Une récente mise en demeure publique de la Commission Nationale de l’Informatique et des Libertés (CNIL) à l’attention d’un fabricant de jouets connectés a posé de nouveau la question des obligations morales et juridiques qui incombent aux entreprises à l’égard de la protection de la vie privée et spécifiquement de la protection des données personnelles (1). Cette décision mérite examen, notamment en raison des éléments qui qualifient directement ou indirectement ces obligations considérées sous un angle moral. Il est notable que ces éléments figurent dans la justification du caractère public de la décision. Après un inventaire des obligations morales en cause, le présent billet discute de deux expressions qui sont présentes dans la mise en demeure de la CNIL et contribuent à la justifications de ces obligations : « attentes légitimes » et « usage normal ».

 

1.

La CNIL a justifié la publicité donnée à sa mise en demeure par l’importance des risques identifiés à la fois dans le cas d’espèce et dans d’autres cas qui pourraient s’avérer similaires. À la demande faite à l’entreprise concernée s’ajoute un avertissement à l’attention des utilisateurs qui s’accompagne d’une visée pédagogique (je mets en gras certaines parties du texte) :

« Au regard de l’atteinte portée la vie privée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, le bureau de la CNIL a décidé de rendre publique cette mise en demeure. »

Cet avertissement pédagogique figure avec plus de détails dans la délibération de la CNIL du 30 novembre 2017 relative à la décision de rendre publique la mise en demeure, dont les aspects les plus pertinents pour notre propos sont reproduits ci-dessous :

« Après en avoir délibéré, le bureau considère que la publicité de la décision de mise en demeure se justifie par la gravité du manquement constaté en ce que le défaut de sécurité des jouets fabriqués par la société porte atteinte à la vie privée des utilisateurs et de toute personne se trouvant à proximité. En faisant un usage normal de ces jouets connectés dans un cercle amical ou familial, les utilisateurs peuvent légitimement s’attendre à ce que les propos échangés dans le cadre de leur intimité ne soient pas entendus ou enregistrés par des tiers.

Le bureau estime en outre que la mesure de publicité se justifie au vu du public ciblé par les jouets dès lors qu’ils sont destinés à être utilisés par de très jeunes enfants.

[…]

Enfin, d’une manière générale, le bureau entend, par sa décision, souligner la nécessité d’éclairer les parents dans le choix des jouets connectés qu’ils seront susceptibles d’offrir dans un contexte où l’offre pour ces produits est considérable. » (2)

Plusieurs obligations morales incombant aux entreprises sont expressément citées par la CNIL :

O1 – Obligation de ne pas porter atteinte à la vie privée des utilisateurs ;

O2 – Obligation de prendre en compte la vulnérabilité des utilisateurs concernés ;

O3 – Obligation d’informer les utilisateurs sur la collecte de données personnelles les concernant et leur degré de sécurisation.

On peut y ajouter d’autres obligations qui ne concernent pas le cas faisant l’objet de la mise en demeure mais pourraient être invoquées, parmi lesquelles se trouvent les deux suivantes :

O4 – Obligation de ne pas proposer des produits dont l’effet est de créer des relations qui se substituent aux interactions humaines (3) ;

O5 – Obligation de ne pas susciter, par des dispositifs de collecte et de traitement des données personnelles, des conduites de la part des utilisateurs visant à échapper à la surveillance (4).

 

2.

Les observations figurant dans les extraits de la décision de la CNIL soulèvent une question spécifique relative à la justification des obligations morales O1, O2 et O3 (5). Elle provient de la référence aux idées d’« attentes légitimes » des utilisateurs et d’« usage normal » du jouet connecté auxquelles elles sont associées.

L’épithète « légitime » (ici employé sous sa forme adverbiale « légitimement ») recouvre à la fois l’ordre juridique (« [ce] qui est conforme au droit positif ») et le domaine des mœurs (« [ce] qui est dicté, justifié, explicable par le bon droit, le bon sens, la raison ») (6).

On peut supposer que cet adjectif relie les « attentes » à l’« usage normal » du produit. Les attentes légitimes des utilisateurs présupposent en effet un usage normal de leur part. Supposé qu’un utilisateur ait l’intention de faire un usage anormal d’un produit, ses attentes ne seraient pas jugées légitimes.

On peut ajouter que la « légitimité » des attentes porte également sur les effets indirects et imprévus issus d’un usage normal. Un article du Monde publié le 2 décembre 2017 soulevait les questions posées par de tels effets, insistant par exemple sur le fait de savoir si « le fabricant informe […] de façon claire les utilisateurs (en tout cas les parents) sur le fait que le jouet enregistre des données », s’il « recueille […] clairement leur consentement » et s’il est « pertinent et nécessaire pour le fabricant de récupérer ces données » (7). En bref, aussi bien les « attentes légitimes » que l’« usage normal » considèrent, et devraient considérer, ces effets indirects.

 

3.

Mais le rapport entre « attentes légitimes » et « usage normal » mérite d’être précisé. Un récent article académique peut y contribuer, même si son propos se situe dans le contexte du travail – il traite des attitudes des travailleurs à l’égard de leur activité professionnelle.

Ses auteurs, Stefanie Hürtgen et Stephan Voswinkel, défendent la thèse selon laquelle les attitudes à l’égard du travail reflètent un intérêt qui va au-delà du calcul, de la recherche de récompenses en vue de la consommation, ou plus généralement d’une vision contractualiste des rapports professionnels (8). Les salariés ont ainsi des attentes normatives, que les auteurs qualifient aussi de « normales » (9), sur la qualité du travail, son environnement et le lien que le travail entretient avec les autres domaines de la vie, notamment avec la sphère familiale.

Ces attentes normatives, appelées aussi « revendications » (claims), reposent sur la croyance que le monde professionnel est une structure sociale ordonnée, régie par des règles. Elles reposent aussi sur la conviction de chaque travailleur qu’il est lui-même un élément de cet ordre normatif, une conviction qui le conduit, selon les termes de Hürtgen et Voswinkel, « à se considérer lui-même comme une composante de cette structure sociale qui est gouvernée par des normes et par des règles ». Ce qui suit cette phrase mérite d’être cité :

« Si le sujet (qui travaille) en en mesure d’avoir des attentes normatives [claims] et de les défendre en apportant des justifications, alors il doit se représenter lui-même comme une personne qui contribue à la production d'[attitudes normatives], une personne qui par exemple ne se conforme pas strictement à sa fiche de poste. Ainsi, ses attentes normatives entraînent également des attentes à l’égard de lui-même, qui peuvent s’exprimer par le souhait de devenir un travailleur productif. [] Se considérer soi-même comme le sujet d’attentes normatives revient à se concevoir comme un acteur qui participe à des relations sociales structurées par des normes. » (10)

On pourrait penser que ces considérations ont peu de rapport avec notre souci de préciser la relation qu’entretiennent les « attentes légitimes » des utilisateurs de jouets connectés et l’« usage normal » qu’ils en font. Elles renvoient au contraire à une idée importante qui spécifie justement cette relation : celle selon laquelle les utilisateurs devraient, si l’on reprend les termes de Hürtgen et  Voswinkel, se représenter eux-mêmes comme des éléments d’une structure sociale normative, une structure complexe qui inclut les acteurs concernés par les objets connectés : consommateurs (adultes et enfants), fabricants, entités ayant intérêt à utiliser des données à des fins commerciales, organismes de régulation. Lorsque la CNIL, dans sa mise en demeure, insiste sur « la nécessité d’éclairer les parents », elle ne les invite pas seulement à la prudence, elle leur recommande aussi de se concevoir comme des acteurs – une expression à nouveau empruntée à Hürtgen et Voswinke. Quant aux obligations morales O4 et O5, que nous avons citées sans les commenter, elles répondent directement à cette préoccupation.

On peut être sceptique quant à la capacité des acteurs concernés, au premier chef ceux visés par la mise en demeure de la CNIL (le fabricant des jouets connectés, bien sûr, mais aussi les consommateurs) à endosser le rôle d’acteurs contribuant à une structure normative de grande ampleur. Car l’efficacité d’une telle posture suppose qu’elle soit partagée par tous les acteurs, ce qui suppose d’ailleurs que ces acteurs sont solidaires, qu’ils dépendent effectivement les uns des autres. L’argument de la « structure sociale normative » proposé par Hürtgen et  Voswinkel repose sur cette hypothèse. Reste à savoir si elle a un sens dans le contexte des big data.

Alain Anquetil

(1) « Jouets connectés : mise en demeure publique pour atteinte grave à la vie privée en raison d’un défaut de sécurité », 4 décembre 2017. La mise en demeure proprement dite date du 20 novembre 2017.

(2) « Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2017-295 du 30 novembre 2017 décidant de rendre publique la mise en demeure n° MED-2017-073 du 20 novembre 2017 prise à l’encontre de la société GENESIS INDUSTRIES LIMITED ». La section suivante, qui se situe après les deux premiers paragraphes reproduits, n’a pas été citée : « Le bureau considère également que la publicité de la mise en demeure a vocation à informer les personnes concernées de l’existence du défaut de sécurité des jouets et du risque d’atteinte à la vie privée auquel notamment les parents et enfants s’exposent lors de leur utilisation […]. »

(3) Cette obligation morale, qui tombe sous une obligation générale de favoriser et ne pas nuire au développement de l’enfant, est issue dun cas rapporté notamment dans larticle « Mattel cancels AI babysitter after privacy complaints », The Verge, 5 octobre 2017. Le produit concerné, qui a été retiré par son fabricant, aurait pour certains « encouragé les parents à utiliser la technologie pour remplacer des interactions humaines (« as a substitute for human interaction) ».

(4) Cette obligation est issue de l’« avis 8/2014 sur les récentes évolutions relatives à l’internet des objets » du Groupe de travail « article 29 » sur la protection des données, publié le 16 septembre 2014.

(5) La justification de l’obligation juridique du respect de la vie privée (cf. l’article 9 du Code Civil , l’article 8 de la Convention européenne des droits de l’homme) ne fait pas l’objet de notre propos. Voir les textes de Vincent Mazeaud, « La constitutionnalisation du droit au respect de la vie privée », Les Nouveaux Cahiers du Conseil constitutionnel, 48(3), 2015, p. 5-20, et de Sophie Canas, « L’influence de la fondamentalisation du droit au respect de la vie privée sur la mise en œuvre de l’article 9 du Code Civil », dans la même revue, p. 47-58.

(6) Source : CNRTL.

(7) « Ce qu’il faut savoir sur les jouets connectés », Le Monde, 2 décembre 2017.

(8) S. Hürtgen & S. Voswinkel, « Non-normal normality? Claims on work and life in a contingent world of work », International Journal of Action Research, 2, 2017, p. 112-128.

(9) Ils discutent par ailleurs du rapport entre « normalité » et « normativité ».

(10) Par souci de clarté, j’ai sensiblement simplifié certaines parties du texte original.

[cite]

Partager cet article:
Partager sur FacebookPartager sur LinkedInPartager sur TwitterEnvoyer à un(e) ami(e)Copier le lien