EDRi, l’organisation européenne des droits humains à l’ère numérique, est un David face au Goliath du lobbyinNaranjo, sur des dossiers d’actualité brûlante dans le domaine, notamment l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai prochain. Leurs explications sont importantes pour le monde du travailg du secteur IT au niveau européen. Mais leurs analyses et leurs propositions sont très écoutées. Nous avons pu faire le point avec deux responsables d’EDRi, Kirsten Fiedler et Diego.
Quel est le rôle d’EDRi ?
Créé en 2002, EDRi fédère aujourd’hui 35 organisations de droits de l’Homme et de droits digitaux en Europe, dont la Liga voor Mensenrechten et Nurpa en Belgique. L’objectif est de défendre et de promouvoir les droits humains à l’ère numérique. Le bureau d’EDRi à Bruxelles est composé d’une dizaine de collaborateurs qui font essentiellement un travail de plaidoyer pour les droits et libertés numériques auprès des institutions européennes. Une bonne partie du travail d’EDRi réside par ailleurs dans l’information et dans l’échange avec les organisations nationales affiliées qui font de la sensibilisation sur ces enjeux à leur niveau national.
Quels impacts de la digitalisation voyez-vous pour le monde du travail en Europe aujourd’hui ?
Ils sont extrêmement variés et peuvent être positifs comme négatifs. Prenons les algorithmes. Ils peuvent aujourd’hui jouer un rôle préalable à l’engagement du travailleur et devenir source de discriminations. Il existe par exemple des logiciels qui trient les PDF des lettres de sollicitation et des CVs des demandeurs d’emploi afin de prédire si un candidat est fiable ou s’il est susceptible de s’absenter souvent du travail pour cause de maladie. Avons-nous aujourd’hui une idée des algorithmes que des entreprises comme Uber utilisent, par exemple pour faire un tri, avant même les premiers entretiens d’embauche ? Ensuite, au travail, ce sont peut-être encore les algorithmes qui donnent les horaires au travailleur et qui peuvent également être donneurs d’ordre. Ces algorithmes ont la capacité d’établir des profils de travailleurs. Ces données peuvent aussi servir aux responsables du personnel lors de conflits individuels et collectifs. Finalement, l’algorithme est capable aujourd’hui de décider d’un licenciement basé seulement sur la logique opaque du logiciel.
Qu’en est-il alors de la souveraineté digitale ?
Le travailleur ne connaît pas la logique des algorithmes, surtout la discrimination ou la violation de droits dont il peut être éventuellement victime. L’asymétrie entre les différents acteurs économiques est extrême ici. Des études sur ces matières commencent à peine à émerger 1 À long terme, il nous semble clair que non seulement les citoyens et nos sociétés démocratiques, mais également l’ensemble des entrepreneurs, profiteront de règles et de garanties claires en matière de droits numériques. Cependant aujourd’hui, à beaucoup d’égards, nous sommes encore dans une situation de wild west.
Les algorithmes peuvent aujourd'hui jouer un rôle préalable à l'engagement du travailleur et devenir source de discriminations.
Quel rôle pour l’Europe dans ce débat ?
L’Union européenne est un acteur déterminant ! Elle peut soit réguler dans le sens des citoyens et des travailleurs, soit déréguler dans le sens des grands groupes multinationaux comme les GAFA (Google, Amazon, Facebook, Apple). Seules des initiatives comme le Règlement général sur la protection des données (RGPD) pourront faire avancer positivement les choses. D’autres propositions au niveau européen comme la proposition de directive pour l’e-Privacy méritent d’être suivies de près. Plus globalement, l’Europe vise un marché unique numérique. La question reste la même : plus de droits digitaux pour les citoyens ou carte blanche pour les grands groupes multinationaux du secteur ?
Quels enjeux comporte spécifiquement le RGPD ?
Le Règlement général sur la protection des données en Europe, c’était avant tout un combat de David contre Goliath. Côté société civile, nous étions une poignée pendant le processus d’élaboration du règlement face à une armada de représentants des GAFA ! Mais les GAFA n’étaient pas seuls. De nombreuses entreprises, même les fédérations patronales d’autres secteurs, se sont impliquées dans le débat, comme, par exemple, les boulangers allemands. Avec EDRi, Access Now et le BEUC, l’organisation de la protection des consommateurs européens, nous avons souvent été très seuls pour défendre et promouvoir les droits digitaux dans ce dossier. Mais in fine, David a quand même vaincu Goliath en quelque sorte. En effet, nos préoccupations se retrouvent en bonne partie dans le règlement qui entrera en vigueur en mai 2018. À partir de ce moment, il constituera le texte de référence européen en matière de protection de données à caractère personnel. Il renforcera et harmonisera ainsi la protection des données pour les individus au sein de l’UE.
Que propose-t-il pour les travailleurs ?
Il contient de nombreuses dispositions pour le monde du travail. Le règlement s’appliquera dans les entreprises ; par conséquent, les employeurs auront de nouvelles obligations à respecter. Cela consacre l’idée que les travailleurs ont le droit d’être protégés. Le changement le plus important est que les entreprises qui ne respectent pas les règles peuvent être sanctionnées jusqu’à 4 % de leur chiffre d’affaires mondial annuel. Les individus auront également le droit de connaître la logique d’une décision automatique employée. Finalement, le règlement donne la possibilité aux États membres de prévoir – soit par la voie législative soit par la voie de conventions collectives – des règles plus spécifiques sur le traitement des données à caractère personnel des salariés sur le lieu du travail.
On parle souvent d’e-Privacy aujourd’hui aussi. De quoi s’agit-il ?
C’est un texte qui viendrait compléter le RGPD afin de protéger les communications électroniques, comme les métadonnées. Les métadonnées se distinguent du contenu de nos communications et sont plutôt des données à propos d’autres données, comme l’identité de l’expéditeur et du destinataire, sa géolocalisation, la date, la durée, etc. Cependant, ces métadonnées peuvent être très révélatrices. Une étude de Stanford de 2016 2 a démontré, à partir de l’analyse de métadonnées de conversations téléphoniques et de SMS, qu’un participant avait été diagnostiqué cardiaque...
L’enjeu principal de la réforme e-Privacy reste de garantir le consentement explicite des individus sur la collecte et le traitement de leurs données, la confidentialité des communications y compris les e-mails, les messages sur WhatsApp ou pistage en ligne 3. Cette réforme n’est pourtant pas encore gagnée – les acteurs de la publicité en ligne intensifient leur lobbying à Bruxelles. Une adoption est prévue pour fin 2018. #
Propos recueillis par Thomas MIESSEN, CSC
1. https://rm.coe.int/16806fe644
2. http://www.pnas.org/content/113/20/5536
3. Voir https://eprivacy.laquadrature.net/