L'accès aux algorithmes de Parcoursup

Le tribunal administratif de Basse-Terre, dans un jugement du 4 février 2019, enjoint à l'Université des Antilles de communiquer à l'UNEF les algorithmes utilisés par l'Université dans le cadre du système Parcoursup d'orientation des étudiants ainsi que les codes sources correspondants. Sont donc considérés comme communicables les critères pris en compte ainsi que leur articulation. On se souvient que la première expérience de Parcoursup pour la rentrée universitaire de 2018 s'était caractérisée par l'opacité des critères utilisés pour gérer les voeux d'affectation des jeunes bacheliers. Il n'est donc pas surprenant qu'un syndicat étudiant ait demandé communication de ces éléments.

Algorithmes et transparence administrative

L'UNEF se fonde tout simplement sur la loi du 17 juillet 1978 désormais codifiée dans les articles L 311-1 et L 300-2 du code des relations entre le public et l'administration, loi qui consacre l'existence d'un droit d'accès aux documents administratifs. Depuis un avis du 8 janvier 2015 DGFIP, la Commission d'accès aux documents administratifs (CADA) estime ainsi que le code source utilisé pour le calcul de l'impôt sur le revenu est un document communicable, principe confirmé par le tribunal administratif de Paris, dans un jugement du 10 mars 2016. Par la suite, dans un avis du 23 juin 2016, Association Droits des Lycéens, la CADA s'est déclarée favorable à une transparence de même nature pour le code source du logiciel d'admission post-bas (APB), système qui a précédé Parcoursup.

La loi Lemaire pour une République numérique du 7 octobre 2016 a intégré ce principe dans la loi, en ajoutant les codes sources à la liste des documents administratifs communicables. Le décret du 14 mars 2017 précise ensuite que toute personne à laquelle est appliquée une décision issue d'un traitement algorithmique doit pouvoir obtenir communication des règles définissant ce traitement ainsi que des caractéristiques principales de sa mise en oeuvre. Pour faire bonne mesure, l'article L 312-1-3 du code des relations entre le public et l'administration (crpa) impose aux administrations la publication en ligne de ces algorithmes, lorsqu'ils fondent des décisions individuelles. L'État a effectivement rempli cette obligation en mai 2018 pour le système centralisé Parcoursup.

La transparence devrait donc s'imposer, si ce n'est qu'en l'espèce la CADA a rendu le 10 janvier 2019 un avis défavorable à la communication, avis écarté par le TA de Basse-Terre.

Nous participons, ils sélectionnent. Affiche Atelier populaire de Reims, mai 1968

Loi spéciale et loi générale

La loi du 8 mars 2018, celle qui précisément est à l'origine de Parcoursup, écarte en effet l'obligation générale de transparence imposée par la loi Lemaire dans le cas particulier de la mise en oeuvre de Parcoursup par les Universités. Son article 1er énonce en effet : "Afin de garantir la nécessaire protection du secret des délibérations des équipes pédagogiques chargées de l'examen des candidatures", les obligations de transparence "sont réputées satisfaites dès lors que les candidats sont informés de la possibilité d'obtenir, s'ils en font la demande, la communication des informations relatives aux critères et modalités d'examen de leurs candidatures ainsi que des motifs pédagogiques qui justifient la décision prise".

Une distinction est ainsi établie entre les deux étapes du traitement de Parcoursup par les Universités. Une première phase est d'abord menée à terme, à partir d'algorithmes, conduisant à un premier classement des étudiants candidats. Une seconde phase se conclut ensuite par une décision définitive prise par une équipe pédagogique. Les algorithmes ne sont donc qu'un outil de première phase, d'aide à une décision qui intervient en seconde phase. L'obligation d'information des candidats ne concerne que cette seconde phase, celle de la "délibération des équipes pédagogiques". Aux yeux de la CADA, ces dispositions excluent toute communication des algorithmes, que ce soit aux étudiants concernés ou aux tiers.

Le TA raisonne tout autrement car il considère que la loi de mars 2018 ne s'applique pas à l'UNEF qui n'est pas "candidat" dans la procédure Parcoursup. Le syndicat peut donc fonder sa requête sur la loi générale, c'est à dire la loi Lemaire qui reste applicable dans le cas d'une demande formulée par un tiers à la procédure. Sa demande de communication est donc parfaitement légale, dès lors qu'elle s'appuie sur la loi Lemaire. Cette analyse du juge administratif est conforme au principe général d'interprétation étroite de la loi spéciale.

La solution donnée par le tribunal est donc fondée en droit, mais elle présente la caractéristique de mettre en lumière un certain nombre de problèmes liés à la mise en oeuvre de Parcoursup.

Sur le plan juridique, cette distinction entre les deux phases de la procédure devant les Universités heurte directement les principes posés par le règlement général de protection des données (RGPD), entré en vigueur le 25 mai 2018. Ce texte précise en effet que le responsable du traitement doit "pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard". Il impose donc à l'Université d'expliquer en détail à un étudiant pourquoi il a été évincé de la filière choisie. Cette explication peut-elle être considérée comme suffisante si la motivation ne concerne que la seconde phase de la procédure, l'étudiant étant tenu dans l'ignorance des critères mis en oeuvre par l'algorithme durant la première phase ? Sur le plan strictement juridique, la communication des algorithmes s'analyse pourtant comme un élément de la motivation des actes administratifs, puisque celle-ci doit inclure tous les éléments de fait et de droit qui fondent la décision. Or les algorithmes sont un élément lié à cette décision, même si l'on sait qu'elle ne peut être prise sur son seul fondement.

Sur le plan pratique, la distinction formulée par le TA de Basse-Terre semble largement illusoire. Dès lors que l'UNEF, ou n'importe quel groupement, peut avoir communication de ces algorithmes sur le fondement de la loi générale, rien ne lui interdit de les communiquer ensuite à un candidat évincé et qui n'aura pas pu avoir accès aux algorithmes en raison du blocage posé par la loi spéciale. Rien n'interdit même à l'UNEF de publier ces algorithmes sur internet. La restriction établie par la loi du 8 mars 2018 est alors largement vidée de son sens. Ce ne serait sans doute pas une mauvaise chose, s'il l'on considère qu'il il est surprenant qu'un syndicat soit mieux traité qu'une personne privée directement concernée par une décision qui lui fait grief.

Un retour du secret

Il ne reste qu'à attendre que la question des algorithmes de Parcoursup donne lieu à une décision du Conseil d'État pour lever ces incertitudes. Pour le moment, Force est de constater une tendance actuelle du législateur à réduire le champ de la transparence administrative. De la directive secret des affaires à l'Open Data des décisions de justice, une série de textes vont toujours dans le même sens, celui d'un rétablissement du secret administratif et la loi du 8 mars 2018 s'inscrit dans ce mouvement. Les Universités, quant à elles, n'ont pas intérêt à exiger le secret de leurs propres algorithmes. Au contraire, leur diffusion devrait seulement montrer qu'elles s'efforcent de remplir la mission liée à Parcoursup avec honnêteté, dans des conditions difficiles, et sous le contrôle d'un État qui n'hésite pas à bouleverser totalement les choix des établissements. Il est vrai que l'autonomie des Universités n'a jamais été autre chose qu'un élément de langage destiné à justifier le désengagement financier de l'État, tout en maintenant un contrôle absolu la procédure d'inscription des étudiants.

Le TAFTA ou le déficit démocratique

Le débat sur le TAFTA se développe dans l'opinion publique, au moment précis où les observateurs se montrent de plus en plus sceptiques sur son avenir. A dire vrai, on ne sait pas grand-chose du TAFTA, si ce n'est qu'il a pour objet de créer une zone de libre-échange entre les Etats-Unis et l'Union européenne. Les négociations, commencées en 2013 concernent donc à la fois la suppression des barrières douanières, mais aussi des réglementations qui entravent la libre circulation.

Alors que s'ouvre le treizième round de négociation, les critiques s'amplifient. Du côté américain, on sait que les deux principaux candidats à la Maison Blanche, Hilary Clinton et Donald Trump n'y sont pas favorables. Les Etats membres de l'Union européenne sont également divisés. Angela Merkel soutient les efforts d'Obama en faveur d'une signature rapide mais François Hollande prend nettement ses distances, affirmant qu'il n'est pas prêt à s'engager dans un dispositif qui porterait notamment atteinte aux intérêts de l'agriculture française. Si le moteur franco-allemand semble en panne, la Commission européenne continue, quant à elle, à négocier le TAFTA, comme si la volonté de l'Union n'était plus la somme de celles de ses Etats membres. 

La bataille de la terminologie

Le TAFTA a déjà perdu la bataille de la terminologie. Son nom officiel est Transatlantic Trade and Investment Partnership  (TTIP) ou, en français, Partenariat Transatlantique de Commerce et d'Investissement (PTCI). En fait, le TAFTA est le nom donné au traité par ses opposants, le Transatlantic Free Trade Agreement désignant tout simplement un accord de libre échange. L'évolution est loin d'être neutre : alors qu'un partenariat repose sur l'égalité entre les parties, une zone de libre échange n'est pas nécessairement égalitaire.  On perçoit déjà, en filigrane, l'idée que le TAFTA trouve son origine dans la volonté américaine de promouvoir ses intérêts et ceux de ses entreprises.

Considéré à travers le prisme des libertés publiques, le TAFTA apparaît comme un véritable cas d'école illustrant le déficit démocratique dont souffre l'Union européenne. 

Opacité de la procédure

En 2013, les 28 Etats membres ont délégué à l'Union européenne la mission de négocier le TAFTA. Le mandat, qui comporte 46 articles, a été rendu public quelques mois après le début des négociations. Il formule des principes généraux et annonce que l'accord comportera trois volets  : "l'accès aux marchés, la convergence réglementaire et les règles commerciales permettant de relever les défis mondiaux".

Sur cette base, est créé un "groupe de travail de haut niveau" UE/Etats-Unis. Ses premières  recommandations sont toutes formulées dans des termes extrêmement vagues. C'est ainsi qu'il déclare, sans davantage de précision, qu'il "faudra renforcer les programmes conçus pour faciliter la reconversion des secteurs les plus affectés par le partenariat". Il doit donc y avoir des "secteurs affectés"... 

Les rounds de négociation se déroulent à huis-clos. Du côté américain, le secret des négociations est absolu et aucun document n'est publié. Du côté européen, en revanche, la Commission publie des masses de documents, en insistant sur sa volonté de transparence. Ces documents sont tous diffusés en anglais, et le nouveau partenariat est donc déjà parvenu à créer une vaste de zone... même pas de libres échanges, mais de diffusion unilatérale en anglais. La lecture de ces pièces laisse cependant les commentateurs dans l'incertitude. Elles portent sur les grandes lignes, les principes, qui guident les négociateurs, mais les propositions détaillées demeurent confidentielles. Le rôle des lobbies n'apparaît jamais dans les documents, alors même que sur 130 réunions préparatoires où étaient invitées les "parties prenantes", 119 se sont déroulées en présence d'entreprises et de lobbies industriels.

Dollar. Gilles et Julien. 1932

Opacité du contenu des négociations

D'une manière générale, beaucoup de documents diffusés relèvent davantage de la communication que de la transparence. C'est ainsi qu'un rapport commandé par la Commission au Center for Economic Policy Research (CEPR) annonce que le TAFTA apportera une croissance économique de 119 milliards d'euros par an à l'UE, chiffre que l'on doit plus ou moins croire sur parole. Il est vrai qu'il est toujours préférable de s'adresser à un Think Tank britannique pour connaître les immenses avantages de la coopération avec les Etats-Unis.

Cette pratique du secret est justifiée par deux arguments. Le premier d'entre eux réside dans l'idée que l'on ne peut dévoiler toutes ses armes au début d'une négociation. Certes, mais le temps du début de la négociation est bien passé, alors que le Président Obama fait pression pour  que le TAFTA soit signé avant la fin de l'année. Le second argument réside dans le secret des affaires, et l'opacité de cette négociation est le reflet de la nouvelle conception absolutiste de ce secret, développée par la récente directive adoptée par le parlement européen il y a à peine plus d'une semaine. Les mauvais esprits pourraient penser que cette directive constitue un acte préparatoire à la mise en oeuvre du TAFTA.

La justice mise à l'écart

Les entreprises n'ont pas seulement obtenu la reconnaissance d'un secret des affaires quasi-absolu. Le cadeau essentiel que leur fait le TAFTA réside dans le mode de règlement des différends commerciaux. L'"Investor-State Dispute Settlement" (ISDS), système d'arbitrage, aura pour fonction de régler les litiges, y compris ceux opposant un Etat à une entreprise. 

La justice des Etats est exclue, et elle n'a d'ailleurs pas eu de porte-parole pour défendre la primauté de l'état de droit lors des négociations. Les entreprises, surtout les firmes d'outre-atlantique, préfèrent l'arbitrage, plus discret qu'une procédure judiciaire et le plus souvent mis en oeuvre selon une procédure anglo-saxonne. Le rêve des firmes américaines de se soustraire complètement au droit européen, droit de la concurrence ou droit de la protection des données personnelles par exemple, est donc en passe de se réaliser. Et l'arbitrage permet de rester entre soi, en faisant appel à des arbitres sensibles aux intérêts des entreprises. En témoigne le célèbre arbitrage Tapie.

Les citoyens mis à l'écart

Derrière ces mises à l'écart des citoyens et des juges apparaît, bien plus gravement, une mise à l'écart de la démocratie. Car si le citoyen est exclu de l'information, il est aussi exclu de la participation. La Commission, chacun le sait, n'est pas une institution démocratique. Rappelons que ses membres ne sont pas élus mais désignés par le Conseil européen, le parlement européen n'intervenant que par un vote d'approbation. Quant au Président de la Commission, il est "proposé" au parlement par ce même Conseil, statuant à la majorité qualifiée. Il est vrai que le traité de Lisbonne énonce que cette proposition doit être effectuée « en tenant compte des élections au Parlement européen, et après avoir procédé aux consultations appropriées ». Une telle disposition n'a pourtant pas pour effet de conférer une légitimité démocratique au Président.

Force est donc de constater que l'instance qui négocie le traité a sans doute une légitimité institutionnelle, mais certainement pas une légitimité démocratique. Les citoyens des Etats membres sont en dehors du processus, comme la plupart de leurs dirigeants élus démocratiquement.

L'effet boomerang de la démocratie

Mais la démocratie, exclue de la procédure de négociation, va sans doute reparaître au moment de l'adoption du traité. Et l'effet boomerang risque d'être dévastateur.
Aux Etats-Unis, la ratification du traité sera directement de la compétence du Congrès, et il est très probable que la procédure ne pourra être menée à bien avant la fin du présent mandat. Qu'en sera-t-lors du prochain, si l'on considère qu'Hilary Clinton et Donald Trump sont réservés à l'égard du TAFTA ? Y aura-t-il une majorité au Congrès pour le voter ? Pour le moment, on l'ignore.

Au sein de l'UE, la procédure est plus complexe. Le TAFTA doit d'abord recevoir l'accord des 28 Chefs d'Etat du Conseil qui statue à la majorité qualifiée (55 % des Etats représentant au moins 65 % de la population de l'Union). S'il passe cette étape, il sera soumis au parlement européen puis aux parlements de chaque Etat membre qui devront le ratifier en bloc, sans pouvoir l'amender. D'ores et déjà, la Grèce d'Alexis Tzipras menace d'opposer son veto. Quant aux Pays-Bas, ils prévoient la ratification par référendum, consultation qui a peu de chances d'obtenir une réponse positive. Le retour du processus démocratique dans le TAFTA conduirait ainsi à son abandon. Comme si la démocratie rejetait un corps étranger.

Accord européen sur le "Paquet protection des données"

L'Union européenne est actuellement en crise et l'on ne cesse de mettre en évidence les divergences affectant les relations entre les Etats membres. De la crise de la dette à celle des migrants, du Brexit à l'échec du système Schengen, sans oublier les difficultés de la coopération en matière de lutte contre le terrorisme, les sujets d'inquiétudes ne manquent pas.

L'accord intervenu le 15 décembre 2015 entre le Parlement, la Commission et le Conseil sur la protection des données personnelles fait figure d'exception. Il a en effet été salué comme un "accord historique", formule employée par le gouvernement luxembourgeois pour saluer les efforts de la présidence luxembourgeoise du Conseil de l'Union européenne. Il est vrai que l'on est encore loin du terme de la procédure, car cet accord devra être confirmé par les vingt-huit Etats membres. Il n'empêche que  l'on voit se dessiner un droit européen de la protection des données.

De manière concrète, le "Paquet protection des données" regroupe deux textes, un règlement et une directive. Le premier pose les principes généraux de la protection des données personnelles, la seconde traite de l'utilisation de celles-ci dans les secteurs de la police et de la justice pénale. Ces textes ont, avant tout, le mérite d'exister. Ils sont le résultat d'un compromis.

Le droit de contrôle sur ses données personnelles

Le règlement général sur la protection des données (RGPD) vise à résoudre ce que le Premier ministre luxembourgeois, Xavier Bettel, a qualifié de "quadrature du cercle". Il s'agit à la fois de répondre aux besoins formulés par les entreprises du secteur de l'économie numérique et de protéger les données personnelles.

Les citoyens de l'Union européenne se voient reconnaître un certain nombre de droits. Le plus important est sans doute le principe du consentement à la collecte et à la conservation des données, droit qui constitue l'une des spécificités du droit européen. Les entreprises américaines du secteur ne pourront donc plus mettre en oeuvre une présomption de consentement, laissant ensuite la malheureuse victime européenne contester la collecte de ses données personnelles devant un tribunal situé à Palo Alto. D'une manière générale, ces entreprises devront d'ailleurs fournir des informations précises sur leur pratique de collecte et de conservation des données personnelles.

Le droit à la portabilité des données personnelles est également garanti, permettant à la personne de transférer ses données d'un prestataire de services à un autre. Si la consécration d'un tel droit n'est pas sans intérêt, on peut néanmoins s'interroger sur les instruments à la disposition de l'intéressé lui permettant de s'assurer que l'entreprise qu'il souhaite quitter ne conserver pas ses données, à des fins commerciales par exemple.

Le droit à l'oubli vient enfin compléter le droit au déréférencement déjà garanti par la Cour de justice de l'Union européenne depuis sa décision du 13 mai 2014 Google Spain NL. De manière très simple, le règlement prévoit la suppression des données à la demande de l'individu, dès lors qu'il ne souhaite plus leur conservation et qu'aucun motif légitime ne la justifie.

Ces éléments sont loin d'être négligeables, même si l'on observe que le texte européen n'est pas tout-à-fait aussi ambitieux que l'on aurait pu le souhaiter.

Tout d'abord, certains points n'ont pas fait l'objet d'un accord. C'est le cas notamment de la question de l'accord parental nécessaire pour s'inscrire sur un réseau social. Certains Etats souhaitaient le maintien du statu quo à l'âge de treize ans, d'autres se montraient plus rigoureux et désiraient interdire les réseaux sociaux aux moins de seize ans. Finalement, la question a été écartée du "paquet". Sans doute a-t-on quelque peu baissé les bras devant les difficultés de l'entreprise. Si l'on observe ainsi que Facebook interdit effectivement l'inscription aux enfants de moins de treize ans,  force est de constater que le réseau social n'est guère en mesure de vérifier l'âge réel de ses adhérents. Il n'est pas exclu, en même temps, que le réseau social ait effectué un lobbying efficace durant la négociation du règlement européen.

Vie privée. René Magritte. 1946

Les concessions aux entreprises

Ensuite, ces éléments de protection des droits de l'individu ont été acquis au prix de concessions aux opérateurs du secteur. Ils ont remporté une véritable victoire en faisant intégrer dans le règlement le principe selon lequel la protection des données peut être intégrée aux produits et services dès la phase initiale du système. Ce principe de "Privacy In Design" leur permet ainsi de formuler ensuite une simple déclaration de la conformité de leur système à la législation en vigueur, ce qui évite le contrôle a priori des autorités chargées de la protection des données. Cette analyse repose, à l'évidence, sur une vision très optimiste de la volonté des entreprises de se soumettre au droit de l'Union européenne.

Cette impression est renforcée par les avantages offerts aux petites et moyennes entreprises (PME) qui sont dispensées d'un grand nombre de procédures : absence de notification des traitements de données personnelles aux autorités de contrôle, absence de désignation en leur sein d'un délégué à la protection des données dès lors que le traitement n'est pas leur coeur de métier, dispense de l'obligation d'étude d'impact de leurs fichiers. Les PME se voient même offrir la possibilité de faire payer les demandes d'accès aux données personnelles lorsqu'elles les jugent infondées ou excessives. La liste de ces avantages conduirait sans doute un avocat peu soucieux de ces préoccupations à conseiller à une multinationale américaine de créer des PME pour exercer son activité au sein de l'Union européenne, dans le seul but d'échapper aux règles les plus contraignantes du droit européen de la protection des données.

La coopération policière

La directive vise, quant à elle, à concilier protection des données personnelles et échange entre les autorités répressives au sein de l'Union. Il est évident que les évènements survenus à Paris le 13 novembre 2013 ont mis en lumière la nécessité de l'échange d'informations dans le cadre de la lutte contre le terrorisme. Ils ne sont donc pas étrangers à l'accord intervenu dans ce domaine.

Le texte vise d'abord à simplifier le droit applicable par les autorités policières et judiciaires. C'est ainsi que le texte s'applique de manière indifférenciée aux flux transfrontières de données privées et aux informations transmises par des services policiers ou judiciaires étrangers. D'une manière générale, elle établit un secret des sources renforcé pour les autorités policières. C'est ainsi qu'elle peuvent refuser de confirmer ou d'infirmer qu'elles disposent de données personnelles, dans le but de ne pas compromettre les investigations en cours.

L'objet de la directive est, avant tout, de permettre aux forces de l'ordre des Etats membres d'échanger plus facilement les informations utiles aux enquêtes, et donc de faciliter la lutte contre le terrorisme et la grande criminalité.

Dans ce cas, la directive se borne à rappeler les garanties élémentaires qui s'appliquent en matière de collecte et de conservations de données personnelles à des fins de sécurité publique. Au sein de l'Union, tout traitement de ce type de données devra ainsi respecter les principes de nécessité, de proportionnalité et de légalité, principes anciens qui figuraient déjà dans la loi française du 6 janvier 1978. Il en est de même du contrôle qui doit être assuré par des autorités nationales indépendantes, contrôle qui doit s'accompagner d'un droit à un recours juridictionnel. 

Si les échanges de données par les services de police et de justice sont ainsi facilités, les garanties offertes aux personnes fichées ne sont donc en rien modifiées.

Le standard européen des protection des données est, incontestablement, en cours de construction. Il est loin d'être parfait, mais on observe qu'il n'interdit pas aux Etats membres de mettre en oeuvre des règles plus exigeantes. Dans tous les cas, l'important est que ces textes établissent un droit effectif, c'est-à-dire un droit assorti de sanctions. En cas de non-respect des obligations imposées par le règlement, les autorités nationales pourront ainsi infliger aux sociétés concernées une amende allant jusqu'à 4 % de leur chiffre d'affaires. Le pourcentage peut sembler modeste, mais il peut conduire à une amende considérable pour les multinationales du secteur. Ces deux textes, qui devraient entrer en vigueur dans un délai de deux ans, devraient ainsi offrir aux autorités de protection des Etats membres un instrument fort utile pour faire comprendre aux entreprises du secteur que l'Europe n'est pas seulement un territoire colonisé par le droit américain mais un espace juridique autonome. 

Sur la protection des données : Chapitre 8 § 4 du manuel de libertés publiques sur internet

La République numérique nous appelle

La principale caractéristique de la loi du 7 octobre 2016 pour une République numérique réside sans doute dans son ambition. Par sa référence à la République tout d'abord, référence qui s'accompagne d'un style qui n'est pas sans évoquer la peinture "pompier" :  "La République du 21e siècle sera nécessairement numérique : elle doit anticiper les changements à l’œuvre, en saisir pleinement les opportunités, et dessiner une société conforme à ses principes de liberté, d’égalité et de fraternité". Par sa volonté d'associer les citoyens à sa rédaction ensuite, et un site a permis à chacun de donner son opinion sur la loi, durant trois semaines, à l'automne 2015. Cette procédure a surtout permis l'intervention des associations actives dans ce secteur, même si leurs propositions n'ont pas toujours été suivies comme elles l'auraient souhaité. 

A l'issue d'un tel processus, certains espéraient sans doute un bouleversement complet du droit du numérique. Or, la loi Lemaire est sans doute républicaine mais elle n'est pas, pour autant, révolutionnaire. Si on la considère sous l'angle des libertés publiques, elle vise surtout à affirmer des principes fondateurs, souvent déjà connus mais qui bénéficient désormais d'un ancrage solide dans le droit positif.  Les prérogatives nouvelles offertes aux citoyens sont, en revanche, nettement plus modestes. 

Des principes libéraux

La loi du 7 octobre 2016 repose incontestablement sur un principe libéral. En témoigne cette "ouverture de l'accès aux données publiques", que l'on qualifie généralement d'Open Data. L'idée générale est celle d'un accès libre aux documents administratifs et aux informations publiques, ouvert à la fois aux collectivités publiques et aux individus. Il s'agit donc d'un principe d'ouverture des données publiques, à laquelle il demeure cependant possible d'opposer les secrets protégés par la loi. Sur ce plan, la loi de 2016 constitue une seconde étape, après la loi Valter du 29 décembre 2015, qui posait un principe de gratuité des données publiques (avec tout de même un certain nombre d'exceptions). Aujourd'hui, c'est donc un véritable service public de la donnée publique qui est créé.

De la même manière, elle autorise la réutilisation des données publiques par les personnes privées, principe qui existait déjà dans le code des relations entre l'administration et le public (art. L 321-1 et s.). mais qui est désormais étendu aux personnes publiques ou privées gérant un service public industriel et commercial. Il reste à voir comment cette disposition nouvelle sera appliquée. En effet, s'il est désormais permis de penser que des données statistiques relatives à l'énergie ou à l'environnement sont désormais publiques, le secret industriel et commercial peut demeurer opposable dans ces domaines. 

Le principe de neutralité du net, consacré par la loi Lemaire, repose sur la même perspective libérale. Il affirme que les réseaux doivent transporter les flux d'information de manière neutre, quels que soient leur nature, leur contenu, leur expéditeur ou leur destinataire. Là encore, l'évolution avait été engagée dès la loi du 24 août 2011 qui avait mis en oeuvre certaines mesures concrètes concernant les pratiques d'acheminement du trafic par les opérateurs. Elle était désormais rendue indispensable par le règlement européen du 25 novembre 2015 "établissant des mesures relatives à l'internet ouvert". Observons cependant, et cette formulation témoigne du caractère toujours novateur du droit français en ce domaine, que la loi Lemaire ne se contente pas de la référence à l'"internet ouvert", notion dont le contenu manque pour le moins de clarté, et ose formuler expressément le principe de neutralité du net. 

La neutralité du net s'accompagne, logiquement, d'une interdiction faite aux fournisseurs d'accès  d'interrompre la ligne de "toute personne ou famille éprouvant des difficultés particulières". Semblable à ce qui existe en matière d'accès au téléphone ou à l'électricité, cette règle n'interdit cependant pas de réduire le débit dès lors que l'accès demeure fonctionnel.

Le renforcement des pouvoirs de la CNIL

Moins symbolique, le renforcement des pouvoirs de la CNIL a surtout pour objet de lui permettre de lutter contre les géants du secteur, les fameurs GAFA (Google, Amazon, Facebook, Apple). Les amendes susceptibles d'être infligées par la Commission passent ainsi de 150 000 € à trois millions d'euros. Cette évolution n'est qu'un début, car le règlement européen du 27 avril 2016 sur la protection des données personnelles autorisera la CNIL à prononcer des amendes de vingt millions d'euros ou de 4 % du chiffre d'affaires annuel mondial des entreprises concernées. La loi Lemaire se présente donc comme un texte transitoire sur ce point, dès lors que le règlement sera applicable dès janvier 2018. En tout état de cause, ce ne sont pas tant les pouvoirs de la CNIL qui seront renforcés que ceux du G 29, ensemble qui regroupe l'ensemble des autorités de contrôle des Etats de l'Union européenne. Un tel renforcement du pouvoir de sanction était indispensable, en particulier dans le contentieux qui oppose l'Union européenne à Google. 

D'après Antoine Gros. Figure allégorique de la République. 1848

Une protection modeste des droits individuels

Du point du vue de la protection la plus immédiate du citoyen, la loi du 7 octobre 2016 n'est pas sans intérêt mais son apport demeure modeste. Il se limite à quelques dispositions ponctuelles. 

On ne peut que se réjouir que le Revenge Porn puisse enfin être sérieusement réprimé. Cette pratique consiste à diffuser sur internet des images intimes de son ex-compagne ou de son ex-compagne. Or le législateur n'avait sans doute pas prévu une telle bassesse, et la sanction pénale était impossible dès lors que l'intéressée avait donné son consentement, au moins implicite, au cliché. Dans ces conditions, le droit positif ne prévoyait pas un nouveau consentement en cas de diffusion sur le net, et la Cour de cassation, dans un arrêt du 16 mars 2016, n'avait pu que constater son impuissance à réprimer une telle pratique. C'est désormais chose faite et la loi ajoute au code pénal un nouvel article 226-2-1 qui punit d'une peine d'emprisonnement de deux ans et d'une amende de 60 000 € le fait de diffuser sur le net, sans le consentement de l'intéressé, des images "présentant un caractère sexuel". La loi Lemaire comble donc une lacune du droit. C'est évidemment très utile, mais c'est aussi très ponctuel. 

La loi prévoit par ailleurs que les auteurs et leurs ayants-droit ne pourront pas s'opposer à la liberté   de "photographier des oeuvres architecturales et des sculptures", dès lors que le cliché est dépourvu de finalité commerciale. A dire vrai, on ne peut s'empêcher d'être surpris à l'idée qu'il pourrait être interdit de photographier la Tour Eiffel..Là encore, il s'agit de simplifier le droit, car certains bâtiments sont protégés par le droit d'auteur, et d'autres pas. On arrivait ainsi à des situations ubuesques où l'on pouvait librement photographier le Louvre, mais pas la pyramide du Louvre, la Tour Eiffel, mais pas ses éclairages. Sur ce point, la loi fait évidemment oeuvre utile, mais le citoyen lambda n'en tire aucune prérogative supplémentaire. Il avait depuis longtemps compris qu'il pouvait librement faire un selfie sur le Pont des arts.

Enfin, le droit à l'oubli doit être évoqué, pour constater que la loi du 7 octobre 2016 n'en fait qu'une consécration extrêmement modeste. Son article 63 ne concerne en effet que les mineurs qui se voient offrir le droit d'obtenir l'effacement des données les concernant déposées sur les réseaux sociaux, y compris par eux-mêmes. Inspirées de la "loi gomme" californienne, ces dispositions permettent de réparer les erreurs de jeunesse, ce qui n'est pas négligeable. 

En revanche, force est de constater que le droit à l'oubli, en tant que tel, n'est pas consacré par la loi. La question ne manquera pourtant pas de se poser lorsque le "Paquet protection des données" adopté le 15 décembre 2015 par le Parlement européen, la Commission et le Conseil sera en vigueur. Il comporte un projet de directive dont l'article 17 consacre un "droit à l'oubli" numérique qui impose aux responsables d'un traitement d'effacer tout lien vers des données personnelles divulguées ainsi que vers les copies qui en ont été faites. Il faut ajouter que les juges français n'ont pas attendu le droit européen, et la 1ère Chambre civile de la Cour de cassation, évoque dans un arrêt du 12 mai 2016, tout aussi expressément, "le droit à l'oubli numérique", à propos d'une demande de désindexation du nom du requérant des archives informatisées du journal Les Echos. 

Derrière une apparente ambition, et une communication un peu boursouflée, la loi Lemaire se présente donc comme un texte composite, sans doute le résultat de négociations auxquelles beaucoup de lobbies ont participé. Certaines dispositions posent des principes, certes déjà connus mais qui acquièrent désormais une puissance nouvelle. D'autres s'efforcent de rendre plus efficace le droit positif, sans le modifier. D'autres enfin interviennent à la marge, pour combler des lacunes ou colmater des brèches. Tout cela n'est pas inutile, loin de là. Mais il n'en demeure pas moins que l'intervention, tellement saluée, des citoyens dans le processus législatif n'a pas permis de renforcer leurs droits de manière substantielle. Une constatation à méditer par tous ceux qui considèrent qu'internet constitue désormais l'outil démocratique par excellence.

Sur la protection des données : Chapitre 8 section 5 du manuel de libertés publiques sur internet