La « fiducie informationnelle », une réponse juridique pertinente à l’emprise des géants du numérique ? Les apports de la théorie de Jack Balkin Par Kamel El Hilali
Les 22 et 23 mai, Mark Zuckerberg, patron de Facebook, a adressé des signes de réassurance à la France et à l’Europe à la veille de l’entrée en vigueur du règlement européen de protection des données (RGPD). Il s’est fait le porte-parole de l’industrie numérique, par lui emportée avec le scandale Cambridge Analytica dans une crise de confiance. Lors de son audition par le Congrès, le sénateur Brian Schatz (D-Hawaï) a mentionné le concept de fiducie informationnelle développée par le Pr. Jack Balkin. Celle-ci pourrait à l’avenir inspirer les membres du Congrès désireux de contester le leadership européen en matière de régulation du numérique.
On May 22 and 23, the CEO of Facebook, Mark Zuckerberg, attempted to reassure France and Europe two days before the entry into force of the GDPR (General Data Protection Regulation). He spoke on behalf of the tech industry which he plunged into a crisis of trust since the Cambridge Analytica scandal. During Zuckerberg’s testimony in Congress, Senator Brian Schatz (D-Hawaii) mentioned Pr. Jack Balkin’s concept of information fiduciary. This theory could inspire in the future the members of Congress, inclined to challenge the European leadership on data protection regulation.
Kamel El Hilali, Doctorant à l’université Paris II Panthéon-Assas / Yale Law School
C’est un art d’influencer une élection. Facebook, à son insu, en est passée maître. En 2014, Aleksandr Kogan, chercheur à Cambridge et employé de SCL va exploiter une faille du réseau social. Il convainc Facebook que son application (This is your digital life, « C’est votre vie numérique ») destinée à des fins de pure recherche. En réalité, il sert surtout à aspirer les données des utilisateurs et de leurs contacts. Quatre-vingt-sept millions de personnes. Tout y passe. Flairant le potentiel économique d’une telle manœuvre, SCL crée Cambridge Analytica et se lance dans le conseil en ciblage publicitaire à des fins politiques.
Cambridge Analytica attise les opinions radicales. De fausses déclarations de la démocrate alimentent les publicités et cristallisent le vote pro-Trump. Plus grave, la société dissuade la minorité afro-américaine – présumée pro-démocrate – de se rendre aux urnes [1]. La méthode paie. Cambridge Analytica se vante du succès de son concept par un communiqué de presse au lendemain de la victoire de Trump.
Cette affaire éclaire l’influence des fournisseurs de services numériques sur la démocratie. Longtemps dénigrés, ces outils de loisirs – d’oisiveté – et de culture, deviennent des pièces maîtresses des élections. Une entreprise comme Facebook peut-elle directement ou indirectement déstabiliser une démocratie ? Fausser le résultat de ses élections ? En totale violation de la protection des données personnelles ? A ses risques, sans périls ?
Ces pratiques ne cesseront que si nous comprenons au plan théorique la nature de ces acteurs. Si les juristes veulent demeurer les gardiens de la démocratie, leur savoir doit se confronter à la technique. Jack Balkin, professeur de Droit constitutionnel à Yale, en a fait sa mission. En 1997, il crée l’Information Society Project, un institut de recherche académique au croisement du droit et de la société de l’information. Son article, « Information Fiduciaries and the First Amendment » [2], dans lequel il recourt au vieux concept de fiducie pour envisager les acteurs du numérique, a été évoqué lors de l’audition de Mark Zuckerberg au Congrès le 10 avril dernier.
Comment ce concept peut-il effectivement constituer la base d’une réforme des pratiques commerciales au point d’améliorer substantiellement la protection de la démocratie et des libertés ? Quels sont les arguments à son soutien, et sa portée ?
I. L’existence d’une relation fiduciaire entre les fournisseurs de services numériques et les utilisateurs
L’informatique, cette représentation codée du savoir, nous fascine autant qu’elle nous égare. Le code nous obnubile, nous asservit. Il occulte l’information, le contexte de sa formation, et sa fonction sociale. Le concept de fiducie informationnelle rendrait sa primauté à la relation sur la donnée.
Balkin rapproche sans les confondre médecins et fournisseurs de services numériques. Tous deux sont des fiduciaires informationnels. De part et d’autre, la collecte d’informations est vitale. La rareté de l’offre contraint la confiance. La relation de pouvoir naît de l’expertise technique, crée la vulnérabilité et la dépendance des particuliers, et finit d’assimiler les deux secteurs.
Un fiduciaire informationnel désigne « une personne ou entreprise qui, en raison de sa relation avec un tiers, a endossé des devoirs spécifiques au regard des informations obtenues dans le cadre de la relation » (p.1209).
Deux obligations cardinales s’imposent comme l’abscisse et l’ordonnée. La première est un devoir d’attention (duty of care), transposée en devoirs de bonne foi à la charge des fournisseurs de services numériques (1207-1208). Des obligations spécifiques s’ajoutent selon le service en cause – réseaux de partage, informatique en nuage, messagerie électronique – et le degré de dépendance auxquels ils accoutument les utilisateurs.
La seconde obligation est le devoir de loyauté (duty of loyalty). Elle exige la préservation des intérêts des bénéficiaires (p.1208). L’entité qui traite les données évite tout conflit d’intérêts, même potentiel. Comment y arriver ? Par trois obligations ; non-divulgation, non-manipulation et publicité relative au traitement de l’information. Facebook a manqué à son devoir de loyauté envers les utilisateurs en communiquant les données pour « un usage non anticipé et dans un but [autre que celui auquel l’utilisateur peut légitiment s’attendre], à savoir la création d’un profilage psychographique pour les besoins de la propagande politique ».
Balkin nous prévient que la portée de l’analogie est limitée. Il est illusoire de calquer intégralement sur le régime de Facebook celui qui vaut pour les médecins et avocats. Les professions libérales reçoivent une compensation financière (honoraires) et sociale (statut, protection juridique) destinée à consolider la relation de confiance. L’industrie technologique obéit à des règles opposées. La gratuité affichée, symbolique, garantit à la fois large audience et rentabilité.
L’analogie demeure néanmoins pertinente et la comparaison juridique heuristique. Ce concept de fiducie, connu des juges et du législateur, nous épargne l’écueil d’une législation épousant les moindres spécificités des nouvelles technologies. Gardons-nous-en, elle faillit à coup sûr. Enfin, cette théorie insiste sur la dimension relationnelle entre utilisateurs et entreprises et ses conséquences sur la société. Les fournisseurs de services numériques se sont rendu utiles à la sociabilité, et prétendent l’améliorer. L’informatique leur confère la connaissance de la connaissance – métaconnaissance – des relations sociales. La théorie libérale, en se bornant à penser l’individu comme un être déconnecté dont la sphère doit être préservée, est inadéquate.
La théorie fiduciaire est appropriée au contexte des Etats-Unis à deux égards. D’abord, en ce qu’elle reconnaît la relation de pouvoir extracontractuelle et lui impose des contreparties. Surtout, car au plan juridico-politique, elle l’emporte sur les intérêts des acteurs numériques couverts par le Premier Amendement et pourrait ouvrir la voie à un nouveau chapitre dans la jurisprudence relative à la liberté d’expression.
II. Le concept fiduciaire comme limite au Premier Amendement en matière numérique
Depuis 1970, le secteur privé utilise les libertés d’expression et de la presse comme arme de dérégulation de l’économie [3]. Les fournisseurs de services numériques pourraient emprunter la même voie. Pour ce faire, ces derniers insisteraient sur la nature contractuelle – sacralisée – de leur lien avec les utilisateurs. Nul n’est contraint – disent-ils – de demeurer membre des réseaux sociaux. De même, aucun devoir de confidentialité autre que celui porté au contrat n’oblige les entreprises. La loi des parties est à leur disposition. Le clic vaut consentement explicite, circulez. Robert Post, ancien doyen de l’école de droit de Yale, le défend [4]. Oubliée, la modification unilatérale. Les dispositions régissant les libertés individuelles ne seraient pas disproportionnées au point de donner un réel pouvoir des entreprises sur les personnes. Or, comment ignorer que nul ne peut consacrer son temps à l’étude minutieuse et croisée des conditions d’utilisation, des règles relatives à la vie privée, et des accords de licence utilisateur pour chacun des services utilisés ? Pourquoi négliger les échanges d’informations entre entreprises, source d’autant de contrats inaccessibles à qui voudrait les lire avant de prétendre opérer un choix libre et éclairé ? Le fardeau est trop lourd pour les individus. Le coût juridique et économique, exorbitant. Les acteurs du numérique jouissent d’un pouvoir qui dépasse le simple cadre du contrat. Là encore, l’analogie avec la relation médecin-patient nous fait observer que celle-ci a évolué de la contractualisation vers l’institutionnalisation. Il n’est donc pas judicieux de s’obstiner à lire les rapports entre utilisateurs et entreprises au seul prisme du contrat. Post le refuse. Balkin l’a compris.
Ce dernier décrit cinq étapes du traitement des données, à savoir la collecte, l’utilisation, l’analyse, la distribution, et la rétention (p.1186). Le Premier Amendement protège la collecte, sous forme numérique ou non, des informations. En revanche, ce texte ne protège ni les médecins et avocats en cas de violation du secret professionnel. Ainsi, pour Balkin, qualifier les acteurs du réseau de fiduciaires neutraliserait la diffusion des informations confidentielles.
III. La portée politico-juridique de la théorie de Balkin et son éventuelle utilité pour penser le cas français
Sous les aspects théoriques et techniques, c’est une lutte politico-économique qui se déroule aux Etats-Unis. Les progressistes voient dans cette affaire la possibilité de mettre fin aux pratiques inacceptables des puissances numériques tout en limitant leur pouvoir.
Les obligations fiduciaires pourraient être imposées par divers moyens. Facebook a ouvert la brèche législative, au niveau fédéré ou fédéral. Une agence administrative, existante ou modelée sur l’exemple européen, pourrait se voir attribuer un pouvoir normatif en matière numérique.
La bataille doctrinale et politique qui s’annonce ne prendra pas fin au Congrès. En élaborant cette analogie, Balkin pense aux juges, souvent démunis au plan conceptuel face à la protection absolutiste offerte par le Premier Amendement – qui s’avère être un piège. Une consécration jurisprudentielle entraînerait des conséquences en cascade. Premièrement, comme pour la presse et l’audiovisuel au XXe siècle, des obligations morales pesant sur les entreprises préserveraient la démocratie. Deuxièmement, elle amenuiserait le recours au Premier Amendement en tant qu’arme de dérégulation du secteur numérique. Troisièmement, la doctrine des parties tierces (third party doctrine) pourrait être adaptée aux attentes des utilisateurs quant à leur vie privée. Les juges pourraient ciseler les obligations de protection et de loyauté en fonction du service fourni. Par suite, le gouvernement devrait obtenir un mandat avant d’accéder aux données collectées pas ces fiduciaires, procédure alors requalifiée en perquisition (search). D’une pierre, deux coups.
Jack Balkin et Jonathan Zittrain proposent un pacte [5] aux opérateurs de services numériques : devoirs fiduciaires contre immunité juridique relative aux contenus publiés sur leurs sites (Communication Decency Act de 1996, section 230). Dans le cas contraire, ces compagnies, privées d’immunité, auraient pour seul bouclier juridique le Premier Amendement.
Mais il est évident qu’une telle doctrine sur la fiducie informationnelle peut aussi intéresser les habitants du « vieux continent » et en particulier ceux français, à l’aube de l’entrée en vigueur du RGPD (règlement général sur la protection des données). La loi Informatique et libertés de 1978 esquisse les contours d’une fiducie informationnelle. Le Rapport Tricot de 1975 [6] préconisait déjà de ne pas traiter les informaticiens comme un monde professionnel à part, tant les implications sociétales de cette technologie seraient vastes. « Ni ordre, ni code » (p.91). Plus loin, le comité appelait à « la création d’un droit de l’informatique et des libertés commun aux pays démocratiques et libéraux ».
Le concept de fiducie informationnelle ne constitue que la première pierre d’un édifice dont la construction prendra du temps. Mieux, il fournit les bases théoriques d’une régulation de l’économie du XXIe siècle. L’approche du Pr. Balkin participe à ce mouvement.
[1] Jonathan Zittrain, « Facebook Could Decide An Election Without Anyone Even Finding Out », New Republic, 1er juin 2014, https://newrepublic.com/article/117878/information-fiduciary-solution-facebook-digital-gerrymandering ; du même auteur, Engineering an Election, Harvard Law Review Forum, 20 juin 2014, https://harvardlawreview.org/2014/06/engineering-an-election
[2] U.C. Davis Law Review 49, no. 4, (2016); les références aux pages de cet article seront mises dans le corps du texte.
[3] Buckley v. Valeo 424 U.S. 1 (1976) ; Virginia State Board of Pharmacy v. Virginia Citizens Consumer Council, Inc. 425 U.S. 748 (1976).
[4] Robert Post, “Tensions entre “droit au débat public” et “droit au déréférencement”: Regard d’outre Atlantique”, RIDC, 2017, vol. 4.
[5] Jack Balkin, Jonathan Zittrain, “A Grand Bargain to Make Tech Companies Trustworthy”, The Atlantic, 3 octobre 2016, https://www.theatlantic.com/technology/archive/2016/10/information-fiduciary/502346/
[6] B. Tricot, Rapport de la Commission Informatique et Libertés, La Documentation Française, 1975.
