- Speaker #0
Bonjour à tous, bienvenue sur nos causeries d'attas, le podcast qui s'interroge et interpelle sur les enjeux de la nouvelle économie de la donnée. En charrier, au nom et pour le compte de l'association d'intérêt général d'Attaring, je vous invite ce soir à découvrir un métier, un avocat, un homme. Étienne Drouard, bonjour.
- Speaker #1
Bonjour.
- Speaker #0
Nous inaugurons notre cycle TPO avec vous. Alors qui est-il ? Étienne Droard est l'un des avocats les plus éminents en France, spécialisé dans les questions de technologie de l'information et de protection des données. Il a débuté sa carrière à la CNIL en 1996 pour rejoindre un cabinet privé en 1999. Il a notamment contribué à la rédaction et au lobby avec les directives e-privacy et les projets de règlement dont le fameux GDPR-RGPD entre 2010 et 2016. Il a travaillé dans plusieurs camions d'avocats internationaux et mondiaux et a rejoint Ogan et Lowell depuis février 2020 en tant qu'associé au sein de la pratique vie privée et cybersécurité. Il a eu de nombreuses récompenses et la première question déjà que je vais lui poser, Étienne, comment devient-on DPO ou avocat spécialisé en IT ? Qu'est-ce qui vous a plu dans ce secteur ?
- Speaker #1
J'avais une formation qui n'avait rien à voir de droit international privé et lorsque j'ai pu être embauché par la CNIL en 1996, c'était sur une question de la secrétaire générale de l'époque qui me disait « Quelles sont d'après vous les dispositions de la loi informatique et liberté qui seraient des lois de police et qui auraient vocation à se substituer à l'application d'une loi étrangère pour faire appliquer la loi française ? » C'était très technique et en fait ça… posait toute la question de la territorialité des lois, de leur extraterritorialité, et où chaque conflit de souveraineté entre deux textes qui veulent s'appliquer doit s'arbitrer entre des États souverains. Et donc, je ne connaissais rien à la technique, mais je connaissais la dématérialisation des rapports, soit étatiques, soit commerciaux. Et j'ai appris sur le tas, j'ai découvert à l'époque, ce que c'était que la protection des données personnelles. Je n'ai malheureusement pas eu la chance de suivre les formations dont disposent les étudiants aujourd'hui qui synthétisent, digèrent les 25 ou 40 dernières années de protection des données personnelles. Moi, il m'aura fallu être besogneux, parce que je les ai passées ces 25 années, à apprendre au fur et à mesure, par accumulation, à quel point il est passionnant de faire de la protection des données personnelles.
- Speaker #0
Qu'est-ce qui vous plaît à l'heure actuelle, ou qu'est-ce qui vous déplait sur la réglementation sur les données ? Elle a beaucoup évolué, on a une année 2023 dite à haute intensité, et je vous cite, parce que c'est vous qui l'avez dit. J'aimerais comprendre, d'abord première question, quelles leçons pouvons-nous tirer, 5 ans après 2018, du RGPD ? À l'heure actuelle, dans votre pratique, vis-à-vis des entreprises, on a l'habitude d'entendre une version un peu édulcorée, dans lequel tout le monde... nous explique que l'Europe est une puissance, une belle puissance normative, défend ses valeurs et c'est heureux. Mais aujourd'hui, en pratique, parce qu'on est des praticiens de la donnée, qu'est-ce qui se passe cinq ans après ? C'est quoi d'abord votre constat ?
- Speaker #1
Mon constat, c'est que la promesse en 2012, lors de la publication du projet de règlement européen, la promesse d'alléger de 2 milliards par an les formalités que devaient accomplir les entreprises parce que le RGPD allait faire, ça coûterait beaucoup moins cher de se mettre en conformité, que le régime... antérieure, cette promesse ne pouvait pas être tenue et je crois que c'est bien l'inverse qui se passe, c'est-à-dire qu'en basculant l'obligation d'être transparent à l'égard d'un régulateur à travers un certain nombre de formalités préalables, vers un régime où on doit être responsable de ses pratiques et de les documenter soi-même pour s'auto-évaluer, on a largement accru la charge pour les entreprises de la conformité. Elle n'est plus répartie de la même manière. Je ne sais pas si c'est bien ou si c'est mal, ce que je peux dire c'est qu'entre la promesse de départ et le résultat, c'est qu'on investit beaucoup plus dans la conformité en protection des données que dans les systèmes antérieurs. La deuxième promesse qu'on nous a faite, c'est « vous verrez, ce sera harmonisé, ce sera plus simple » . Et ça, ça a beaucoup permis le soutien et la contribution des entreprises aux projets de texte, parce qu'on leur faisait miroiter. que les cultures de protection de la vie privée en Europe, qui ne sont pas les mêmes, selon que les États ont connu des dictatures ou des démocraties paisibles, allaient pouvoir se rapprocher grâce à un texte qui chapeaute davantage. C'était un règlement, pas une directive, et on allait avoir un vrai mécanisme de coordination entre les régulateurs nationaux. Cette promesse n'est pas tenue non plus parce que... On a un effet d'accordéon entre des décisions qui sont collectives entre les régulateurs et qui s'harmonisent dans les lignes directrices ou les opinions de l'EDPB, l'Union Européenne d'État Protection Board, et puis des initiatives de chaque régulateur qui suit son agenda politique, son marché local, ses priorités locales, et qui font que la promesse d'harmonisation européenne finalement aboutit à un goulet d'étranglement qui est devant la Cour de justice de l'Union Européenne. qui devient la vraie autorité européenne de protection des données personnelles, qui dit le « là » et chapeaute les autres. Quand les parlementaires ou les institutions ont hésité à créer une CNIL européenne, tout comme la Commission européenne est compétente en matière de droit de la concurrence, au-delà des autorités de la concurrence locale, on ne l'a pas fait en protection des données personnelles. Ça nous coûte cher, ça nous coûte du temps pour que le droit se stabilise, parce que chacun tire un peu la couverture à lui. Des régulateurs entre eux se critiquent ouvertement et publiquement. Un certain nombre de régulateurs d'Europe continentale expliquent que leur collègue irlandais est passif, négligent et n'a pas encore compris le RGPD. Et ça c'est très délétère et en tout cas c'est le contraire de la promesse d'harmonisation qui avait été faite.
- Speaker #0
Donc en fait nos entreprises, on est en train de faire l'impasse sur leur capacité réelle à digérer cet arsenal normatif. À fortiori dans un contexte de récession ?
- Speaker #1
Il y a un contexte de récession, il y a aussi une double réglementation. Tous les principes, les droits des régulateurs, les droits des personnes, les pouvoirs de sanction sont dans le RGPD. Et tout l'Internet, c'est-à-dire toutes les traces qui sortent de nos téléphones, de nos ordinateurs, de la géologue, aux traces de cookies, à la publicité électronique, sont encore dans la vieille directive e-privacy de 2002, mise à jour en 2009. Ces deux textes, multipliés par le nombre de régulateurs, ça nous fait des diversités exponentielles. Quand on veut lancer un projet qui touche à un service en ligne, un service de communication électronique, de l'hébergement, une application mobile, c'est-à-dire le B.A.B.A. de la digitalisation d'une relation avec des gens, on doit faire face à deux cercles concentriques de textes. qui ne connaissent pas les mêmes régulateurs, qui ne sont pas soumises à la même obligation de collaboration et d'harmonisation. Rien que ça, c'est un frein à un certain nombre de sécurités nécessaires pour développer des projets. Il y a bien une méthode, mais pour mettre en place cette méthode de privacy by design, d'assessment, il y a quand même un maquis qui résulte de cette diversité de textes.
- Speaker #0
mon associé en IT, IP, protection des données. Nicolas, je vous écoute sur l'intervention d'Étienne.
- Speaker #2
Oui, merci France, merci Étienne. Oui, j'ai une question justement sur où on va en fait sur l'e-privacy. C'est-à-dire qu'aujourd'hui, on a un corpus réglementaire qui est basé sur une directive de 2002. Il y a un règlement e-privacy qui est dans les... dans le pipe depuis 5-6 ans maintenant. Et voilà, on a l'impression que ça n'avance pas, sachant que ça allait être en vigueur au même moment que le RGPD. Donc voilà, est-ce que vous avez des informations, des pistes ?
- Speaker #0
Des pistes, on veut savoir, Étienne. On sait que vous avez l'oreille des meilleurs, donc on veut savoir où vous en êtes.
- Speaker #1
On en est effectivement à la huitième présidence de l'Union européenne tournante. qui ne parvient pas à trouver un consensus parmi les États membres au sein du Conseil, ni des positions harmonisées des différents parlements européens qui se sont succédés sur ce texte. On vient d'épuiser, on est en train d'épuiser le deuxième parlement européen qui va se prononcer sur ce futur règlement e-privacy. L'inconvénient énorme que j'y vois, c'est que tout le web se trouve dans e-privacy. Le reste de la protection des données personnelles se trouve dans le RGPD. Et il n'y a pas grand-chose qu'on puisse faire en innovation qui ne passe pas par un bout de données de trafic, de données de localisation, des dépôts d'un traceur dans un terminal, de marketing, c'est-à-dire qui passe par y prévisser. Où en est-on ? Les dernières moutures nous montrent que le droit allemand de la protection des données personnelles, qui s'estimait... Avoir déjà transposé la directive e-Privacy modifiée en 2009, ne l'a finalement fait qu'au cours de l'année 2021. Et la perception allemande... de e-privacy, influencent aujourd'hui les débats européens sur le règlement e-privacy. L'idée, pour être très concret, c'est qu'au lieu de réguler certaines technologies ou certaines situations comme le faisait l'ancienne directive e-privacy ou le projet de règlement e-privacy, on va faire un ensemble, un paquet de tout ce qui peut concerner la traçabilité sur le réseau. On avait pourtant un article 5.3 sur la régulation des cookies. un article 6.3 sur la régulation des données de trafic, un article 6.1 ou 6.2 sur les données de géolocalisation, un article 13 sur le marketing direct. Et là, la nouvelle pensée européenne sous l'influence allemande, c'est que tout ce qui permet de tracer des gens sur des réseaux devrait être soumis à ce régime binaire qui est soit leur consentement, soit une stricte nécessité pour fournir le service sollicité par l'utilisateur. Et en fait, ce régime... a tendance à nous faire réécrire le RGPD comme il n'a pas été écrit. Pour vous donner un exemple pratique, dans le RGPD, il y a six bases légales avec lesquelles on peut traiter des données personnelles. Les trois qui concernent en général le secteur privé, c'est soit la nécessité contractuelle, soit le consentement des personnes, soit l'intérêt légitime d'un responsable de traitement, sous réserve que ne prévalent pas les droits des personnes. Et parmi ces trois variantes, de motifs pour lesquels on peut traiter des données, Il en manque probablement un dans la philosophie e-privacy. Dans e-privacy, soit on peut traiter des données parce qu'elles sont strictement nécessaires pour fournir un service demandé par l'utilisateur, c'est à peu près proche de la nécessité contractuelle envisagée par le RGPD, soit si ce n'est pas strictement nécessaire pour répondre à leur demande, il faut leur consentement discrétionnaire, un vrai droit au caprice. Ce qui fait qu'on n'accouche pas d'un futur règlement e-privacy, c'est que tous les débats qui ont perdu les régulateurs, pendant la discussion du RGPD pour savoir si on maintenait ou non l'existence de l'intérêt légitime comme base légale. Finalement, ils ont perdu ce débat parce que l'intérêt légitime est toujours une base légale, comme vu par le RGPD. Le fait qu'on rejoue le match dans le projet de règlement y prête aussi. Et les États s'en mêlent en rajoutant des enjeux de surveillance étatique, extra-européenne, notamment américaine. Désormais, on va enfin pouvoir dire chinoise depuis qu'on parle de TikTok. et à force de vouloir empiler des combats perdus la fois précédentes ou de nouveaux combats, on n'arrive pas à sortir ce texte. J'espère qu'on le sortira à la fin de l'année 2023 parce que sinon, on aura un Artificial Intelligence Act qui est en cours de discussion pour lequel la CNIL est sur les rangs pour être le régulateur de l'intelligence artificielle, même quand elle ne traite pas de données personnelles, avant même d'avoir un règlement e-privacy qui traite des traces que nous laissons partout et qui peuvent être... la source de données pouvant servir à de l'intelligence artificielle. Donc il est urgent qu'on puisse consolider la régulation européenne, pour la rendre efficace d'ailleurs, en ayant des régulateurs qui sont les mêmes sur RGPD et e-privacy, et des régulateurs qui savent quel est leur périmètre dans les enjeux d'intelligence artificielle, si on continue à ne pas harmoniser la gouvernance de ces textes en ne faisant pas accoucher. Le règlement y prève aussi. On va continuer d'enrichir des avocats. On va continuer de provoquer des nuits blanches sur des DPO. Et surtout, d'avoir peur sans savoir d'où peut venir le risque quand on a une entreprise.
- Speaker #0
Donc le grand perdant, ça va être l'entreprise. Donc si je vous suis ici, j'essaie de…
- Speaker #1
Même nos ressortissants sur leur vie privée, parce que finalement, une bonne protection, c'est une protection lisible. Et aujourd'hui, elle ne l'est pas.
- Speaker #0
Donc, si je vous suis bien, on a un problème de lisibilité. sur la protection. On a une problématique aussi de protection à deux vitesses ou à plusieurs vitesses en termes d'harmonisation européenne. Et puis potentiellement, on a un problème de gouvernance avec peut-être, on va dire dans une logique sous-jacente, une espèce de guerre des régulateurs qui est en train de se mener. C'est à celui qui tire le plus la couverture à lui. Alors que les textes ne sont pas prêts, que le RGPD scénarise peu les situations particulières telles que le consentement à la géolocalisation, qu'on attend une e-privacy désespérément pour essayer d'avoir une grille de lecture, nous modestement, en tant que conseil ou DPO ou direction juridique, parce qu'on est tous logés à la même enseigne, on attend. Serane, Serane, ne vois-tu rien venir, si ce n'est que nos entreprises, elles, perdent en compétitivité, perdent en marge et perdent... aussi en confiance dans l'action publique. Est-ce qu'il n'y a pas pour nos entrepreneurs peut-être la nécessité aussi de participer au débat, mais peut-être différemment ? On est des entrepreneurs de la donnée, c'est eux dont il s'agit finalement. Est-ce qu'ils ne doivent pas réagir ?
- Speaker #1
Je crois que nous manquons de la culture du lobbying par les entreprises. J'ose le dire alors qu'être lobbyiste c'est mal, surtout en Europe. Et que dans le débat public, on trouve deux types d'influences privées qui se mettent en œuvre. Celle qui va à l'échelon européen et qui est à 92% financée par des entreprises non européennes. En matière de protection des données, on peut dire que 9 euros sur 10 dépensés en lobbying ne sont pas dépensés par des entreprises européennes pour influencer les textes européens. Donc on n'est pas très bon au lobbying européen alors que c'est sur les textes européens que se dessinent l'avenir des pratiques nationales. Que ce soit pour les rendre plus fortes, plus strictes, plus souples, plus harmonisées, ça viendra toujours d'un échelon européen. On n'est donc pas très bon en lobbying quand on se demande qui pourrait influencer l'évolution d'une norme pour qu'elle soit plus lisible. La deuxième chose qui est très pratique pour les États membres, c'est qu'à chaque fois qu'on peut aller voir un gouvernement pour lui dire qu'on a des difficultés parce qu'on manque de sécurité juridique, il nous répond de manière tout à fait légitime. Désolé, mais ce n'est pas le pouvoir, on a confié ces sujets à des régulateurs indépendants. Et à force de n'avoir pas le pouvoir, on finit par se demander qui là, puisque collectivement les régulateurs peuvent choisir à géométrie variable de jouer le jeu ensemble ou au contraire de manière isolée sur des sujets cruciaux, des sujets structurants. Et puis quand on s'adresse au pouvoir politique qui peut donner le là, parce qu'il joue son rôle dans le fait d'avoir un acte législatif, eh bien ils se disent dépossédés. Si on prend un petit peu de recul, le droit de la concurrence est régi par des régulateurs indépendants. Le futur droit de l'intelligence artificielle sera régi par des régulateurs indépendants. La protection des données personnelles l'est aussi. Il reste quoi ? Le droit de la consommation qui dépend d'agences étatiques qui peuvent être de nature gouvernementale, la DGCCRF en France. Mais finalement, on a un numérique qui est un peu un canard sans tête politique puisque l'exécution des textes... n'est pas entre les mains de personnels politiques. On peut trouver ça très bien sur le fondement du principe d'indépendance parce qu'il s'agit aussi de contrôler les États en matière de protection de l'humanité. Mais là où ça devient très inefficace, c'est lorsque un dysfonctionnement dans la pratique ne peut être arbitré par personne d'autre que celui qui est à l'origine du dysfonctionnement.
- Speaker #2
Et donc, c'est auprès de la CNIL qu'il faudrait faire du lobby. Sachant que, à titre d'exemple, la CNIL justement, pour combler un peu cette absence d'e-privacy, a sorti des lignes directrices et des recommandations sur les cookies en 2020, suite auxquelles les entreprises ont beaucoup dépensé pour mettre à jour leurs bandes aux cookies. Et finalement, il y a une période de consultation. sur ce type de recommandations. En fait, c'est là-dessus que les entreprises ont la capacité d'agir, d'appuyer un peu.
- Speaker #0
Le problème, c'est que personne ne comprend quoi que ce soit véritablement. Il y a un problème de légitimité.
- Speaker #1
Je pense qu'il y a peut-être 500 personnes qui comprennent et il y a des milliers d'entreprises. Ensuite, ça prend deux ans pour faire une consultation publique, deux ans de plus pour la contester en contentieux et encore un an de plus pour aller devant la Cour de justice. Et donc, le temps d'élaboration du droit... Je me souviens de l'exemple que vous donnez, les lignes directrices de la CNIL sur les cookies, elles sortent en juillet 2020. Et puis cette première série de recommandations, elles font l'objet d'une contestation et le Conseil d'État annule le projet de recommandation de la CNIL, qui avait affirmé qu'imposer l'acceptation de cookies pour accéder à un service, c'est contraire au RGPD, sans expliquer ce qu'était un cookie wall et pourquoi et comment. Donc c'est très bien de faire de la consultation publique, faut-il encore que les gens qu'on consulte, on les écoute ? et que les problèmes qu'on met sur la table pour régler des agendas soient ceux qui intéressent réellement la masse. Et la masse, ce n'est pas seulement la masse des consommateurs dont les données sont traitées, c'est aussi la masse des responsables de traitement. Prenons quelques exemples de contentieux ou de cas d'espèce. Il y a un travail dingue qui est fait sur la mesure d'audience et les cookies analytiques pour savoir s'ils sont, oui ou non, soumis au consentement, s'ils y sont, oui ou non. contraire aux règles issues de la règle Schrems II de 2020 sur les transferts de données personnelles. Et on envoie des courriers circulaires pour rappeler que tel ou tel service n'est pas conforme au RGPD, sans pour autant mettre les entreprises en demeure de cesser d'utiliser, à charge pour elles de prendre leurs responsabilités quand elles ont compris que le régulateur les a prévenus que c'était illicite, mais ne les a pas rejoints d'arrêter. Ça, ce n'est pas du droit. C'est du levier, c'est du rapport de force. On pourrait y trouver une forme de chantage, mais ce n'est pas du droit. Ça ne devient du droit que quand on a une décision qui est susceptible d'un débat contradictoire. Tous les processus. de consultation sont très utiles, mais à condition qu'il y ait un règle des problèmes plutôt que d'en créer à chaque fois par un manque de casuistique. En matière RH, il y a des super recommandations qui ont été émises pour savoir quels sont les droits des salariés à l'égard de l'employeur. En matière commerciale, un référentiel sur la relation d'une entreprise avec un client, qu'est-ce qu'un prospect, un client, comment on peut démarcher, est-ce qu'on doit lui faire créer un compte, est-ce qu'il peut acheter en mode invité, tous ces sujets sont des sujets super structurants du quotidien. Mais le processus de consultation publique ne scénarise pas, s'il y a différentes familles de marchands par exemple, pour savoir s'il y a besoin d'un compte, ne scénarise pas ce qu'est l'information à laquelle on peut accéder dans un dossier du personnel quand on est un salarié. Et finalement, ça manque d'oxygène parce que les entreprises ne peuvent pas être utiles dans ces rapports de consultation s'il n'y a pas un petit peu d'hypothèse telle et telle. types d'acteurs plutôt que de mettre tout le monde dans le même panier. Donc, c'est une très bonne méthode, en tout cas une très bonne intention, mais dans l'exercice, elle manque de ping-pong. Et quand on se dit qu'on donne deux à six mois pour une consultation publique et après on la boucle et puis trois semaines plus tard, la commission tranche en émettant des guidelines, c'est un peu comme les consultations citoyennes sur l'environnement, ce n'est pas comme ça qu'on crée du consensus. On a fait débattre les gens pour se donner des idées, pour nourrir la réflexion, mais ensuite on fait ça en chambre par ce souci d'indépendance. Je suis très attaché à l'indépendance de la CNIL. Quand j'y ai travaillé, je voyais à quel point ça devait être chevillé au corps de la manière de réfléchir. Mais l'indépendance, ça ne veut pas dire la solitude. Pour l'instant, le ping-pong intellectuel qui permet à des consultations d'être utiles, c'est encore un peu jouer au tennis contre un mur. Il n'y a pas vraiment de suite à une phase de consultation et c'est pour ça que ça manque de richesse dans le résultat.
- Speaker #0
Alors qu'il y a eu un travail remarquable sur les cahiers, ils ont fait un super boulot en mettant à disposition gratuitement des référentiels, des modèles de registre, des guides pratiques. Là aujourd'hui, on est en train d'assister à une situation qui est complètement ubuesque, c'est-à-dire qu'on transfère la responsabilité de la réglementation. toute la responsabilité de la réglementation ou de choix de société, des responsables de traitement qui n'en demandent pas tant, qui essaient juste de sauver la valeur travail, mais pas que la plus-value issue de leur exploitation. Et il y en a aujourd'hui des diminutions de marge et une incompréhension complète sur les règles juridiques qui changent au gré des régulateurs, qui changent au gré des, on va dire, des guides, des lignes directrices qui nous sont données et une incapacité également à comprendre que là, on a une technologie qui avance. à toute vitesse, et que le droit, là, il n'est pas au niveau. On est dans des flux. On ne traite pas les flux. C'est ce que vous avez dit tout à l'heure. Comment on va faire ? Comment on va faire ? Parce que c'est compliqué, là. On prend l'avalanche chat GPT sans que personne ne se pose la question de la conformité RGPD, de l'e-privacy. Là, on s'assoit sur tous les textes et tout le monde va brancher ça. Est-ce qu'il n'y a pas un aveu de faiblesse sur notre choix de société ? Est-ce qu'on n'est pas en train de nous donner de la poudre aux yeux où on se gargarise de puissances normatives, d'extraterritorialité, alors qu'on est en train d'utiliser, d'être inondé par tous les outils américains, voire chinois, et qu'on assiste impuissant à la dilution de notre souveraineté, de notre culture, et à la dépendance à des infrastructures qu'on ne maîtrise pas ?
- Speaker #1
Alors, c'est une réalité, cette dépendance. En revanche, ce qui est une réalité qu'on peut modifier, ce n'est pas tant notre niveau de dépendance, mais de savoir quels sont les instruments de souveraineté qu'on peut mettre en place. Et je vois apparaître depuis deux ans cette idée selon laquelle le RGPD est un instrument de souveraineté. C'est parfaitement faux. Dans le RGPD, comme dans la Directive de 1995, nous n'avons jamais fait le choix. d'une préférence européenne. Nous avons fait le choix que les données soient accompagnées avec des droits qui les garantissent dans le monde entier. Nous n'avons jamais fait le choix de la localisation des données en Europe. Jamais. Et nous n'avons non plus jamais fait le choix de marchés qui seraient réservés, par exemple pour des opérateurs d'infrastructures vitales, par exemple pour des services de cloud souverains, à des acteurs en fonction de leur nationalité. Pourquoi n'avons-nous jamais fait ce choix-là ? C'est parce que l'Union européenne n'est pas porteuse d'une souveraineté, ni dans ses textes, ni dans sa gouvernance. Pas davantage que dans le RGP. Et si on veut défendre une souveraineté, on ne va pas y arriver avec des libertés publiques. on va y arriver avec des instruments de souveraineté. Je pense, à titre très personnel, que brandir le RGPD comme un instrument de récupération de souveraineté est intellectuellement un mensonge. Oui, les droits des personnes comptent. Oui, nos valeurs consistent à être exportées partout où vont les données de nos ressortissants. Ça, c'est du RGPD. Mais est-ce qu'être américain, c'est mal ? Est-ce qu'il y a des solutions alternatives ? Est-ce qu'être gros, c'est mal ? Et est-ce qu'être localisé en Corrèze, c'est mieux en matière de sécurité, en matière de redondance, tout ce qu'on veut ? Je pense qu'on doit dépasser le fait d'avoir des opinions politiques sur la souveraineté pour faire de la souveraineté un marché, quelque chose qui est une offre qui répond à une demande et qui est susceptible d'être concurrentielle. Ça ne passe pas par les règles de protection des données personnelles, ça passe par des investissements. Ça passe par des solutions combinées, ça passe par un certain nombre de choses que nous voyons actuellement, mais qui ne dépendent pas des régulateurs de la protection des données personnelles. Donc lorsque, pour le programme de la présidence française de l'Union européenne fin 2019, se sont donné la main un secrétaire d'État au numérique, qui avait un programme à dérouler sur la souveraineté européenne en pleine crise Covid, et puis l'autorité française de protection des données personnelles qui s'est dit Je vais vendre de la souveraineté en recyclant le RGPD dans une approche tricolore, ou en tout cas pan-européenne. Je crois qu'on ne s'est pas donné le bon instrument d'un très bon objectif. Ce n'est absolument pas avec ce texte qu'on va pouvoir organiser une préférence européenne. Ce n'est pas vrai. Il faudra réécrire le RGPD s'il sert à ça, ou écrire un autre texte qui parle d'une préférence européenne. C'est toute la difficulté qu'ont aujourd'hui à traiter nos pouvoirs gouvernementaux, instances administratives qui travaillent sur des clouds souverains. Et dès qu'ils fixent des quais des charges très exigeants en matière de sécurité, y compris de nationalité, y compris de lutte contre l'extraterritorialité, le RGPD est un problème et il n'offre pas de solution. Parce que nous n'avons pas dans le RGPD d'obligation de localisation. Nous n'avons pas non plus d'obligation d'échapper à des lois extraterritoriales. pas dans le RGPD. Il a été depuis le début prévu qu'on peut trouver des consensus et si on n'en trouve pas, on interdit et si on en trouve, on les encadre. C'est tout l'enjeu de la discussion actuelle sur l'adéquation. C'est tout l'enjeu de la discussion actuelle sur faut-il interdire TikTok. Ce n'est pas à grands coûts de RGPD qu'on va interdire TikTok. C'est à condition qu'on puisse avoir une définition de ce qu'est la sécurité nationale, la souveraineté économique. et les secteurs stratégiques qui doivent faire l'objet de protections particulières. C'est un vrai travail qui est en cours, mais pardon, il ne dépend pas de nos règles de protection des données personnelles. Il dépend d'une volonté politique qui n'est pas générée par des régulateurs indépendants, elle est générée par des vrais pouvoirs. Et donc pour l'instant, on n'arrive pas à sortir de ce hiatus.
- Speaker #0
qui est que la CNIL va peut-être défendre OVH ou qu'on aura des clouds sous rein grâce au RGPD. Non, ce n'est pas si simple que ça, ça ne peut pas passer par un instrument comme ça.
- Speaker #1
Donc il faut qu'on sorte peut-être de cette logique du tout normatif ?
- Speaker #0
En tout cas du tout RGPD. Moi j'entends des gens qui me disent en fait on va réformer le droit civil des contrats parce que le RGPD prime, on va réformer la manière de faire circuler des informations sur des investisseurs dans les sessions de créance ou les marchés de la réassurance. parce que c'est contraire au RGPD. On ne peut plus faire une opération de fusion-acquisition en mettant à disposition des chiffres sur les salariés et les carrières lorsqu'un repreneur est hors-européen, parce que si on transfère des données au futur investisseur qui veut faire un audit, c'est contraire au RGPD. J'ai l'impression qu'avant le RGPD, il n'y avait rien dans la régulation mondiale des échanges commerciaux, étatiques, de sécurité. Et cette approche, qui est une approche de spécialiste qui a oublié qu'une vie le précédait et qu'il y avait un monde avant le RGPD, Elle amène même les régulateurs de protection des données personnelles à favoriser des modes de raisonnement qui peuvent être le consentement ou la nécessité contractuelle, là où dans le monde d'avant, 90% de la vie était régulée par des questions d'intérêt légitime, c'est-à-dire des bases légales sur lesquelles le régulateur a le plus de pouvoir pour normer l'équilibre entre les droits des personnes et des finalités légitimes. Le pouvoir le plus subjectif et le plus large d'appréciation de cette question-là, qui est un combo régulateur, est. dans ces bases légales. Je crois qu'à force de se trouver des ennemis, en fait, on perd un peu le nord. À force de se dire que les autres sont moins protecteurs, moins civilisés, moins démocrates, je suis désolé, mais je vais vous donner un exemple dans la sphère de la sécurité que je connais assez bien autour du projet de loi sur les JO 2024, notamment la reconnaissance faciale ou l'intelligence artificielle dans la vidéoprotection sur la voie publique. Si on ne régule pas de manière très protectrice, non prohibitives, ce genre de sujet, on va acheter des reconnaissances faciales de nos ressortissants français à des boîtes chinoises, israéliennes ou américaines. Et on ne se sera pas posé la question de la nécessité de la collecte des profils sur LinkedIn ou d'autres réseaux sociaux qui permettent de faire des gabarits biométriques et d'avoir des morphotypes et ce genre de choses. Il y a tout un domaine industriel qui aujourd'hui a peur d'être hors la loi pour établir des modèles de services innovants. et qui va finir par se fournir en hors la loi auprès d'entreprises qui sont hors RGPD pour pouvoir peut-être demain être leurs sous-traitants ou leurs distributeurs. Ça, ça tient à la question de savoir si on favorise des bacs à sable. En 2018, la CNIL de l'époque, sur le projet de loi de modification de la loi Informatique et Libertés pour mettre en œuvre le RGPD, avait fait déposer par le ministère de la Justice plein d'amendements pour refuser tout mécanisme. de bac à sable, c'est-à-dire on notifie au régulateur ce qu'on voudrait faire, c'est-à-dire à titre expérimental, et on fait une espèce de privacy impact assessment avec le régulateur sans que ça n'aboutisse à des injonctions neutralisantes, ni que le seul fait d'avoir un projet dont on ne connaît pas encore au départ la finalité n'est pas en soi une infraction. Parce qu'on sait bien qu'en protection des données personnelles, si on ne sait pas pourquoi, on n'a pas le droit de toucher une donnée. L'intelligence artificielle, c'est le contraire. On découvre les finalités au fur et à mesure où on mouline des informations. Cette logique de bac à sable que les Anglais ont initiée il y a deux ans dans leurs travaux n'est pas un problème d'Anglais anglo-saxon trop pragmatique. C'est une nécessité absolue que de pouvoir accompagner l'innovation avec des itérations qui ne se traduisent pas qu'en prohibition. Vous ne pourriez mettre en œuvre que si et sinon c'est interdit. Ce mode de dialogue qui ressemble davantage encore une fois à des échanges, peut prendre un peu de ressources au régulateur, ne nécessite pas forcément de modifier la loi, c'est une question d'approche, de méthode. Quelle entreprise aujourd'hui, lorsqu'elle hésite sur les conclusions de son Privacy Impact Assessment, va se dire « tiens, je vais gagner du temps et je vais gagner de la sécurité » en interrogeant la CNIL pour lui demander si elle est confortable et quelles seraient les modifications qu'elle me suggère. Le régulateur peut lui répondre « je n'ai aucune modification à vous suggérer, votre dossier en l'état ne me convient pas » . Sauf que ça, c'est la moitié du travail, à mon sens, d'un régulateur. Beaucoup d'efforts de pédagogie, de communication sont évidemment faits par la CNIL. Vraiment, moi je salue l'énormité du travail qu'ils ont accompli pour expliquer, accompagner, donner des guides. Mais dans ces guides, il y a forcément de la doctrine, de l'opinion, d'une manière de contrôler des évolutions qui laisse à croire. Beaucoup de choses sont interdites alors qu'elles ne sont peut-être pas dans les meilleures pratiques. Cette façon de juguler l'innovation avec des guides et des référentiels fait manquer un peu d'oxygène à la réalité des projets. Je vous ai donné l'exemple de la reconnaissance faciale, mais on peut parler de la mobilité en général, on peut parler de la publicité digitale, on peut parler de plein de choses, dans lesquelles les DPO ou les conseils juridiques ne peuvent pas, au regard de la doctrine publiée, faire autre chose que de prendre un risque. D'où le petit guide de survie, c'est qu'à chaque fois qu'on pense d'une certaine manière pour justifier un projet, il faut l'écrire. l'aider pour soi-même, aller au-delà de l'exercice consistant à cocher des cases dans un privacy impact assessment, pour avoir toujours une réflexion qui va du principe au trait pratique, en passant par les raisonnements qu'on a traversés. Si on ne fait pas cet exercice qui consiste à documenter son opinion et qu'on se contente de synthétiser sa conclusion, on sera en grand risque, parce qu'après tout, mal réfléchir, ce n'est pas grave. du moment qu'on a beaucoup réfléchi. Mal conclure, ce n'est pas grave, du moment qu'on a beaucoup réfléchi. Donc, une des manières de survivre à ces incertitudes, c'est d'expliquer pourquoi on pense comment. Parce que celui qui ne sera pas d'accord ne pourra pas vous reprocher d'avoir manqué de professionnalisme et de profondeur de réflexion.
- Speaker #1
Là, sur ce que vous êtes en train de nous dire, j'y souscris complètement. J'ai même une observation complémentaire à une question. La réglementation sur le Data Act, le DGA et l'IA Act, est-ce qu'elle n'est pas en train de complètement se tromper de cible ? Puisque s'agissant de l'IA Act, on est avec les modèles d'IA dans la capacité de pouvoir donner les finalités, c'est précisément le but d'une intelligence artificielle. Donc là, on sera en violation du RGPD, etc. Donc, toutes les IA seront classées à haut risque ou interdites et on n'arrivera pas à fonctionner. on n'arrivera pas davantage à rentrer véritablement dans le Data Act ou dans le DGA, puisque la valeur, c'est le partage de la donnée décomplexée, et donc il faut faire vivre ce système. Qu'est-ce qu'on va trouver comme boussole, au-delà du fait de se faire confiance, au-delà du fait qu'on transfère la patate chaude aux responsables de traitement, aux organisations publiques et privées, et à leur direction juridique, des PO, avocats, qui documentent comme ils le peuvent ? Comment on retrouve ce temps, et comment on va sensibiliser nos syndicats professionnels également, nos directions ? Tous ceux qui peuvent porter leur voix, et nos élus, nos représentants, autour d'un discours responsable sur la perte de compétitivité, l'augmentation de notre dépendance et le fait qu'on soit à genoux en ce moment.
- Speaker #0
Je pense que la chose qu'on a le plus de mal à écrire dans un raisonnement, c'est le bon sens. Tout ce qui nous paraît évident, qui ne devrait même pas souffrir une discussion, doit être dans les argumentations. Allons demander aux opérationnels, aux business developers, aux techniciens, Quelle est leur intention alors qu'en étant payés pour tous les jours, ils oublient le pourquoi fondamental de leur mission ? Ça nourrit énormément une réflexion d'experts juridiques sur tel ou tel projet innovant qui nécessite une prise de recul. Moi, j'ai une petite méthode qui est de penser comme penserait le régulateur, de penser au contraire de ce que penserait le régulateur, mais en lisant le RGPD de manière très rigoureuse. et ensuite de... pensée par l'absurde, c'est-à-dire si on suivait une logique de prohibition, quelle absurdie elle créerait ? Et quand on pense dans ces trois dimensions-là, on arrive à défaire l'écheveau de la prohibition de principe, on arrive à défaire l'idée que tout est possible dans un monde dans lequel on est d'accord avec soi-même, ce n'est pas du tout ça ce en quoi consiste un exercice d'impact assessment, et puis dans un monde de l'absurde, on met des dogmatiques. au pied du mur de la réalité, c'est-à-dire travailler par extrapolation. Et d'ailleurs, on nous le demande dans le RGPD de travailler par extrapolation. En quoi est-ce qu'une technologie peut-elle être utile sans être plus intrusive ? Est-ce qu'on est allé chercher d'autres dispositifs qui ont fait qu'on a choisi celui-là ? Ça paraît être un exercice redondant, superflu. Mais moi, je n'ai pas vu un projet de reconnaissance faciale fonctionner sans qu'on explique pourquoi l'empreinte digitale, ce n'était pas bien et en quoi la vidéo toute bête qu'il faut regarder à l'écran, c'était inefficace. Donc, ce travail-là, il permet d'avancer dans cette zone de risque. On est dans des milieux complexes qui sont en constant changement. Et quand on s'est donné une colonne vertébrale pour être sûr de soi, douter de soi-même et ridiculiser les absolues prohibitions, On arrive à savoir où reposent les pieds pour avancer. Je n'oublie pas, dans ce que vous venez d'évoquer, AYA Act et Data Act, un élément éminemment politique de ces textes. Il y a en tout une douzaine de textes qui régulent le numérique et qui ont fleuri au cours des deux, trois dernières années. Une douzaine. Data Resilience, la Directive UNISDE, on peut encore en ajouter certaines autres. Et pourquoi est-ce que ces textes sont des silos qui s'entrecroisent et qui s'ignorent ? C'est d'une part parce qu'on ne touche pas au RGPD, c'est le sacro-saint succès de l'Union européenne au cours des dix dernières années, reconnu dans les sondages par nos... concitoyens comme étant un instrument pour lequel on a besoin d'Europe. Donc c'est un totem, on n'y touche pas. Et c'est la raison pour laquelle quand Thierry Breton a eu des initiatives sur la souveraineté numérique, il voulait mettre en place des dispositifs qui ne touchent pas au RGPD. Le AI Act qui est sorti sur l'intelligence artificielle ignore le RGPD pour ne pas faire mine de marcher sur ses plates-bandes. Le Data Governance Act, même chose. Tous les projets de data collaboration, même chose. Donc on n'arbitre pas au moment où on élabore l'outil législatif l'articulation entre ce qui est une donnée personnelle, une donnée anonyme, une donnée industrielle, une donnée environnementale, une donnée concurrentielle. Pourquoi on ne veut pas arbitrer ? Parce qu'au stade de l'élaboration des textes, on n'aurait que des opposants et donc le texte ne serait jamais adopté. Donc pour ne pas avoir d'opposants, il ne faut pas se créer des ennemis en disant qu'il va falloir articuler. Ce qui nous pose donc une difficulté qui est que non seulement ces textes cohabitent et s'interpénètrent, mais les régulateurs de ces textes ne seront pas le même. Et s'ils sont le même, quel est celui qui pensera dans la bouteille à moitié pleine de la protection des données ou dans la bouteille à moitié vide de la régulation des télécoms ou d'autres choses ? Malheureusement, avec cette douzaine de textes, on peut avoir une douzaine de régulateurs multipliés par 25-26 pays et nous allons mourir, c'est ma crainte. Dans un enfer pavé de bonnes intentions, oui, il faut développer l'intelligence artificielle, donc on va faire en sorte qu'elle ne marche jamais parce qu'aucun régulateur ne sera d'accord. Oui, il faut développer la collaboration sur les données entre les entreprises, mais si c'est contraire aux règles de protection de la vérité privée, on n'y arrivera pas. Oui, il faut faire de la souveraineté en matière de santé et recherche médicale, mais attention, il y a le RGPD qui nécessite de passer par de l'anonymisation, alors que depuis toujours, les essais cliniques et la recherche médicale fonctionnent que sur de l'abstinimisation et pas de l'anonymisation. Donc à force de multiplier des objets qui ont tous une légitimité propre, on crée un maquis de régulateurs et de gouvernance qui va nous rendre parfaitement inefficaces. Et pendant ce temps-là, la caravane des non-européens passe, pendant que nos chiens boiront dans une meute assez informe. Moi, c'est là que je vois le risque. Ce n'est pas tant que les régulations me dérangent, elles se ressemblent beaucoup, les méthodes d'assessment sont les mêmes. Ce qui me dérange, c'est que... Ça nous fait un millefeuille, un puzzle dans lequel, pour savoir ce qu'on a le droit de faire sur une chaîne données personnelles, intelligence artificielle, secteur de la santé, données personnelles, intelligence artificielle, régalien et sécurité publique, etc. On aura inventé une ribambelle de problèmes plutôt que d'aller chercher des solutions. Et donc, qu'est-ce qu'il faudrait faire sur le plan réglementaire ? Imposer des régulateurs européens. imposer des régulateurs européens plutôt que des comités dans lesquels on se tire dans les pattes entre régulateurs nationaux pour savoir qui a le pouvoir collectif, temporaire, sur un sujet précis sur le plan européen. Ce qu'on a fait en matière de concurrence était une condition du marché intérieur, ce qu'on fait en protection des données est une condition du marché extérieur, c'est à dire de la relation de l'Union européenne avec le reste du monde en protection des données. Donc qui sera ennemi de ça ? Les régulateurs de la protection des données et qui d'autre ? Mais au nom de quoi d'autant réguler ça ? Au nom de la protection de la vie privée et de son efficacité ou au nom des petits précarés de chaque réglement national ? Donc ça, c'est un grand choix politique. En matière d'intelligence artificielle, il faut coordonner des sujets. L'IA dans l'agriculture, dans l'industrie, dans la météorologie ou dans la conception des bâtiments, ce n'est pas exactement la même chose que la protection des données personnelles. Et pour l'instant, on feint de l'ignorer dans l'adoption des textes. Pourquoi ? Parce qu'on a des vrais objectifs légitimes sociétaux, mais qu'il y a des totems qu'on n'ose pas articuler. Et à mon sens, c'est par le petit bout de la laurienne, c'est-à-dire qui sera le régulateur de ce sujet, que l'Union européenne doit aller au bout de sa démarche. Dire « je légifère » et pas qu'un se débrouille pour désigner son régulateur, qui aura des pouvoirs à sa manière dans son pays, et entre deux régulateurs qui se côtoient à charge pour eux de prendre le thé à 5 heures pour se parler et se mettre d'accord ?
- Speaker #1
Non.
- Speaker #0
Aujourd'hui, le numérique, c'est de la concurrence, des libertés publiques, de l'innovation et du régalien. Et lorsqu'on a quatre régulateurs pour ces sujets, et que trois d'entre eux sont indépendants, et que le quatrième n'est pas dans le plié d'harmonisation européenne, la directive police-justice, on ne peut pas atteindre nos objectifs, c'est-à-dire faire du droit à l'égard du reste du monde, qui permettent d'incarner nos valeurs. C'est beaucoup plus un sujet de gouvernance que d'objectifs réglementaires.
- Speaker #1
Merci Étienne, parce que là c'est passionnant et on a envie de continuer encore avec vous. Il est déjà tard. Il est déjà tard. Et puis, d'après ce que je comprends, Kafka est plus que jamais sur le rivage, là où on aurait aimé que ce soit Portalis, notre juriste. Pas plus qu'il n'est juste, pas plus qu'il n'est utile. Et on a peut-être oublié tout simplement cela. Merci infiniment et à bientôt, j'espère, pour de nouvelles aventures sur nos causeries data. Vous voyez que nous jouons une partie de Game of Thrones de la donnée qui redistribue les pouvoirs autour de ce terreau qui est en train d'échapper à nos entreprises européennes, malgré nous. Mais on va essayer de faire quelque chose. A bientôt.
