Un tsunami juridique pour proclamer les droits de l’homme numérique
REPÈRES
REPÈRES
La révolution du numérique s’organise en trois étapes : les années 1950 à 1996, marquées par la déferlante informatique et le développement des microprocesseurs ; les années 1996 à 2012, années de l’avènement du virtuel et de l’immatérialité grandissante des données et des échanges ; le troisième cycle qui débute et sera, à n’en pas douter, celui de la « fusion », fusion entre l’homme et la machine, entre le monde moléculaire et celui des octets. Il n’y a pas rupture, mais bien addition de cycles.
La révolution numérique est sans nul doute la révolution technologique la plus importante de toutes celles qu’a connues l’humanité depuis ses origines, mais il s’agit d’une révolution tout à fait particulière.
Rupture ou évolution de cycles
Un peu de jargon
Big data : terme général décrivant des quantités volumineuses de données.
Green IT : techniques de l’information et de la communication dont la conception ou l’emploi permettent de réduire les effets négatifs de l’activité humaine sur l’environnement.
Cloud computing (informatique dématérialisée) : accès, à la demande et en libre-service, à des ressources informatiques et mutualisées.
À la différence des révolutions précédentes, qui ont toutes pour origine des « ruptures » technologiques, la révolution numérique est une révolution itérative, c’est-à-dire qu’elle est elle-même une succession de ®évolutions ou, plus exactement, de repositionnements techniques.
Le socle informatique
L’informatique est et restera le socle technologique, la pierre angulaire de l’économie numérique. Mais l’informatique elle-même évolue et continuera d’évoluer, comme en témoignent les notions de big data, de mobilité, de green IT ou encore de cloud computing.
Pendant des décennies, l’informatique a recherché des performances en termes de vitesse et de capacité de traitement. Aujourd’hui acquises, ces capacités doivent laisser la place à un autre besoin, celui du traitement de la donnée et des agents intelligents.
Le règne du virtuel
L’informatique va se tourner vers le traitement intelligent
Le virtuel ne sera plus remplacé ni remplaçable. Qui imaginerait aujourd’hui se passer des courriels qui ont supplanté les courriers postaux ? Qui osera demain remettre en cause les process de contrat clic ou encore les fondamentaux de l’entreprise agile (facture dématérialisée, e‑convocation, e‑élection, et plus récemment bulletin de salaire dématérialisé)?
À l’instar de l’informatique, le monde du virtuel ne cessera pas non plus d’évoluer : la lettre recommandée cédera la place à la LRE (lettre recommandée électronique), le vote électronique deviendra un outil de démocratie (élections prud’homales, au sein des entreprises, aux chambres de commerce et d’industrie, etc.), le travail se fera nomade ou se muera en télétravail, à distance de l’environnement hiérarchique.
Rencontre avec le troisième cycle
L’avènement d’un troisième cycle risque de susciter un surcroît de nouvelles questions en termes juridiques.
Ce nouveau cycle de la révolution numérique est marqué par quatre tendances majeures : l’architecture réactive, le mode synchrone, le M to M (machine to machine) et la prothèse active.
L’architecture réactive
L’architecture réactive est un des phénomènes les plus connus aujourd’hui de ce cycle qui repose sur une interaction entre le monde « traditionnel » et le monde « binaire ».
Vous aimez un produit ? une musique ? Vous cherchez à en savoir plus sur un objet ?
Rien de plus facile : prenez l’objet en photo avec votre smartphone, entrez dans un magasin, orientez votre smartphone vers l’écran du commerçant et en l’espace d’une seconde voici où, quand et à quel prix vous pourrez acquérir cet objet. La « réalité augmentée » est l’archétype même de l’architecture réactive qui combine le réel et le virtuel.
Le mode synchrone
Le mode synchrone est le second attribut de ce cycle. Jusqu’à très récemment encore, le monde de la communication était étanche : monde moléculaire d’une part, monde numérique de l’autre. Certes le numérique, avec les courriels et la messagerie instantanée, offrait des capacités d’immédiateté, mais les deux mondes ne se rejoignaient pas. Aujourd’hui, avec des applications comme la géolocalisation proposée par Facebook, les deux mondes fusionnent : où êtes-vous, qui est autour de vous, qui était là il y a quelques minutes, quelques heures ou quelques jours ? Autant d’informations qui relèvent du monde physique mais peuvent donner lieu à des échanges numériques.
Le M to M
Le M to M (machine to machine) est indéniablement au cœur de ce nouveau cycle, autour du concept de machine communicante et de Web des objets. Le Web 1 était une révolution numérique, le Web 2.0 une révolution comportementale, le Web 3.0 sera sans aucun doute un tsunami technico-juridique.
Pour l’heure en effet, on considère que le cerveau humain, même s’il n’est pas le plus rapide, reste incomparable – mais pour combien de temps encore ? Les microprocesseurs, « cerveaux » qui fournissent leur intelligence aux machines, apprennent à apprendre. Ils possèdent un réseau de transistors dont la quantité ne cesse d’augmenter au fil des années (loi de Gordon Moore, cofondateur d’Intel). Ils pourront bientôt modifier leurs connexions entre eux comme peuvent le faire les connexions des neurones, jusqu’à égaler et surpasser l’homme.
La prothèse active
Toute ressemblance avec un film américain bien connu ne serait que fortuite
Enfin, dernière évolution, le passage de la prothèse passive à la prothèse active.
Exemple concret, celui du patient. Ce dernier est aujourd’hui connecté ; certes, il est assisté, à n’en pas douter, mais là encore, les deux mondes, moléculaire d’un côté, numérique de l’autre, ne se rejoignent pas encore. Mais imaginez un malade (bien physique) connecté à distance à un réseau de soins, lançant une alarme, étudiée en temps réel par un professeur de médecine virtuel, indiquant le ou les médicaments à prendre et la posologie. Sur ordre, l’armoire à pharmacie connectée délivre le strict nécessaire (retour au monde physique) sans avoir oublié d’interroger préalablement le dossier pharmaceutique du patient pour éviter une iatrogénie médicamenteuse.
Un rêve ? Non, une réalité. Un cauchemar ? Oui, pour le juriste qui aurait à connaître d’un dysfonctionnement au sein de ce magnifique rouage. La faute à qui ? La machine, le professeur virtuel, la mauvaise tenue du dossier pharmaceutique, mais par qui ? Ou alors, plus simple encore : une connexion Internet impossible.
La place du droit
C’est à se demander si, jusqu’à présent, les questions qui nous étaient posées n’étaient pas de simples amuse-bouches juridiques : problématiques en matière technique (sécurité et authenticité), juridique (valeur probante, légalité), éthique (protection de la vie privée et garantie de l’ordre public), etc. Face à cette fusion entre monde moléculaire et monde numérique, le droit sera en effet nécessairement bousculé sur trois plans : la propriété de l’information, les droits de l’homme numérique (notamment la dignité numérique) et la responsabilité.
La propriété de l’information
La propriété de l’information ou de la donnée est une question centrale. C’est pourtant le parent pauvre du droit. La propriété de l’information n’est aujourd’hui abordée que sous le seul angle de la propriété intellectuelle et, accessoirement, du droit du travail.
De nouveaux risques
Que dire aussi des nouveaux risques pour la donnée que sont, d’une part, les lois de « protection » de type Patriot Act aux États-Unis ou la dissémination de l’information à travers le cloud. Sur ce dernier exemple, la crainte est d’autant plus compréhensible que la législation « Informatique et Libertés » impose une extrême prudence avec les données personnelles, toute infraction pouvant avoir de graves conséquences juridiques pour l’entreprise. Elle contient notamment des règles strictes autour de l’exportation et du transfert transfrontalier des données dont le non-respect est pénalement sanctionné.
Certes, le droit international protège les œuvres de l’esprit mais, dans une entreprise, tout ne peut être couvert par la propriété intellectuelle. Que faire du reste, c’est-à-dire de l’immense majorité que constitue le patrimoine « informationnel », disons même « intelligentiel » de l’entreprise ?
De même la donnée, en tant que donnée personnelle, relève d’un droit particulier, celui de la protection de l’identité (privacy). Mais ce droit protège la personne concernée par un traitement (fichier) et non celui qui collecte, traite et rend la donnée « intelligente » ou commercialement attractive.
Il y a bien d’autres environnements juridiques de protection tels que le secret professionnel, le secret de fabrique ou le droit des bases de données. Mais il suffit d’examiner l’écart entre les condamnations (si tant est qu’elles existent) et le dommage commercial subi par la victime, pour comprendre que cette voie est bien trop étroite.
Les droits de l’homme numérique
Le droit sera bouleversé par les nouvelles réalités qui conduisent à réinventer de nouveaux droits de l’homme, les « droits de l’homme numérique », au sein desquels figure le respect de la dignité numérique.
Il est indispensable de protéger pénalement les informations sensibles de l’entreprise
L’expansion rapide des réseaux s’accompagne en effet de dérives, allant parfois à l’encontre des droits de la personne (fichiers biométriques, vidéoprotection, cybersurveillance, géolocalisation, etc.).
Les nouveaux usages issus de l’Internet bouleversent ce qui sert de norme et de référence aux droits qui régissent le monde moléculaire. Il peut sembler nécessaire d’étendre la protection de la dignité humaine au champ du numérique par la consécration d’un principe de droit à la dignité numérique. L’outil le plus approprié peut être l’élaboration d’une charte des droits numériques ou une « Déclaration des droits fondamentaux numériques ».
La responsabilité
Jusqu’à présent la responsabilité était fondée sur un concept de faute et d’obligation, de moyen ou de résultat selon les cas.
Ce concept ne résiste pas à l’évolution du numérique. En effet, dans la plupart des situations, on entend les mêmes affirmations et réactions : on ne peut pas empêcher les virus, on ne peut pas surveiller tous les sites Web hébergés, la sécurité totale, ça n’existe pas, etc.
Face à une mission qui semble donc impossible, il est nécessaire de revoir le concept même de sécurité et, au lieu de s’intéresser à l’existence d’une faute comme élément systémique, de repenser l’obligation autour de l’obligation de faire et du défaut de précaution.
Anticiper
De nouvelles obligations, actuellement limitées aux opérateurs de communications électroniques, risquent de s’étendre, à terme, à tous les responsables de traitement quels qu’ils soient. Il existe cependant une échappatoire à cette obligation d’information pour le moins critique : s’assurer que les données ont été traitées de telle manière que, même si un tiers y accède, elles sont et demeureront inexploitables.
Il s’agit là aussi de la manifestation du droit de faire, qui implique un devoir d’anticiper le défaut plutôt que de rechercher l’impossible : empêcher qu’un tiers n’ait accès aux données
Les nouvelles obligations
Les dernières réglementations sont fondées sur un nouveau paradigme. Les lois antipiratage, dites Hadopi 1 et 2, ne cherchent pas à punir les contrefacteurs (déjà punis par le Code de la propriété intellectuelle) mais s’intéressent aux abonnés. Elles exigent de leur part qu’ils aient mis en oeuvre des mesures de nature à prévenir les dérives comme le peer to peer. La question n’est donc pas de savoir s’il y a eu ou non téléchargement illégal, mais si ce téléchargement a pour origine un défaut de maîtrise de sa connexion par l’abonné. L’abonné a l’obligation de veiller à ce que son accès au réseau Internet ne soit pas utilisé pour commettre des actes de contrefaçon. Il en est de même de la protection de la vie privée et des données personnelles, renforcée par l’introduction de nouvelles obligations figurant dans la loi relative à l’informatique, aux fichiers et aux libertés. Cette loi contient depuis longtemps une disposition qui impose que soit mis en œuvre un niveau de sécurité adapté à la menace planant sur le traitement et les données qu’il contient. Considéré comme peu efficace, ce dispositif a été complété en août 2011 par l’obligation de notification des failles de sécurité. Cela consiste à informer la Cnil de l’existence de défauts de sécurité et à procéder à une information des clients lorsque les données sont susceptibles d’avoir été rendues accessibles.
Une orientation planétaire
La plupart des pays du monde s’entourent de réglementations équivalentes aux réglementations françaises, dans le domaine aussi bien de la protection des droits d’auteur que de celle des données personnelles. Il s’agit là d’une orientation juridique planétaire, partagée par tous les pays, et non pas seulement d’une approche française du droit de l’économie numérique.