">

Ce texte est l’un des chapitres du livre "Correspondant Informatique et Libertés : bien plus qu’un métier", publié en 2015 par l’AFCDP.

RÉFLEXIONS PROSPECTIVES EN FAVEUR D’UN NOUVEAU MODE DE CONSENTEMENT EN LIGNE

par Emmanuel CAUVIN

Le consentement est au centre du dispositif légal relatif à la protection des données personnelles. Pourtant, l’expression de la volonté dans l’environnement numérique laisse place à de nombreux et difficiles débats. La façon dont le consentement doit se manifester ne tombe pas sous le sens, on s’interroge sur les conditions à remplir pour qu’il soit considéré comme valide. Il s’agit pourtant de nos droits, de notre liberté. En remontant au déroulement des faits, aux modalités pratiques du consentement, cet article propose une idée, à titre de clarification, pour les actes les plus importants : le clic différé.

Le 13 juillet 2011, les autorités nationales de protection des données des 27 États membres, réunies dans le cadre de leur groupe de coordination, dit « de l’article 29 », ont adopté un document entièrement consacré à « la définition du consentement ». Ce document fait quarante-trois pages. Un tel volume pour un sujet aussi précis témoigne de la difficulté de l’exercice. La définition du consentement dans l’environnement numérique pose problème.

Révélateur aussi sur ce point est l’intitulé de l’intervention de Martine Ricouart-Maillet lors de l’Université AFCDP, le 27 janvier 2014 : Le consentement : le pouvoir de dire vraiment « oui » ? La question mérite en effet d’être posée, car ce pouvoir de dire « oui » est sujet à caution. Un simple clic à l’écran peut-il vraiment révéler une acceptation pleine et entière des conditions proposées ? Nous sentons bien une difficulté à associer la notion de consentement aux modalités concrètes qui lui sont associées, dans l’environnement numérique. Qu’il s’agisse d’une case à cocher ou d’une réponse positive à l’alternative « Oui/Non/Annuler », nous avons du mal à accorder ces procédés sommaires avec le poids que notre système juridique consensualiste accorde au consentement.

I. Difficulté à caractériser ce que doit être le consentement en ligne

Constatons d’abord que ce problème est nouveau. Les modalités du consentement, dans notre environnement classique, ne font pas réellement débat. Qu’il se manifeste de vive voix ou par écrit, la question de la preuve se posera éventuellement, a posteriori, mais le procédé en tant que tel, à l’instant précis où il est déclenché, ne suscite pas de question particulière. On ne peut pas en dire autant de la même question mais posée dans l’environnement numérique, s’agissant de nos libertés, du respect de notre vie privée.

« Explicite », « libre », « éclairé », « informé », « exprès », « spécifique », « indubitable », « effectif », « qualifié », « non équivoque » : le législateur ne sait plus quel mot employer pour qualifier ce que doit être le consentement de l’internaute face à des engagements dont l’enjeu n’est pas négligeable. Et de leur côté les professionnels ne savent plus comment interpréter ces exigences sous forme de processus à l’écran. La traduction dans la pratique de ces règles de formalisme juridique libellées sous forme d’épithètes apparaît pleine d’incertitude. Comment un responsable de traitement peut-il être sûr que telle séquence permettant d’enregistrer l’accord de l’internaute répond aux exigences légales ? Le législateur déclare son intention, mais oublie de fournir les spécifications y afférentes. Du terme juridique à la cinétique proposée aux utilisateurs, potentiellement consentants, il y a un pas, nécessaire… que le législateur ne franchit pas. Non accompagnés par une description de processus, ces adjectifs ne sont d’aucune utilité. La loi mouline dans le vide. Ceux qui voudraient se situer dans la légalité sont laissés dans l’incertitude quant au comment. Le législateur ne doit pas se contenter de formulations évasives, qui laissent les professionnels devant une réelle difficulté d’interprétation.

Consentement problématique, lois abstraites et dépourvues de résonance pratique évidente : nous avons deux problèmes à résoudre. S’assurer de la réalité du consentement de celui qui clique, et proposer aux professionnels une solution qui ne les laisse pas dans l’incertitude sur la façon de remplir leurs obligations. Commençons par analyser le geste incriminé, en lui-même, puis dans le contexte général dans lequel il prend place.

II. Un geste banal, pour des décisions qui ne le sont pas

Quelle est la valeur, le poids d’un clic, ce petit geste infime que nous accomplissons des dizaines (centaines ?) de fois tous les jours ? Si peu… La signature à l’encre représente au contraire un geste assez solennel, un peu théâtral, que nous accomplissons avec fierté, et parfois un brin d’angoisse, qu’il s’agisse d’un cadre privé (notaire…) ou professionnel (contrat). Pour les ventes immobilières, le notaire procède à la lecture du contrat à haute voix, avant de demander aux parties en présence de signer le document, sur chaque page : la séance peut prendre du temps, mais personne ne trouve à y redire, compte tenu de l’enjeu. On réfléchit avant de signer de sa main, par un tracé qui paraît-il, d’après les graphologues, exprime notre personnalité. Signer un document papier n’est pas chose courante, les occasions sont assez rares dans la vie quotidienne. On ne saurait en dire autant du clic de souris, souvent remplacé par une légère pression du bout du doigt sur l’écran tactile… La signature manuscrite présente cette caractéristique d’être unique. Ma signature c’est moi. Et elle m’engage. Le clic qui est pourtant lui aussi la marque d’un consentement est bien loin d’atteindre une telle singularité, magistrale. Le clic est un geste banal, employé pour marquer des décisions qui ne le sont pas : que l’on pense par exemple aux réseaux sociaux dans lesquels des pans entiers de nos vies sont désormais engagés, et qui comportent des règles du jeu, fixées par le propriétaire des lieux. Ces règles ont une influence directe sur nos actions et sur ce qui se joue, avec nos données, derrière le rideau.

On constate donc un écart entre le geste, ordinaire, et sa signification, pleinement contractuelle. Il y a là une sorte d’incompatibilité. Dans les salles des ventes, ou les marchés aux bestiaux du centre de la France, il est de tradition de considérer que le fait de lever la main équivaut à faire une offre dans le cadre de l’enchère en cours. Ce type de scénario, un geste habituellement anodin mais pourtant lourd de conséquences, est très exceptionnel. Il y faut des circonstances particulières, un décorum, un cercle d’initiés, une sorte de contrat préalable, presque un rite. En règle générale, le geste qui a le sens d’une acceptation contractuelle est réservé à cet effet, il ne sert pas à autre chose. Le moins que l’on puisse dire c’est que tel n’est pas le cas du clic de souris, qui, dans le monde en ligne, représente quelque chose comme mettre un pied devant l’autre, et qui est pourtant utilisé, aussi, pour signer des contrats (« Conditions d’Utilisation »).

III. Une caractéristique de l’environnement numérique : le temps qui presse

Remontons maintenant à la configuration des lieux. Comment caractériser l’environnement numérique, indépendamment des applications ? La façon dont nous « habitons », pour quelques minutes ou quelques heures, dans les programmes ? Là se trouve une autre explication de la difficulté que nous éprouvons à admettre, et à réglementer, le consentement par clic. La configuration physique des lieux fournit une seconde explication à la difficulté à laquelle nous nous heurtons.

Les « moyens de communication » avaient pour but affiché de vaincre les distances, pour permettre aux individus de « communiquer », malgré l’éloignement. Ce que personne n’avait imaginé c’est que le temps allait occuper la place laissée vacante par l’espace. Passer d’une situation à une autre n’implique pas un déplacement, mais un temps d’attente. L’espace est écrasé, la seule distance est celle qui sépare les bords opposés de l’écran. Tout est gouverné par la seule variable T. Au moment de débarquer dans l’océan des octets, « Actualiser » et « Synchroniser » sont toujours les premières choses à faire, avant de commencer quoi que ce soit, car venir se placer dans ce nouveau monde signifie d’abord se situer dans la chronologie. Se tenir au courant de l’actualité, suivre les dernières tendances, installer la nouvelle version de logiciel, charger les derniers messages, mettre à jours ses contacts. La course à la dernière version de tel ou tel document est le sport favori, ou en tout cas quotidien, de tout internaute qui se respecte. Tous ces actes ont la même signification : il faut coller au temps présent. Attirés, aspirés, captivés par la fuite vertigineuse des minutes et des secondes, nous tenons grâce à une atmosphère en mutation permanente. Plus rien pour se reposer, plus rien pour se poser. La seule perspective n’est ni devant, ni derrière, ni en haut, ni à droite ni à gauche, la seule perspective devant nos yeux est après. Tout ce qui existe, existe dans l’attente de quelque chose.

Faute d’espace, nous prenons appui sur le temps, inévitablement, et celui-ci peut dès lors nous entraîner dans sa course . L’unité de compte est le temps passé, le contrat, un abonnement. Être en ligne c’est être en mouvement, tiré par le temps, happé par l’instant futur. Le présent n’est pas statique, immobile, le présent est la poussée qui avale le futur pour en faire du passé, et c’est sur la pointe avancée de cette poussée inexorable que se situe la ligne, la ligne en laquelle nous sommes. Nous habitons cette poussée continuelle et inexorable, c’est précisément là que nous nous situons. Notre existence est passagère, toujours sur cette crête. En termes techniques, chaque fois qu’un programme est exécuté, une instance est créée : nous vivons littéralement dans des instances, nous vivons en instance. Tout est chronométré. S’arrêter ? Attendre ? Hors de question ! « Le temps presse » : cette formule pourrait résumer nos conditions de vie en mode connexion.

IV. La précipitation, vice du consentement de l’individu pris dans les flux numériques

Installés que nous sommes dans un processus mental en perpétuel bouleversement, la notion même de consentement individuel est douteuse. Où trouver le temps ? La réflexion intérieure ? L’homme immergé dans les octets (l’humanoctet) se laisse entraîner, c’est dans sa nature. Imaginons un instant un coureur lancé en pleine course à qui l’on viendrait tendre un papier et un stylo en lui demandant de s’engager sur un contrat. Quelle valeur donner à une signature obtenue dans un tel contexte ? La belle théorie de l’autonomie de la volonté, déclinaison de la liberté individuelle en matière contractuelle, et fondement, en droit civil, de la force obligatoire des contrats, semble bien loin… Le législateur a raison de se préoccuper de la réalité du consentement des humanoctets. L’injonction implicite qui est adressée aux passants à l’instant fatidique n’est pas vous pouvez valider, mais vous devez valider, et cela immédiatement.

Aucune solution ne se présente de manière évidente, pour rendre au consommateur en ligne la maîtrise de ce qui se passe dans sa tête. À côté de l’erreur, du dol et de la violence, nous avons à ajouter un nouveau vice du consentement : la précipitation. La volonté du contractant n’est ni contrainte, ni trompée, mais entraînée. S’il fallait définir d’un mot l’état d’esprit de l’humanoctet, ce serait l’impatience. Hors de lui, enroulé autour de la ligne, le consommateur n’a plus tout à fait sa tête à lui. La présence dans les flux numériques passe par une absence de soi, une adhésion à la matière. Les utilisateurs sont en état de réceptivité, ils se rapprochent des programmes, et tendent naturellement à s’accorder avec les messages. Le cerveau, qui est l’endroit où se prennent les décisions, est mobilisé pour le bon suivi du programme. On se rappelle la formule fameuse d’un dirigeant de TF1 : « ce que nous vendons à Coca-Cola, c’est du temps de cerveau humain disponible ». La formule a pu choquer, mais elle n’en exprime pas moins une vérité foncière.

V. L’hameçonnage apporte la preuve que nous avons tendance parfois à cliquer sans bien réfléchir

Certains s’y entendent à exploiter cet état d’entraînement à des fins illicites. Si les escrocs continuent de lancer leurs pourriels et leurs attaques d’hameçonnage (phishing), c’est parce qu’ils rencontrent un certain succès, des victimes se laissent prendre par un simple courriel contenant une invitation à venir faire un tour sur un site. Et si des victimes tombent dans le piège, c’est parce qu’il n’est pas très difficile de capter l’attention de personnes littéralement immergées dans les programmes, de télévision ou d’ordinateur, vers une décision, un acte qu’elles n’envisageaient aucunement au départ. C’est si facile de cliquer ! Pour faire suite à une si sympathique invitation ! Il y a une difficulté intrinsèque à admettre la validité d’un consentement donné dans ce lieu. Nous avons tous tendance à cliquer à tort et à travers, et à répondre aux questions qui nous sont posées.

Si le législateur a multiplié les adjectifs comme « spécifique », « indubitable », « effectif » c’est parce qu’il a bien senti l’existence d’un consentement implicite au déroulement général, dont il s’agit de s’abstraire pour aller chercher un autre consentement, au moment où une question piégée est posée au curseur. Est-ce la bonne méthode ? Il est permis d’en douter. Le consentement n’est pas susceptible de degrés. Il y a acceptation ou il y a refus. Qu’est-ce qu’un consentement « non-qualifié » sinon une absence de consentement ? Les qualificatifs plus ou moins calamiteux déployés dans les textes officiels tentent de marquer une rupture avec la logique du système qui consiste littéralement à suivre les instructions, à consentir au programme tel qu’il a été fixé et mis à disposition.

Le consentement que le législateur tente de susciter est un consentement supérieur, une marque de volonté détachée du processus dans lequel l’individu est engagé au moment de signer le contrat. Cet individu, rappelons-le, n’est au sens propre qu’un exécutant, l’exécutant des instructions en provenance du programme. Tout fonctionne grâce à un consentement implicite, général, à la suite des instructions. C’est cette logique qu’il s’agit de casser, ponctuellement et momentanément, pour faire place à des principes juridiques, des valeurs, que nous considérons comme prioritaires, au moment où l’utilisateur engage ses droits, souscrit à des obligations. Il y a un « oui » derrière chaque action menée dans le programme. On a vite fait de mettre tous les messages reçus de ce dernier dans le même sac, un simple message technique ou une acceptation contractuelle qui nous suivra pendant des années. Il y a de facto une solidarité entre l’utilisateur et le programme dans lequel il est inséré, ou « embarqué ». Volontiers l’humanoctet se contente d’acquiescer, acquiescer sans trop savoir à quoi ou à qui. Le législateur cherche à s’intercaler entre le programme, piloté par un responsable de traitement, et ses utilisateurs : cette intention est louable. Mais comment faire ? La volonté du législateur n’est guère discutable, l’objectif ne peut qu’être approuvé, mais la solution consistant à définir une sorte de consentement de deuxième niveau se heurte à des difficultés aussi bien conceptuelles que pratiques.

Comment rompre avec une interface tirée au cordeau, des circonstances peu ou prou acceptées, et provoquer une réflexion sereine chez cet utilisateur, avec suffisamment de distance, dès lors qu’une décision importante pour ses droits individuels se présente ?

VI. Proposition : le clic différé

Une idée consisterait à établir, pour les décisions les plus importantes, une signature en deux temps. À un premier accord donné succéderait obligatoirement une confirmation, intervenant au plus tôt 24h après l’accord initial. La signature serait divisée en deux composantes successives, séparées par un intervalle minimum. L’intéressé aurait à respecter un délai minimum de réflexion obligatoire, par exemple une journée, pour les signatures les plus importantes. L’idée consiste donc à imposer un processus (en trois étapes) plutôt qu’un adjectif qualificatif.

Il existe au moins un précédent, bien connu. L’article 1396-5 du Code civil prévoit que le destinataire d’une offre commerciale doit avoir eu la possibilité de vérifier le détail de sa commande et son prix total, avant de confirmer son acceptation. Tout processus de commande en ligne doit obéir à une sorte de cérémonial, imposé par la loi, le « double clic ». Tout est mis en œuvre pour que l’acheteur se rende bien compte de ce qu’il est en train de faire. Et les choses ne s’arrêtent pas là. Une fois la commande validée, un droit de rétractation s’offre au consommateur, pendant un délai passé récemment de sept à quatorze jours (loi Hamon du 17 mars 2014). L’achat précipité est donc réparable. Celui qui a acheté trop vite et sans bien réfléchir peut renvoyer la marchandise et se faire rembourser. Ce mécanisme peut s’analyser comme un consentement en deux étapes. Le processus décrit dans la loi reconstitue à l’écran le déroulement d’un achat dans la rue ou au centre commercial : envie d’achat, devant la vitrine du magasin, ou à la lecture du catalogue papier, puis achat effectif et définitif, avec l’article entre les mains : exemple à suivre. Aujourd’hui nous sommes mieux protégés pour acheter des petits articles de bricolage ou des chaussures de sport via un site Web que pour des sujets relevant de nos droits fondamentaux. Le niveau de sécurité est meilleur pour l’achat de quelques babioles que pour décider du parcours de nos données personnelles, qui matérialisent notre vie numérique. Une certaine solennité devrait prévaloir dans ce domaine. Entre le consommateur et le citoyen, c’est le premier qui a la priorité du législateur. La question au fond est la suivante : devons-nous toujours obéir par-dessus tout aux principes de fonctionnement du milieu numérique ? Quelle doit être la priorité ? Aller vite ? Ou s’assurer de la réalité du consentement de la personne concernée ? La vitesse ? Ou la liberté individuelle ?

Une décision prise à la hâte peut avoir des conséquences préjudiciables, voire dramatiques. Faire attention, peser le pour et le contre, n’est pas chose facile dans un environnement dominé par l’immédiateté, la poussée continuelle du présent. Pour certaines décisions importantes, et, en pratique, définitives, nous pourrions prendre le temps de réfléchir. Contre la précipitation, la circonspection. Après tout, en politique il y a bien des élections à deux tours. On peut estimer que pendant le temps d’attente, entre la décision et sa confirmation, l’humanoctet aura lâché la ligne, repris ses esprits, condition nécessaire à toute décision « mûrement réfléchie ».

Prendre notre temps, pour renverser la logique de la nouvelle dimension qui consiste en cela que le temps nous prend. La nuit porte conseil, y réfléchir à deux fois : toutes ces expressions courantes se rejoignent pour lier la réflexion à la durée, l’idée d’un temps nécessaire avant d’arriver à une bonne décision. Un individu complètement immergé n’est pas en mesure de prendre une décision libre et durable. Se retirer un moment, déconnecter, puis revenir afin de confirmer ou d’infirmer l’impulsion initiale. Il faut un détour par notre environnement naturel pour trouver un individu immobile, tourné sur lui-même et sur ses objectifs, sa volonté propre.

Garder le clic comme geste d’acceptation peut se concevoir à condition de le prolonger sur 24 heures : des décisions extraordinaires méritent un geste extraordinaire. Un geste qui crée une situation contractuelle engageant mes données et mes droits ne doit pas être le même que celui qui permet de mettre ce mot en gras, ou, non, finalement, en caractère normal (italique peut-être ?). La plupart du temps un clic ne signifie pas grand-chose, et n’engage à rien. Ceux qui ont un impact concret et qui m’engagent de manière contraignante doivent sortir de l’ordinaire. Puisque le procédé est incontournable, reste l’idée de le dédoubler, à 24h de distance, dans les cas les plus cruciaux, pour s’assurer d’une vraie décision, d’un libre choix de la part de celui qui s’engage.

Ne pas se précipiter ! Faire le tour de la question. Bien peser la portée de ce consentement, ses conséquences. Exister vraiment dans une durée faite de passé et d’avenir réunis, formant un bloc de sens, au lieu de cet évanouissement continuel du présent dans lequel l’environnement numérique nous enferme. La navigation fluide fluidifie l’esprit. Il y a une forme de continuité entre la personne et le milieu. Les pulsions de la matière (« pop-up ») nous dictent un comportement impulsif. Le milieu n’est donc pas favorable à un consentement digne de ce nom.

VII. Deux environnements, deux systèmes de règles

L’idée du consentement est la même partout, sur papier ou à l’écran : liberté, auto-détermination, pouvoir de l’individu sur son existence. C’est au stade des modalités techniques que les règles doivent nécessairement diverger, car alors il faut composer avec deux environnements différents, deux modes de vie, d’un côté notre environnement naturel, celui où nous sommes nés, et de l’autre les flux numériques. Un même objectif, des moyens différents. Le pourquoi du consentement ne change pas, le comment est fonction de la nature du terrain. Dans nos activités traditionnelles parmi les choses solides (hardware), dominées par la pesanteur, un consentement donné en un trait de temps est parfaitement valable, et cela d’autant plus qu’il s’effectue à travers l’apposition d’une marque manuscrite spécialement étudiée à cette fin : la signature à l’encre. Le sujet dans ce cas n’est aucunement embarqué dans un programme conçu pour l’amener… là où on veut l’amener. Ce qu’une telle signature fait, dans le monde hors ligne, un clic ne saurait le faire. L’idée serait alors de le réitérer, pour à la fois sortir de l’ordinaire, et s’assurer de la volonté persistante du sujet, avec du recul. Le clic différé permettrait d’aller chercher un vrai consentement, libre, assumé, responsable, et donc pourvoyeur de sécurité juridique pour celui qui le reçoit. Consentement rime avec engagement. Celui qui a incontestablement consenti à des conditions de service perd toute possibilité de contestation à l’encontre de son prestataire, dès lors que celui-ci respecte ses propres engagements. La responsabilité est le corollaire de la liberté.

Dans un milieu qui est entièrement constitué de processus, appelés « programmes », la loi pour être efficace doit intervenir en imposant, précisément, un processus, comme cela se fait déjà dans le domaine de la vente. Multiplier les adjectifs pour caractériser ce que doit être le consentement de la personne concernée ne sert à rien. Il s’agit d’adapter la loi au milieu, à ses principes de fonctionnement, afin de faire effectivement prévaloir la protection de la liberté individuelle. Un consentement doit prendre la forme d’un processus en trois étapes comportant en son milieu une échappée hors-ligne, une coupure. Certains ne manqueront pas d’évoquer un inconvénient : l’attente, attendre 24 heures pour obtenir l’accès au service, à partir de la sollicitation initiale. Le monde en ligne nous met sous tension, toute attente est mal vécue. L’humanoctet aime aller vite, toujours plus vite. Les délais sont toujours des délais maximum, pas minimum. Le critère de la rapidité doit-il dès lors l’emporter sur toute autre considération ? Là est le débat de fond. La question est de savoir ce qui doit prévaloir de notre libre arbitre ou de nos envies de consommation immédiate. Que voulons-nous ? Que voulons-nous être ?





Agenda

24 janvier 2018
12è Université des DPO

8 février 2018
Réunion AFCDP Méditerranée

8 février 2018
Réunion AFCDP Nord