Privacy comme Business Model
Titre : Privacy comme Business Model
Intervenant : Benjamin Bayart
Lieu : Nantes - Clever Cloud Fest
Date : 20 février 2025
Durée : 33 min 27
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·es mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription[modifier]
Vous êtes plutôt réveillés en mode « on discute » ?, ou je vous fais un long monologue pour que vous puissiez vous rendormir calmement ?
Vous n’étiez pas endormis, du coup on peut on peut échanger, c’est bien.
Qu’est-ce que je suis venu vous raconter ? C’est tout bien pas structuré, je peux vous mentir, je peux vous dire que je n’ai rien préparé, ce n’est pas vrai, c’est juste que ce sont des trucs très anciens. La dernière fois que j’ai bossé sérieusement sur le sujet, c’est un papier que j’ai publié sur le blog d’OCTO, en 2021, il y a donc 4 ans, et j’avais déjà l’impression, en écrivant ce papier-là, de mettre des trucs très anciens. On va essayer de mettre tout ça un peu…
Devant un public d’informaticiens et de « data bidules » et de gens comme ça, quand on dit privacy tout le monde entend RGPD, tout le monde entend « bandeau de cookies », « casse-couilles de juristes », etc., parce qu’on a pris la sale manie de traiter le problème à l’envers. Vous savez comment on fait, on développe un truc qui est un peu rigolo et puis, à un moment, ça sort du de la petite bulle confidentielle où on faisait joujou avec, du coup ça serait bien que ce ne soit pas trop hors la loi, histoire que tout le monde ne finisse pas en prison, donc dans les deux/trois questions qu’on se pose il y a « conformité RGPD », donc on voit avec le juriste ou bien on réécrit complètement le logiciel parce qu’il a été fait avec les pieds, qu’on n’a pas réfléchi à ce qu’on faisait, ou bien, vu qu’on ne doit pas tout réécrire, le juriste nous fait un tout petit contrat de 887 pages que l’utilisateur va signer d’un clic, vu qu’il l’aura lu !
En fait, cette approche-là ne marche pas. Elle est complètement idiote. Quand vous faites signer un contrat délirant comme ça à quelqu’un, c’est que c’est votre ennemi ! Quand je fais signer un contrat à quelqu’un en lui disant qu’il s’engage sur l’honneur à ne pas me faire de procès et à ne pas me tuer dans la rue, à priori ce n’est pas mon pote ! Cette approche-là est une approche où vous posez que votre ennemi c’est l’utilisateur de votre produit et vous dites à l’utilisateur – c’est très bien dit, c’est dit en novlangue et tout, c’est classe, on dirait du macronisme – we value your privacy, ça veut dire « on t’emmerde » et tout le monde sait que ça veut dire « on t’emmerde », ne croyez tromper qui que ce soit avec ces conneries, tout le monde sait. Quand je vois un site qui me dit we value your privacy, ça veut dire « on te prend pour une truffe », même ma mère le sait, prof d’histoire-géo en retraite, je pense que c’est transparent ! Donc tout le monde sait ce que dit cette novlangue-là.
En fait, je pense que le les outils sur la privacy doivent s’utiliser dans l’autre sens.
Pour moi il y a deux éléments clés.
Je pense que dans la pièce il y a pas mal de personnes qui connaissent assez le sujet RGPD et je soupçonne, si je pose la question, qu’on est d’accord : le sujet c’est bien qu’il faut demander le consentement de l’utilisateur et après on fait ce qu’on veut. C’est bien ça ? Pas tout à fait ! Alors je vais vous le réexpliquer autrement.
Vous n’avez pas besoin de demander le consentement de l’utilisateur si, petit un, vous faites ce qu’il est venu vous demander. Pour faire ce que l’utilisateur vous a demandé, pour exécuter le contrat entre vous et lui, vous n’avez rien à lui demander, pas de consentement, rien. Vous allez commander des caleçons en ligne, il faut votre adresse pour vous livrer, il n’y a pas besoin de votre consentement pour vous demander votre adresse ! Vous êtes en train de commander des caleçons, vous savez bien qu’on va vous demander votre adresse, c’est normal ! OK.
Donc, si c’est pour faire ce que l’utilisateur vous a demandé ou s’il y a une obligation légale. Typiquement, mon banquier a l’obligation de me demander mes papiers, il ne va pas me demander mon consentement, c’est une obligation ! Pareil quand le ministère de la Justice fait un casier judiciaire, on ne me demande pas mon consentement ! Ou s’il y a ce qu’on appelle un intérêt légitime, c’est-à-dire pour des raisons de sécurité ; en fait, l’intérêt légitime est toujours mal compris, dites-vous intérêt général. Typiquement, quand vous avez besoin des données pour assurer la sécurité du service et s’assurer qu’il n’y a pas de piratage, etc., c’est normal comme traitement, il y a un intérêt légitime à la sécurisation du service.
Sinon, pour tout le reste, si vous vous apprêtez à faire quelque chose qui n’est pas nécessaire pour ce que le client a demandé, qui n’est pas une obligation légale, pour lequel il y a pas d’intérêt légitime/intérêt général, en gros vous vous apprêtez à faire un truc crade. C’est comme dans le sexe, pour faire des trucs crades il faut que les gens soient d’accord, sinon vous ne les faites pas, ce n’est pas dur ! Ce n’est vraiment pas dur, mais c’est le contraire de ce qu’on entend souvent, c’est-à-dire que le consentement c’est la dernière des clauses intéressantes et c’est uniquement quand on s’apprête à faire un truc dégueulasse. Donc en moyenne, si vous ne faites pas de la merde, vous n’avez pas besoin de consentement.
Évidemment, demander le consentement à l’utilisateur avant d’échanger ses données avec vos 873 partenaires privilégiés ! Quand on invite 873 personnes à la partouze, on peut parler de truc dégueulasse ! On est sorti du machin tout simple, on n’est pas dans le petit dîner entre amis !
Pour moi, c’est le premier volet. Il faut comprendre le RGPD pour ce qu’il est et, en fait, il n’est pas très compliqué : si vous ne faites que ce que les gens vous ont demandé et non pas ce qui vous arrange, vous, en considérant les gens comme des marchandises, il y n’a pas de problème de RGPD, ce n’est pas dur. Juste, personne ne fait ça !
Je trouve cette première approche assez intéressante, parce qu’elle vous place dans une position d’allié avec les utilisateurs, c’est-à-dire que tout d’un coup vous faites ce que les gens vous ont demandé, en bon prestataire de service, et vous ne faites que ça. Les gens ne vous ont pas demandé de la publicité, vous ne leur mettez pas de la publicité ! Si je demande qu’on me présente des offres pour des casseroles parce que j’ai envie d’acheter des casseroles, je serais ravi de voir tout l’argument publicitaire de tous les fabricants de casseroles de l’univers, mais si ce n’est pas ça que je suis venu chercher, arrêtez de vouloir m’en fourguer !
Pour moi, c’est vraiment le premier le premier angle : voir le RGPD pas du tout comme une contrainte juridique, mais comme une façon de faire alliance avec l’utilisateur. Ce que je viens de vous dire là, arrêter de maltraiter les gens, on pourrait l’expliquer à Facebook. Ça met par terre la totalité de son business modèle, donc il ne le fera pas, mais on pourrait lui expliquer.
Il y a un deuxième volet qui est très européen. Il y a un autre élément qui, pour moi, est extrêmement intéressant : le RGPD est une contrainte juridique européenne. En Europe, vous êtes censés tous la respecter et on a déjà deux décisions de la Cour de justice de l’Union européenne qui nous disent que le droit américain fait qu’une entreprise qui obéit au droit américain ne peut pas être conforme au droit européen. Je suis sidéré que les entreprises du secteur ne se soient pas emparé de cela. Tous les géants français et européens qui touchent de près ou de loin à de l’informatique devraient utiliser ça pour pousser les Américains vers la sortie. Donc, vous avez intérêt à être particulièrement exemplaires sur le sujet privacy parce que vos concurrents américains sont incapables de l’être, puisque s’ils respectaient les normes européennes ils seraient hors la loi vis-à-vis des États-Unis et ils ne pourraient plus répondre aux injonctions de l’agent orange et c’est vachement important, parce que c’est ce qui vous permet de les pousser vers la sortie.
C’est un argument protectionniste majeur. Cette idée est une idée très ancienne. Je ne sais pas si on vous a appris ça en cours d’économie au lycée, mais à moi oui. Il y a deux formes de protectionnisme très classique.
Il y a le protectionnisme douanier, on en parle tout le temps parce que c’est celui que connaît Trump : on augmente les droits de douane, du coup ça augmente les prix des produits importés, ça fait que ça protège un petit peu les entreprises qui produisent en interne et qui peuvent prospérer sur le marché local puisque l’importation coûte très cher. Grand classique !
Et puis il y a une deuxième forme de protectionnisme qui est le protectionnisme réglementaire : faire en sorte que les règles pour accéder au marché soient difficiles à suivre pour les gens de l’étranger. Longtemps on a fait ça sur des machins comme les formes des prises électriques et le type de câble, etc., parce que, typiquement la norme française dit que la prise doit être de tel modèle avec un bibit bleu qui fait gling gling, du coup tous les fabricants américains vont mettre 2 ans à se décider à rajouter le bibit bleu qui fait gling gling, du coup, pendant 2 ans, le marché ne leur est pas accessible. Alors évidemment, depuis qu’on fait fabriquer la totalité de ce qu’on consomme en Chine, on a perdu l’habitude de ce protectionnisme réglementaire puisque, en fait, toutes nos usines sont là-bas, donc on leur explique comment il faut fabriquer pour que ce soit vendable chez nous. Que ce soit pour une marque française ou pour une marque américaine, le producteur chinois s’en fout ! On lui dit « il faut appliquer la norme pour la France », il applique la norme pour la France !
Mais là, on est sur une forme de protectionnisme réglementaire qui est vachement intéressante.
En fait, sur la protection des données personnelles, vous avez deux réglementations qui s’opposent, qui sont incompatibles l’une avec l’autre et qui ont toutes les deux un volet extraterritorial. Pas le même ! Puisque la loi américaine s’impose aux entreprises américaines où qu’elles exercent dans le monde, donc la loi américaine prévoit que les entreprises doivent coopérer avec le gouvernement, CLOUD Act, PATRIOT Act, transfert de données personnelles à la demande d’à peu près n’importe quelle agence gouvernementale, y compris l’Agence de santé, j’ai vu ça en travaillant sur un des derniers recours qu’on a faits devant le Conseil d’État, parce que, figurez-vous, il y a de la sécurité nationale dans les données de santé.
Le droit américain est foutu comme ça. Il s’impose aux entreprises américaines où qu’elles opèrent dans le monde. Donc, quand Amazon vous dit « il n’y a pas de problème de souveraineté puisque les données françaises sont traitées sur des serveurs qui sont hébergés en France », eh bien le juriste d’Amazon qui dit ça ne sait pas lire. Les données sont hébergées sur un serveur Amazon à Paris, il n’empêche que s’il y a une réquisition gouvernementale, Amazon doit transmettre les données.
Le RGPD a aussi a une portée extraterritoriale mais qui est très différente, je ne sais pas si vous l’avez en tête. Tout le monde croit que le RGPD c’est du droit des affaires alors que pas du tout, c’est du droit de la personne. Porter atteinte aux données personnelles, c’est à peu près comme porter atteinte à la personne, c’est un droit de la personne physique. C’est pour cela, par exemple, que quand telle entreprise en délicatesse, qui ne veut pas qu’on regarde dans ses affaires, vient dire « quand même, la vie privée, vous ne pouvez pas regarder ce qu’on fait de malhonnête au Kenya ou je sais pas quoi », ce n’est pas vrai, la vie privée c’est pour les humains, ce n’est pas pour les entreprises, c’est pour les personnes physiques. En fait, la protection des données personnelles, tel que c’est rédigé dans le droit européen, c’est en fait un droit des personnes physiques qui sont en Europe. Déjà, ce n’est pas réservé aux citoyens, donc même les étrangers y ont droit les étrangers, les étrangers sont des gens, ça surprend en ces temps quand on le dit, mais les étrangers sont des gens. C’est un droit que vous avez individuellement, que nous avons tous parce que nous sommes en Europe et qui s’applique quelle que soit l’entreprise qui traite nos données. Donc, le traitement que Facebook fait sur ses ordinateurs aux États-Unis de nos données personnelles est concerné par la loi européenne, pourtant c’est une entreprise américaine qui applique du droit américain sur un ordinateur américain, ils font bien ce qu’ils veulent ! Eh bien non ! Et c’est là que les deux extraterritorialités sont en conflit l’une avec l’autre parce qu’elles ne sont pas du tout rédigées de la même façon.
Dans le droit européen, les données personnelles c’est une protection de l’individu, donc ça s’étend terre entière à tous les gens qui sont amenés à traiter nos données personnelles.
Et le droit américain est extraterritorial parce que quand les entreprises y sont soumises, puisque c’est du droit des affaires, ce droit s’applique où qu’elles exercent dans le monde.
C’est très marrant, c’est structuré très différemment sur le plan juridique et c’est ce qui fait que c’est radicalement incompatible. Du coup nous avons là une arme de protectionnisme prodigieuse. Cependant, à chaque fois qu’on voit des rencontres de bidules interministériels, de Cigref, des choses comme ça, je ne sais pas si vous voyez à quoi ressemble ce dont je vous parle, les endroits où on réunit quelques représentants d’un secteur économique à Bercy avec quelques directeurs d’administration pour essayer de voir comment on peut faire pour que l’État n’embête pas trop les entreprises, mais que, cependant, on trouve des stages pour le fils du ministre parce qu’il ne faudrait pas qu’il ait à chercher, vous voyez, ce genre d’endroit. Dans ces lieux-là, les entreprises sont souvent représentées par des gens qui ont pas compris le problème et qui viennent expliquer « ah, là, là, le RGPD c’est compliqué, on a peur de prendre une amende, et puis ça nous handicape parce qu’on est obligé de faire des trucs propres alors que les Américains ont le droit de faire des trucs dégueulasses et, du coup ça leur apporte plein de pognon ! ». C’est le contraire, vous n’avez pas compris ! Précisément, le texte en question fait que les Américains n’ont pas le droit d’accéder au marché, donc vous devriez chercher à être le plus clean possible sur le sujet, parce qu’il vaut mieux éviter les balles perdues, et appeler à ce que l’autorité soit la plus brutale et la plus violente possible dans sa répression, parce que cette répression ne tomberait pas sur vous vu que vous vous êtes irréprochable. Et sur qui va-t-elle tomber ? Sur les géants américains. Tout le monde, dans la classe politique, cherche depuis quelques années comment sanctionner les ignobles GAFAM qu’ils sont devenus ! On les aime beaucoup, mais on en dit du mal en public, on est encore sur cette espèce d’ambiguïté. Mais là, on a une arme qui est puissante. Un outil réglementaire qui est vachement intéressant, parce que Microsoft, même avec la meilleure volonté du monde, n’a pas le droit de respecter le droit européen s’il veut être conforme au droit américain. Et ça c’est un outil et je suis très surpris que les entreprises ne s’en saisissent pas. Je suis surpris depuis 2016. Quand le RGPD a été voté, pour moi c’était évident que ce truc était un outil protectionniste de grande valeur. Il a un intérêt comme business modèle parce qu’il permet de faire alliance avec les utilisateurs. On sait tous, on le ressent tous. Twitter, depuis l’arrivée de l’autre proto-facho, c’est une caricature, mais on le savait déjà, on n’est pas les alliés de ces gens-là, Facebook n’est pas mon pote même si des fois ! Moi je n’ai pas de compte là-dessus, mais les grandes plateformes centralisées ne sont pas vos potes et vous le savez.
Ce texte permet d’une part de faire alliance avec les utilisateurs, donc de venir sur un modèle économique différent mais plus sain. Vous voulez que je vous refasse le petit chapitre sur la réification et l’inversion des rapports dans le commerce ? Non ? Oui ? Vous vous voyez vaguement le truc. Tu vas chez le boulanger, tu achètes du pain, c’est un truc à trois : il y a toi, il y a le boulanger, il y a la baguette. Toi et le boulanger vous êtes le sujet, la baguette c’est l’objet de la transaction. Bien.
Quand vous êtes chez Facebook, qui sont les acteurs de la transaction ? C’est toi, Facebook et le publicitaire. Qui sont les sujets ? Facebook et le publicitaire. Qui est l’objet ? Toi. Je vous rappelle, souvenez-vous de la baguette, ça ne se termine pas bien pour l’objet !
On est d’accord que j’ai fait une analyse économique, allez, socio-économique parce que j’ai parlé d’objet et de sujet, niveau première année, débutant et, de manière triviale, je vous démontre que Facebook n’est pas votre ami. Donc, vous avez intérêt à un modèle économique plus un sain où l’utilisateur est votre allié où l’utilisateur est votre ami. C’est beaucoup plus sain pour vous, c’est beaucoup plus sain pour l’utilisateur et ça vous permet de pousser les Américains vers la sortie. C’est ça l’essentiel de ce que j’étais venu vous dire. Du coup, je dois être très en dessous de la demi-heure qu’on m’a donnée. Pas tant ! Il reste six minutes, je suis sûr que vous avez des trucs intelligents à dire ou des questions à poser ou alors je vous ai rendormis. Je sens bien qu’il y en a deux/trois au premier qui suivent, au fond, ils ont l’air plus affalés.
Vas-y.
Questions du public et réponses 19'04[modifier]
Public : Inaudible.
Benjamin Bayart : Je reprends au micro pour que les gens dans Internet entendent : comment fait-on pour créer cette alliance avec l’utilisateur, alors qu’il va plutôt chercher spontanément la valeur du produit plutôt que la valeur de sa propre vie privée ?
Je ne suis pas du tout sûr de ça. Je ne suis pas du tout sûr ! Effectivement, si tu fais un produit qui ne rend aucun service mais qui protège très bien les données personnelles, appelle ça un caillou, mais ça se vend, ça s’appelle une pierre de lune, ça lutte contre les ondes méphitiques et ça empêche d’avoir un démon à la maison ! D’ailleurs, j’ai une pierre de lune, il n’y a aucun démon chez moi, ça marche. Appelons ça un caillou !
Il reste quand même le fait qu’il faut rendre un service à l’utilisateur, mais, globalement, les gens n’attendent pas forcément un service extraordinaire, ils attendent un service pratique. Je regarde ça de manière très bête. Vous êtes tous utilisateurs des produits Google et des produits Microsoft, donc vous avez tous déjà pratiqué la suite Office et la suite Google Docs en ligne. On est d’accord que dans les différents outils Google Docs il y a à peu près 3 % des features de la suite Microsoft Office. Avec 3 % des features, ils arrivent à faire concurrence. Les gens ne cherchent pas des features compliquées : on peut écrire, on peut mettre en italique, on peut mettre en gras, on peut faire des listes avec des tirets, un petit tableau, deux/trois conneries, ça suffit. En fait, les gens cherchent des features assez simples. Le fait qu’ils aient le sentiment que c’est un allié parce qu’il n’y a pas eu besoin de signer un contrat de 300 pages et que la presse ne regorge pas de toutes vos extorsions et exactions, ça suffit à faire de vous des alliés.
Dans la pratique, sur les données personnelles, ce n’est pas très dur. Ne pas collecter les données, ne pas afficher de publicité, ne pas revendre les données à tes 873 partenaires publicitaires, ça t’affiche déjà comme étant différent.
Montrer aux gens ce qu’on a comme données sur eux, c’est un truc qui est vachement simple, c’est ce n’est pas très intuitif. Quand j’étais petit on disait le DBA, l’administrateur base de données ; de nos jours on dit le data scientist, « data mes couilles », analyste je ne sais pas quoi, donc le data pépère croit que ce sont ses données à lui, ce n’est pas vrai, ce sont mes données à moi ! Si vous partez du principe que vous êtes en train de manipuler les données de l’utilisateur, qui lui appartiennent, qui ne sont pas à vous, que vous traitez en son nom et pour son compte, vous ne vous mettez pas du tout dans la même position. Ayez un peu à l’idée que c’est comme quand votre banquier traite votre pognon, on est bien d’accord que c’est votre pognon, ce n’est pas le sien ! Il fait deux/trois trucs avec, on n’est pas forcément bien d’accord, mais enfin, à un moment, il nous rend des comptes au centime près sur ce qu’il a sur nous et on est d’accord que s’il y a une erreur d’addition sur les centimes, on va discuter parce que ça ne va pas.
De la même manière, vous manipulez les données des gens, vous ne les perdez pas, vous les protégez, vous faites en sorte de pas vous les faire voler, vous leur dites ce qu’il y a sur leur compte, vous leur montrez ce qu’ils ont comme données avant qu’ils ne vous aient envoyé un courrier recommandé pour le réclamer, et puis, quand ils vous disent de les effacer, eh bien vous les effacez. Considérez que c’est leurs données comme si vous étiez en train de gérer leur pognon, c’est à eux, ce sont leurs données. Si vous gardez des traces de tout, montrez que vous avez des traces de tout.
En fait, quand on prend cette approche transparente où on montre aux gens ce qu’on a et pas on le montre parce qu’il y a eu une réquisition judiciaire par courrier recommandé mettant en demeure de transmettre conformément à l’article machin, non ! Juste on montre. En fait, en créant cette transparence, on montre aux gens qu’on agit proprement, mais ça suppose d’être irréprochable et, en particulier, ça interdit toute forme de publicité ciblée.
J’adore le cas de Bloctel, quelques parlementaires un peu trolls sont en train de traiter ça. Vous voyez ce que c’est Bloctel : si vous vous êtes inscrit, que vous avez signé avec votre sang en remplissant des formulaires, l’administration, le préfet, un tampon, il faut quasiment un cachet en cire pour dire « je ne veux pas être importuné par téléphone », ce n’est pas ça le consentement ! C’est le contraire ! Si on applique la loi, ne doivent être contactés par téléphone que les gens qui se sont explicitement inscrits sur la liste des gens qui souhaitent être contactés par téléphone pour recevoir de la publicité parce qu’ils s’ennuient le dimanche, eh bien faisons comme ça. Puisque c’est ce que dit la loi, faisons ça. Il y a donc des trolls, moi j’aimerais bien que ça passe, mais dans l’ambiance parlementaire actuelle, il n’y a pas grand-chose qui passe. Ils disent on va inverser Bloctel. En fait, les gens vont devoir s’inscrire avec formulaire, tampon, administration, truc lourd, pénible, pour pouvoir s’inscrire sur la liste des gens qui souhaitent recevoir des appels téléphoniques publicitaires. Du coup, oui, ça va mettre en faillite un certain nombre de personnes, c’est pour cela qu’il y a une certaine réticence, mais tant mieux, car ce sont des gens toxiques, il faut les mettre en faillite.
Pour moi cette alliance n’est pas très dure à faire. En revanche, si votre business repose sur le fait que vous vendez de la publicité ciblée, que c’est comme ça que vous ramenez du pognon, ce n’est pas bon ! Si vous avez un directeur marketing qui croit que les 0,2 % de chiffre d’affaires publicitaire supplémentaires valent le coup et justifient toutes les turpitudes, genre la SNCF. À la SNCF, ils ont un business qui n’est quand même pas très compliqué à comprendre : on vend des billets de train, on transporte les gens, mon arrière-grand-mère comprenait très bien le modèle de la SNCF, ils ont un vrai service, différenciant – Apple n’a pas de trains – pourquoi y a-t-il trouze-mille traqueurs publicitaires dans leur appli de merde ? C’est quoi ces bêtises ? Pourquoi font-ils n’importe quoi avec les données personnelles des gens ? Pourquoi m’inondent-ils de publicité parce que j’ai acheté un billet de train en 1987 et, depuis, je suis abonné à un demi-million de mailing lists de merde ? Pourquoi ? Pourquoi maltraitent-ils leurs clients ? C’est idiot ! Eux ont un vrai business. Facebook, ce n’est pas la même chose. Facebook n’a pas de business. Son business c’est de vendre la vie privée des gens. Il y a un problème, ils ne peuvent pas faire autrement que mal vous traiter. Pour la SNCF, c’est probablement un petit directeur de quelque chose qui, pour amortir le coût de développement de l’appli, a dit « il faut absolument que j’arrive à générer trois cacahuètes et demie de revenu », parce qu’on parle de trois cacahuètes et demie à échelle de la SNCF, quelques millions d’euros de revenus publicitaire sur une entreprise qui pèse des dizaines de milliards, on est à 0,0 quelque chose pour cent, on s’en fout, mais il y a un petit directeur qui s’évalue là-dessus. Donc, pour pouvoir avoir la bonne évaluation et le bon budget, il est prêt à toutes les immondices sur les données personnelles des gens et à faire en sorte que les gens le considèrent comme étant l’ennemi, ce qui est aberrant ! En termes de stratégie marketing, ça me parait aberrant. Il se met dans une position où il est plus copain avec le publicitaire qui lui rapporte quelques millions par an qu’avec les voyageurs qui lui rapportent quelques milliards par an. Il s’est gouré ! Pour moi, l’endroit où ça vrille, c’est là. Il faut trouver quels sont les petits chefs qui ne sont pas lunés comme il faut et qui, du coup, font des bêtises.
Voilà ! J’ai aidé à respecter les timings en restant à peu près à l’heure parce que là je dépasse. On m’avait 11 heures 15, donc là je dépasse.
[Applaudissements]
Benjamin Bayart : Après, s’ils ne viennent pas me piquer le micro, tu peux poser ta question, mais je pense qu’à un moment ils vont se lever et ils vont me prendre le micro.
Public : Est-ce que n’est pas trop tard ?
Benjamin Bayart : Est-ce que ce n’est pas trop tard ? Je pense la réponse est évidente.
Public : Les Américains font comme ils veulent.
Benjamin Bayart : Oui, les Américains font comme ils veulent et les Chinois font comme ils veulent, eh bien nous on va faire comme on « veulent ».
Public : Inaudible.
Benjamin Bayart : Ça va avec. Pour moi, c’est le même sujet, c’est exactement le même sujet. E quand j’ai confié un bidule à Twitter, à Facebook ou à je ne sais pas quel autre service à la con, est-ce que c’était pour alimenter une IA ? Eh bien non ! Ce n’est pas ça que je suis venu faire. Je suis venu raconter ma life à mes potes, dire de la merde alors que j’avais bu. Je ne suis pas venu pour entraîner une IA. Du coup, tu n’as pas le droit d’utiliser les données pour entraîner une IA et si tu le fais tu es hors la loi. Si tu es hors la loi, nous avons des agences en Europe dont le métier est d’aller te chercher et c’est 4 % de ton chiffre d’affaires mondial de sanction par infraction.
Donc, non, ce n’est pas trop tard. Le texte s’applique très bien.
Est-ce que, que quand je me suis inscrit sur laredoute.fr pour acheter des chaussettes, c’était pour entraîner une IA ? Non, c’était pour acheter des chaussettes ! Toute utilisation autre que me livrer des chaussettes est illégale ! Que ce soit renseigner un publicitaire ou alimenter une IA ou faire quoi que ce soit d’autre, toute autre utilisation que celle que j’ai demandée est illégale. Ce n’est pas très dur en vrai. En toute logique, ça devrait occuper une grosse demi-heure la CNIL de mettre une sanction à tous les modèles d’IA qu’on voit basés sur des données publiques. Juste, elle ne le fait le pas. Je vois deux raisons essentielles au fait qu’elle ne le fasse pas. La première c’est qu’ils sont très occupés à faire la sieste et qu’il ne faut pas les déranger pendant la sieste. La deuxième, c’est qu’ils ont pas de moyens, mais vraiment pas de moyens ! En France, la CNIL a un budget qui est ridicule. Si la CNIL faisait son boulot, elle serait susceptible de faire rentrer de 2 à 15 milliards d’euros de sanction par an et elle doit avoir un budget de quelques millions. Il faut savoir que les membres de la commission sont des bénévoles. Je trouve ça très drôle.
Public : Inaudible.
Benjamin Bayart : Si. Nous, nous en parlons beaucoup, on obtient quelques victoires devant les tribunaux.
La question qui est posée c’est est-ce que ça ne risque pas de finir comme la vidéosurveillance où plus personne n’en parle à la fin.
En fait, si la CNIL n’obtient pas les moyens parce que le législateur n’a pas envie de faire rentrer 15 milliards d’euros par an, parce que, tu comprends, les comptes débordent, on a trop de pognon, ce n’est pas intéressant d’aller piquer le pognon des GAFAM. Bon ! Si personne n’incite la CNIL à la sanction et qu’on vient leur expliquer que continuer à faire la sieste c’est vachement bien, ils vont continuer à faire la sieste !
Si nous, les professionnels du numérique, nous ne poussons pas à la roue, parce que, à chaque fois que la CNIL bouge un truc, tous les professionnels sont là pour dire « il ne faut rien faire, il faut rester immobile ! Vous n’y pensez pas, on ne va pas arrêter de mettre des cookies, c’est très grave ! ». Si les entreprises du numérique demandent qu’il ne se passe rien, alors il ne se passe rien ! Mais si on les pousse en disant « on veut absolument qu’il y ait des sanctions, parce que, quand même, nous respectons la loi, tous les autres ne la respectent pas, donc on veut absolument qu’ils soient condamnés. » S’ils poussent à la roue pour qu’il y ait des sanctions et, quand ils vont discuter avec tous les gens de Bercy, ce ne soit pas pour demander qu’il y ait moins de régulation mais, au contraire, qu’il y en ait plus et qu’elle soit plus appliquée et « s’il vous plaît, appliquez les sanctions prévues parce que ça commence à bien faire, les gens qui ne respectent pas la loi et qui ne sont pas sanctionnés », eh bien les sanctions vont pleuvoir. Mais, pour le moment, toutes les grandes entreprises du numérique jouent contre leur camp puisqu’elles demandent que la loi ne soit pas appliquée, que le RGPD ne soit pas trop appliqué fort, que les sanctions soient modérées et qu’on fasse plutôt des mises en demeure que des sanctions, etc., ça fait que Google s’en sort avec des toutes petites sanctions et c’est là qu’il faut inverser. Voilà !
Présentateur : Merci beaucoup Benjamin. On peut l’applaudir bien fort.
[Applaudissements]
