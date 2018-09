Photo by rawpixel on Unsplash

Un nouvel « Entretien autour de l’informatique » avec Noëlle Lenoir, juriste, magistrate et femme politique. Première femme et plus jeune membre jamais nommée au Conseil constitutionnel, ministre des Affaires européennes entre 2002 et 2004, elle a occupé de nombreuses fonctions, et en particulier a suivi la mise en œuvre de la loi informatique et libertés française. Elle parle à Binaire des liens entre le droit et l’informatique.

Cet article est publié en collaboration avec le blog Binaire.

Jacques Benaroch , CC BY-SA

Binaire : pouvez-vous nous parler de votre carrière ?

Noëlle Lenoir : Je suis de formation juridique. En 1982, alors que j’étais administrateur au Sénat depuis près de 10 ans, le sénateur Jacques Thyraud, alors rapporteur du budget de la justice, m’a demandé de venir diriger les services de la CNIL, dont j’ai été pratiquement la première directrice. Si le contexte était radicalement différent de celui d’aujourd’hui, la problématique de l’informatique et des libertés était finalement assez similaire. La protection des données était et est restée rattachée aux droits de l’homme, ce qui veut dire que toute collecte et tout traitement de données est vue potentiellement comme une atteinte aux libertés. C’est la marque de fabrique européenne. Toutefois, le la a été donné par la France dès les années 1980. À la CNIL, j’ai participé à la mise en place des services et de l’institution elle-même. À mon avis, encore aujourd’hui, il n’y a pas assez de techniciens parmi les membres du collège de la CNIL ; par exemple, il devrait y avoir de droit un statisticien et un historien archiviste. Protection des données ne doit pas vouloir dire en effet destruction du patrimoine numérique national.

J’ai ensuite intégré le Conseil d’État, qui était très impliqué dans le droit de l’informatique. J’y ai participé à un rapport sur le sujet. Appelée en 1988 à diriger le cabinet de Pierre Arpaillange, ministre de la Justice, j’y suis demeurée deux ans à m’intéresser au droit pénal en pleine transformation avec la préparation du nouveau code pénal. Puis en 1990, le premier ministre, Michel Rocard, m’a demandé de conduire une mission sur le droit de la bioéthique dans une perspective internationale et comparative. La France n’avait pas de législation tandis que le programme de décryptage du génome humain et la procréation médicalement assistée posaient des problèmes juridiques entièrement nouveaux. Comme vous le savez, la bioéthique inclut des problématiques liant la génétique à l’informatique comme le décryptage du génome humain ou les tests génétiques prédictifs. Ma mission, qui s’est conclue par un rapport remis au Président de la République et au premier ministre, a débouché sur le dépôt de la première loi française de bioéthique que j’avais contribué à préparer.

Nommée en 1992 au Conseil constitutionnel, j’ai été confrontée à des lois de bioéthique. Une fois terminé mon mandat en 2001, je suis allée enseigner le droit de la bioéthique et le droit européen à la faculté de droit de Columbia, à New York, en tant que visiting professor. Ce fut pour moi une très belle expérience. J’y ai découvert des méthodes d’enseignement très différentes des nôtres, plus interactives, moins directives, moins savantes, mais plus vivantes.

Ensuite, ce furent deux années passionnantes comme ministre des Affaires européennes (2002-2004), à l’heure de l’élargissement de l’Europe aux États de l’Europe centrale et orientale. Certains de ces pays étaient déjà en avance en matière d’informatisation de la société ; c’était et cela reste en particulier le cas de l’Estonie. J’ai visité en 2002 à Tallinn la salle du Conseil des ministres entièrement informatisée, les ministres ayant chacun leur ordinateur, et au diable les documents papier !

Je suis aujourd’hui avocate dans un cabinet américain, Kramer Levin, dont la maison-mère est à New York. Après m’être spécialisée en droit de la concurrence, une discipline à la frontière du droit et de l’économie, je développe actuellement mon expertise en droit de l’informatique et de la protection des données personnelles. Ma formation de publiciste me conduit à travailler aussi sur des dossiers en droit public, dont fait partie le droit de la protection des données. Enfin, je suis centrée également sur la compliance, c’est-à-dire tout ce qui peut contribuer à aider les entreprises à prévenir, détecter et lutter contre la corruption, en application de la loi dite Sapin II. Ce que permet l’utilisation des hotlines par exemple à travers lesquelles tout salarié ou tout tiers à l’entreprise peut faire remonter des informations sur des infractions commises ou en voie de l’être. De même, le contrôle des transactions financières dans le cadre de la lutte contre le blanchiment d’argent passe-t-il essentiellement par des procédures informatisées. Le droit et l’informatique ont beaucoup de points en commun, ne serait-ce que les logiques qui les sous-tendent.

Vous avez participé aux débuts de la CNIL. Comment voyez-vous cette institution ?

À l’époque, les « autorités administratives indépendantes » telle que la CNIL, dotées de prérogatives règlementaires autant que répressives, étaient toutes nouvelles. Pour moi, ces autorités relèvent d’un concept libéral, venu des États-Unis, qui veut qu’entre l’État et les opérateurs économiques, des institutions étatiques, mais indépendantes, aient le pouvoir de faire évoluer la norme juridique en fonction de l’évolution des technologies et de l’économie. Depuis environ 40 ans, on assiste à l’émergence d’une nouvelle forme de droit, plus ou moins contraignant, qui est négocié ou au moins discuté avec les acteurs économiques. Mais par ailleurs, les normes (recommandations, lignes directrices, règlements, etc.) produites par ces autorités sont assorties de sanctions pécuniaires extrêmement lourdes. Elles sont certes le fruit de discussions entre l’autorité et l’entreprise contrevenante qui peut exercer ses droits de la défense ; mais l’autorité dispose d’une force de frappe qui lui donne un pouvoir considérable pour faire respecter ses recommandations. Pensez que la CNIL peut infliger des amendes allant jusqu’à 4 % du chiffre d’affaires mondial, ce qui peut littéralement mettre à genoux une entreprise, lorsqu’en plus, l’amende prononcée fait chuter son cours de bourse. Même quand des amendes ne sont pas prononcées à l’encontre des opérateurs défaillants, les avertissements par exemple émis par ces autorités peuvent être rendus publics, à grand renfort de communiqué de presse, avec tous les dommages en terme de réputation que cela implique. Parmi les principales autorités administratives indépendantes, en dehors de la CNIL qui a été précurseur, on peut citer l’autorité de la concurrence, l’ARCEP, le Conseil supérieur de l’audiovisuel ou encore la récente agence anticorruption.

La CNIL, elle, est exclusivement compétente en matière de protection des données personnelles des personnes physiques, c’est-à-dire de la vie privée. L’informatique constitue un formidable progrès dans la gestion de l’information des individus, mais peut mettre en danger leurs libertés si elle fait l’objet d’une utilisation pernicieuse. La loi Informatique et Libertés en France, et le Règlement général européen sur la protection des données (RGPD) applicable depuis mai de cette année tentent de réaliser un arbitrage entre développement technologique et économique et protection des libertés.

Je me souviens que les principaux sujets d’intérêt pour la CNIL étaient à l’époque, avant Internet et le web, d’abord les fichiers de police et de renseignements, les fichiers de la sécurité sociale, et les fichiers fiscaux mis en place pour déceler dans les déclarations les anomalies susceptibles de déclencher des contrôles.

Le but était avant tout d’éviter l’interconnexion des fichiers administratifs. Cela était tabou et l’est encore. Le numéro de sécurité sociale (le NIR) était et reste considéré comme dangereux en soi, et il fallait éviter à tout prix qu’il ne serve aux interconnexions de fichiers. Permettez-moi en lien avec ce numéro d’évoquer l’histoire dramatique d’une personne exceptionnelle, René Carmille. Il a créé sous l’Occupation le Service National Statistique (qui deviendra l’Insee en 1946) et le code individuel des citoyens qui deviendra le numéro de sécurité sociale. Seulement, ce numéro a été détourné de sa vocation par le ministre de la Justice Raphaël Alibert pour distinguer les juifs et les tsiganes, et organiser les départs pour le STO. Carmille rentre dans la Résistance, cache des fichiers pour mettre au point un dispositif de mobilisation contre l’ennemi, fabrique de fausses cartes d’identité pour les juifs et les résistants. Arrêté à Lyon en 1944, atrocement torturé par Klaus Barbie, il meurt en 1945 au camp de Dachau. L’ENA devrait donner son nom à une de ses promotions, comme l’a fait en 2008-2009 l’EMCTA (École militaire du corps technique et administratif).

Le numéro de code individuel créé par René Carmille est demeuré une sorte d’épouvantail. Ce n’est, à mon avis, plus justifié du fait de tous les autres moyens d’interconnexions de fichiers disponibles aujourd’hui.

Pour revenir à la CNIL, à ses débuts, lorsque j’y travaillais, elle s’intéressait à deux autres sujets qui paraissent préhistoriques aujourd’hui : le premier était celui de la vente par correspondance, car cela scandalisait qu’on puisse s’échanger des fichiers d’adresses. Le vrai sujet était le droit des personnes de ne pas être sollicitées par la publicité et de pouvoir demander à être retirées des fichiers. Ce que la CNIL a acté. Le second sujet avait trait aux travaux statistiques. Je dois dire qu’à mon grand étonnement, l’Insee était la tête de turc de certains membres de la CNIL. Ceux-ci soulignaient que les chercheurs en général, et les statisticiens en particulier, ne protégeaient pas convenablement la masse de données en leur possession, puisqu’ils ne fermaient même pas leurs bureaux à clé et qu’ils ne rangeaient pas leurs dossiers dans des tiroirs ! Aujourd’hui encore, chercheurs et statisticiens sont en butte à une méfiance injustifiée.

Ce qui, à mon avis, a le plus fondamentalement changé dans les législations de protection des données personnelles, c’est qu’aujourd’hui, elles ont un effet extraterritorial. Ainsi le RGPD s’applique, indépendamment du lieu où sont traitées les données (dans un cloud en Californie, par exemple) dès lors que la personne concernée est en Europe. Cela va très loin et en outre les conditions d’application de cette disposition ne sont cependant pas évidentes. Comme les Américains préparent eux-mêmes une législation semble-t-il fédérale sur la protection des données, il y aura certainement des conflits de lois ; un véritable casse-tête pour les juristes et les juges.

Voyez-vous une transposition de ce qui a été mis en place pour la bioéthique dans le cadre du numérique ?

J’ai présidé deux comités de bioéthique, l’un auprès de la Commission européenne et l’autre à l’Unesco. Au niveau européen, on a beaucoup travaillé sur le numérique : tests génétiques, dossier médical informatisé et accès aux données de santé, brevets sur le génome humain, etc. La bioéthique et le droit de la protection des données personnelles ont pour objectif commun d’aider à répondre à des situations concrètes inédites du fait des technologies nouvelles, et qui peuvent poser des questions de libertés individuelles, ou de vie privée. De plus, sans l’informatique, la biologie ne pourrait avancer.

Maintenant, se posent des questions d’éthique numérique qui dépassent le cadre de la médecine et de la biologie. Y a-t-il quelque chose à apprendre de l’expérience bioéthique ?

Le mot « éthique » est ambigu. Il recouvre à la fois une attitude, un comportement relevant de la responsabilité individuelle, et les mœurs, soit une notion sociétale renvoyant à des valeurs collectives. En 1983, François Mitterrand a créé le premier comité d’éthique au monde, non pas contre la science, mais parce que Science sans conscience n’est que ruine de l’âme, selon l’expression de Rabelais.

Quelle est cette conscience ? Elle ne peut plus être totalement univoque dans un monde où les mœurs, c’est-à-dire les normes morales acceptées par la société, sont de plus en plus diversifiées sur un même espace. Dans un monde ouvert, des individus vivant côte à côte peuvent avoir des systèmes de valeurs différents. Les comités d’éthique n’essaient pas seulement de faire une synthèse. Ils rappellent les valeurs de base communes, mais à l’issue d’un débat ouvert entre philosophies et religions différentes : c’est l’éthique de la délibération. Les membres des comités d’éthique ont à l’origine des opinions et des sensibilités contrastées, et puis à la fin, ils trouvent un compromis acceptable par tous. Leurs décisions sont le fruit de rapports circonstanciés et documentés pour montrer qu’ils n’ont oublié aucun aspect de la question.

Pour autant, un comité d’éthique ne doit pas, selon moi, être relativiste. Il y a des principes intangibles sur lesquels notre société démocratique aujourd’hui grandement fragilisée par les intégristes et les fake news ne doit pas transiger : égalité entre les sexes, lutte contre le racisme, respect de la vérité, tolérance, solidarité, absence d’intention de nuire, etc.

En tant que Présidente du comité scientifique et éthique de Parcoursup, je constate que certaines informations au mieux approximatives, au pire tendancieuses ou erronées, circulent sur les réseaux sociaux, voire dans la presse. Tout se passe comme si, pour certains, il fallait systématiquement soupçonner les responsables politiques de vouloir le mal de la population, et en l’occurrence des jeunes. Au-delà de l’éthique de la génétique et de l’informatique, je plaide pour la mise en place d’une éthique de l’information technique et scientifique. Cette éthique aurait pour but de permettre aux citoyens de juger par eux-mêmes des avantages et inconvénients de systèmes techniques complexes traduisant des choix politiques, au lieu d’être condamnés à s’en remettre à des interprétations dont ils ne sont pas en mesure de vérifier la fiabilité.

Pensez-vous que la transparence des algorithmes puisse améliorer nos vies ?

Le droit à la transparence, on ne peut pas en avoir une vision absolue. Il est un principe général du droit, ancien et bien connu, suivant lequel « il n’y a pas de liberté générale et absolue ». Ce n’est pas parce qu’on est un citoyen qu’il faut pouvoir être dans le bureau du premier ministre pour écouter ce qu’il dit et assister aux réunions auxquelles il participe ; pour moi, ce n’est pas ça, la transparence. Elle est un outil essentiel de la démocratie directe, qui doit coexister avec les outils de la démocratie représentative et ses institutions légitimes. Elle ne peut s’y substituer ; précisément pour préserver les équilibres démocratiques.

La loi pour la République numérique du 7 octobre 2016 a introduit, dans le code des relations entre le public et l’administration, une disposition selon laquelle en cas de décision concernant un individu prise sur le fondement d’un algorithme, l’intéressé a droit, s’il le demande, d’obtenir de l’administration communication des principales caractéristiques du traitement.

De prime abord, je me suis demandé quel pouvait être l’intérêt d’obtenir ces données dès lors que l’immense majorité de nos concitoyens n’a pas été formée pour comprendre les algorithmes. Mais finalement, il y a dans ce nouveau droit un présupposé que je trouve intéressant : pour être un citoyen maître de son destin, il faut avoir aujourd’hui de solides notions d’informatique, comme on doit savoir lire et écrire couramment (ce qui n’est hélas toujours pas le cas en France). Pour que le droit à l’algorithme soit effectif, il faut soi-même en comprendre les codes et les mécanismes informatiques.

Il y a donc un devoir d’enseignement des algorithmes ?

Il est sain que les citoyens veuillent comprendre l’action administrative. Parmi les libertés publiques, il y a pour moi le droit de comprendre les décisions de l’administration qui vous concernent. Le droit de connaître l’algorithme, c’est une manière d’obliger l’administration à expliquer les raisons pour lesquelles elle vous oppose telle ou telle décision. Il est rare que des décisions s’appuient sur un seul critère (par exemple, le droit de vote repose sur un critère essentiel, il faut avoir l’âge de la majorité). La plupart du temps, les décisions individuelles sont multi-critères. C’est là qu’intervient l’algorithme qui n’est autre qu’un processus informatique pour appliquer ces critères multiples en fonction des instructions données pour leur application.

S’il est un enseignement à tirer de la récente publication de l’algorithme de Parcoursup assorti d’explicitations parfaitement claires, précises et techniques, c’est que du coup personne n’a plus mis en question cet algorithme et ce qu’il signifie en termes de choix public.

Malgré tout, l’exigence croissante de transparence dans tous les domaines révèle une certaine méfiance vis-à-vis des détenteurs de l’autorité. Autrefois, aucun élève n’aurait eu l’idée de contester ses notes ou l’appréciation de son professeur. À présent, on veut non seulement comprendre, mais remettre en cause. Je ne porte aucun jugement sur cette évolution, qui est ce qu’elle est. D’une certaine façon, il est normal que la gestion de masse à laquelle est conduit un État de 67 millions d’habitants comme la France ait pour contrepartie un certain éloignement du citoyen. Celui-ci cherche à le compenser en ayant davantage de prise sur les décisions qui le concernent et en se prémunissant contre un éventuel arbitraire administratif, ce qui est positif. Encore faut-il que notre société ne bascule pas dans la défiance entre citoyens, et vis-à-vis des institutions républicaines qui sont le ciment de la société.

Que se passe-t-il dans le cas où les décisions sont prises par un logiciel ?

Bien avant l’entrée en vigueur du RGPD en mai dernier, il est un principe qu’a de longue date dégagé la CNIL, à savoir que les décisions administratives produisant des effets juridiques ne peuvent uniquement découler d’un traitement automatisé. Il faut une intervention humaine, encore que des exceptions soient maintenant prévues par la loi du 20 juin 2018 ayant modifié la loi informatique et libertés pour tenir compte du RGPD. Par ailleurs, est toujours ménagée la possibilité d’un recours devant une autorité ou un juge pour contester les fondements d’une décision prise sur la base d’un algorithme. C’est une avancée.

Vous avez eu une carrière impressionnante. Auriez-vous des conseils en particulier pour les plus jeunes de nos lecteurs ?

Je dirais d’abord et avant tout aux jeunes en particulier qu’ils doivent avoir la curiosité du monde qui les entoure, avoir la soif d’apprendre. Aller à l’école, au collège, au lycée et à l’Université sont des privilèges dont sont privés beaucoup de jeunes à travers le monde. C’est en s’intéressant au monde, en apprenant sans cesse qu’on se construit et qu’on maîtrise du mieux possible sa vie. Je conseille fortement de lire et relire « Souvenirs et Solitude » de Jean Zay, l’un des plus grands ministres de l’Éducation nationale de la France.

Aujourd’hui, apprendre, cela veut dire acquérir des connaissances universelles, en informatique et en maths, autant qu’en relations internationales, histoire, littérature, en art.

Par ailleurs, force est de constater que nous vivons dans un monde où les idées toutes faites pullulent, et où via les réseaux sociaux, n’importe qui peut s’ériger en expert qu’il n’est pas, peut attaquer anonymement, et donc lâchement, n’importe qui pour lui nuire, peut organiser des boycotts contre n’importe quel pays ou n’importe quel organisme en propageant de fausses accusations ou rumeurs, etc. C’est dangereux !

Là encore, pour maîtriser la quantité inépuisable d’informations que l’on reçoit de toutes parts, il faut avoir un niveau de conscience et de connaissances suffisant. L’esprit critique est un impératif catégorique dans la société actuelle. Il est l’antidote de l’intégrisme et du sectarisme, qu’il soit religieux ou politique, c’est-à-dire une condition essentielle de la liberté.

Enfin, il faut savoir écouter et ne pas s’enfermer dans des certitudes. J’ai eu des engagements politiques que je n’ai plus. Cependant, je n’ai jamais pensé que j’avais toujours raison contre mes contradicteurs. Bien sûr, j’ai gardé de très fortes convictions ; ma vision de la société a évolué, mais pas mes principes. Et je n’ai pas l’intention de transiger sur mes valeurs, même si, lorsque je sens que mon interlocuteur est de bonne foi et connaît son sujet, je suis prête à changer d’avis !