« Privacy comme Business Model » : différence entre les versions
(Page créée avec « Catégorie:Transcriptions '''Titre :''' Privacy comme Business Model '''Intervenant :''' Benjamin BaYart '''Lieu :''' Nantes - Clever Cloud Fest '''Date :''' 20 février 2025 '''Durée :''' 33 min 27 '''[https://www.youtube.com/watch?v=rLBtHrjS92k Vidéo]''' '''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim] '''Illustration :''' À prévoir '''NB :''' <em>Transcription réalisée par nos soins, f... ») |
|||
| Ligne 21 : | Ligne 21 : | ||
==Transcription== | ==Transcription== | ||
Vous êtes plutôt réveillés en mode « on discute » ?, ou je vous fais un long monologue pour que vous puissiez vous rendormir calmement ?<br/> | |||
Vous n’étiez pas endormis, du coup on peut on peut échanger, c’est bien.<br/> | |||
Qu’est-ce que je suis venu vous raconter ? C’est tout bien pas structuré, je peux vous mentir, je peux vous dire que je n’ai rien préparé, ce n’est pas vrai, c’est juste que ce sont des trucs très anciens. La dernière fois que j’ai bossé sérieusement sur le sujet, c’est un papier que j’ai publié sur le blog d’OCTO, en 2021, il y a donc 4 ans, et j’avais déjà l’impression, en écrivant ce papier-là, de mettre des trucs très anciens. On va essayer de mettre tout ça un peu…<br/> | |||
Devant un public d’informaticiens et de « data bidules » et de gens comme ça, quand on dit <em>privacy</em> tout le monde entend RGPD, tout le monde entend « bandeau de cookies », « casse-couilles de juristes », etc., parce qu’on a pris la sale manie de traiter le problème à l’envers. Vous savez comment on fait, on développe un truc qui est un peu rigolo et puis, à un moment, ça sort du de la petite bulle confidentielle où on faisait joujou avec, du coup ça serait bien que ce ne soit pas trop hors la loi, histoire que tout le monde ne finisse pas en prison, donc dans les deux/trois questions qu’on se pose il y a « conformité RGPD », donc on voit avec le juriste ou bien on réécrit complètement le logiciel parce qu’il a été fait avec les pieds, qu’on n’a pas réfléchi à ce qu’on faisait, ou bien, vu qu’on ne doit pas tout réécrire, le juriste nous fait un tout petit contrat de 887 pages que l’utilisateur va signer d’un clic, vu qu’il l’aura lu !<br/> | |||
En fait, cette approche-là ne marche pas. Elle est complètement idiote. Quand vous faites signer un contrat délirant comme ça à quelqu’un, c’est que c’est votre ennemi ! Quand je fais signer un contrat à quelqu’un en lui disant qu’il s’engage sur l’honneur à ne pas me faire de procès et à ne pas me tuer dans la rue, à priori ce n’est pas mon pote ! Cette approche-là est une approche où vous posez que votre ennemi c’est l’utilisateur de votre produit et vous dites à l’utilisateur – c’est très bien dit, c’est dit en novlangue et tout, c’est classe, on dirait du macronisme – <em>we value your privacy</em>, ça veut dire « on t’emmerde » et tout le monde sait que ça veut dire « on t’emmerde », ne croyez tromper qui que ce soit avec ces conneries, tout le monde sait. Quand je vois un site qui me dit <em>we value your privacy</em>, ça veut dire « on te prend pour une truffe », même ma mère le sait, prof d’histoire-géo en retraite, je pense que c’est transparent ! Donc tout le monde sait ce que dit cette novlangue-là.<br/> | |||
En fait, je pense que le les outils sur la <em>privacy</em> doivent s’utiliser dans l’autre sens.<br/> | |||
Pour moi il y a deux éléments clés.<br/> | |||
Je pense que dans la pièce il y a pas mal de personnes qui connaissent assez le sujet RGPD et je soupçonne, si je pose la question, qu’on est d’accord : le sujet c’est bien qu’il faut demander le consentement de l’utilisateur et après on fait ce qu’on veut. C’est bien ça ? Pas tout à fait ! Alors je vais vous le réexpliquer autrement.<br/> | |||
Vous n’avez pas besoin de demander le consentement de l’utilisateur si, petit un, vous faites ce qu’il est venu vous demander. Pour faire ce que l’utilisateur vous a demandé, pour exécuter le contrat entre vous et lui, vous n’avez rien à lui demander, pas de consentement, rien. Vous allez commander des caleçons en ligne, il faut votre adresse pour vous livrer, il n’y a pas besoin de votre consentement pour vous demander votre adresse ! Vous êtes en train de commander des caleçons, vous savez bien qu’on va vous demander votre adresse, c’est normal ! OK.<br/> | |||
Donc, si c’est pour faire ce que l’utilisateur vous a demandé ou s’il y a une obligation légale. Typiquement, mon banquier a l’obligation de me demander mes papiers, il ne va pas me demander mon consentement, c’est une obligation ! Pareil quand le ministère de la Justice fait un casier judiciaire, on ne me demande pas mon consentement ! Ou s’il y a ce qu’on appelle un intérêt légitime, c’est-à-dire pour des raisons de sécurité ; en fait, l’intérêt légitime est toujours mal compris, dites-vous intérêt général. Typiquement, quand vous avez besoin des données pour assurer la sécurité du service et s’assurer qu’il n’y a pas de piratage, etc., c’est normal comme traitement, il y a un intérêt légitime à la sécurisation du service.<br/> | |||
Sinon, pour tout le reste, si vous vous apprêtez à faire quelque chose qui n’est pas nécessaire pour ce que le client a demandé, qui n’est pas une obligation légale, pour lequel il y a pas d’intérêt légitime/intérêt général, en gros vous vous apprêtez à faire un truc crade. C’est comme dans le sexe, pour faire des trucs crades il faut que les gens soient d’accord, sinon vous ne les faites pas, ce n’est pas dur ! Ce n’est vraiment pas dur, mais c’est le contraire de ce qu’on entend souvent, c’est-à-dire que le consentement c’est la dernière des clauses intéressantes et c’est uniquement quand on s’apprête à faire un truc dégueulasse. Donc en moyenne, si vous ne faites pas de la merde, vous n’avez pas besoin de consentement.<br/> | |||
Évidemment, demander le consentement à l’utilisateur avant d’échanger ses données avec vos 873 partenaires privilégiés ! Quand on invite 873 personnes à la partouze, on peut parler de truc dégueulasse ! On est sorti du machin tout simple, on n’est pas dans le petit dîner entre amis !<br/> | |||
Pour moi, c’est le premier volet. Il faut comprendre le RGPD pour ce qu’il est et, en fait, il n’est pas très compliqué : si vous ne faites que ce que les gens vous ont demandé et non pas ce qui vous arrange, vous, en considérant les gens comme des marchandises, il y n’a pas de problème de RGPD, ce n’est pas dur. Juste, personne ne fait ça !<br/> | |||
Je trouve cette première approche assez intéressante, parce qu’elle vous place dans une position d’allié avec les utilisateurs, c’est-à-dire que tout d’un coup vous faites ce que les gens vous ont demandé, en bon prestataire de service, et vous ne faites que ça. Les gens ne vous ont pas demandé de la publicité, vous ne leur mettez pas de la publicité ! Si je demande qu’on me présente des offres pour des casseroles parce que j’ai envie d’acheter des casseroles, je serais ravi de voir tout l’argument publicitaire de tous les fabricants de casseroles de l’univers, mais si ce n’est pas ça que je suis venu chercher, arrêtez de vouloir m’en fourguer !<br/> | |||
Pour moi, c’est vraiment le premier le premier angle : voir le RGPD pas du tout comme une contrainte juridique, mais comme une façon de faire alliance avec l’utilisateur. Ce que je viens de vous dire là, arrêter de maltraiter les gens, on pourrait l’expliquer à Facebook. Ça met par terre la totalité de son business modèle, donc il ne le fera pas, mais on pourrait lui expliquer. | |||
Il y a un deuxième volet qui est très européen. Il y a un autre élément qui, pour moi, est extrêmement intéressant : le RGPD est une contrainte juridique européenne. En Europe, vous êtes censés tous la respecter et on a déjà deux décisions de la Cour de justice de l’Union européenne qui nous disent que le droit américain fait qu’une entreprise qui obéit au droit américain ne peut pas être conforme au droit européen. Je suis sidéré que les entreprises du secteur ne se soient pas emparé de cela. Tous les géants français et européens qui touchent de près ou de loin à de l’informatique devraient utiliser ça pour pousser les Américains vers la sortie. Donc, vous avez intérêt à être particulièrement exemplaires sur le sujet <em>privacy</em> parce que vos concurrents américains sont incapables de l’être, puisque s’ils respectaient les normes européennes ils seraient hors la loi vis-à-vis des États-Unis et ils ne pourraient plus répondre aux injonctions de l’agent orange et c’est vachement important, parce que c’est ce qui vous permet de les pousser vers la sortie.<br/> | |||
C’est un argument protectionniste majeur. Cette idée est une idée très ancienne. Je ne sais pas si on vous a appris ça en cours d’économie au lycée, mais à moi oui. Il y a deux formes de protectionnisme très classique.<br/> | |||
Il y a le protectionnisme douanier, on en parle tout le temps parce que c’est celui que connaît Trump : on augmente les droits de douane, du coup ça augmente les prix des produits importés, ça fait que ça protège un petit peu les entreprises qui produisent en interne et qui peuvent prospérer sur le marché local puisque l’importation coûte très cher. Grand classique !<br/> | |||
Et puis il y a une deuxième forme de protectionnisme qui est le protectionnisme réglementaire : faire en sorte que les règles pour accéder au marché soient difficiles à suivre pour les gens de l’étranger. Longtemps on a fait ça sur des machins comme les formes des prises électriques et le type de câble, etc., parce que, typiquement la norme française dit que la prise doit être de tel modèle avec un bibit bleu qui fait gling gling, du coup tous les fabricants américains vont mettre 2 ans à se décider à rajouter le bibit bleu qui fait gling gling, du coup, pendant 2 ans, le marché ne leur est pas accessible. Alors évidemment, depuis qu’on fait fabriquer la totalité de ce qu’on consomme en Chine, on a perdu l’habitude de ce protectionnisme réglementaire puisque, en fait, toutes nos usines sont là-bas, donc on leur explique comment il faut fabriquer pour que ce soit vendable chez nous. Que ce soit pour une marque française ou pour une marque américaine, le producteur chinois s’en fout ! On lui dit « il faut appliquer la norme pour la France », il applique la norme pour la France !<br/> | |||
Mais là, on est sur une forme de protectionnisme réglementaire qui est vachement intéressante.<br/> | |||
En fait, sur la protection des données personnelles, vous avez deux réglementations qui s’opposent, qui sont incompatibles l’une avec l’autre et qui ont toutes les deux un volet extraterritorial. Pas le même ! Puisque la loi américaine s’impose aux entreprises américaines où qu’elles exercent dans le monde, donc la loi américaine prévoit que les entreprises doivent coopérer avec le gouvernement, <em>CLOUD Act</em>, <em>PATRIOT Act</em>, transfert de données personnelles à la demande d’à peu près n’importe quelle agence gouvernementale, y compris l’Agence de santé, j’ai vu ça en travaillant sur un des derniers recours qu’on a faits devant le Conseil d’État, parce que, figurez-vous, il y a de la sécurité nationale dans les données de santé.<br/> | |||
Le droit américain est foutu comme ça. Il s’impose aux entreprises américaines où qu’elles opèrent dans le monde. Donc, quand Amazon vous dit « il n’y a pas de problème de souveraineté puisque les données françaises sont traitées sur des serveurs qui sont hébergés en France », eh bien le juriste d’Amazon qui dit ça ne sait pas lire. Les données sont hébergées sur un serveur Amazon à Paris, il n’empêche que s’il y a une réquisition gouvernementale, Amazon doit transmettre les données. | |||
Le RGPD a aussi a une portée extraterritoriale mais qui est très différente, je ne sais pas si vous l’avez en tête. Tout le monde croit que le RGPD c’est du droit des affaires alors que pas du tout, c’est du droit de la personne. Porter atteinte aux données personnelles, c’est à peu près comme porter atteinte à la personne, c’est un droit de la personne physique. C’est pour cela, par exemple, que quand telle entreprise en délicatesse, qui ne veut pas qu’on regarde dans ses affaires, vient dire « quand même, la vie privée, vous ne pouvez pas regarder ce qu’on fait de malhonnête au Kenya ou je sais pas quoi », ce n’est pas vrai, la vie privée c’est pour les humains, ce n’est pas pour les entreprises, c’est pour les personnes physiques. En fait, la protection des données personnelles, tel que c’est rédigé dans le droit européen, c’est en fait un droit des personnes physiques qui sont en Europe. Déjà, ce n’est pas réservé aux citoyens, donc même les étrangers y ont droit les étrangers, les étrangers sont des gens, ça surprend en ces temps quand on le dit, mais les étrangers sont des gens. C’est un droit que vous avez individuellement, que nous avons tous parce que nous sommes en Europe et qui s’applique quelle que soit l’entreprise qui traite nos données. Donc, le traitement que Facebook fait sur ses ordinateurs aux États-Unis de nos données personnelles est concerné par la loi européenne, pourtant c’est une entreprise américaine qui applique du droit américain sur un ordinateur américain, ils font bien ce qu’ils veulent ! Eh bien non ! Et c’est là que les deux extraterritorialités sont en conflit l’une avec l’autre parce qu’elles ne sont pas du tout rédigées de la même façon.<br/> | |||
Dans le droit européen, les données personnelles c’est une protection de l’individu, donc ça s’étend terre entière à tous les gens qui sont amenés à traiter nos données personnelles.<br/> | |||
Et le droit américain est extraterritorial parce que quand les entreprises y sont soumises, puisque c’est du droit des affaires, ce droit s’applique où qu’elles exercent dans le monde.<br/> | |||
C’est très marrant, c’est structuré très différemment sur le plan juridique et c’est ce qui fait que c’est radicalement incompatible. Du coup nous avons là une arme de protectionnisme prodigieuse. Cependant, à chaque fois qu’on voit des rencontres de bidules interministériels, de Cigref, des choses comme ça, je ne sais pas si vous voyez à quoi ressemble ce dont je vous parle, les endroits où on réunit quelques représentants d’un secteur économique à Bercy avec quelques directeurs d’administration pour essayer de voir comment on peut faire pour que l’État n’embête pas trop les entreprises, mais que, cependant, on trouve des stages pour le fils du ministre parce qu’il ne faudrait pas qu’il ait à chercher, vous voyez, ce genre d’endroit. Dans ces lieux-là, les entreprises sont souvent représentées par des gens qui ont pas compris le problème et qui viennent expliquer « ah, là, là, le RGPD c’est compliqué, on a peur de prendre une amende, et puis ça nous handicape parce qu’on est obligé de faire des trucs propres alors que les Américains ont le droit de faire des trucs dégueulasses et, du coup ça leur apporte plein de pognon ! ». C’est le contraire, vous n’avez pas compris ! Précisément, le texte en question fait que les Américains n’ont pas le droit d’accéder au marché, donc vous devriez chercher à être le plus clean possible sur le sujet, parce qu’il vaut mieux éviter les balles perdues, et appeler à ce que l’autorité soit la plus brutale et la plus violente possible dans sa répression, parce que cette répression ne tomberait pas sur vous vu que vous vous êtes irréprochable. Et sur qui va-t-elle tomber ? Sur les géants américains. Tout le monde, dans la classe politique, cherche depuis quelques années comment sanctionner les ignobles GAFAM qu’ils sont devenus ! On les aime beaucoup, mais on en dit du mal en public, on est encore sur cette espèce d’ambiguïté. Mais là, on a une arme qui est puissante. Un outil réglementaire qui est vachement intéressant, parce que Microsoft, même avec la meilleure volonté du monde, n’a pas le droit de respecter le droit européen s’il veut être conforme au droit américain. Et ça c’est un outil et je suis très surpris que les entreprises ne s’en saisissent pas. Je suis surpris depuis 2016. Quand le RGPD a été voté, pour moi c’était évident que ce truc était un outil protectionniste de grande valeur. Il a un intérêt comme business modèle parce qu’il permet de faire alliance avec les utilisateurs. On sait tous, on le ressent tous. Twitter, depuis l’arrivée de l’autre proto-facho, c’est une caricature, mais on le savait déjà, on n’est pas les alliés de ces gens-là, Facebook n’est pas mon pote même si des fois ! Moi je n’ai pas de compte là-dessus, mais les grandes plateformes centralisées ne sont pas vos potes et vous le savez. | |||
==17’ 07== | |||
Ce texte permet | |||
Version du 21 mars 2025 à 12:26
Titre : Privacy comme Business Model
Intervenant : Benjamin BaYart
Lieu : Nantes - Clever Cloud Fest
Date : 20 février 2025
Durée : 33 min 27
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·es mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Vous êtes plutôt réveillés en mode « on discute » ?, ou je vous fais un long monologue pour que vous puissiez vous rendormir calmement ?
Vous n’étiez pas endormis, du coup on peut on peut échanger, c’est bien.
Qu’est-ce que je suis venu vous raconter ? C’est tout bien pas structuré, je peux vous mentir, je peux vous dire que je n’ai rien préparé, ce n’est pas vrai, c’est juste que ce sont des trucs très anciens. La dernière fois que j’ai bossé sérieusement sur le sujet, c’est un papier que j’ai publié sur le blog d’OCTO, en 2021, il y a donc 4 ans, et j’avais déjà l’impression, en écrivant ce papier-là, de mettre des trucs très anciens. On va essayer de mettre tout ça un peu…
Devant un public d’informaticiens et de « data bidules » et de gens comme ça, quand on dit privacy tout le monde entend RGPD, tout le monde entend « bandeau de cookies », « casse-couilles de juristes », etc., parce qu’on a pris la sale manie de traiter le problème à l’envers. Vous savez comment on fait, on développe un truc qui est un peu rigolo et puis, à un moment, ça sort du de la petite bulle confidentielle où on faisait joujou avec, du coup ça serait bien que ce ne soit pas trop hors la loi, histoire que tout le monde ne finisse pas en prison, donc dans les deux/trois questions qu’on se pose il y a « conformité RGPD », donc on voit avec le juriste ou bien on réécrit complètement le logiciel parce qu’il a été fait avec les pieds, qu’on n’a pas réfléchi à ce qu’on faisait, ou bien, vu qu’on ne doit pas tout réécrire, le juriste nous fait un tout petit contrat de 887 pages que l’utilisateur va signer d’un clic, vu qu’il l’aura lu !
En fait, cette approche-là ne marche pas. Elle est complètement idiote. Quand vous faites signer un contrat délirant comme ça à quelqu’un, c’est que c’est votre ennemi ! Quand je fais signer un contrat à quelqu’un en lui disant qu’il s’engage sur l’honneur à ne pas me faire de procès et à ne pas me tuer dans la rue, à priori ce n’est pas mon pote ! Cette approche-là est une approche où vous posez que votre ennemi c’est l’utilisateur de votre produit et vous dites à l’utilisateur – c’est très bien dit, c’est dit en novlangue et tout, c’est classe, on dirait du macronisme – we value your privacy, ça veut dire « on t’emmerde » et tout le monde sait que ça veut dire « on t’emmerde », ne croyez tromper qui que ce soit avec ces conneries, tout le monde sait. Quand je vois un site qui me dit we value your privacy, ça veut dire « on te prend pour une truffe », même ma mère le sait, prof d’histoire-géo en retraite, je pense que c’est transparent ! Donc tout le monde sait ce que dit cette novlangue-là.
En fait, je pense que le les outils sur la privacy doivent s’utiliser dans l’autre sens.
Pour moi il y a deux éléments clés.
Je pense que dans la pièce il y a pas mal de personnes qui connaissent assez le sujet RGPD et je soupçonne, si je pose la question, qu’on est d’accord : le sujet c’est bien qu’il faut demander le consentement de l’utilisateur et après on fait ce qu’on veut. C’est bien ça ? Pas tout à fait ! Alors je vais vous le réexpliquer autrement.
Vous n’avez pas besoin de demander le consentement de l’utilisateur si, petit un, vous faites ce qu’il est venu vous demander. Pour faire ce que l’utilisateur vous a demandé, pour exécuter le contrat entre vous et lui, vous n’avez rien à lui demander, pas de consentement, rien. Vous allez commander des caleçons en ligne, il faut votre adresse pour vous livrer, il n’y a pas besoin de votre consentement pour vous demander votre adresse ! Vous êtes en train de commander des caleçons, vous savez bien qu’on va vous demander votre adresse, c’est normal ! OK.
Donc, si c’est pour faire ce que l’utilisateur vous a demandé ou s’il y a une obligation légale. Typiquement, mon banquier a l’obligation de me demander mes papiers, il ne va pas me demander mon consentement, c’est une obligation ! Pareil quand le ministère de la Justice fait un casier judiciaire, on ne me demande pas mon consentement ! Ou s’il y a ce qu’on appelle un intérêt légitime, c’est-à-dire pour des raisons de sécurité ; en fait, l’intérêt légitime est toujours mal compris, dites-vous intérêt général. Typiquement, quand vous avez besoin des données pour assurer la sécurité du service et s’assurer qu’il n’y a pas de piratage, etc., c’est normal comme traitement, il y a un intérêt légitime à la sécurisation du service.
Sinon, pour tout le reste, si vous vous apprêtez à faire quelque chose qui n’est pas nécessaire pour ce que le client a demandé, qui n’est pas une obligation légale, pour lequel il y a pas d’intérêt légitime/intérêt général, en gros vous vous apprêtez à faire un truc crade. C’est comme dans le sexe, pour faire des trucs crades il faut que les gens soient d’accord, sinon vous ne les faites pas, ce n’est pas dur ! Ce n’est vraiment pas dur, mais c’est le contraire de ce qu’on entend souvent, c’est-à-dire que le consentement c’est la dernière des clauses intéressantes et c’est uniquement quand on s’apprête à faire un truc dégueulasse. Donc en moyenne, si vous ne faites pas de la merde, vous n’avez pas besoin de consentement.
Évidemment, demander le consentement à l’utilisateur avant d’échanger ses données avec vos 873 partenaires privilégiés ! Quand on invite 873 personnes à la partouze, on peut parler de truc dégueulasse ! On est sorti du machin tout simple, on n’est pas dans le petit dîner entre amis !
Pour moi, c’est le premier volet. Il faut comprendre le RGPD pour ce qu’il est et, en fait, il n’est pas très compliqué : si vous ne faites que ce que les gens vous ont demandé et non pas ce qui vous arrange, vous, en considérant les gens comme des marchandises, il y n’a pas de problème de RGPD, ce n’est pas dur. Juste, personne ne fait ça !
Je trouve cette première approche assez intéressante, parce qu’elle vous place dans une position d’allié avec les utilisateurs, c’est-à-dire que tout d’un coup vous faites ce que les gens vous ont demandé, en bon prestataire de service, et vous ne faites que ça. Les gens ne vous ont pas demandé de la publicité, vous ne leur mettez pas de la publicité ! Si je demande qu’on me présente des offres pour des casseroles parce que j’ai envie d’acheter des casseroles, je serais ravi de voir tout l’argument publicitaire de tous les fabricants de casseroles de l’univers, mais si ce n’est pas ça que je suis venu chercher, arrêtez de vouloir m’en fourguer !
Pour moi, c’est vraiment le premier le premier angle : voir le RGPD pas du tout comme une contrainte juridique, mais comme une façon de faire alliance avec l’utilisateur. Ce que je viens de vous dire là, arrêter de maltraiter les gens, on pourrait l’expliquer à Facebook. Ça met par terre la totalité de son business modèle, donc il ne le fera pas, mais on pourrait lui expliquer.
Il y a un deuxième volet qui est très européen. Il y a un autre élément qui, pour moi, est extrêmement intéressant : le RGPD est une contrainte juridique européenne. En Europe, vous êtes censés tous la respecter et on a déjà deux décisions de la Cour de justice de l’Union européenne qui nous disent que le droit américain fait qu’une entreprise qui obéit au droit américain ne peut pas être conforme au droit européen. Je suis sidéré que les entreprises du secteur ne se soient pas emparé de cela. Tous les géants français et européens qui touchent de près ou de loin à de l’informatique devraient utiliser ça pour pousser les Américains vers la sortie. Donc, vous avez intérêt à être particulièrement exemplaires sur le sujet privacy parce que vos concurrents américains sont incapables de l’être, puisque s’ils respectaient les normes européennes ils seraient hors la loi vis-à-vis des États-Unis et ils ne pourraient plus répondre aux injonctions de l’agent orange et c’est vachement important, parce que c’est ce qui vous permet de les pousser vers la sortie.
C’est un argument protectionniste majeur. Cette idée est une idée très ancienne. Je ne sais pas si on vous a appris ça en cours d’économie au lycée, mais à moi oui. Il y a deux formes de protectionnisme très classique.
Il y a le protectionnisme douanier, on en parle tout le temps parce que c’est celui que connaît Trump : on augmente les droits de douane, du coup ça augmente les prix des produits importés, ça fait que ça protège un petit peu les entreprises qui produisent en interne et qui peuvent prospérer sur le marché local puisque l’importation coûte très cher. Grand classique !
Et puis il y a une deuxième forme de protectionnisme qui est le protectionnisme réglementaire : faire en sorte que les règles pour accéder au marché soient difficiles à suivre pour les gens de l’étranger. Longtemps on a fait ça sur des machins comme les formes des prises électriques et le type de câble, etc., parce que, typiquement la norme française dit que la prise doit être de tel modèle avec un bibit bleu qui fait gling gling, du coup tous les fabricants américains vont mettre 2 ans à se décider à rajouter le bibit bleu qui fait gling gling, du coup, pendant 2 ans, le marché ne leur est pas accessible. Alors évidemment, depuis qu’on fait fabriquer la totalité de ce qu’on consomme en Chine, on a perdu l’habitude de ce protectionnisme réglementaire puisque, en fait, toutes nos usines sont là-bas, donc on leur explique comment il faut fabriquer pour que ce soit vendable chez nous. Que ce soit pour une marque française ou pour une marque américaine, le producteur chinois s’en fout ! On lui dit « il faut appliquer la norme pour la France », il applique la norme pour la France !
Mais là, on est sur une forme de protectionnisme réglementaire qui est vachement intéressante.
En fait, sur la protection des données personnelles, vous avez deux réglementations qui s’opposent, qui sont incompatibles l’une avec l’autre et qui ont toutes les deux un volet extraterritorial. Pas le même ! Puisque la loi américaine s’impose aux entreprises américaines où qu’elles exercent dans le monde, donc la loi américaine prévoit que les entreprises doivent coopérer avec le gouvernement, CLOUD Act, PATRIOT Act, transfert de données personnelles à la demande d’à peu près n’importe quelle agence gouvernementale, y compris l’Agence de santé, j’ai vu ça en travaillant sur un des derniers recours qu’on a faits devant le Conseil d’État, parce que, figurez-vous, il y a de la sécurité nationale dans les données de santé.
Le droit américain est foutu comme ça. Il s’impose aux entreprises américaines où qu’elles opèrent dans le monde. Donc, quand Amazon vous dit « il n’y a pas de problème de souveraineté puisque les données françaises sont traitées sur des serveurs qui sont hébergés en France », eh bien le juriste d’Amazon qui dit ça ne sait pas lire. Les données sont hébergées sur un serveur Amazon à Paris, il n’empêche que s’il y a une réquisition gouvernementale, Amazon doit transmettre les données.
Le RGPD a aussi a une portée extraterritoriale mais qui est très différente, je ne sais pas si vous l’avez en tête. Tout le monde croit que le RGPD c’est du droit des affaires alors que pas du tout, c’est du droit de la personne. Porter atteinte aux données personnelles, c’est à peu près comme porter atteinte à la personne, c’est un droit de la personne physique. C’est pour cela, par exemple, que quand telle entreprise en délicatesse, qui ne veut pas qu’on regarde dans ses affaires, vient dire « quand même, la vie privée, vous ne pouvez pas regarder ce qu’on fait de malhonnête au Kenya ou je sais pas quoi », ce n’est pas vrai, la vie privée c’est pour les humains, ce n’est pas pour les entreprises, c’est pour les personnes physiques. En fait, la protection des données personnelles, tel que c’est rédigé dans le droit européen, c’est en fait un droit des personnes physiques qui sont en Europe. Déjà, ce n’est pas réservé aux citoyens, donc même les étrangers y ont droit les étrangers, les étrangers sont des gens, ça surprend en ces temps quand on le dit, mais les étrangers sont des gens. C’est un droit que vous avez individuellement, que nous avons tous parce que nous sommes en Europe et qui s’applique quelle que soit l’entreprise qui traite nos données. Donc, le traitement que Facebook fait sur ses ordinateurs aux États-Unis de nos données personnelles est concerné par la loi européenne, pourtant c’est une entreprise américaine qui applique du droit américain sur un ordinateur américain, ils font bien ce qu’ils veulent ! Eh bien non ! Et c’est là que les deux extraterritorialités sont en conflit l’une avec l’autre parce qu’elles ne sont pas du tout rédigées de la même façon.
Dans le droit européen, les données personnelles c’est une protection de l’individu, donc ça s’étend terre entière à tous les gens qui sont amenés à traiter nos données personnelles.
Et le droit américain est extraterritorial parce que quand les entreprises y sont soumises, puisque c’est du droit des affaires, ce droit s’applique où qu’elles exercent dans le monde.
C’est très marrant, c’est structuré très différemment sur le plan juridique et c’est ce qui fait que c’est radicalement incompatible. Du coup nous avons là une arme de protectionnisme prodigieuse. Cependant, à chaque fois qu’on voit des rencontres de bidules interministériels, de Cigref, des choses comme ça, je ne sais pas si vous voyez à quoi ressemble ce dont je vous parle, les endroits où on réunit quelques représentants d’un secteur économique à Bercy avec quelques directeurs d’administration pour essayer de voir comment on peut faire pour que l’État n’embête pas trop les entreprises, mais que, cependant, on trouve des stages pour le fils du ministre parce qu’il ne faudrait pas qu’il ait à chercher, vous voyez, ce genre d’endroit. Dans ces lieux-là, les entreprises sont souvent représentées par des gens qui ont pas compris le problème et qui viennent expliquer « ah, là, là, le RGPD c’est compliqué, on a peur de prendre une amende, et puis ça nous handicape parce qu’on est obligé de faire des trucs propres alors que les Américains ont le droit de faire des trucs dégueulasses et, du coup ça leur apporte plein de pognon ! ». C’est le contraire, vous n’avez pas compris ! Précisément, le texte en question fait que les Américains n’ont pas le droit d’accéder au marché, donc vous devriez chercher à être le plus clean possible sur le sujet, parce qu’il vaut mieux éviter les balles perdues, et appeler à ce que l’autorité soit la plus brutale et la plus violente possible dans sa répression, parce que cette répression ne tomberait pas sur vous vu que vous vous êtes irréprochable. Et sur qui va-t-elle tomber ? Sur les géants américains. Tout le monde, dans la classe politique, cherche depuis quelques années comment sanctionner les ignobles GAFAM qu’ils sont devenus ! On les aime beaucoup, mais on en dit du mal en public, on est encore sur cette espèce d’ambiguïté. Mais là, on a une arme qui est puissante. Un outil réglementaire qui est vachement intéressant, parce que Microsoft, même avec la meilleure volonté du monde, n’a pas le droit de respecter le droit européen s’il veut être conforme au droit américain. Et ça c’est un outil et je suis très surpris que les entreprises ne s’en saisissent pas. Je suis surpris depuis 2016. Quand le RGPD a été voté, pour moi c’était évident que ce truc était un outil protectionniste de grande valeur. Il a un intérêt comme business modèle parce qu’il permet de faire alliance avec les utilisateurs. On sait tous, on le ressent tous. Twitter, depuis l’arrivée de l’autre proto-facho, c’est une caricature, mais on le savait déjà, on n’est pas les alliés de ces gens-là, Facebook n’est pas mon pote même si des fois ! Moi je n’ai pas de compte là-dessus, mais les grandes plateformes centralisées ne sont pas vos potes et vous le savez.
17’ 07
Ce texte permet
