RGPD : nouvelle donne pour la donnée

Préface de l'ouvrage du même nom, par Frédéric Lecomte, disponible ici

Lors de la conférence mondiale des développeurs Apple (WWDC) en 2010, Steve Jobs proclamait « le début de l’ère Post-PC ». C’était alors l’avènement de l’ère de l’internet mobile et l’explosion de l’App Economy qui illustre la domination du code logiciel.

Vers une ère post-smartphone

Seulement huit ans plus tard, nous sommes entrés dans une ère post-smartphone. Si près de 3 milliards de smartphones sont utilisés, dans le même temps plus de 11 autres milliards d’objets connectés recueillent et transmettent des données en permanence.

Ce n’est désormais plus seulement, selon une tribune iconique de Marc Andreessen dans le Wall Street Journal en 2011, le « logiciel qui dévore le monde », mais la donnée qui gouverne le fonctionnement de la quatrième révolution industrielle qui s’ouvre devant nous.

En fait, la donnée est à la fois le carburant et le moteur de cette nouvelle économie, elle est le facteur-clé de différentiation chez les acteurs de cette révolution. Du côté des GAFA par exemple, Apple l’utilise pour améliorer l’expérience utilisateur au niveau du logiciel afin de fidéliser ses clients. Amazon s’en sert pour maximiser les taux de conversion, la taille du panier moyen ou encore la rétention sur sa plate-forme e-commerce. Enfin, la donnée n’est rien de moins que la source du chiffre d’affaires de Google et Facebook qui l’utilisent pour mieux monétiser leurs cibles publicitaires. Cette course aux données peut être vue comme une formidable opportunité d’innovation technologique : les dernières prouesses majeures en intelligence artificielle reposent de plus en plus sur du deep learning (apprentissage profond en français), un ensemble de méthodes d’apprentissage automatique seulement possible à partir de volumes de données colossaux. De nombreux fonds d’investissements en capital-risque comme C4 Ventures ont pris note de l’opportunité de traiter ces flux massifs de données.

L’utilisation des données ne se limite pourtant pas aux seules GAFA ou aux seuls acteurs du numérique. Toutes les entreprises sont concernées dès lors qu’elles émettent des factures ou détiennent un fichier client. La numérisation des économies ne fait qu’accentuer ce fait en structurant ces données pour en permettre des traitements plus poussés. Les chiffres sont vertigineux. Déjà en 2010, Eric Schmidt alors CEO de Google, expliquait au Guardian Activate summit que l’humanité avait généré, entre l’aube de la civilisation et 2003, 5 exaoctets de données (5 milliards de gigaoctets) et que la même quantité était alors générée tous les 2 jours. Cisco estime que sur le seul domaine des échanges mobile, le trafic sera en 2019 10 fois plus importants qu’en 2014.

Outre les statistiques, le sujet du traitement et de la protection des données personnelles est entré dans les consciences au fil des requêtes pour accéder aux informations stockées sur smartphone ou des demandes de validation de dizaines si ce n’est de centaines de conditions générales liées à l’utilisation de services en ligne.

Trois problèmes fondamentaux liés aux données personnelles

Nous savons donc que nous confions nos données. Le problème est que nous n’avons pas toujours conscience de leur utilisation. Cela donne parfois lieu à des fantasmes sur la toile : « Est-ce que Facebook écoute mes conversations grâce au micro de mon smartphone ? ». « Est-ce que Samsung active à distance la camera de ma TV ? ». Mais parfois, les craintes sont bel et bien fondées. Au tout début de cette année, le New-York Times a révélé que certains jeux mobiles activaient discrètement le microphone du smartphone sur lequel ils étaient installés pour identifier les émissions TV que les utilisateurs regardaient en arrière-plan.

La seconde inquiétude concerne le droit à l’oubli, autrement dit, le droit de la personne à exiger la modification ou la suppression des données le concernant. Aujourd’hui, rien n’oblige une entreprise à donner suite à une telle demande.

La troisième grande inquiétude concerne les fuites de données, domaine dans lequel demeure un sentiment d’impunité. Prenons comme exemple emblématique celui de Yahoo!, victime d’une cyberattaque en 2013 dont l’issue fut la fuite de données personnelles de l’ensemble de ses 3 milliards de membres. L’entreprise n’a déclaré cette fuite qu’en 2016, soit 3 ans après et a cherché à la minimiser.

Ces craintes peuvent impacter négativement nos économies. Ainsi, dans une publication de février 2017 par KPMG, on apprend que plus de la moitié des consommateurs français renoncent à des actes d’achat par peur pour leurs données personnelles.

Quelle réponse apporter à ces problèmes ?

La Chine y parvient en isolant sa population des services étrangers à travers son Great Firewall, une solution que jamais l’Europe, par naïveté mais aussi par respect de ses valeurs, ne peut ni ne souhaite mettre en place.

Les Etats-Unis ont mis la priorité sur l’accès aux données au nom de la sécurité nationale. Sur simple injonction, le Patriot Act oblige toute entreprise ayant une activité sur le sol américain à transmettre les données de ses clients quel que soit l’endroit du monde où ces données sont stockées, sans les en informer.

La réponse européenne se devait de prendre en compte sa diversité et assurer une forme de portabilité entre membres de la communauté. Trois textes rentreront en application cette année, le premier et le plus emblématique d’entre eux étant le RGPD (Règlement Général sur la Protection des Données).

Il sera immanquablement reproché à l’UE et ses pays membres de « tomber à nouveau dans l’excès de réglementation ». […] Si c’est le prix à payer pour une Europe à la pointe d’un village mondial plus harmonieux et plus respectueux des droits individuels, alors le jeu en vaudra la chandelle.

C’est un texte contraignant mais novateur, allant plus loin dans le domaine de la protection des données personnelles que n’importe quelle autre tentative réalisée à ce jour. Il fait apparaître l’Europe comme un précurseur et de fait, positionne les entreprises qui s’y conforment dans l’avant-garde de la lutte pour la protection des données.

Il sera immanquablement reproché à l’UE et ses pays membres de « tomber à nouveau dans l’excès de réglementation ». Ce règlement risque de conduire à un déficit d’image voire à un impact négatif sur notre attractivité. Si c’est le prix à payer pour une Europe à la pointe d’un village mondial plus harmonieux et plus respectueux des droits individuels, alors le jeu en vaudra la chandelle. A minima, ce texte aura le mérite de mettre le sujet sur la table et de constituer un grand pas en avant dans la protection des données personnelles.

Le RGPD

Passer par un Règlement Européen permet d’apporter une réponse unique, claire et coordonnée, définissant un cadre durable. Contrairement à la directive, le règlement ne suggère plus une politique comme par le passé, mais impose des règles pour l’ensemble des pays membres et des acteurs concernés. Loin d’être un texte cherchant à contraindre les seules entreprises européennes, il s’applique à toute entreprise détenant des données de citoyens Européens, qu’elles soient ou non physiquement présentes en Europe.

Le texte apporte des réponses aux problèmes évoqués plus haut. Parmi les mesures phares :

- les entreprises devront obtenir un consentement clair et distinct de l’utilisateur pour chacune des finalités auxquelles elles destinent les données qu’elles récoltent et traitent ;

- Il introduit pour la première fois de manière formelle le droit à l’oubli et contraint les responsables du traitement des données à les effacer si la personne concernée le demande ;

- Il oblige les responsables de traitement des données à rendre publique toute violation des données à caractère personnel dans un délai maximum de 72h après en avoir pris connaissance, suggérant la mutualisation des ripostes contre les cyber-attaques.

Des questions demeurent, notamment sur l’applicabilité du texte, qui ne concerne plus simplement les entreprises du digital mais les entreprises de tous les domaines, plus simplement les grandes entreprises mais aussi nos PME et ETI qui n’ont pas nécessairement les ressources ou la culture pour se mettre en conformité avec ce règlement si vite. À ce propos, la CNIL a déjà confirmé vouloir faire preuve au moins dans un premier temps, de « souplesse et de pragmatisme ». Le texte pourrait aussi se heurter aux difficultés de contraindre les entreprises qui ne sont pas physiquement présentes en Europe de s’y conformer.

Il faut aussi se demander ce que ce règlement signifie sur le long terme pour les évolutions technologiques consommatrices de données. Je pense notamment à l’intelligence artificielles dans le domaine de l’apprentissage automatique, déjà citée plus haut.

Il n’en reste pas moins qu’au vu des sanctions encourues (jusqu’à 4% du chiffre d’affaires mondial), ce règlement qui rentre en application le 25 mai 2018 ne devra pas être pris à la légère. En France, la CNIL, en sa qualité d’autorité de contrôle, voit ses prérogatives confirmées et même renforcées à travers un pouvoir d’enquête et de moyens coercitifs.

Pour celles des entreprises qui n’auraient pas encore pris conscience de ce formidable enjeu ou appréhendé l’ampleur des chantiers à conduire d’ici le mois de mai 2018, Frédéric Lecomte, professionnel reconnu du droit des technologies, décrypte avec « RGPD, nouvelle donne pour la donnée » les principes les plus importants et innovants du texte et apporte avec talent un éclairage à travers une lecture simple, à la portée de tous, sur la manière d’appréhender cette réforme.

Pascal Cagni
Fondateur de C4 Ventures
Ambassadeur délégué aux investissements internationaux et Président de Business France

Boris Bakech
Senior Associate, C4 Ventures
Chargé de mission, Business France