Intervention de Jean-Marc Manach

Merci, madame la présidente, pour votre invitation.

Mme Falque-Pierrotin parlait tout à l'heure de la pseudonymisation ; je commencerai mon intervention en évoquant un dessin qui a fait beaucoup de mal à Internet : paru en 1994 dans le New Yorker, ce dessin représentait un chien regardant un écran d'ordinateur, avec la légende suivante : On the Internet, nobody knows you're a dog, c'est-à-dire : « Sur Internet, personne ne sait que vous êtes un chien. » Cela laissait entendre que, sur Internet, on est anonyme ou pseudonyme, ce qui est complètement faux, car tout ce que l'on fait sur un ordinateur laisse des traces, a fortiori sur Internet. Ces traces, ce sont des données personnelles, directement ou indirectement nominatives.

À la fin des années quatre-vingt-dix, un rapport sur l'existence du réseau Echelon révélait que tout ce qui transitait sur Internet ou les réseaux de télécommunication était espionnable ou espionné par les services de renseignement américains. Depuis, on a beaucoup moins parlé de cette surveillance généralisée que de la foule d'anonymes qui répand des « bêtises » sur Internet. De nombreux parlementaires notamment ont, ces dernières années, fustigé l'anonymat permettant ces bêtises.

Or voici que, depuis vendredi, la presse du monde entier crie au scandale parce que l'on a appris l'existence du programme Prism. Pas plus tard que ce matin, Bernard Guetta se scandalisait sur France Inter de cette surveillance généralisée d'Internet. Cela ne date pourtant pas de vendredi, mais de 1947 et de la mise en place du réseau Echelon !

Ce que l'on a découvert vendredi, ce sont cinq pages d'un PowerPoint qui en compte quarante et une, ce qui veut dire que ni le Washington Post ni le Guardian n'ont estimé qu'ils pouvaient rendre publiques les trente-six pages restantes, compte tenu de l'hystérie collective, politique et médiatique, provoquée par la publication de cinq malheureuses pages sur un fait connu depuis longtemps : les États ou les entreprises commerciales surveillent ce que l'on fait.

Pour ce qui auraient manqué ce PowerPoint, Prism serait en réalité un programme grâce auquel la NSA, le service de renseignements américain qui espionne les télécommunications, aurait négocié avec Google, Facebook, Microsoft, Dropbox, Skype et j'en passe, des accès, directs ou non – ce n'est pas clair –, à leurs serveurs, sachant que ce n'est pas du tout la même chose d'espionner ce qui transite par des câbles sous-marins ou des satellites et d'avoir un accès direct aux serveurs de Google ou de Skype.

Si on ne sait pas exactement ce qu'est Prism, on sait en revanche que cela fait scandale. Et c'est une bonne chose car l'on n'a jamais autant parlé des enjeux liés aux données personnelles et au respect de la vie privée que depuis qu'Internet existe et qu'il est surveillé. Le problème, c'est que les termes du débat sont souvent mal posés. Je vais donc m'efforcer de proposer ici des questions plus pertinentes.

Je m'arrêterai en premier lieu sur la notion de vie privée et sur la loi de 1978 adoptée à la suite du scandale SAFARI, révélé par un article du Monde. Il s'agit d'un projet d'interconnexion, sous la houlette du ministère de l'intérieur, de l'ensemble des fichiers de l'administration, permettant de tout savoir d'un individu à partir de son numéro de sécurité sociale. Les fils de résistants, les proches d'anciens déportés évoquent le retour de la chasse aux Français ; la droite évoque les fichages dans les mairies communistes… La loi entend donc mettre un terme à ce fichage, protéger les gens et les données personnelles. C'est une loi sur la protection des données personnelles.

Le problème est qu'aujourd'hui, avec le web, on est de plus en plus dans un régime de projection – plutôt que de protection – des données personnelles. Aujourd'hui, tout un chacun peut ouvrir un blog, livrer ses pensées sur un compte Twitter ou commenter n'importe quel article de presse en ligne. Or ce sont ces mêmes personnes qui, alors qu'elles ont choisi d'exister publiquement, se plaignent ensuite que l'on attente à leur vie privée.

Mais il n'y a plus, d'un côté, les pauvres qui n'ont pas accès aux médias et ont le droit à une vie privée et, de l'autre, une élite ayant accès aux grands médias et dont la vie est publique : Internet est une échelle horizontale, grâce à laquelle tout le monde a désormais accès aux médias, et pas seulement ceux qui passent au journal de vingt heures ou sont interviewés dans les quotidiens.

Ces enjeux qu'on rapporte à la vie privée sont en fait des enjeux de vie publique. Prenons l'exemple du réseau social Facebook. Dès lors que l'on y a, en moyenne, entre cent et quatre cents « amis », tout ce que l'on y partage avec eux, même en ayant fermé son mur, ne relève plus de la vie privée mais, au mieux, de la vie sociale, voire de la vie publique, puisque l'on s'adresse à un cercle qui, comptant quatre cents « amis », n'est plus si restreint que ça.

Selon moi, Facebook n'a donc rien à voir avec la vie privée. On peut certes utiliser le système de messagerie privée de Facebook pour envoyer un message à quelqu'un – cela relève alors de la correspondance privée –, mais dès lors que l'on partage quelque chose sur un réseau social, a fortiori quand le modèle économique de ce réseau social consiste à agréger les données personnelles pour en dégager des profils de consommateurs, afficher de la publicité ciblée et vendre aux annonceurs des listes d'homosexuels de moins de trente-cinq ans et habitant Strasbourg, cela ne relève plus de la vie privée !

Il faut donc faire la part des choses entre ce qui relève, d'une part, de la vie sociale et de la vie publique et, d'autre part, de la vie privée. Or les nombreux utilisateurs de Facebook qui ont fermé leur mur se situent dans une sorte d'entre-deux. C'est dans cette zone floue que l'on a besoin de règles pour éviter les dérives.

Parlant de ces dérives, Simon Davies, un Britannique qui a créé l'ONG Privacy International à la fin des années quatre-vingt-dix pour défendre le droit à la vie privée, a écrit un texte très intéressant.

Il y rappelle le combat mené dans les années soixante-dix pour défendre le consentement explicite et rappeler que, quand une femme dit non, c'est non. Le consentement ne peut être implicite, et ce n'est pas parce qu'une femme est un peu éméchée, qu'elle est très bien habillée ou qu'elle bronze les seins nus sur la plage qu'on a le droit de faire n'importe quoi avec elle.

Il fait le parallèle entre ce combat visant, à l'époque, à protéger les femmes, et celui que mènent aujourd'hui les défenseurs des libertés et des droits de l'homme pour protéger le droit à la vie privée, grâce à la notion de consentement explicite. Lorsqu'on dit non, c'est non : je n'ai pas envie que Facebook ou Google puissent commercialiser le fait que je sois un homosexuel de moins trente-cinq ans habitant Strasbourg, ou une lesbienne vivant à Marseille et votant communiste ! Il est important de savoir qui on est vraiment sur un réseau et dans quelle mesure une entreprise ou une administration va pouvoir exploiter les données personnelles ou les informations que l'on rend publiques pour en faire du business.

Un mot à présent des CNIL européennes, membres du G29, car elles non plus ne sont pas toujours bien appréhendées. Il y a deux ou trois mois, alors qu'il revenait des États-Unis, Gilles Babinet, notre digital champion, censé représenter la France auprès de la Commission européenne, a déclaré en marge d'un entretien qu'il fallait fermer la CNIL, au motif que c'était un ennemi de la nation.

Il a d'abord tenté de justifier ces propos pour le moins brutaux en les mettant sur le compte de la fatigue, avant d'expliquer que les CNIL européennes favorisaient, dans les faits, le chômage en empêchant les embauches. Il a cité, à titre d'exemple, le dossier médical partagé, autorisé par la CNIL. Selon un rapport de la Cour des comptes sorti il y a deux mois, la puissance publique a investi près d'un milliard d'euros dans le DMP sans que les industriels soient capables d'en faire quelque chose qui marche. En d'autres termes, il s'agit d'un projet dans lequel on a gaspillé énormément d'argent public, alors que, depuis le début, les défenseurs des droits de l'homme et de la vie privée dénoncent un outil qui servira surtout à ceux qui font commerce de données personnelles sans vraiment améliorer la qualité des soins.

Le deuxième exemple donné par Gilles Babinet concerne la carte d'identité électronique biométrique sécurisée, interdite non par la CNIL mais par le Conseil constitutionnel, au motif qu'elle constituait une atteinte disproportionnée à la vie privée.

Après cinq navettes l'an dernier entre l'Assemblée nationale et le Sénat – un record, paraît-il –, la proposition de loi censée permettre de réprimer quelque 200 000 usurpations d'identité par an ne concernait plus, aux dires du Gouvernement lui-même devant le Conseil constitutionnel, que 7 000 faux documents. On allait donc ficher 35 millions de « gens honnêtes », pour reprendre la phraséologie du rapporteur UMP au Sénat, afin de lutter contre un phénomène ne concernant que 7 000 cas par an.