Nina Gosse est avocate au sein du cabinet De Gaulle Fleurance et associés et elle est spécialisée sur la propriété intellectuelle mais aussi les données personnelles et le RGPD. Nous discutons donc avec elle de ce fameux RGPD (réglèment relatif a la protection de la données) ou GDPR (General Data Protection Régulation) qui sera actif cette semaine.
Comme toujours pour vous abonnez à Vlan utilisez overcast ou simplement Apple Podcast.
Ok, le sujet n’est pas hyper sexy et vous avez vu passer beaucoup d’articles sur le sujet j’imagine. Toutefois, vos données personnelles sont un élément essentiel de la société actuelle « numérique ». Nous avons donc tenté avec Nina d’aborder le RGPD de la manière la plus « décomplexée » et la plus compréhensible possible. Histoire de vous convaincre de l’intérêt pour vous personnellement, regardez ce qui s’est passé en Chine par exemple. Ils ont annoncé qu’ils mettaient en place un système de notation pour distinguer qui est un bon citoyen et qui est un mauvais, tout cela basé sur vos actions du quotidien et donc vos données personnelles. Nous ne sommes pas en Chine mais d’abord, ça sera demain la 1ère puissance mondiale donc on ne peut pas balayer l’information en se disant que c’est « juste » une dictature et parallèlement, je pense qu’il est intéressant de regarder ce qui se passe ailleurs pour se rendre compte de ce qui pourrait arriver en Europe bien sur.
Sans aller jusqu’à cet extrême, le développement de l’économie numérique, la prépondérance des algorithmes, les activités de l’Etat, les smart cities,… tout ça nous concerne ici et maintenant.
Le RGPD sans prise de tête
Le RGPD (pas « la RGPD comme je le dis au début du podcast d’ailleurs) est le règlement general relatif à la protection de données. En réalité, le RGPD ne représente pas une révolution mais s’inscrit dans la continuité de la directive antérieure de 1995 et de notre loi française (la loi informatique et libertés). Ce Règlement introduit néanmoins certains changements importants, et notamment des obligations plus fortes pour les entreprises, assorties de sanctions financières beaucoup plus élevées. Ce règlement vise à adapter le droit avec l’évolution de la société. Toutefois, beaucoup d’organisations (publiques comme privées) n’étant pas en conformité avec la loi précédente, ces dernières le vivent comme un réel big bang. Les entreprises doivent désormais être en mesure de prouver en permanence qu’elles sont en conformité avec la réglementation. De l’autre coté, il y a un renforcement des droits des personnes, par exemple la portabilité des données personnelles d’un service à un autre. Par exemple, comme le souligne Nina, de passer vos préférences musicales de Spotify à un autre service. Il y a beaucoup trop de raccourcis qui sont faits, par exemple comme l’explique Nina, le RGPD ne change rien quant au consentement qui était déjà présent. Celui-ci est juste réaffirmé afin de remédier à certaines pratiques. C’est une responsabilisation des entreprises, plus de droits pour les individus mais aussi une obligation de se mettre en route. Le RGPD peut être une opportunité de générer de la confiance en réalité, et être source de valeur partagée.
Vous n’avez rien à cacher mais….
En général quand on parle de données personnelles, la réponse que l’on reçoit est « je m’en moque, je n’ai rien à cacher ». Comme l’explique Nina, dans une société numérisée où la data est le carburant de la nouvelle économie, un encadrement de l’utilisation des données est essentiel. C’est aussi un rouage important pour l’État, les administrations publiques, etc. Pour les entreprises, il s’agit notamment de personnaliser les produits et les services ou encore les propositions de valeur, ce qui peut être vécu comme quelque chose de très positif et utile pour les individus. Néanmoins, les individus ne sont aujourd’hui pas en maîtrise de la chaîne d’exploitation de leurs données et ne se rendent pas forcément compte de ce qui en est fait. Ils se sentiront particulièrement concernés lorsque l’on touche à des sujets « sensibles » : par exemple, la santé, les relations amoureuses. Par exemple, si vous annoncez à vos amis proches une maladie au travers d’une messagerie personnelle ou d’un email, comment réagiriez-vous si votre assurance vous téléphonait le lendemain pour vous dire qu’ils augmentent vos cotisations ? Comment géreriez-vous le fait d’être obligé de partager votre nombre de pas quotidien avec votre assurance pour pouvoir avoir un meilleur tarif ? Les exemples sont évidemment nombreux et d’autant plus avec les objets connectés, de l’assistant vocal jusqu’à la voiture connectée (pour mémoire Waze connaît potentiellement vos excès de vitesse). A l’heure des smart cites (villes connectées) et de l’e-administration, un autre point majeur concerne les les données possédées par les autorités publiques, qui sont parfois mal protégées et très centralisées donc « facilement » hackable et accessibles. Au-delà, on peut penser à des exemples extrêmes, comme la situation en Chine citée en introduction qui fait penser à l’épisode connu de Black Mirros…. Il faut donc être lucide sur l’usage pouvant être fait de ses données personnelles et, pour ceux, qui traitent ces données d’être responsables. Sans oublier les questions liées aux algorithmes de recommandation ou encore aux services de renseignement… ce dont nous avons pu parler après l’enregistrement de ce podcast.
Se mettre en conformité: un challenge pour les petites structures
Si on pense souvent aux enjeux du RGPD pour les GAFA, le Règlement s’applique aux entreprises de toutes les tailles (avec plus ou moins de marge de manœuvre). Les GAFA sont d’ailleurs souvent ceux les plus en mesure de se mettre en conformité, tout simplement parce qu’ils en ont les moyens financiers.
C’est finalement un challenge plus important pour les influenceurs et de manière générale pour les petites structures.
Il va être nécessaire de créer de nouveaux formulaires pour les newsletters par exemple et la CNIL aide les entreprises au maximum pour faire cela avec une page dédiée qui permet de mieux comprendre ce qui doit être fait.
La CNIL est plutôt dans une approche constructive et a indiqué à plusieurs reprises que la date du 25 mai (entrée en application du RGPD) n’est pas une « date couperet » même si elle attend que tout le monde se soit mis en route et que les basiques de la réglementation antérieure soient a minima déjà respectés.
Nina insiste sur l’occasion de voir dans le RGPD non pas (que) une contrainte, mais aussi une opportunité. Cella de mieux connaître ses données, de les valoriser, d’en faire une meilleure exploitation, de susciter de la confiance, bref d’insuffler une culture de la donnée en entreprise, même si la mise en route peut s’avérer complexe et nécessiter une aide extérieure.
l’IA, la blockchain et la protection de la donnée
Ces « nouvelles technologies » lancent des défis vis-à-vis de la protection de la donnée bien entendu.
Exemple concret de problématique : le RGPD impose de ne traiter que les données qui sont vraiment nécessaires (principe dit de minimisation) : cela ne s’oppose-t-il pas au but même de l’intelligence artificielle et surtout du machine learning ? On sait qu’un algorithme gagne en pertinence en traitant un maximum de données y compris personnelles…
Dans le cas de la blockchain publique, le droit à l’oubli est nécessairement problématique puisque l’idée est de garder l’intégralité des données…
Nina souligne qu’il convient non pas de parler de « propriété » des données personnelles mais de « maîtrise » ou de « droit d’usage ».
Autant dire qu’il y a beaucoup de challenges à venir concernant nos données et que cette étape n’est certainement pas un point final mais plutôt la marque du début d’une réflexion sérieuse sur le sujet !