Différences entre les versions de « Pass sanitaire, géopolitique de la Data, copie privée - Benjamin Bayart et Marc Rees »

Titre : Pass sanitaire, géopolitique de la Data, copie privée ?

Intervenants : Benjamin Bayart - Marc Rees -Sky

Lieu : Thinkerview

Date : 15 juin 2021

Durée : 2 h 9 min

Vidéo

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Sky : Benjamin Bayart, Marc Rees, bonsoir.

Benjamin Bayart : Bonsoir.

Marc Rees  : Bonsoir.

Sky : Nous vous recevons pour une chaîne internet qui s’appelle Thinkerview, nous sommes en direct. Est-ce que vous pouvez vous présenter succinctement.

Benjamin Bayart : Moi en premier apparemment vu que c’est à moi que tu fais signe.
Benjamin Bayart, ingénieur, informaticien, militant de longue date pour la protection des libertés dans le monde numérique. Membre de trop d’associations pour les citer toutes, cofondateur de La Quadrature du Net et président de la Fédération des Fournisseurs d’accès à Internet associatifs pour les deux plus gros morceaux. Beaucoup de sujets à mon actif dans ces thèmes-là. Sinon, à côté de ça, pour gagner ma croûte, je suis consultant.

Sky : Marc.

Marc Rees  : Je suis le second, donc j’imagine que c’est à moi.
Marc Rees, abonné à Internet, journaliste devenu rédacteur en chef après quelques années passées sur les bancs de la fac de droit d’Aix-en-Provence. Lecteur compulsif du Journal officiel et de toutes ces choses que pas grand monde ne lit.

Sky : On a décidé de vous inviter tous les deux aujourd’hui pour parler de tout un tas de sujets : des internets, du numérique, de la copie privée, de la géopolitique de la data, du Pass sanitaire et des données exfiltrées dans des sociétés qui ne nous appartiennent plus.
Benjamin Bayart, est-ce qu’on pourrait parler un petit peu de la géopolitique des data. Qu’est-ce qui est en train de se passer ? Est-ce que le gouvernement français fait le nécessaire pour que les data françaises ou européennes restent souveraines et ne soient pas exfiltrées dans des sociétés qui sont le bras armé du gouvernement américain ou, entre autres, d’autres gouvernements ?

Benjamin Bayart : Le problème c’est que si tu attaques par ça, il faut que je commence par le long tunnel où j’explique.

Sky : Ça tombe bien, on a pris des pelles aujourd’hui !

Benjamin Bayart : Donc on va creuser un petit tunnel. En fait, dans le fond de ta question, il y a eux morceaux. Il y a un morceau qui est purement géopolitique, économique et qu’on peut traiter sans rien de particulier en considérant que la data c’est comme du pétrole. Et puis, si on veut comprendre un peu plus finement ce qui se passe en Europe, il faut comprendre la question des données personnelles. En fait la question des données personnelles n’est pas intuitive. Contrairement au pétrole, ce n’est pas du business, c’est autre chose, donc il faut expliquer.
Tu vas voir, il y a trois grands morceaux qu’il faut raconter.

Sky : Raconte-les comme si tu expliquais à Marc.

Benjamin Bayart : Non, c’est à toi que je l’explique, tu poses les questions, Marc sait déjà.

Sky : Moi je ne sais pas, c’est ça ?

Benjamin Bayart : Non. Tu ne sais pas.
Le premier morceau qu’il faut avoir en tète se résume en un slogan qui est « l’ordinateur est fatal ». C’est un truc qui n’est pas intuitive, ça peut se raconter avec quelques petits exemples. 1970, tu as des démarches à faire auprès de l’administration, comment ça se passe ? Tu vas dans les locaux de l’administration, tu prends un joli formulaire en papier qu’on appelle un CERFA et puis tu remplis dans les cases en cochant tout bien. Donc tu décris ton cas – nom, prénom adresse, etc., – et puis, à un moment, il faut que tu décrives ta situation. Il y a deux cases prévues qui sont bleu et rouge, or toi, manifestement, tu es vert. Ton cas à toi c’est vert, ça saute aux yeux, on ne peut pas le rater, sauf à être daltonien, mais on voit bien que ton cas c’est vert. Tu ne peux rien faire face à ton formulaire. Du coup tu prends ton formulaire où tu as rempli tout ce que tu pouvais, tu vas au guichet, et une personne au guichet, humaine, pas plus bête qu’un autre, qui voit bien que manifestement ton cas c’est vert, et cette personne va s’en débrouiller. Elle va adjoindre une note au dossier, mettre un post-it, agrafer un truc, laisser un papier pour son collègue qui traitera dans les bureaux plus tard pour expliquer que ça ne rentre pas, comme dans Le père Noël est une ordure, ça dépend, ça dépasse. Ça c’est 1970.
Tu regardes le même cas en 2020. Tu fais un peu de recherches, au bout de deux/trois minutes de recherches tu trouves où est le formulaire en ligne de l’administration. Tu remplis tout le zinzin et puis pareil, on te propose bleu et rouge or tu es vert, en fait tu es toujours vert. Du coup, face à ce putain d’ordinateur, tu ne peux rien faire. Tu cliques sur le bouton pour avoir de l’aide, on te dit que le champ est obligatoire et qu’il faut choisir ou bien bleu ou bien rouge. Tu fais OK, je ne suis pas plus avancé. Du coup tu essayes le chatbot qui te dit que le champ est obligatoire et qu’il faut remplir avec ou bien bleu ou bien rouge. OK, ça ne sert à rien. Ensuite tu réponds au questionnaire de satisfaction sur l’usage du chatbot pour dire que c’est de la merde. Tu essayes de téléphoner à l’administration, tu ne trouves pas de numéro de téléphone, tu te bats, tu finis, au bout de moult emmerdements, par te rendre à un guichet où tu vas croiser un humain qui est tout aussi intelligent que la fois d’avant. Il voit bien que tu es vert, sauf qu’il a le même logiciel que toi ! Et il ne peut plus laisser une note, qu’est-ce que tu veux agrafer une note sur l’écran, il ne peut plus rien faire, le plus souvent il ne peut rien faire.
Ça c’est que je résume en « l’informatique est fatale ». Quand un ordinateur applique un modèle, il n’y a plus de négociation possible. Et c’est très particulier. Tu peux tout négocier dans la vie sauf avec un ordinateur. Tant que tu es dans une relation d’humain à humain, la définition du réel est négociable. Quand tu es dans une relation d’humain à machine, il n’y a plus de négociation du réel.
Un autre exemple que j’aime beaucoup, ce sont les histoires de schémas de caractères. Quand on a négocié la norme ISO 8859 qui définit les codages de caractères, le représentant de la France n’était pas là ou pas assez réveillé à certaines réunions et il a oublié deux caractères importants qui sont le ÿ majuscule et le œ majuscule. Du coup, il a fallu modifier la norme plusieurs années plus tard, on a créé une quinzième page à la norme 8859 pour inclure ces deux caractères là. Du coup, si tu n’as pas le ÿ majuscule tu ne peux pas faire le panneau de signalisation qui dit L'Haÿ-les-Roses parce qu’il y a un ÿ dans le nom et on écrit les noms des villes tout en capitales. Là tu as encore cette idée de l’ordinateur est fatal. Si le caractère n’est pas codé, tu ne peux pas écrire le nom, du coup on fait quoi ? On change la réalité ?
Si l’ordinateur a prévu que tu puisses faire un 1,70 m ou 1,80 m, si tu fais 1,75 m, on fait quoi ? On en coupe un bout pour que ça rentre dans la case ?
C’est ça l’ordinateur est fatal, tu ne peux plus négocier. Ça c’est le premier morceau. Tu retrouves ça sous plein de formes. Il y en a une que j’aime beaucoup qui est que Cédric O, honorable ministre, qui a la tristesse d’avoir un nom en une seule lettre et des milliers de formulaires informatiques expliquent que pour saisir un nom il faut rentrer au moins deux lettres. Du coup il fait quoi ? Il change de nom ? Il va s’appeler Aux pour plaire à l’ordinateur ?
C’est ça, l’ordinateur est fatal. Plus tu informatises le monde, plus tu rends la négociation impossible. Ce n’est plus une négociation sociale d’être humain à être humain c’est une non négociation avec une machine.

Le deuxième morceau à comprendre, je le résume souvent en « tout fichier est une maltraitance » ou, pour le dire de manière plus réaliste, « tout fichier est une maltraitance potentielle ».
En fait, quand tu mets des gens dans des fichiers, quand tu fais des fiches sur les gens, tu cesses d’avoir une relation d’humain à humain, tu te mets à avoir une relation d’humain à objet. Ça commence par des choses extrêmement anodines : tu organises un mariage, une bar-mitzvah, une grosse teuf, il faut inviter plein de monde, tu vas faire un plan de table. Tu veux éviter que ta copine trans soit à côté du tonton raciste parce que tu sens bien que ça va clasher toute la soirée.

Sky : Ça peut être marrant !

Benjamin Bayart : Non en fait, très vite c’est lourd pour tout le monde et ton but n’est pas que ça soit lourd pour tout le monde. Du coup tu fais des petits papiers avec les noms des gens et tu fais ton plan de table, etc.

Marc Rees : Est-ce que tu as le droit de faire des fichiers avec trans ?

Benjamin Bayart : Ce n’est pas le sujet, je n’en suis pas encore là.
Quand tu fais ça en fait, quand tu fais ton plan de table en déplaçant les petits papiers, tu manipules tes papiers comme des choses. Jamais tu ne déplacerais tes potes comme ça, jamais tu ne déplacerais tes potes comme des pions sur un échiquier, au moins tu leur demanderais, tu leur parlerais, tu leur dirais « s’il te plaît, est-ce que tu peux… », tu aurais une forme de négociation humaine de la chose et tu ne les traiterais comme des objets.
En fait, quand tu crées un fichier, tu crées la possibilité d’une maltraitance puisque tu fais ce qu’on appelle de la réification, c’est-à-dire que tu transformes un sujet humain en un objet sur lequel tu vas appliquer un traitement et ce traitement sera inhumain. Les exemples sont innombrables.

Sky : Est-ce qu’on peut appliquer ça sur les fichés S ?

Benjamin Bayart : On peut appliquer ça à tous les fichiers, j’ai bien dit fichiers, pas nécessairement informatiques. Le fichier des Juifs de la préfecture de police de Paris dans les années 40 était un fichier avec des belles fiches en bristol dans un classeur en bois, il n’y avait pas d’ordinateur dans la bataille et ça servait manifestement à maltraiter les gens. Le fait de mettre les gens en fiches et ensuite de les manipuler comme des objets, de les trier, de les classer, de calculer dessus, tout ça c’est de la réification. Tu te mets à manipuler des choses et plus à manipuler des gens.
Quand un médecin ne voit que le dossier et ne voit pas le patient, il ne peut pas être en empathie, il ne peut pas comprendre ce que dit le patient, il peut juste décider sur un graphique, une statistique, un chiffre. Il n’y a plus de relation humaine.
Le fait de remplacer les gens par une fiche, c’est le début d’une maltraitance ou d’une maltraitance potentielle.

Ces deux éléments-là sont rigoureusement indispensables à comprendre pour comprendre pourquoi le sujet des données personnelles n’est pas dans le droit du business. Ce n’est pas du droit du commerce, ce n’est pas du droit de la propriété intellectuelle, tu ne peux pas vendre tes données personnelles pour la même raison que tu ne peux pas vendre un rein. Ce n’est pas possible parce que tu es dans du droit des personnes.

Sky : En France ou en Europe.

Benjamin Bayart : En France ou en Europe. Aux États-Unis, les données personnelles sont plus considérées comme une propriété privée au sens ta bagnole ou ton blouson, un truc que tu peux vendre, que tu peux donner. En Europe, les données personnelles sont considérées comme une de tes propriétés au sens la couleur de tes yeux. Tu ne peux pas vendre la couleur de tes yeux, ça n’a pas de sens ; au sens ton prénom, ton âge, tes goûts, le fait que tu aimes ou pas les fraises, les mangues ou la tarte à la rhubarbe, ça ce sont des propriétés de toi, pas des choses que tu possèdes, des choses qui te définissent. En fait, tes données personnelles te définissent et tes données personnelles c’est toi.

Sky : Tu as compris Marc ?

Marc Rees : Pour l’instant j’arrive à suivre parce qu’il est très bon, il est très pédagogique.

Sky : On sait tous qu’il est très bon.

Marc Rees : Là tu l’as coupé alors qu’il sortait du tunnel.

Benjamin Bayart : C’est aussi pour ça qu’il m’a coupé !

Marc Rees : Il est malin !

Benjamin Bayart : C’est pour ça que le droit des données personnelles en Europe s’inscrit dans du droit de la personne, il ne s’inscrit pas dans du droit du business.

Sky : Le droit de la personnalité.

Benjamin Bayart : Oui. Les droits de la personne au sens la personne humaine. C’est à côté des droits de l’homme, c’est à côté du droit à l’intégrité physique ; c’est dans le même registre de choses.
C’est pour ça par exemple que le RGPD, le Réglement général sur la protection des données, en Europe, définit la protection des données personnelles des individus. Le secret des affaires, le secret des procédés, ce n’est pas son problème, ce n’est pas son sujet.
Aux États-Unis, tu feras à peine la différence entre les données personnelles et les données secrètes d’une entreprise. Tout ça sont des données qu’il faut sécuriser, qui sont sujettes éventuellement à monétisation, qui ont une valeur, donc le fait d’y porter atteinte correspond à un préjudice économique. En droit européen, ce n’est pas le cas. Le fait d’y porter atteinte n’est pas défini par un préjudice économique, on n’a pas besoin de démontrer que ça a fait perdre du pognon pour qu’il y ait une sanction. C’est hyper-important à comprendre.
Là-dessus, je peux enfin répondre à ta question qui était, en gros, souveraineté sur la data.

Sky : Et l’État. Qu’est-ce que fait l’État ?

Benjamin Bayart : Souveraineté sur la data, la question est de savoir si le droit qui s’applique sur tes données c’est le droit européen ou c’est le droit américain ?
Sur ton compte Facebook, sur toutes tes données de trafic sur Google, sur toutes tes statistiques d’utilisation de YouPorn, quel est le droit qui s’applique ?

Sky : Jaimelacuisine.com., ??? en cuir, ça marche ?

Benjamin Bayart : C’est pareil. Est-ce que c’est le droit européen qui s’applique ? Auquel cas tes données sont protégés parce que données personnelles, etc. et le RGPD est extrêmement strict par rapport au droit américain, chinois et de beaucoup d’autres pays. Ou bien est-ce qu’on considère que c’est le droit américain qui s’applique et, dans ce cas-là, tes données ne sont pas du tout protégées de la même façon et elles peuvent faire l’objet de monétisation, de commerce, etc.
Ce que nous a dit la Cour de justice de l’Union européenne c’est que le droit américain n’est pas compatible avec le droit européen et ne peut pas être rendu compatible. Le droit américain prévoit des cas pour le gouvernement pour accéder aux données sans protection particulière et avec pas assez d’encadrement. Donc les services américains, FBI, NSA, CIA, tout ça, tous ces gens-là, peuvent accéder aux données personnelles des gens et entre autres des Européens sans contrôle suffisant donc d’une manière qui n’est pas conforme au droit européen.
Quand on parle de souveraineté sur les data, qu’on va sur de sujets comme cloud souverain, etc., l’axe central c’est : est-ce que le droit qui s’applique c’est le droit européen ou est-ce que c’est le droit américain ? Si c’est le droit américain qui s’applique, le droit européen est violé.

Sky : Marc.

14’ 32

Marc Rees : Beaucoup de choses à dire. Merci Benjamin pour cette introduction, ce voyage dans le tunnel.
En fait, le RGPD, dans ses 176 considérants introductifs, donne un petit peu la doctrine, il donne la température de ce dispositif, les 99 parties clarifient par la suite. Justement, il a quand même été calibré pour fluidifier la transmission des données à l’échelle de l’Europe. C’est aussi pour ça que le législateur européen a opté pour un règlement et non pas une directive puisque le règlement s’applique directement dans l’ensemble des États membres alors que la directive s’arrête à mi-chemin et elle demande une loi de transposition. Donc il faut une loi de transposition dans chacun des États membres, ce qui laisse craindre aussi des impuretés dans cette mise en œuvre du texte européen puisque, en fonction des sensibilités respectives, peut-être qu’un pays anglophone ne va pas avoir la même sensibilité à la donnée qu’un pays latin.
La question du droit applicable, en fait elle est inhérente à tout problème juridique qui se pose sur les écrans, que l’on parle de contrefaçon, de droit d’auteur, de propriété intellectuelle ou même de données. Le RGPD a tranché cette problématique-là puisque, dans ses premiers articles, sont prévues des règles de souveraineté, quelque part, puisque le RGPD s’applique dès lors qu’un responsable de traitement, donc un acteur qui va manipuler, qui va réifier des données, se situe en Europe, mais il s’applique également à des acteurs qui sont hors-UE mais qui visent le marché européen, les résidents en Europe. Je parle bien des résidents européens et non pas des nationaux européens. La nationalité n’est pas inscrite sur l’adresse IP.

Benjamin Bayart : Là-dessus tu as un élément de logique extrêmement intéressant. C’est parce que c’est du droit de la personne, c’est un droit des résidents européens quel que soit l’acteur qui manipule leurs données.

Marc Rees : J’ai assisté à beaucoup d’audiences préalablement à l’entrée en vigueur du règlement et systématiquement les gros acteurs du numérique, dans les premiers instants introductifs de ces audiences, ne rêvaient que d’une chose, c’est de dépayser, c’est-à-dire prendre le litige qui était devant une cour française et l’envoyer aux États-Unis. Vous comprenez bien que dans un tel dispositif la pauvre victime française qui se prévaut de ses droits est complètement démunie. Le RGPD résout ça puisqu’il dit que le règlement s’applique pour les responsables de traitement basés en Europe, mais également pour les responsables de traitement hors-UE mais qui visent le marché européen. Du coup ce n’est pas mal parce que, quelque part, on voit que les valeurs qui sont drainées par ce texte, ce règlement, par cette règle de territorialité – c’est un gros mot juridique – eh bien elles vont pouvoir contaminer positivement, ce n’est pas péjoratif, des pays.

Sky : Essaimer.

Marc Rees : Oui, c’est beaucoup joli essaimer, mais ça c’est ton côté Maya l’Abeille.
Elles vont pouvoir essaimer les valeurs du règlement à l’échelle de la planète par cette règle territoriale qui est toute simple.

Sky : Je te mets un petit coup de dard. Question internet, on va être cash : comment s’articulent les lois US extra-territoriales et le RGPD, l’extraterritorialité du droit US ? Je te prends un exemple. La NSA qui se gave sur les mails du président de la République, les mails de nos chefs d’état-major, les mails de tout ça, de nos élus et ainsi de suite, est-ce que l’Europe avec ses petits bras va aller réclamer justice face au grand frère américain ?

Marc Rees : En fait c’est un problème de conflit de lois comme il y en a eu et comme il y en aura, c‘est un problème de conflit de lois et ce problème-là dont je n’ai pas la clef, je ne fais pas de teasing, est extrêmement compliqué à gérer pour les acteurs qui sont pris en étau. Je pense notamment à un acteur fenêtré comme Microsoft qui, d’un côté, a son ADN qui est tissé vers les États-Unis et puis, de l’autre, voit son activité au quotidien qui est encadrée par le texte européen. Que doit-il faire ? Il doit respecter le droit américain docilement ou alors se coucher face au droit européen ? Parole à Benjamin.

Benjamin Bayart : En fait, c’est un des enjeux juridiques de pas mal d’affaires en ce moment. Si tu regardes ça d’un pur point de vue de juriste, ces affaires-là, ces sujets-là sont montés jusqu’à ce qu’on a de plus haut comme cour en droit qui est la Cour de justice de l’Union européenne qui dit le droit européen pour l’ensemble de l’Union. La CJUE, dans l’arrêt Schrems 2, a tranché le sujet, elle a dit : « Le droit américain n’est pas compatible avec le droit européen parce que les accès – je te disais NSA, FBI, CIA, etc. – prévus par le Cloud Act pour le Patriot Act ne sont pas assez encadrés, il n’y a pas de possibilité de recours, les cas dans lesquels le gouvernement a le droit d’aller piocher dans les data ne sont pas assez bien définis, ne sont pas assez cadrés, il n’y a pas assez de contrôle, etc, donc ce n’est pas compatible. »
Maintenant une décision de Cour suprême, ça a beau être la Cour suprême de l’Union européenne, tu ne peux rien en faire dans la vie de tous les jours, il faut attendre que ça redescende en pluie fine et pénétrante dans la réalité. Ça ne va pas redescendre du jour au lendemain parce que ça n’aurait pas de sens, pour le coup, en matière économique, c’est-à-dire que c’est là où on bascule du droit à une forme de géopolitique. Tu ne peux pas avoir du jour au lendemain toutes les CNIL d’Europe qui prennent l’arrêt de la CJUE et qui disent « OK, toutes les activités de tous les acteurs sous juridiction américaine sont illégales en Europe dès qu’il y a de la data personnelle », donc on ferme AWS, on ferme Google Cloud Platform, on ferme Microsoft Azure, on ferme Facebook, enfin on ferme tout, il ne va rester à peu près rien. Tu ne peux pas faire ça.

Sky : Est-ce que c’est pour ça que Macron a convoqué les 200 plus grands intervenants du numérique français pour ne pas concurrencer les GAFA, mais pour se donner l’opportunité d’avoir un plan B ? Est-ce que c’est dans cette vision-là ? Est-ce que Macron avait une vision à long terme ?

Benjamin Bayart : Je n’en sais rien, c’est à lui qu’il faudrait demander. Je crois que non.

Marc Rees : Il faudrait l’inviter.

Sky : On a déjà essayé.

Marc Rees : Pour revenir sur ce que disait Benjamin, je crois qu’il faut quand même remettre les pendules à l’heure à savoir qu’il y a une responsabilité énorme de la Commission européenne dans la problématique aujourd’hui de la souveraineté des données. Pourquoi ? Parce qu’en 2000 cette Commission européenne a signé un blanc-seing, elle a signé le Safe Harbor qui était un accord juridique.

Sky : Safe Harborqui veut dire ?

Marc Rees : Le « port sûr », c’est affreux comme terme, qui, concrètement, transforme les États-Unis comme une espèce d’État membre européen bis où les protections accordées aux données étaient équivalentes à celles en vigueur en France, en Belgique, au Luxembourg, peu importe. Du coup, qu’est-ce qui s’est passé ? Les grands acteurs américains ont pu mettre des pipelines et aspirer, collecter de la donnée par purges complètes sur nos épaules et ce pendant des années et même au-delà, c’est là où ça a éclaté, au-delà des révélations Snowden qui montraient, finalement, que ce fameux pays port sûr n’était pas si sûr que cela parce qu’il y avait un accès assez privilégié des autorités américaines de sécurité sur les données drainées en Europe et que ça posait quand même souci. La Commission européenne qui, par communiqué, dénonçait ces atteintes n’a pas pensé, n’a pas percuté, ne s’est pas dit « tiens, moi en 2000, 12/13 ans auparavant, j’ai signé un blanc-seing et je n’ai pas remis en cause ce dispositif. » Elle n’a pas assuré la mise à jour ». Il a fallu que la CJUE, la Cour de justice de l’Union européenne, siffle la fin du match une fois et même deux fois puisque l’accord Safe Harbor a été remplacé par un nouvel accord le Pricavy Shield.

Sky : Privacy Shield, qui veut dire ?

Marc Rees : Le « bouclier de données » qui a donc enfanté ensuite l’arrêt Schrems2 du nom cet Autrichien, autrefois étudiant, qui a pu mettre à terre ces deux dispositifs.
Finalement, dans le fin mot de l’histoire, on ne peut pas reprocher à ces acteurs américains de vouloir grossir puisque ce sont les sociétés commerciales et c’est leur ADN que de le vouloir, mais dans ce sens de l’histoire un peu curieux la responsabilité de la Commission européenne est extrêmement lourde. Je ne sais pas ce que tu en penses.

Benjamin Bayart : Elle est extrêmement lourde et surtout, ce qui est intéressant, c’est qu’il y a changement de comportement. En 2000 la Commission européenne de l’époque signe le Safe Harbor qui dit que les États-unis sont un territoire aussi sûr, en fait États-Unis et Europe présentent le même niveau de garantie pour les données personnelles donc les données peuvent librement circuler. Tout le monde sait que c’est faux, tous les associatifs gueulent dans toute l’Europe, la Commission signe quand même le truc et on met très longtemps à s’en défaire, on met une quinzaine d’années. C’est en 2014 ou 2016, 2014 je crois, 2014 que le Safe Harbor est cassé, la CJUE casse le truc. Il faut savoir que ça fait un coup de tonnerre et le lendemain de l’avis de la CJUE, de l’arrêt CJUE qui annule le texte, la Commission dit « on va préparer un nouveau texte, on va travailler sur un nouvel accord international avec les États-Unis sur la protection des données personnelles, il va sortir hyper vite, Data must flow. » C’était ça le sujet, le leitmotiv de la Commission européenne à l’époque c’était Data must flow. Ils étaient en mode panique et ils ont négocié en quelques semaines, parce que la décision date de novembre, l’accord est prêt en février et il entre en vigueur en juillet. Pour négocier un accord international, entre novembre et février, on est d’accord que ce n’est pas habituel. Ils sont en mode panique absolue.
2020, à peine cinq/six ans plus tard, on n’est plus sur la même Commission, ce n’est plus la même législature, le paysage européen a bougé. Entre-temps le règlement européen sur la neutralité du Net est passé alors que les États-Unis se positionnent contre la neutralité du Net. Le RGPD a été voté alors qu’il n’existait pas encore et il a fait l’objet d’une bataille parlementaire homérique, il n’y avait jamais eu autant de lobbying au Parlement européen que pendant la discussion du RGPD ; toutes les grandes entreprises américaines sont venues essayer de torpiller le truc et n’ont pas réussi. Donc le paysage européen a changé, et quand la CJUE casse le Privacy Shield, juillet 2020 si ma mémoire est bonne, la Commission ne réagit pas, elle ne dit pas on va faire un truc, elle dit OK. Dont acte, on en prend note et on va s’adapter.
Ça, ça veut dire que quelque chose a changé. On est passé d’un mode où Data must flow et il faut aider Google et Facebook à faire du bon business en Europe à un mode où OK, Il y a manifestement un interdit juridique fort qui est tombé, eh bien on va faire avec. En fait, mon impression est qu’il est en train de se dessiner dans la tête des dirigeants européens l’idée d’une géostratégie.

Sky : Une certaine souveraineté.

Benjamin Bayart : L’idée d’une politique économique, le truc qui est devenu un gros mot depuis les années 60 et, si on veut qu’il y ait un écosystème du numérique en Europe il faut que ce soit nos règles qui s’appliquent, pas celles des autres, et que du coup ça protège nos acteurs parce que nos acteurs vont appliquer nos règles et si les règles américaines sont incompatibles avec les nôtres, ça va petit à petit interdire le marché européen aux acteurs américains.

26’ 57

Sky : Je vous coupe. Je vais vous poser une question internet juste après ma petite parenthèse.
Vous avez suivi l’affaire avec le Danemark. Le Danemark qui s’est transformé en l’équivalent d’un centre d’écoute de la NSA à cause du fait qu’ils aient laissé les services américains utiliser soit le câble sous-marin soit une partie de leur infrastructure en leur permettant d’écouter nos communications, donc nos data. Est-ce que cette géopolitique européenne qui est embryonnaire, cette souveraineté européenne embryonnaire par rapport aux États-Unis, n’est pas contournée par les États-unis par des chevaux de Troie au sein même de l’Europe et sur nos câbles sous-marins pour pouvoir avoir accès directement à ce qu’on essaye de leur faire passer à l’as ?

Benjamin Bayart : Est-ce que Paris est au Danemark ?

Sky : Est-ce que Paris est au Danemark ?

Benjamin Bayart : J’ai lu attentivement ce qu’il y avait dans la loi renseignement en 2015. On l’a attaquée devant le Conseil d’État et devant le Conseil constitutionnel, en particulier les morceaux sur les écoutes internationales. Autant il y a un tout petit peu de réglementation et il y a un certain cadre juridique sur les écoutes que les services peuvent faire en France, autant à l’international c’est open bar. Tu as le droit d’écouter pas tellement les conversations de chez toi, mais les conversations internationales c’est open bar.

Sky : À moins que tu passes par des copains pour écouter chez toi !

Benjamin Bayart : Et les échanges entre services, donc les services allemands avec les services français, les services français avec les services américains, les services américains avec les services danois, les échanges entre services c’est open bar.
Donc tu écoutes tout ce que tu veux à l’international, genre tu écoutes en Allemagne, tu écoutes au Danemark, tu écoutes tout ce que tu peux comme conversations internationales et tu échanges avec tous les services de la planète et tous les pays d’Europe s’amusent à faire ce genre de connerie. C’est exactement ce qu’a fait le Danemark et c’est ce qui permet aux services américains de surveiller les dirigeants européens. La France fait pareil. Effectivement, pour écouter François Hollande, ils ne passent pas par la DGSI qui est le service français, ils vont passer par le service danois. Pour écouter Angela Merkel, si ça se trouve ils passent par la DGSI ou la DGSE qui sont les services français. C’est un jeu d’échanges. Oui, les États membres ne jouent pas forcément le jeu.

Marc Rees : Là-dessus, ma grille de lecture de la loi renseignement que j’ai un petit peu étudiée aussi et la loi sur la surveillance des communications internationales de 2015, fait que, pour moi, la vraie loi renseignement ce n’est pas la loi renseignement c’est la loi sur la surveillance des communications électroniques internationales. Elle est effectivement beaucoup plus généreuse et beaucoup moins regardante sur le formalisme encadrant les demandes d’autorisation délivrées aux services pour mener à bien « ces écoutes », entre guillemets, ou ces traitements de données, sachant qu’il y a un point central dans ces deux textes, c’est là encore la territorialité qu’on a vue tout à l’heure avec le RGPD. À partir de quand une communication nationale devient-elle internationale ? La loi renseignement ou celle de la surveillance des communications internationales parle de numéro rattachable au territoire, etc. Mais si Benjamin, par exemple, est dans l’arrondissement d’à côté et moi je suis à Tourcoing, Strasbourg ou Marseille, peu importe, et on échange via Gmail, est-ce que notre numéro d’identification n’est pas une espèce de machin américain qui va surgir sur les écrans et qui va permettre aux services de renseignement de rattacher la possibilité d’une écoute de cet échange-là, qui est franco-français, mais avec le dispositif beaucoup moins regardant de la loi sur la surveillance des communications internationales ? D’autant plus qu’on a beaucoup parlé des boîtes noires, le 850-3 du code de la sécurité intérieure qui est un traitement algorithmique destiné à anticiper d’éventuelles menaces terroristes à l’aide des données de connexion ou des données téléphoniques, bref ! En fait, quand on regarde la loi sur la surveillance des communications internationales on ne parle de boîtes noires, par contre il y a une expression, c’est le traitement automatisé, ils appellent ça traitement automatisé.

Sky : Maintenant ils disent la technique des algorithmes.

Marc Rees : Oui. Mais dans la loi sur la surveillance des communications internationales on parle de traitement automatisé. La. De fait, le 850-3 qui est prévu par la loi renseignement est relativement cadré puisqu‘il y a quand même une commission nationale de contrôle et technique du renseignement qui est là en amont et en aval de la mise en œuvre de cette technique et encore cette technique n’a pour finalité que la lutte contre le terrorisme ou la prévention du terrorisme. À l’échelle internationale on parle de traitement automatisé, mais pour l’ensemble des finalités du texte. Les finalités du renseignement sont extrêmement vastes. Évidemment il y a le terrorisme qui est aussi la finalité épouvantail, c’est vraiment ce qui mobilise les troupes, mais derrière on a aussi la défense d’intérêts commerciaux et financiers importants à l’échelle d’une nation. Tout ça c’est ouvert aux quatre vents.

Sky : Vous avez entendu parler d’une société qui s’appelle Palantir ?

Marc Rees : Oui, un petit peu.

Benjamin Bayart : Qui n’a pas entendu parler de Palantir ?

Sky : Est-ce que vous voulez nous en parler un petit peu Benjamin ?

Benjamin Bayart : Je ne peux en parler que sommairement parce que ce n’est pas un dossier que j’ai beaucoup étudié.

Sky : Ça viendra peut-être.

Benjamin Bayart : Globalement, c’est un des fournisseurs des services de renseignement américains en matériel de matériel d’analyse des trafics.

Sky : Quelles sont vos sources ?

Benjamin Bayart : La presse, mais c’est aussi de notoriété publique, c’est écrit sur leur site web.
C’est une entreprise qui a pignon sur rue, qui est membre de tout un tas de comités de lobbying à Bruxelles comme à Washington, qui travaille à peu près avec tous les pays du monde, je soupçonne que la France achète quelques matériels chez Palantir, je ne sais plus, il me semble. Oui. Si tu veux, c’est une boîte qui te fabrique des armes numériques.

Sky : Des outils ?

Benjamin Bayart : Des outils quand c’est vraiment fait pour être utilisé par des services de renseignement pour attraper des opposants, on n’est pas très loin de considérer que ce sont des armes numériques.

Sky :  ??? fait ça ?

Benjamin Bayart : Oui, bien sûr. Si tu veux, les marchands d’armes ne se cachent jamais d’être des marchands d’armes et ils t’expliquent qu’ils ne sont pas antidémocratiques puisque c’est le gouvernement qui est démocratique.

Sky : Une ressource pour Palantir et les opposants ?

Benjamin Bayart : Palantir et les opposants ? En Tunisie c’était Qosmos. Pour le coup je ne sais plus.

Sky : Palantir Technologies est une entreprise de services et d'édition logicielle spécialisée dans l'analyse et la science des données, communément appelé « Big data » ou « mégadonnées », basée à Denver. Ce ne sont pas des marchands d’armes !

Benjamin Bayart : Si ! Au sens numérique si !

Sky : Ça n’engage que vous. Tu veux rajouter quelque chose Marc.

Marc Rees : Je disais simplement que dès lors qu’on a des textes aussi ambitieux que la loi renseignement qui prévoit des outils d’analyse de la donnée, aussi bien de la donnée de connexion c’est-à-dire toutes les données qui encapsulent le contenu d’une conversation, ou alors des données qui vont analyser ces conversations, qu’elles aient pour véhicule un mail, le contenu d’un courrier, ou de la voix ou de la vidéo, etc., forcément c’est un appel du pied à tous les acteurs commerciaux pour développer des solutions qui soient adaptées à ce texte-là. Parfois on pourrait même imaginer que les textes ont été adaptés aux capacités techniques de ces acteurs !

Sky : Question internet : que faire lorsque les jugements de la CJUE ne sont pas appliqués en France, notamment sur la conservation des données des opérateurs ? Question de Balthazar.

Benjamin Bayart : C’est une question qui est super amusante.
Deux choses : d’abord un jugement de Cour suprême ne s’applique pas de manière directe, ça prend du temps à infuser, si je puis dire. Il se trouve que la même décision de la CJUE, celle qui invalide la conservation par les opérateurs des données de connexion et leur transmission pour énormément de raisons, en tout cas beaucoup trop au goût de la Cour aux différents services pour d’innombrables motifs, la même décision en France a été appliquée en disant on ne change rien, alors que la Cour nous dit que le dispositif français n’est pas légal, donc on change, en fait, un peu de vernis, mais on ne change rien dans le fond ; c’est un arrêt rendu par le Conseil d’État qui est l’arrêt French Data Network. Le lendemain la Cour constitutionnelle de Belgique rendait un arrêt qui disait exactement l’inverse, qui disait que tout le volet juridique belge sur la conservation des données de connexion est déclaré contraire à la Constitution donc le Parlement belge doit se saisir et réécrire le droit correspondant et remettre ça au carré.
Ce sont des différences entre États membres. Le fait que tu obtiennes une géopolitique un peu ambitieuse ou qui se mette en place ou un peu embryonnaire au niveau européen, si les États membres n’ont pas envie de l’appliquer, ils vont y aller à reculons, ils vont jouer contre leur camp, ils vont traîner des pieds, ne pas transposer, ne pas adapter, ne pas gérer. Tu ne fais pas boire un âne qui n’a pas soif ! La bonne volonté des États membres est, pour le moment, un des éléments qui manque.
Il y a un moteur qui changé par rapport à 2000, vraiment ce que disait Marc tout à l’heure, la Commission qui en 2000 et jusqu’en 2016 soutenait mordicus le Safe Harbor et la libre circulation des données avec les États-Unis, au niveau des institutions européennes il y a eu un revirement. Il n’est pas éternel, peut-être que ça ne durera pas jusqu’à la fin du monde, mais pour le moment il y a eu un revirement et il y a une prise de conscience d’un certain nombre de sujets autour du numérique sur le fait qu’on ne peut pas faire n’importe quoi avec les droits de l’homme en matière de numérique.

Sky : Des sanctions pour tout ça c’est quoi ?

Benjamin Bayart : Les sanctions prévues par les textes sont extrêmement élevées. Sur le RGPD c’est facile. Si tu n’as pas mis les moyens c’est 2 % ou 10 millions et si tu as porté atteinte aux données personnelles c’est 4 % ou 20 millions. Le 2 % ou 4 % c’est 4 % du chiffre d’affaires mondial consolidé du groupe, pas de la filière française.

Sky : Celle qui est positionnée en Irlande.

Benjamin Bayart : Non, parce que ça ce serait la filière européenne. C'est le chiffre d’affaires mondial consolidé du groupe. C’est-à-dire que si tu fais un procès à YouTube, ce n’est pas la petite filiale YouTube que tu attaques, ce n’est pas le groupe Google, c’est le groupe Alphabet. L’amende maximum c’est 4 % du chiffre d’affaires mondial consolidé de l’ensemble du groupe sur la planète, donc ça fait quand même potentiellement des très gros sous. Avant l’entrée en vigueur du RGPD, la plus grosse amende que la CNIL pouvait mettre c’était 350 000 euros si ma mémoire est bonne ; Google s’était déjà payé l’amende maximale une paire de fois et ça a fait rigoler tout le monde. 350 000 euros ce n’est même pas le budget petits fours, ça n’est pas sérieux ! La dernière amende que la CNIL a posée sur Google c’est 100 millions d’euros.

Sky : C’est d’ailleurs de ta faute !

Benjamin Bayart : Non, celle de 50 millions d’euros qui avait été posée un an avant c’était de notre faute, c’était suite à une plainte de La Quadrature du Net. Celle de 100 millions d’euros, la CNIL s’en est saisie toute seule. Les montants montent, les sanctions grimpent.
Donc tu as bien ce revirement géostratégique côté européen, mais tous les États membres ne suivent pas et ils ne suivent pas tous de la même façon.

38’ 40

Marc Rees : Pour en revenir à la question