Et maintenant, on fait quoi avec le RGPD ?

Vous avez vu ? Ils ont fait évoluer leur “privacy policy”. Qui ça ? Tout le monde.

Le RGPD, c’est quatre lettres qui sont entrées brusquement dans tous les foyers. Une pluie de mails soudaine et brève qui entre curieusement en résonance avec les averses drues qui s’abattent ces jours-ci sur Paris.

Le premier mail, on l’avait parcouru rapidement. Le deuxième aussi. Avec le troisième, on avait senti venir la vague. Au cinquième on avait simplement arrêté de lire.

On avait déjà lu trop de fois les mêmes mots, à peu près dans le même ordre. On avait appris que les conditions d’utilisation que nous avions acceptées sans les lire étaient désormais complétées par des Privacy Policies que nous allions pouvoir accepter sans les lire davantage. On nous a expliqué que la protection de notre vie privée était leur souhait le plus ardent, mais on n’a pas vraiment compris pourquoi toutes ces entreprises possédaient toutes ces informations sur nous. Et puis la pluie s’est calmée, les mails se sont raréfiés et on est passé à autre chose.

Un coup de maître de l’Union Européenne ?

Qu’on ne se méprenne pas, je suis bluffé par ce coup de maître que représente le Règlement Général sur la Protection des Données. C’est une avancée marquante, un acte fondateur qui inscrit la vie privée au centre des enjeux du XXIe siècle et l’un de ces actes législatifs qui positionnent l’Europe dans le monde. Le texte pris dans son ensemble est un grand pas, non parce qu’il introduit des principes radicalement nouveaux, mais bien parce qu’il enracine ces principes et oblige tout le monde à s’en emparer.

L’Europe qui restera dans l’histoire comme celle qui, la première, a pris les choses à bras-le-corps et a imposé ses vues à l’échelle internationale.

Il faut le voir pour le croire. Il faut voir ces géants américains qui soudainement bloquent des opérations commerciales prévues de longue date par crainte du RGPD. Il faut voir ces acteurs internationaux qui adaptent leurs procédures alors qu’ils ne font pas à proprement parler d’affaires en Europe. L’Europe qui restera dans l’histoire comme celle qui, la première, a pris les choses à bras-le-corps et a imposé ses vues à l’échelle internationale.

Il n’est pas pour autant question de fanfaronner trop vite ou trop tôt. Les défis qui entourent l’application du texte sont considérables et les pays membres de l’Union Européenne vont devoir redoubler d’efforts pour accompagner la recherche et l’innovation notamment en matière de Big Data et d’intelligence artificielle. Des voix sérieuses s’élèvent déjà pour dénoncer, dans ces domaines, une fuite des cerveaux, des idées et des compétences vers des pays dans lesquels il est sans doute moins compliqué de travailler sur les données. Une gageure, quand on sait combien l’intelligence artificielle et la data sont à la base de plus ou moins tout ce qui va se construire demain, et qu’on ne peut donc tout simplement pas nous permettre de laisser les autres puissances avancer seules, et nous laisser derrière.

Ne réduisons pas le RGPD à un instrument bureaucratique

L’autre enjeu, presque plus palpable, est celui de la compréhension même du texte par tout un chacun. La pluie de mail de la semaine dernière, comme la grêle de commentaires et questions qui l’ont entouré (je ne compte plus les amis, connaissances, connaissances d’amis et amis de connaissances qui m’ont sollicité pour leur donner un avis sur la notice RGPD de leur e-boutique, de leur start-up ou de leur site internet associatif) avait quelque chose de grisant avec pourtant un arrière-goût légèrement amer.

Pourquoi l’Europe a-t-elle créé le RGPD ? Pour faire entrer la vie privée au coeur des préoccupations des entreprises.

Trop nombreux sont ceux qui pensent qu’être “RGPD compliant”, c’est se contenter de saupoudrer des phrases types et des cases à cocher ça et là. Ceux qui sont persuadés d’avoir fait tout ce qu’il fallait en recopiant une “Privacy Policy” sur celle du voisin et en la publiant sur une petite page dont le lien d’accès est relégué en bas à droite du site internet, en gris foncé sur fond noir. Ceux enfin qui remplissent des tableaux types en se demandant comment diable compléter chacune des cases au lieu de s’interroger sur pourquoi ils le font.

Pourquoi l’Europe a-t-elle créé le RGPD ? Pour faire entrer la vie privée au coeur des préoccupations des entreprises. Le règlement est bien plus qu’une surcouche de démarches administratives un peu fastidieuses que l’on évacue une bonne fois pour toutes en quelques semaines. C’est une ouverture sur un nouveau réflexe ; celui de s’interroger à chaque fois, de manière systématique, sur chaque manipulation de données à caractère personnel que vous initiez. Pourquoi est-ce que je collecte cette donnée ? Pourrais-je tendre au même résultat autrement ? Le “propriétaire” de la donnée a-t-il conscience que je la collecte ? Sait-il ce que j’en fais ? Suis-je parfaitement honnête et transparent avec lui ? La donnée est-elle parfaitement en sécurité avec moi ? Qui peut y accéder, comment, et pourquoi ? Ces questions sont plus importantes, bien plus, que celle de savoir si j’ai bien placé un paragraphe sur les Cookies au milieu des 6 pages de ma Privacy Policy.

Ne laissons pas cette jolie pluie de mail nous faire oublier l’essentiel. Entreprises, le RGPD n’est pas une question de cases à cocher. C’est une question d’honnêteté, de transparence et de responsabilité. Des sujets sérieux, profonds, d’avenir. Des sujets qui n’empêchent pas la recherche et l’innovation s’ils sont bien expliqués et que tout est fait pour ne pas faire fuir les acteurs économiques et chercheurs honnêtes.