dans l’air du temps, il ne faut pas méconnaître pour autant les dangers qu’il comporte. Tel est le sens de la présente analyse.

• L’identité civile des personnes et sa fonction : garantir l’ipséité de la personne. La notion d’« identité civile ». Si, avec le temps, la notion d’« identité » s’est largement subjectivisée, le droit civil est demeuré simple concernant l’identité des personnes. L’état civil pourrait être défini comme une « universalité de fait » permettant de garantir l’ipséité de l’individu : nom, prénom, sexe, date et lieu de naissance, filiation, domicile, nationalité, signature. Ces éléments stables sont garantis dans les actes authentiques des registres d’état civil (1) .

• Le renforcement de la garantie d’ipséité par les technologies du numérique. Le passage à l’ère du numérique semble avoir renforcé les garanties d’ipséité de cette identité civile. Les progrès de la génétique permettent les rectifications d’état civil et les progrès du numérique ont permis de remplacer l’encre nécessaire aux empreintes digitales par l’anthropométrie. Les technologies d’identification biométriques sont diverses : l’iris, la forme du visage ou de la main, la lecture électronique des empreintes digitales, etc., permettent d’associer de manière quasi instantanée une personne aux données préenregistrées, sur un fichier, une carte à puce, ou dans une puce scellée dans un passeport. La signature numérique, les procédures d’identification ou de cryptage des flux de données relatives à la personne offrent la garantie que c’est bien elle qui est à l’origine, qui est l’auteur des opérations en cause ou qui y consent. Les progrès scientifiques permettent donc d’identifier une personne avec davantage de fiabilité que par le passé ; il n’en demeure pas moins que la fiabilité de cette identification ne saurait être absolue et reste donc relative.

• La subjectivisation de la notion d’« identité civile ». Dans la mesure où l’identité civile est une notion qui s’est étendue aux caractéristiques subjectives de la personne, comme ses goûts, ses sentiments d’identité (2) , dont celle-ci n’hésite pas à faire part sur les réseaux sociaux, ou que l’on peut déterminer d’après ses achats en ligne ou sur le repérage des sites qu’elle a consultés, big data s’en est emparé. D’autant plus facilement qu’aujourd’hui les commerçants s’adressent directement aux internautes pour leur demander leurs données personnelles moyennant cadeau ou rémunération directe, et les partagent avec d’autres commerçants, ce qui entraîne - outre le sentiment désagréable pour le cyberconsommateur d’être pris pour une marchandise, en violation de sa dignité - la création de logiciels de profilage particulièrement précis, bien plus précis que ceux élaborés à partir de cnil cookies google analytics.

• L’intérêt de big data. Dans une acception large, big data est un magma de données contenues dans les réseaux numériques à partir desquels sont fabriqués des algorythmes de profilage. Il inclut donc déjà potentiellement l’identité civile des personnes : état civil (les réseaux étatiques n’étant pas à l’abri d’ouverture forcée, de piratage) et identité subjective (informations que la personne a laissées sur elle en allant sur tel ou tel site, tel ou tel réseau). Pour l’instant, l’essentiel de big data porte sur du profilage à visée commerciale (3) . Mais les politiques s’intéressent de très près au potentiel de big data. Barack Obama en a d’ailleurs fait usage pour sa campagne électorale présidentielle. Ce passage de la détermination de l’identité dans et par le monde physique à la détermination de l’identité dans et par le numérique présente des risques pour l’individu et pour la société qui, dans le pire cas d’un big data non régulé spécifiquement par le droit, serait redoutable. Dans un monde où la population mondiale ne cesse d’augmenter et dans lequel les moyens de communication prennent un essor incommensurable, il y a de quoi s’inquiéter des effets « déréalisants » de big data (I) sur les personnes et du risque démocratique que cela représente (II).

•  

I. - LES EFFETS « DÉRÉALISANTS » DE BIG DATA SUR L’IDENTITÉ CIVILE DES PERSONNES : PROPOSITION DE CRÉATION D’UN NOUVEAU DÉLIT INFORMATIQUE DE « DÉRÉALISATION » DES PERSONNES

• Les effets « déréalisants » de big data sur l’identité des personnes sont divers. Les algorithmes de profilage de big data présentent un risque : celui de ne pas représenter la réalité, donc d’avoir un effet négatif « déréalisant ». Lorsque le profilage est erroné, certains risques sont connus : un spamming (4) , qui plus est mal ciblé en matière commerciale, une atteinte à la vie privée (5) , un fishing (6) qui permet de pirater les données bancaires ou sanitaires d’un internaute et ne représentent pas la réalité de la condition de fortune ou sanitaire de la victime, l’atteinte à la réputation d’autrui ou, pire, l’usurpation d’identité (7) . D’où l’intérêt de créer un droit subjectif de la personne à sa réalité (à sa vérité) et une infraction spécifique : la « déréalisation » de la personne, même si des sanctions pénales sont déjà prévues pour prévenir spécifiquement certaines infractions proches du délit de « déréalisation » de la personne, comme l’atteinte à la réputation de la personne, voire l’erreur sur la personne ou l’usurpation d’identité. Il faut un droit du net qui soit plus « net ». Le principe de neutralité technologique est insuffisant pour organiser une réponse adéquate à la délinquance informatique.

• Existence d’une infraction préalable à la création d’une infraction pour « déréalisation ». La collecte frauduleuse de données. Lorsque les conditions d’obtention de données peuvent être poursuivies, le fait d’accéder à un système de traitement automatisé de données (Stad) sans titre ni motif légitime pourrait être qualifié d’« acces et de maintien frauduleux » dans un Stad au sens de l’article 323-1 du Code pénal ou encore d’« introduction frauduleuse de données » dans un Stad au sens de l’article 323-3 du Code pénal. Enfin, l’article 226-18 sanctionne le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite. En mars 2009, lors du troisième forum international sur la cybercriminalité, Michèle Alliot-Marie, alors ministre de l’Intérieur, avait annoncé l’introduction d’un délit d’usurpation d’identité applicable aux usages détournés des réseaux de communication électronique. Un exemple déjà ancien pouvait illustrer ce type de détournement. Il y a quelques années, un groupe de potaches internationaux avait usurpé l’identité du directeur de cabinet d’un ministre français pour inonder les rédactions nationales d’un communiqué de presse transmis par courriel et tenant des propos peu flatteurs pour le prétendu auteur (8) .

• Les autres réponses. Un droit à l’oubli. La victime d’une « déréalisation » de sa personne doit pouvoir invoquer le droit à l’oubli, c’est-à-dire la disparition des informations la concernant qui sont fausses ou qu’elle refuse d’assumer publiquement. L’arrêt de la Cour de justice de l’Union européenne du 13 mai 2014, Google Spain SL et Google Inc. c/ Agencia Espanola de Protección de Datos (AEPD) et Mario Costeja González (aff. C-131/12), constitue une étape importante de la protection des données personnelles au regard des traitements de données opérés par les moteurs de recherche en Europe et, plus généralement, dans le monde numérique. En effet, désormais, toute personne peut demander la suppression de son nom si, lorsqu’il est utilisé en tant que requête, il apparaît des résultats « inadéquats, pas ou plus pertinents ou excessifs au regard des finalités du traitement ». En à peine un mois, 70 000 demandes de retrait ont été formulées concernant 267 550 liens. La France occupe la première place sur le podium européen du droit à l’oubli avec 14 086 demandes. La Commission nationale informatique et libertés tient aussi un rôle central pour éviter les dérives permises par big data. Elle veille au respect de ces dispositions en utilisant les compétences qui lui sont reconnues par la loi nº 78-17 du 6 janvier 1978 (art. L. 33-4-1, al. 6). Enfin, les infractions sont recherchées et constatées par des fonctionnaires habilités à cet effet (art. L. 33-4-1, al. 7).

• Critiques. Si l’oubli a les faveurs de certains, il ne l’est pas pour d’autres qui crient à la censure et à l’atteinte à la liberté d’expression. Ce sont des journaux britanniques, et non des moindres (The Guardian, The Daily Mail) et la BBC, qui ont sonné la charge contre ces nouveaux bûchers numériques de l’information puisque le parallèle a été fait avec les livres qui étaient brûlés car ils avaient le malheur de déplaire. D’autres, comme les représentants de « Reporters sans frontières », se sont demandé comment Google décidait de retirer ou non les données personnelles. Bref, la question est polémique et la crainte d’une police discrétionnaire du net surgit. Il s’agit là d’une nouvelle illustration du combat éternel entre le droit d’un seul (en l’espèce celui qui, parce qu’il veut oublier, exige qu’on l’oublie) et le droit de tous à l’accès à l’information. qu’on le veuille ou non : les résultats des moteurs de recherche ne donneront plus une image fidèle de la réalité. Mais cela n’est guère nouveau car les exploitants des moteurs sont habitués, d’une manière ou d’une autre selon les lois applicables, à procéder à des déréférencements. quoi qu’il en soit, les informaticiens nous rassurent : le droit à l’oubli n’existerait pas. Une fois injectées dans un réseau, les données personnelles sont susceptibles de circuler partout, et le retrait par Google ne serait qu’une maigre compensation, une illusion d’oubli numérique (9) .

II. - LE RISQUE DÉMOCRATIQUE

• Quand big data se trompe ou ne suit plus l’évolution du citoyen. Selon certains, big data voit tout, contient tout, posséderait ou possédera des algorithmes lui permettant les meilleures prédictions en matière de mariage, de divorce, de filiation, de successions (« de combien vais-je hériter et quand ? »), d’emploi, de consommation (10) , de choix politique (11) , de santé (selon le site internet , à partir d’une photo d’identité, il est désormais possible de prédire la date de notre mort, l’essai ayant été réalisé pour Mick Jagger dont le décès a été prévu à l’âge de 81 ans ! Fantasmes, provocation...). Le droit ne peut pour l’instant prendre ce genre d’informations au sérieux et doit, a minima, faire en sorte qu’elles n’aient pas d’impact sur les relations juridiques...

D’autres sont allés jusqu’à écrire que big data permettra un jour d’anticiper les pensées d’une personne, voire de mettre au jour son inconscient. Les informations seraient certes utiles pour la personne concernant par exemple la gestion de sa vie privée ou de sa carrière, parfois en matière médicale. Il s’agit d’une dépossession d’identité sans précédent, surtout si les citoyens en question se reposent sur big data pour avoir à éviter de choisir par eux-mêmes, big data faisant alors office des « voyants » d’autrefois. Mais laisser toutes ces informations à la portée des tiers peut aussi porter préjudice et préjudicier à la démocratie par un classement erroné ou arbitraire des citoyens. En effet, les citoyens se retrouveraient avec une classe politique anticipant des débats décalés de la réalité et élaborant des programmes à partir d’informations erronées. Au risque de lasser (un peu plus) les citoyens... et de laisser la place à une « démocratie participative » n’intéressant au final que les lobbies.

(1) Pour une historique de l’état civil, voir Gutton J.-P., établir l’identité : l’identification des Français du Moyen Âge à nos jours, PUL, mai 2010. (2) La recherche privatiste s’est néanmoins attelée à définir la notion d’« identité », au-delà du simple état civil, justement, par rapport au sentiment d’identité. Le sentiment d’identité : étude de droit des personnes et de la famille et le rattachement du statut personnel et l’autonomie de la volonté. En ce sens, Le Maigat P., Le rattachement du statut personnel et l’autonomie de la volonté, Thèse (ss dir. Courbe P.), 1999. (3) On a beaucoup dit et écrit sur big data, sur ses éventuelles possibilités prédictives dans les sciences physiques, les assurances, la médecine, la finance, sur les fantasmes et les craintes qu’il déclenche dans les consciences ou l’inconscient collectif. Certains y voient un changement radical de société, d’autres, comme Chris Anderson dans un article publié dans Wired 2008, un amas de données inexploitables. Et d’écrire : « Le déluge des données va rendre la méthode scientifique obsolète. » Face à ces incertitudes, la position du droit ne peut être qu’attentiste, au bon sens du terme : attendre que le réel advienne. Il faudra cependant une régulation par le droit pour que sur big data soient respectées les valeurs de notre société au cœur de laquelle se trouve l’Homme. L’ensemble des matières du droit seront convoquées mais la toute première sera certainement le droit civil et, plus précisément, le droit des personnes. (4) À l’heure actuelle, le droit a réagi aux utilisations du big data. Les internautes se sont retrouvés par exemple victimes d’un « matraquage publicitaire » d’autant plus dangereux qu’il repose sur l’utilisation de données personnelles. Le législateur est donc intervenu pour interdire aux cybercommerçants de promouvoir leurs biens ou services par la technique dite du « spamming ». Ainsi, l’article L. 34-5 du Code des postes et télécommunications électroniques issu de l’ordonnance du 24 août 2011 limite les procédés de prospection, en interdisant « la prospection directe au moyen de systèmes automatisés d’appel ou de communication, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen ». (5) C. civ., art. 9. (6) Tout au plus, l’article 226-17-1 du Code pénal dispose que : « Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d’une violation de données à caractère personnel à la Commission nationale de l’informatique et des libertés ou à l’intéressé, en méconnaissance des dispositions du II de l’article 34 bis de la loi nº 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. » Néanmoins, une disposition répressive spécifique au délit de fishing serait souhaitable. (7) Article 434-23 du Code pénal. Dans ce prolongement, la loi nº 2011-267 dite « LOPPSI 2 », du 14 mars 2011, prévoit en son article 2 l’incrimination de l’usurpation d’identité en vue de porter atteinte à sa tranquillité ou en vue de porter atteinte à son honneur ou à sa considération. Les peines sont un an d’emprisonnement et 15 000 € d’amende. Voir aussi l’article 433-19 du Code pénal qui concerne la prise d’un nom ne correspondant pas à l’état civil ou la modification du nom figurant à l’état civil. En l’occurrence, cette incrimination concerne la personne qui tente de se dissimuler en ayant recours à une altération ou une modification de son propre état civil et ne semble pas être en regard des objectifs du législateur. (8) Article 2 adopté en première lecture le 16 février 2010 qui crée un nouvel article 222-16-1 du Code pénal : « Le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération. » (9) Merland L., Le droit à l’oubli numérique, Médias 009, PUAM, 2010. (10) <www.amazon.com/Big-Data-Analytics-Intelligence-Businesses/dp/111814760X[archive]> ; http://blog.markess.fr/2013/03/infographie-exploitations-des-donnees-clients-avec-le-big-data.html. (11) Le rôle du big data dans la campagne présidentielle américaine en 2012 (archive) (((de quoi s’agit-il ?))).