Différences entre les versions de « Les enjeux du traitement des données personnelles à l’heure du big data - Table ronde - Capitole du Libre 2018 »
(Page créée avec « Catégorie:Transcriptions '''Titre :''' Table ronde : Les enjeux du traitement des données personnelles à l’heure du big data '''Intervenants :''' Bertrand Mon... ») |
|||
| Ligne 23 : | Ligne 23 : | ||
==Transcription== | ==Transcription== | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Bonjour à tous et à toutes. Merci d’être avec nous, assez nombreux mine de rien, pour cette table ronde intitulée très précisément « Les enjeux du traitement des données personnelles à l’heure du <em>big data</em> ». Avant qu’on commence et qu’on entre dans le vif du sujet, je laisse la parole pour quelques instants à Bertrand Monthubert qui est conseiller régional, délégué à l’Enseignement supérieur et à la Recherche. | ||
| + | |||
| + | <b>Bertrand Monthubert : </b>Merci beaucoup. | ||
| + | |||
| + | [Applaudissements] | ||
| + | |||
| + | <b>Bertrand Monthubert : </b>C’est elle que vous applaudissez j’espère. Merci pour votre invitation. D’abord bravo aux organisateurs pour ce qui est, manifestement, une réussite une fois de plus pour cette 7e édition du Capitole du Libre. C’est extrêmement que des évènements comme ça s’organisent pour que la vie du logiciel libre, évidemment, se développe, prenne de l’ampleur et c’est ce qui est en train de se passer. C’est grâce à beaucoup de militants, de bénévoles et il faut vraiment les saluer. Je tiens à le faire extrêmement sincèrement. | ||
| + | |||
| + | Cette table ronde est quelque chose d’extrêmement important et la région Occitanie, aujourd’hui, est engagée dans une démarche très active en la matière. D’ailleurs où on retrouve des gens comme Tristan Nitot puisque nous avons lancé une initiative à laquelle Qwant est associé et juste, je vais vous dire en quelques mots, très rapidement, parce que vous attendez évidemment d’entendre nos orateurs, quelle est la philosophie dans laquelle nous nous inscrivons.<br/> | ||
| + | Nous avons la conviction, évidemment, que nous sommes face à un grand bouleversement et que, face à ce grand bouleversement, il faut absolument qu’on soit des acteurs importants et qu’on ne laisse absolument pas des acteurs à l’autre bout de la planète gouverner la manière dont les choses vont se passer et en particulier en termes de données personnelles. Et pour le faire évidemment il faut éditer des réglementations et puis les appliquer. Il y a eu des gros progrès quand même ! Il y a eu le RGPD, très discuté, néanmoins marquant de très grands progrès. Pour autant je crois que ça n’épuise pas les choses, parce que finalement la question, notamment quand on parle de la question des données personnelles, c’est qu’évidemment il s’agit de protéger les droits des individus, mais pour autant ces données peuvent avoir aussi des intérêts pour les individus eux-mêmes. On le sait tous et c’est bien pour ça d’ailleurs que se développent un certain nombre de choses et c’est assez frappant de voir que finalement même quand il y a des fuites massives de données, c’est ce qui s’est passé il n’y a pas si longtemps avec Facebook, même s’il y a des désinscriptions, eh bien il y a pour autant, encore, une très grande partie des gens continuent à utiliser ces systèmes.<br/> | ||
| + | Donc il y a quelque qui pourrait paraître paradoxal en ayant le sentiment que, à la fois, les gens veulent, et c’est légitime, avoir des données qui sont protégées et pour autant ferment les yeux très souvent vis-à-vis des outils qu’ils utilisent et qui pompent, aspirent, revendent et vont même faire des choses encore pires que ça avec leurs données.<br/> | ||
| + | Évidemment pour nous, ce qui semble important, c’est d’arriver à fédérer les acteurs qui sont prêts à avoir une démarche éthique, souveraine, sur la donnée, non pour ne rien faire avec les données, mais pour faire des choses, des choses qui soient à l’usage des citoyens, qui permettent de faire progresser un certain nombre de choses et en particulier la recherche, la santé, la connaissance d’une manière beaucoup plus générale. Et pour ça on a besoin de pouvoir, notamment, croiser des données personnelles entre elles, mais évidemment il faut définir un cadre éthique et souverain pour pouvoir le faire, pour se prémunir contre la fuite des données.<br/> | ||
| + | Et c’est dans ce cadre-là que, autour d’un certain nombre d’acteurs que j’anime au sein de ce qui est en train de devenir une association de préfiguration qui s’appelle Occitanie-Data, dans laquelle il y a des acteurs comme Qwant, justement, et nous sommes, en somme, évidemment extrêmement heureux, eh bien nous travaillons dans cette direction. Le choix qui a été fait c’est de s’adresser à des acteurs souverains, à des acteurs qui respectent des principes éthiques forts et c’est pour ça que, évidemment, Qwant était pour nous un partenaire de choix, même si Qwant, pour le moment, n’est pas encore installé en région Occitanie – j’espère que ça changera bientôt mon cher Tristan –, mais il y a des étapes ; nous venons d’en franchir une première. | ||
| + | |||
| + | <b>Tristan Nitot : </b>Je ne m’avancerai pas ce soir sur le sujet. | ||
| + | |||
| + | <b>Bertrand Monthubert : </b>Tu ne t’avanceras pas ce soir, ce n’est pas l’objet de la table ronde et je ne te tends pas de piège en disant cela. Mais tu vois le dynamisme de la capitale de la région Occitanie quand même. | ||
| + | |||
| + | <b>Tristan Nitot : </b>Absolument ! | ||
| + | |||
| + | <b>Bertrand Monthubert : </b>J’espère que vous allez lui montrer l’enthousiasme que vous avez pour que Qwant, effectivement, puisse développer de l’activité ici, ce serait bien pour tout le monde. Il y a de l’enthousiasme tu vois ! Donc des acteurs comme Qwant et pour beaucoup d’autres autour d’une initiative et nous communiquerons plus largement là-dessus bientôt. J’ai déjà été un petit long donc je vais m’arrêter ici pour cette introduction, mais c’était pour vous dire à quel point pour cette question de l’enjeu des données personnelles à l’heure du <em>big data</em> est vraiment quelque chose d’essentiel sur lequel nous sommes profondément engagés. Merci pour votre attention et bonne table ronde. | ||
| + | |||
| + | [Applaudissements] | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Merci beaucoup. Bertrand Monthubert en parlait, c’est vrai qu’on a vécu une année 2018 assez intéressante, en positif comme en négatif, puisqu’on a eu un scandale assez majeur de fuite de données : tout le monde a en tête Cambridge Analytica. Pour ceux qui ne l’auraient pas totalement en tête, c’est donc cette entreprise de marketing politique, en tout cas qui se présente comme telle, liée à un certain un milliardaire très proche de Trump et à son ex-conseiller Steve Bannon, qui a utilisé les données de 80 millions d’utilisateurs de Facebook pour établir ce qu’ils appelaient des profils psycho-sociaux, lesquels auraient été utilisés à des fins de publicité ciblée en faveur de Trump ou en faveur du Brexit. Donc on a là un exemple assez flagrant de ce que peut donner, on va dire, un cadre effectivement assez lâche puisque, en l’occurrence, il n’y avait rien de particulièrement illégal dans cette histoire à l’origine, c’est juste Facebook qui ne protégeait pas les données de ses utilisateurs. Et on voit aussi la manière dont ça peut être utilisé par des acteurs politiques à des fins de manipulation ; je crois qu’on ne peut pas le dire autrement. Donc on a eu ce moment qui a été un moment de prise de conscience, on aura l’occasion d’y revenir.<br/> | ||
| + | Et puis, quelques mois après, est entré en application le Règlement général sur la protection de données adopté par l’Union européenne, ça aussi on en parlera parce que je crois que c’est à la fois un progrès réel et substantiel et puis, en même temps, ce n’est que le début du boulot puisque maintenant il va falloir le faire appliquer et puis, surtout, il va falloir préciser un certain nombre de notions qui sont dans ce règlement et qui peuvent donner lieu à, on va dire, l’établissement d’une jurisprudence qui peut aller dans un sens ou dans l’autre. Donc l’idée c’est un peu d’essayer de voir eh bien où est-ce qu’on en est aujourd’hui, qu’est-ce qui nous attend par la suite et qu’est-ce qu’on peut faire, vers quelle société on va, finalement.<br/> | ||
| + | Donc on a avec nous, par ordre alphabétique comme ça je ne vexerai personne, Stéphane Bortzmeyer qui est ingénieur réseau et qui est spécialiste mondial du DNS ; on peut le dire comme ça, tu crois ? Si, si. | ||
| + | |||
| + | [Stéphane Bortzmeyer indique plus ou moins avec les mains] | ||
| + | |||
| + | <b>Tristan Nitot : </b>Mondial. | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Tristan Nitot qui est vice-président de Qwant après avoir longtemps officié pour la Fondation Mozilla et Marc Rees, célébrissime rédacteur en chef de Next INpact que, à mon avis, vous êtes un certain nombre à lire dans cette salle. | ||
| + | |||
| + | <b>Tristan Nitot : </b>J’espère que vous êtes abonnés. | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Et si ce n’est pas le cas, eh bien honnêtement faites-le. Vous pouvez même vous abonner, ce que j’ai fait.<br/> | ||
| + | Peut-être, pour commencer, justement revenir un peu sur Cambridge Analytica parce que moi j’ai eu le sentiment que c’était quand même une espèce de tournant en termes de conscience des internautes sur les risques, justement, à la fois de la centralisation massive de données personnelles, de leur mésusage et aussi de ce qu’on peut en faire. Est-ce qu’on est vraiment dans ce moment de prise de conscience ? Tristan, peut-être, pour commencer. | ||
| + | |||
| + | <b>Tristan Nitot : </b>J’espère qu’on est dans une prise de conscience parce que je pense qu’aujourd’hui on est tous plus ou moins démunis face au numérique. Alors certainement, dans cette salle, un peu moins qu’ailleurs, mais il faut quand même reconnaître qu’il y a une injonction à passer au numérique et on dit à peu près à tout le monde : comment, tu n’utilises pas Google ? Comment, tu n’as pas Internet ? – ça c’était il y a quelques années. Comment, tu n’as pas de smartphone ? Comment, tu n’es pas sur Facebook ? etc., et sans jamais que les gens soient formés. À titre d’exemple, peut-être pour ceux d’entre vous qui ont un smartphone, comment ça s’est passé l’éducation au smartphone ? Ça a dû prendre 90 secondes dans une boutique Orange ou équivalent où on vous a dit : « Le bouton vert c’est pour passer des appels et ça c’est pour envoyer des textos, sinon ça c’est pour aller chercher des applications parce que vous pouvez installer des programmes comme dans un ordinateur ». Ça c’est dans le meilleur des cas. Ou alors, évidemment, vous avez une formation en informatique et, à ce moment-là, c’est autre chose. Mais 95, 98, 99 % des gens n’ont pas de formation au numérique, ils apprennent sur le tas comme ils peuvent et on les pousse dans le dos pour qu’ils avancent et qu’ils consomment toujours plus de numérique. Finalement eux qui nous éduquent, eh bien ce sont les gens qui font du commercial, du marketing : regardez comme c’est cool la Google Home, vous voyez, vous avez des trucs. Évidement, c’est extrêmement difficile de prendre du recul sur les aspects toxiques, négatifs du numérique parce qu’il ne faut jamais compter sur les services de marketing pour vous expliquer que la Google Home c’est quand même installer un micro dans votre salon ! Ça, ils ne vont pas vous le dire comme ça. Par contre les médias ont des rôles à jouer. On voit, par exemple, que la police américaine, pour la deuxième fois, vient de demander à Amazon des enregistrements issus d’Alexa pour élucider des crimes. Donc ça veut dire que le micro est quand même allumé et que donc des gens peuvent avoir accès à ces données qui ont été enregistrées chez moi. | ||
| + | |||
| + | Donc je vois dans Cambridge Analytica, dans ce scandale qui a un aspect positif en ce sens qu’il est médiatique et qu’il est aussi pédagogique. Regardez, on est capable, quand on centralise les données dans un endroit, dans les mains d’un type que j’hésiterais à peine à qualifier d’escroc parce que c’est open bar sur la data, avec des données personnelles de gens, et ce type n’hésite pas à prendre des risques de déséquilibrer la politique de son propre pays juste pour gagner de l’argent. Et ça je pense que c’est le genre de catastrophe qui a ceci de positif qu’il peut éveiller les consciences et faire comprendre que waouh ! en fait c’est grave ! Et ce qui est bien c’est que, avec Facebook, toutes les semaines on a une nouvelle grosse merde comme ça. Je pense qu’avec du matraquage, sauf si on s’y habitue, eh bien on va quand même arriver à prendre conscience qu’il y a un vrai problème. | ||
| + | |||
| + | Le dernier scandale est révélé par un article du <em>New York Times</em> sorti il y a trois jours ; deux semaines avant c’était sur la publicité sur les élections des <em>midterms</em> aux USA, qui est quand même complètement dingue. Si on rembobine 2018, en janvier 2018 Mark Zuckerberg écrit sur son Facebook, visible par tous : « 2018 est l’année où je répare Facebook ! » Ça janvier ! Févier, on se rend compte qu’il offre un VPN gratuit à ses utilisateurs mais en échange de quoi il espionne votre usage, il passe par le VPN, sur les applications concurrentes. Ça c’était févier : il avait déjà commencé à réparer, on voyait des durs au boulot.<br/> | ||
| + | Mars-avril ou mai je ne sais plus. | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>C’est mars. | ||
| + | |||
| + | <b>Tristan Nitot : </b>Mars, Cambridge Analytica ; super Mark, pas celui-là [Tristan indique Marc Rees], Mark Zuckerberg, surtout tu ne changes rien, c’est bien, on voit que tu répares à fond ! Et là, ensuite, les différents trucs, les <em>midterms</em>, etc. Les <em>midterms</em>, c’est-à-dire qu’on l’accusait déjà avoir été instrumental dans le bricolage des élections américaines et le mec, six mois plus tard, il rempile avec les publicités politiques mensongères ! Il est toujours très dur à réparer Facebook ! Moi j’ai hâte de voir 2019 ! | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Il semble qu’il a un problème de ???, de relations publiques ce temps-ci. Je voyais Marc qui voulait réagir. Marc Rees. | ||
| + | |||
| + | ==13’ 23== | ||
| + | |||
| + | <b>Marc Rees : </b>Oui, pas l’autre Mark ! | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Je sens que ça va être un <em>running gag</em> jusqu’à la fin de cette table ronde. | ||
| + | |||
| + | <b>Marc Rees : </b>En fait, ce qu’a dit Tristan est très juste, mais je crois que la problématique en question a été accentuée, aussi, par un défaut d’information. Pour revenir aux fondamentaux de l’affaire Cambridge Analytica, on est parti d’une application, un questionnaire de personnalité comme on en a tout plein sur Facebook et qui sont très pénibles. Des gens ont répondu naïvement, gentiment, bon ! Peut-être qu’ils s’ennuyaient et, à partir de ce pétrole, grâce aux autorisations qui étaient ouvertes par Facebook à l’époque, les gens qui étaient derrière cette application ont pu tracer, déjà faire un <em>social graph</em>, un graphe social des personnes qui ont répondu, mais également ont pu le faire avec toutes les personnes qui étaient dans les contacts de chacun des répondants.<br/> | ||
| + | La problématique que tu as soulevée est très juste, celle de la centralisation, mais elle est doublée et aggravée par un défaut d’information. Parce que si on avait dit aux gens : « Tu vas répondre à un questionnaire de personnalité pour savoir si tu aimes les spaghetti ou les ravioli – bon ! –, mais en plus moi, derrière, ça va me permettre de faire des pubs ciblées sur les Afro-américains pour rapporter des propos de Clinton ou autres afin de jouer sur une élection », peut-être que l’individu n’aurait pas répondu tel qu’il l’a fait. Cette problématique du défaut d’information je pense qu’elle est fondamentale et le RGPD, tu l’as cité, on y reviendra, peut apporter des solutions. | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Stéphane, pendant qu’on préparait cette table ronde, tu disais ce qui est intéressant aussi avec cette histoire de Cambridge Analytica, c’est qu’on comprend bien un des enjeux et des problèmes du <em>big data</em>, c’est qu’à partir de plein de données, en fait on en construit d’autres. Ce sont les croisements et les rapprochements. | ||
| + | |||
| + | <b>Stéphane Bortzmeyer : </b>C’est vrai que la plupart des gens, quand on leur parle de problème des données personnelles et de fuite de données personnelles, ils pensent à un secret particulier qu’ils ont et paf ! il serait découvert : j’ai une Ferrari cachée et paf ! le fisc vient de l’apprendre et il va me faire un redressement fiscal pour ça. Ce problème existe, bien sûr, mais tout le monde n’a pas forcément un secret comme ça bien spectaculaire et c’est pour ça que beaucoup de gens se disent « moi je n’ai rien à cacher ». Par contre, tout le monde a plein de petites informations éparpillées un peu partout dont aucune n’est vraiment très grave, mais qui mises ensemble, corrélées, nourries d’autres informations, peuvent arriver à déterminer des profils intéressants et faire soit des messages politiques ciblés, soit demain on acceptera ou on refusera de vous faire un prêt ou un contrat d’assurance à cause de ça, voire on vous surveillera ou on vous refusera un boulot à cause de ça. Et je crois que c’est vraiment là que le <em>big data</em> est quelque chose de spécial par rapport aux autres violations des données personnelles qu’on avait eues avant, c’est qu’on peut déduire des choses que les gens n’ont pas dites explicitement.<br/> | ||
| + | J’avais vu l’autre jour un rapport d’une boîte qui voulait savoir quels étaient ses <em>followers</em> sur Twitter et qui avait payé un service que fait Twitter ; on les paye, ils vous font un rapport avec les caractéristiques de vos <em>followers</em>. Et dans le lot il y a plein d’informations que les gens n’ont pas mises. Par exemple il y avait s’ils étaient propriétaires ou locataires de leur maison, ce qu’on ne met pas explicitement quand on ouvre un compte Twitter, mais qui peut être déduit de toutes les informations qu’on a par ailleurs. E c’est là, je crois, où est le danger et c’est dangereux pour deux raisons. C’est que un, beaucoup d’utilisateurs ne comprennent pas encore le pouvoir de ces recoupements, de ces informations éparpillées qui finissent par dessiner un profil alors même que chacune paraissait assez inoffensive : je suis copain avec machin, c’est un peu inoffensif. Mais si, par exemple, la majorité des gens avec qui on est copain partage telles idées politiques, comme souvent ce qui se ressemble s’assemble, Facebook peut en déduire les opinions politiques qu’on a alors que chacune des informations n’était pas très grave.<br/> | ||
| + | Donc cette absence de compréhension de l’importance du recoupement est un premier problème. Le deuxième est que ça rend difficiles les actions puisque chaque fuite de données, comme ça, n’est pas très importante en elle-même, mais c’est le nombre qui fait le problème. Et l’appareil, par exemple légal, n’est pas vraiment prévu pour ça. Il est prévu pour des crimes bien identifiés d’ampleur qui justifie qu’on poursuive les gens ou les entreprises et qu’on les condamne et c’est beaucoup plus délicat de poursuivre plein de petites fuites qui, chacune, n’est peut-être pas très grave mais qui, ensemble, finissent par faire une vraie violation des données personnelles. | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Marc. | ||
| + | |||
| + | <b>Marc Rees : </b>À l’université de Cambridge cette fois-ci, qui n’a rien à voir avec Cambridge Analytica, il y a des études en psychométrie qui ont été faites et qui démontrent ou, en tout cas, laissent à penser qu’à partir de 68 « like » sur Facebook on peut deviner la couleur de peau d’une personne à 88 %, je ne sais plus si c’est 88 ou 89. De même on peut déduire à partir de ce même lot de « like » l’orientation sexuelle d’une personne. À partir de 150 « like » on peut connaître une personne mieux que ses parents. Voilà ! | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>On a commencé à parler un peu du Règlement général sur la protection des données qui est donc entré en application, je ne voudrais par dire de bêtise, c’est le 23 mai. | ||
| + | |||
| + | <b>Marc Rees : </b>25 ! | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>25, bon ! J’en ai dit une. Tant pis ! Marc, toi qui l’as lu en large en long et en travers, qui as publié des commentaires article par article si mes souvenirs sont bons, qu’est-ce qu’il nous apporte ce texte, finalement ? Beaucoup de gens sont persuadés que c’est une avancée et je pense qu’ils ont raison. Si on devait résumer et dire finalement sur quel terrain ça permet de progresser et notamment par rapport aux questions qu’on vient d’aborder ? | ||
| + | |||
| + | <b>Marc Rees : </b>Les avantages, enfin les évolutions sont multiples.<br/> | ||
| + | Première : auparavant, dans la logique de la loi CNIL de 78, modifiée plusieurs fois, on était dans une logique quasiment documentaire, avec une obligation déclarative de la part des responsables de traitement. Dès lors qu’on voulait réaliser un traitement de données personnelles, eh bien il fallait faire une déclaration administrative assez pénible auprès de la CNIL.<br/> | ||
| + | Le RGPD change totalement la logique. Il rentre dans un système de responsabilisation, c’est-à-dire qu’il n’y a plus de formalité préalable : tu gères des données personnelles, OK, mais tu en es responsable de A à Z, de la conception même du système jusqu’à son application. Et cette logique de responsabilité, quelque part, accompagne aussi la maturité de la donnée personnelle dans le pays. Première chose.<br/> | ||
| + | Deuxième et grande évolution c’est l’application territoriale du texte, puisque le RGPD s’applique pour toutes les entreprises qui sont établies, qui ont un lieu d’établissement en Europe, mais il s’applique également pour tous les responsables de traitement qui sont à quelque endroit sur la planète mais qui ciblent, dans leurs traitements, des données personnelles de citoyens européens. Donc il y a un vent comme ça, une mise à niveau à l’échelle de la planète pour tous les acteurs qui s’intéressent à l’Europe.<br/> | ||
| + | Évidemment, on a la partie sanctions ; la partie sanctions m’agace un petit peu ; elle m’agace un petit peu parce que souvent le RGPD a été présenté sous son versant bâton alors que Cozy Cloud et Qwant – je ne veux pas te faire de pub [en se tournant vers Tristan Nitot] –, mais Cozy Cloud et Qwant montrent qu’on peut avoir un respect de la donnée personnelle et s’en servir comme un argument marketing. Le marketing ce n’est pas sale ! Et cette partie-là est intéressante dans cette logique du RGPD ; oui il y a une partie sanction, la sanction « rgpdienne » c’est 4 % du chiffre d’affaires mondial ou 20 millions d’euros d’amende, le plus haut niveau des deux l’emportant. | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Ce qui n’est quand même pas anodin par rapport à ce qu’étaient les sanctions précédentes de la CNIL. On peut quand même considérer que la taille du bâton est un progrès. Non ? | ||
| + | |||
| + | <b>Marc Rees : </b>C’est un progrès et d’ailleurs ça fait assez rire puisque Facebook a été sanctionné par l’équivalent de la CNIL au Royaume-Uni de 500 mille livres sterling, c’est quasiment rien, mais le problème c’est que les faits de Cambridge Analytica sont antérieurs au 25 mai donc on applique la loi dans le temps et, malheureusement, c’est l’ancienne loi qui s’applique. | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Tristan, ça crée un appel d’air le RGPD pour des acteurs on va dire plus vertueux que nos « amis » entre guillemets californiens ? | ||
| + | |||
| + | <b>Tristan Nitot : </b>De toute façon chez Qwant nous on a toujours été orientés sur le sujet donc l’avantage c’est que ça braque les projecteurs sur la problématique des données personnelles. Donc nous ça nous arrange. Déjà ça n’a pas été très compliqué chez nous parce qu’on ne collecte pas de données : Voilà ! Problème résolu. Et ça fait comprendre au grand public que oui la donnée personnelle est quelque chose d’important, donc c’était, effectivement, très positif pour Qwant. | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Il y a quand même un aspect qui depuis le début me titille avec ce texte et je ne suis pas la seule, et c’est pour ça que, y compris des acteurs associatifs – La Quadrature du Net a été un des premiers à le faire, il y a eu une association en Allemagne, maintenant c’est l’Internet Society – s’appuient sur le RGPD pour déposer des plaintes, en fait, que ce soit auprès de la CNIL ou au civil, c’est qu’il y a un enjeu assez énorme, semble-t-il, de jurisprudence, parce que la question de l’intérêt légitime par exemple des entreprises à la collecte et au traitement des données personnelles, ça va demander à être affiné. Marc, il y a vrai enjeu aussi de ce point de vue-là ? | ||
| + | |||
| + | <b>Marc Rees : </b>Oui. Il faut juste préciser que lorsque vous êtes responsable de traitement il y a différentes portes de justification qui vous autorisent à collecter de la donnée personnelle. La plus simple c’est le consentement de la personne : « M’autorisez-vous à collecter vos données personnelles pour faire un traitement ? » Ça c’est le consentement. Il y a cinq autres justifications et, parmi les cinq autres justifications, parmi les mesures liées par exemple aux questions de sécurité nationale ou par la force de la loi on a ce qu’on appelle l’intérêt légitime. C’est-à-dire qu’un responsable de traitement peut dire : « Moi j’ai un intérêt légitime à collecter vos données personnelles » et, en passant par cet argumentaire, on évince la question du consentement.<br/> | ||
| + | Et cette problématique d’intérêt légitime, qui préexistait au RGPD, là, effectivement, on est en attente forte de doctrine d’application très concrète pour tous les articles. Juste pour vous signaler la chose, le RGPD c’est 200 pages, c’est 99 articles, 173 considérants. Il y eu 4000 amendements au Parlement à Strasbourg. Et quand vous injectez ça dans un système juridique aussi vaste que l’Europe, ce n’est pas neutre, ce n’est pas tous les jours qu’on a un tel véhicule. Donc on a besoin de ce recul, notamment pour la question des cookies par exemple : peut-on ou non collecter des cookies plus ou moins publicitaires ? Pour le savoir, par exemple, je me suis amusé à « attaquer », entre guillemets, la boutique de l’Élysée, qui a fait pas mal de bruit, devant la CNIL, parce que j’ai considéré que les conditions générales d’utilisation, notamment la partie données personnelles, soulevaient des questionnements métaphysiques et donc j’ai saisi officiellement la CNIL. | ||
| + | |||
| + | <b>Tristan Nitot : </b>C’est comme ça que tu es lié à l’affaire Benalla, puisque c’est Benalla… | ||
| + | |||
| + | <b>Marc Rees : </b>Oui ! Ils t’attendent d’ailleurs. | ||
| + | |||
| + | <b>Tristan Nitot : </b>Ah non ! Moi je ne peux pas courir, arrête tes conneries. | ||
| + | |||
| + | <b>Marc Rees : </b>Justement ! | ||
| + | |||
| + | <b>Amaëlle Guiton : </b>Tout s’explique. C’est vrai que du coup on a à la fois un texte européen qui, maintenant, est regardé avec envie par certains parlementaires américains, ça fait toujours plaisir ! Ce sont plutôt des parlementaires démocrates, ils ne sont pas encore très nombreux, mais il y en a qui commencent à dire que peut-être il faudrait faire comme l’Europe et réguler. Donc on a un appui juridique, y compris pour aller chercher des crosses [crasses ?] à ces acteurs-là.<br/> | ||
| + | Il y a quand même une partie du problème qui est leur nature même, leur business modèle et le fait que, effectivement, tout ça repose sur une hyper-centralisation des données. Je me souviens avoir vu des conférences de toi notamment, Stéphane, où tu disais le problème c’est que quand on veut faire un équivalent de Facebook ou un équivalent de Twitter, finalement ce n’est pas si simple. On a vu les tentatives. Est-ce qu’on a quand même une chance, à un moment donné, d’y arriver ? C’est-à-dire à faire émerger, je ne sais pas, des réseaux sociaux qui soient des réseaux sociaux vertueux, de manière, on va dire, massive, pas seulement pour quelques <em>happy few</em> comme c’est encore le cas aujourd’hui malheureusement. | ||
| + | |||
| + | ==25’ 55== | ||
| + | |||
| + | <b>Stéphane Bortzmeyer : </b>C’est vrai | ||
Version du 12 décembre 2018 à 16:10
Titre : Table ronde : Les enjeux du traitement des données personnelles à l’heure du big data
Intervenants : Bertrand Monthubert - Stéphane Bortzmeyer - Tristan Nitot - Marc Rees - Amaëlle Guiton
Lieu : Capitole du Libre - Toulouse
Date : décembre 2018
Durée : 1 h 8 min 49
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Statut : Transcrit Mo
Transcription
Amaëlle Guiton : Bonjour à tous et à toutes. Merci d’être avec nous, assez nombreux mine de rien, pour cette table ronde intitulée très précisément « Les enjeux du traitement des données personnelles à l’heure du big data ». Avant qu’on commence et qu’on entre dans le vif du sujet, je laisse la parole pour quelques instants à Bertrand Monthubert qui est conseiller régional, délégué à l’Enseignement supérieur et à la Recherche.
Bertrand Monthubert : Merci beaucoup.
[Applaudissements]
Bertrand Monthubert : C’est elle que vous applaudissez j’espère. Merci pour votre invitation. D’abord bravo aux organisateurs pour ce qui est, manifestement, une réussite une fois de plus pour cette 7e édition du Capitole du Libre. C’est extrêmement que des évènements comme ça s’organisent pour que la vie du logiciel libre, évidemment, se développe, prenne de l’ampleur et c’est ce qui est en train de se passer. C’est grâce à beaucoup de militants, de bénévoles et il faut vraiment les saluer. Je tiens à le faire extrêmement sincèrement.
Cette table ronde est quelque chose d’extrêmement important et la région Occitanie, aujourd’hui, est engagée dans une démarche très active en la matière. D’ailleurs où on retrouve des gens comme Tristan Nitot puisque nous avons lancé une initiative à laquelle Qwant est associé et juste, je vais vous dire en quelques mots, très rapidement, parce que vous attendez évidemment d’entendre nos orateurs, quelle est la philosophie dans laquelle nous nous inscrivons.
Nous avons la conviction, évidemment, que nous sommes face à un grand bouleversement et que, face à ce grand bouleversement, il faut absolument qu’on soit des acteurs importants et qu’on ne laisse absolument pas des acteurs à l’autre bout de la planète gouverner la manière dont les choses vont se passer et en particulier en termes de données personnelles. Et pour le faire évidemment il faut éditer des réglementations et puis les appliquer. Il y a eu des gros progrès quand même ! Il y a eu le RGPD, très discuté, néanmoins marquant de très grands progrès. Pour autant je crois que ça n’épuise pas les choses, parce que finalement la question, notamment quand on parle de la question des données personnelles, c’est qu’évidemment il s’agit de protéger les droits des individus, mais pour autant ces données peuvent avoir aussi des intérêts pour les individus eux-mêmes. On le sait tous et c’est bien pour ça d’ailleurs que se développent un certain nombre de choses et c’est assez frappant de voir que finalement même quand il y a des fuites massives de données, c’est ce qui s’est passé il n’y a pas si longtemps avec Facebook, même s’il y a des désinscriptions, eh bien il y a pour autant, encore, une très grande partie des gens continuent à utiliser ces systèmes.
Donc il y a quelque qui pourrait paraître paradoxal en ayant le sentiment que, à la fois, les gens veulent, et c’est légitime, avoir des données qui sont protégées et pour autant ferment les yeux très souvent vis-à-vis des outils qu’ils utilisent et qui pompent, aspirent, revendent et vont même faire des choses encore pires que ça avec leurs données.
Évidemment pour nous, ce qui semble important, c’est d’arriver à fédérer les acteurs qui sont prêts à avoir une démarche éthique, souveraine, sur la donnée, non pour ne rien faire avec les données, mais pour faire des choses, des choses qui soient à l’usage des citoyens, qui permettent de faire progresser un certain nombre de choses et en particulier la recherche, la santé, la connaissance d’une manière beaucoup plus générale. Et pour ça on a besoin de pouvoir, notamment, croiser des données personnelles entre elles, mais évidemment il faut définir un cadre éthique et souverain pour pouvoir le faire, pour se prémunir contre la fuite des données.
Et c’est dans ce cadre-là que, autour d’un certain nombre d’acteurs que j’anime au sein de ce qui est en train de devenir une association de préfiguration qui s’appelle Occitanie-Data, dans laquelle il y a des acteurs comme Qwant, justement, et nous sommes, en somme, évidemment extrêmement heureux, eh bien nous travaillons dans cette direction. Le choix qui a été fait c’est de s’adresser à des acteurs souverains, à des acteurs qui respectent des principes éthiques forts et c’est pour ça que, évidemment, Qwant était pour nous un partenaire de choix, même si Qwant, pour le moment, n’est pas encore installé en région Occitanie – j’espère que ça changera bientôt mon cher Tristan –, mais il y a des étapes ; nous venons d’en franchir une première.
Tristan Nitot : Je ne m’avancerai pas ce soir sur le sujet.
Bertrand Monthubert : Tu ne t’avanceras pas ce soir, ce n’est pas l’objet de la table ronde et je ne te tends pas de piège en disant cela. Mais tu vois le dynamisme de la capitale de la région Occitanie quand même.
Tristan Nitot : Absolument !
Bertrand Monthubert : J’espère que vous allez lui montrer l’enthousiasme que vous avez pour que Qwant, effectivement, puisse développer de l’activité ici, ce serait bien pour tout le monde. Il y a de l’enthousiasme tu vois ! Donc des acteurs comme Qwant et pour beaucoup d’autres autour d’une initiative et nous communiquerons plus largement là-dessus bientôt. J’ai déjà été un petit long donc je vais m’arrêter ici pour cette introduction, mais c’était pour vous dire à quel point pour cette question de l’enjeu des données personnelles à l’heure du big data est vraiment quelque chose d’essentiel sur lequel nous sommes profondément engagés. Merci pour votre attention et bonne table ronde.
[Applaudissements]
Amaëlle Guiton : Merci beaucoup. Bertrand Monthubert en parlait, c’est vrai qu’on a vécu une année 2018 assez intéressante, en positif comme en négatif, puisqu’on a eu un scandale assez majeur de fuite de données : tout le monde a en tête Cambridge Analytica. Pour ceux qui ne l’auraient pas totalement en tête, c’est donc cette entreprise de marketing politique, en tout cas qui se présente comme telle, liée à un certain un milliardaire très proche de Trump et à son ex-conseiller Steve Bannon, qui a utilisé les données de 80 millions d’utilisateurs de Facebook pour établir ce qu’ils appelaient des profils psycho-sociaux, lesquels auraient été utilisés à des fins de publicité ciblée en faveur de Trump ou en faveur du Brexit. Donc on a là un exemple assez flagrant de ce que peut donner, on va dire, un cadre effectivement assez lâche puisque, en l’occurrence, il n’y avait rien de particulièrement illégal dans cette histoire à l’origine, c’est juste Facebook qui ne protégeait pas les données de ses utilisateurs. Et on voit aussi la manière dont ça peut être utilisé par des acteurs politiques à des fins de manipulation ; je crois qu’on ne peut pas le dire autrement. Donc on a eu ce moment qui a été un moment de prise de conscience, on aura l’occasion d’y revenir.
Et puis, quelques mois après, est entré en application le Règlement général sur la protection de données adopté par l’Union européenne, ça aussi on en parlera parce que je crois que c’est à la fois un progrès réel et substantiel et puis, en même temps, ce n’est que le début du boulot puisque maintenant il va falloir le faire appliquer et puis, surtout, il va falloir préciser un certain nombre de notions qui sont dans ce règlement et qui peuvent donner lieu à, on va dire, l’établissement d’une jurisprudence qui peut aller dans un sens ou dans l’autre. Donc l’idée c’est un peu d’essayer de voir eh bien où est-ce qu’on en est aujourd’hui, qu’est-ce qui nous attend par la suite et qu’est-ce qu’on peut faire, vers quelle société on va, finalement.
Donc on a avec nous, par ordre alphabétique comme ça je ne vexerai personne, Stéphane Bortzmeyer qui est ingénieur réseau et qui est spécialiste mondial du DNS ; on peut le dire comme ça, tu crois ? Si, si.
[Stéphane Bortzmeyer indique plus ou moins avec les mains]
Tristan Nitot : Mondial.
Amaëlle Guiton : Tristan Nitot qui est vice-président de Qwant après avoir longtemps officié pour la Fondation Mozilla et Marc Rees, célébrissime rédacteur en chef de Next INpact que, à mon avis, vous êtes un certain nombre à lire dans cette salle.
Tristan Nitot : J’espère que vous êtes abonnés.
Amaëlle Guiton : Et si ce n’est pas le cas, eh bien honnêtement faites-le. Vous pouvez même vous abonner, ce que j’ai fait.
Peut-être, pour commencer, justement revenir un peu sur Cambridge Analytica parce que moi j’ai eu le sentiment que c’était quand même une espèce de tournant en termes de conscience des internautes sur les risques, justement, à la fois de la centralisation massive de données personnelles, de leur mésusage et aussi de ce qu’on peut en faire. Est-ce qu’on est vraiment dans ce moment de prise de conscience ? Tristan, peut-être, pour commencer.
Tristan Nitot : J’espère qu’on est dans une prise de conscience parce que je pense qu’aujourd’hui on est tous plus ou moins démunis face au numérique. Alors certainement, dans cette salle, un peu moins qu’ailleurs, mais il faut quand même reconnaître qu’il y a une injonction à passer au numérique et on dit à peu près à tout le monde : comment, tu n’utilises pas Google ? Comment, tu n’as pas Internet ? – ça c’était il y a quelques années. Comment, tu n’as pas de smartphone ? Comment, tu n’es pas sur Facebook ? etc., et sans jamais que les gens soient formés. À titre d’exemple, peut-être pour ceux d’entre vous qui ont un smartphone, comment ça s’est passé l’éducation au smartphone ? Ça a dû prendre 90 secondes dans une boutique Orange ou équivalent où on vous a dit : « Le bouton vert c’est pour passer des appels et ça c’est pour envoyer des textos, sinon ça c’est pour aller chercher des applications parce que vous pouvez installer des programmes comme dans un ordinateur ». Ça c’est dans le meilleur des cas. Ou alors, évidemment, vous avez une formation en informatique et, à ce moment-là, c’est autre chose. Mais 95, 98, 99 % des gens n’ont pas de formation au numérique, ils apprennent sur le tas comme ils peuvent et on les pousse dans le dos pour qu’ils avancent et qu’ils consomment toujours plus de numérique. Finalement eux qui nous éduquent, eh bien ce sont les gens qui font du commercial, du marketing : regardez comme c’est cool la Google Home, vous voyez, vous avez des trucs. Évidement, c’est extrêmement difficile de prendre du recul sur les aspects toxiques, négatifs du numérique parce qu’il ne faut jamais compter sur les services de marketing pour vous expliquer que la Google Home c’est quand même installer un micro dans votre salon ! Ça, ils ne vont pas vous le dire comme ça. Par contre les médias ont des rôles à jouer. On voit, par exemple, que la police américaine, pour la deuxième fois, vient de demander à Amazon des enregistrements issus d’Alexa pour élucider des crimes. Donc ça veut dire que le micro est quand même allumé et que donc des gens peuvent avoir accès à ces données qui ont été enregistrées chez moi.
Donc je vois dans Cambridge Analytica, dans ce scandale qui a un aspect positif en ce sens qu’il est médiatique et qu’il est aussi pédagogique. Regardez, on est capable, quand on centralise les données dans un endroit, dans les mains d’un type que j’hésiterais à peine à qualifier d’escroc parce que c’est open bar sur la data, avec des données personnelles de gens, et ce type n’hésite pas à prendre des risques de déséquilibrer la politique de son propre pays juste pour gagner de l’argent. Et ça je pense que c’est le genre de catastrophe qui a ceci de positif qu’il peut éveiller les consciences et faire comprendre que waouh ! en fait c’est grave ! Et ce qui est bien c’est que, avec Facebook, toutes les semaines on a une nouvelle grosse merde comme ça. Je pense qu’avec du matraquage, sauf si on s’y habitue, eh bien on va quand même arriver à prendre conscience qu’il y a un vrai problème.
Le dernier scandale est révélé par un article du New York Times sorti il y a trois jours ; deux semaines avant c’était sur la publicité sur les élections des midterms aux USA, qui est quand même complètement dingue. Si on rembobine 2018, en janvier 2018 Mark Zuckerberg écrit sur son Facebook, visible par tous : « 2018 est l’année où je répare Facebook ! » Ça janvier ! Févier, on se rend compte qu’il offre un VPN gratuit à ses utilisateurs mais en échange de quoi il espionne votre usage, il passe par le VPN, sur les applications concurrentes. Ça c’était févier : il avait déjà commencé à réparer, on voyait des durs au boulot.
Mars-avril ou mai je ne sais plus.
Amaëlle Guiton : C’est mars.
Tristan Nitot : Mars, Cambridge Analytica ; super Mark, pas celui-là [Tristan indique Marc Rees], Mark Zuckerberg, surtout tu ne changes rien, c’est bien, on voit que tu répares à fond ! Et là, ensuite, les différents trucs, les midterms, etc. Les midterms, c’est-à-dire qu’on l’accusait déjà avoir été instrumental dans le bricolage des élections américaines et le mec, six mois plus tard, il rempile avec les publicités politiques mensongères ! Il est toujours très dur à réparer Facebook ! Moi j’ai hâte de voir 2019 !
Amaëlle Guiton : Il semble qu’il a un problème de ???, de relations publiques ce temps-ci. Je voyais Marc qui voulait réagir. Marc Rees.
13’ 23
Marc Rees : Oui, pas l’autre Mark !
Amaëlle Guiton : Je sens que ça va être un running gag jusqu’à la fin de cette table ronde.
Marc Rees : En fait, ce qu’a dit Tristan est très juste, mais je crois que la problématique en question a été accentuée, aussi, par un défaut d’information. Pour revenir aux fondamentaux de l’affaire Cambridge Analytica, on est parti d’une application, un questionnaire de personnalité comme on en a tout plein sur Facebook et qui sont très pénibles. Des gens ont répondu naïvement, gentiment, bon ! Peut-être qu’ils s’ennuyaient et, à partir de ce pétrole, grâce aux autorisations qui étaient ouvertes par Facebook à l’époque, les gens qui étaient derrière cette application ont pu tracer, déjà faire un social graph, un graphe social des personnes qui ont répondu, mais également ont pu le faire avec toutes les personnes qui étaient dans les contacts de chacun des répondants.
La problématique que tu as soulevée est très juste, celle de la centralisation, mais elle est doublée et aggravée par un défaut d’information. Parce que si on avait dit aux gens : « Tu vas répondre à un questionnaire de personnalité pour savoir si tu aimes les spaghetti ou les ravioli – bon ! –, mais en plus moi, derrière, ça va me permettre de faire des pubs ciblées sur les Afro-américains pour rapporter des propos de Clinton ou autres afin de jouer sur une élection », peut-être que l’individu n’aurait pas répondu tel qu’il l’a fait. Cette problématique du défaut d’information je pense qu’elle est fondamentale et le RGPD, tu l’as cité, on y reviendra, peut apporter des solutions.
Amaëlle Guiton : Stéphane, pendant qu’on préparait cette table ronde, tu disais ce qui est intéressant aussi avec cette histoire de Cambridge Analytica, c’est qu’on comprend bien un des enjeux et des problèmes du big data, c’est qu’à partir de plein de données, en fait on en construit d’autres. Ce sont les croisements et les rapprochements.
Stéphane Bortzmeyer : C’est vrai que la plupart des gens, quand on leur parle de problème des données personnelles et de fuite de données personnelles, ils pensent à un secret particulier qu’ils ont et paf ! il serait découvert : j’ai une Ferrari cachée et paf ! le fisc vient de l’apprendre et il va me faire un redressement fiscal pour ça. Ce problème existe, bien sûr, mais tout le monde n’a pas forcément un secret comme ça bien spectaculaire et c’est pour ça que beaucoup de gens se disent « moi je n’ai rien à cacher ». Par contre, tout le monde a plein de petites informations éparpillées un peu partout dont aucune n’est vraiment très grave, mais qui mises ensemble, corrélées, nourries d’autres informations, peuvent arriver à déterminer des profils intéressants et faire soit des messages politiques ciblés, soit demain on acceptera ou on refusera de vous faire un prêt ou un contrat d’assurance à cause de ça, voire on vous surveillera ou on vous refusera un boulot à cause de ça. Et je crois que c’est vraiment là que le big data est quelque chose de spécial par rapport aux autres violations des données personnelles qu’on avait eues avant, c’est qu’on peut déduire des choses que les gens n’ont pas dites explicitement.
J’avais vu l’autre jour un rapport d’une boîte qui voulait savoir quels étaient ses followers sur Twitter et qui avait payé un service que fait Twitter ; on les paye, ils vous font un rapport avec les caractéristiques de vos followers. Et dans le lot il y a plein d’informations que les gens n’ont pas mises. Par exemple il y avait s’ils étaient propriétaires ou locataires de leur maison, ce qu’on ne met pas explicitement quand on ouvre un compte Twitter, mais qui peut être déduit de toutes les informations qu’on a par ailleurs. E c’est là, je crois, où est le danger et c’est dangereux pour deux raisons. C’est que un, beaucoup d’utilisateurs ne comprennent pas encore le pouvoir de ces recoupements, de ces informations éparpillées qui finissent par dessiner un profil alors même que chacune paraissait assez inoffensive : je suis copain avec machin, c’est un peu inoffensif. Mais si, par exemple, la majorité des gens avec qui on est copain partage telles idées politiques, comme souvent ce qui se ressemble s’assemble, Facebook peut en déduire les opinions politiques qu’on a alors que chacune des informations n’était pas très grave.
Donc cette absence de compréhension de l’importance du recoupement est un premier problème. Le deuxième est que ça rend difficiles les actions puisque chaque fuite de données, comme ça, n’est pas très importante en elle-même, mais c’est le nombre qui fait le problème. Et l’appareil, par exemple légal, n’est pas vraiment prévu pour ça. Il est prévu pour des crimes bien identifiés d’ampleur qui justifie qu’on poursuive les gens ou les entreprises et qu’on les condamne et c’est beaucoup plus délicat de poursuivre plein de petites fuites qui, chacune, n’est peut-être pas très grave mais qui, ensemble, finissent par faire une vraie violation des données personnelles.
Amaëlle Guiton : Marc.
Marc Rees : À l’université de Cambridge cette fois-ci, qui n’a rien à voir avec Cambridge Analytica, il y a des études en psychométrie qui ont été faites et qui démontrent ou, en tout cas, laissent à penser qu’à partir de 68 « like » sur Facebook on peut deviner la couleur de peau d’une personne à 88 %, je ne sais plus si c’est 88 ou 89. De même on peut déduire à partir de ce même lot de « like » l’orientation sexuelle d’une personne. À partir de 150 « like » on peut connaître une personne mieux que ses parents. Voilà !
Amaëlle Guiton : On a commencé à parler un peu du Règlement général sur la protection des données qui est donc entré en application, je ne voudrais par dire de bêtise, c’est le 23 mai.
Marc Rees : 25 !
Amaëlle Guiton : 25, bon ! J’en ai dit une. Tant pis ! Marc, toi qui l’as lu en large en long et en travers, qui as publié des commentaires article par article si mes souvenirs sont bons, qu’est-ce qu’il nous apporte ce texte, finalement ? Beaucoup de gens sont persuadés que c’est une avancée et je pense qu’ils ont raison. Si on devait résumer et dire finalement sur quel terrain ça permet de progresser et notamment par rapport aux questions qu’on vient d’aborder ?
Marc Rees : Les avantages, enfin les évolutions sont multiples.
Première : auparavant, dans la logique de la loi CNIL de 78, modifiée plusieurs fois, on était dans une logique quasiment documentaire, avec une obligation déclarative de la part des responsables de traitement. Dès lors qu’on voulait réaliser un traitement de données personnelles, eh bien il fallait faire une déclaration administrative assez pénible auprès de la CNIL.
Le RGPD change totalement la logique. Il rentre dans un système de responsabilisation, c’est-à-dire qu’il n’y a plus de formalité préalable : tu gères des données personnelles, OK, mais tu en es responsable de A à Z, de la conception même du système jusqu’à son application. Et cette logique de responsabilité, quelque part, accompagne aussi la maturité de la donnée personnelle dans le pays. Première chose.
Deuxième et grande évolution c’est l’application territoriale du texte, puisque le RGPD s’applique pour toutes les entreprises qui sont établies, qui ont un lieu d’établissement en Europe, mais il s’applique également pour tous les responsables de traitement qui sont à quelque endroit sur la planète mais qui ciblent, dans leurs traitements, des données personnelles de citoyens européens. Donc il y a un vent comme ça, une mise à niveau à l’échelle de la planète pour tous les acteurs qui s’intéressent à l’Europe.
Évidemment, on a la partie sanctions ; la partie sanctions m’agace un petit peu ; elle m’agace un petit peu parce que souvent le RGPD a été présenté sous son versant bâton alors que Cozy Cloud et Qwant – je ne veux pas te faire de pub [en se tournant vers Tristan Nitot] –, mais Cozy Cloud et Qwant montrent qu’on peut avoir un respect de la donnée personnelle et s’en servir comme un argument marketing. Le marketing ce n’est pas sale ! Et cette partie-là est intéressante dans cette logique du RGPD ; oui il y a une partie sanction, la sanction « rgpdienne » c’est 4 % du chiffre d’affaires mondial ou 20 millions d’euros d’amende, le plus haut niveau des deux l’emportant.
Amaëlle Guiton : Ce qui n’est quand même pas anodin par rapport à ce qu’étaient les sanctions précédentes de la CNIL. On peut quand même considérer que la taille du bâton est un progrès. Non ?
Marc Rees : C’est un progrès et d’ailleurs ça fait assez rire puisque Facebook a été sanctionné par l’équivalent de la CNIL au Royaume-Uni de 500 mille livres sterling, c’est quasiment rien, mais le problème c’est que les faits de Cambridge Analytica sont antérieurs au 25 mai donc on applique la loi dans le temps et, malheureusement, c’est l’ancienne loi qui s’applique.
Amaëlle Guiton : Tristan, ça crée un appel d’air le RGPD pour des acteurs on va dire plus vertueux que nos « amis » entre guillemets californiens ?
Tristan Nitot : De toute façon chez Qwant nous on a toujours été orientés sur le sujet donc l’avantage c’est que ça braque les projecteurs sur la problématique des données personnelles. Donc nous ça nous arrange. Déjà ça n’a pas été très compliqué chez nous parce qu’on ne collecte pas de données : Voilà ! Problème résolu. Et ça fait comprendre au grand public que oui la donnée personnelle est quelque chose d’important, donc c’était, effectivement, très positif pour Qwant.
Amaëlle Guiton : Il y a quand même un aspect qui depuis le début me titille avec ce texte et je ne suis pas la seule, et c’est pour ça que, y compris des acteurs associatifs – La Quadrature du Net a été un des premiers à le faire, il y a eu une association en Allemagne, maintenant c’est l’Internet Society – s’appuient sur le RGPD pour déposer des plaintes, en fait, que ce soit auprès de la CNIL ou au civil, c’est qu’il y a un enjeu assez énorme, semble-t-il, de jurisprudence, parce que la question de l’intérêt légitime par exemple des entreprises à la collecte et au traitement des données personnelles, ça va demander à être affiné. Marc, il y a vrai enjeu aussi de ce point de vue-là ?
Marc Rees : Oui. Il faut juste préciser que lorsque vous êtes responsable de traitement il y a différentes portes de justification qui vous autorisent à collecter de la donnée personnelle. La plus simple c’est le consentement de la personne : « M’autorisez-vous à collecter vos données personnelles pour faire un traitement ? » Ça c’est le consentement. Il y a cinq autres justifications et, parmi les cinq autres justifications, parmi les mesures liées par exemple aux questions de sécurité nationale ou par la force de la loi on a ce qu’on appelle l’intérêt légitime. C’est-à-dire qu’un responsable de traitement peut dire : « Moi j’ai un intérêt légitime à collecter vos données personnelles » et, en passant par cet argumentaire, on évince la question du consentement.
Et cette problématique d’intérêt légitime, qui préexistait au RGPD, là, effectivement, on est en attente forte de doctrine d’application très concrète pour tous les articles. Juste pour vous signaler la chose, le RGPD c’est 200 pages, c’est 99 articles, 173 considérants. Il y eu 4000 amendements au Parlement à Strasbourg. Et quand vous injectez ça dans un système juridique aussi vaste que l’Europe, ce n’est pas neutre, ce n’est pas tous les jours qu’on a un tel véhicule. Donc on a besoin de ce recul, notamment pour la question des cookies par exemple : peut-on ou non collecter des cookies plus ou moins publicitaires ? Pour le savoir, par exemple, je me suis amusé à « attaquer », entre guillemets, la boutique de l’Élysée, qui a fait pas mal de bruit, devant la CNIL, parce que j’ai considéré que les conditions générales d’utilisation, notamment la partie données personnelles, soulevaient des questionnements métaphysiques et donc j’ai saisi officiellement la CNIL.
Tristan Nitot : C’est comme ça que tu es lié à l’affaire Benalla, puisque c’est Benalla…
Marc Rees : Oui ! Ils t’attendent d’ailleurs.
Tristan Nitot : Ah non ! Moi je ne peux pas courir, arrête tes conneries.
Marc Rees : Justement !
Amaëlle Guiton : Tout s’explique. C’est vrai que du coup on a à la fois un texte européen qui, maintenant, est regardé avec envie par certains parlementaires américains, ça fait toujours plaisir ! Ce sont plutôt des parlementaires démocrates, ils ne sont pas encore très nombreux, mais il y en a qui commencent à dire que peut-être il faudrait faire comme l’Europe et réguler. Donc on a un appui juridique, y compris pour aller chercher des crosses [crasses ?] à ces acteurs-là.
Il y a quand même une partie du problème qui est leur nature même, leur business modèle et le fait que, effectivement, tout ça repose sur une hyper-centralisation des données. Je me souviens avoir vu des conférences de toi notamment, Stéphane, où tu disais le problème c’est que quand on veut faire un équivalent de Facebook ou un équivalent de Twitter, finalement ce n’est pas si simple. On a vu les tentatives. Est-ce qu’on a quand même une chance, à un moment donné, d’y arriver ? C’est-à-dire à faire émerger, je ne sais pas, des réseaux sociaux qui soient des réseaux sociaux vertueux, de manière, on va dire, massive, pas seulement pour quelques happy few comme c’est encore le cas aujourd’hui malheureusement.
25’ 55
Stéphane Bortzmeyer : C’est vrai
