Protection des donnees : Un business – analyse de cap digital

Le 4 juillet dernier, Cap Digital recevait Sophie Pène, Anne-Sophie Taillandier, Cédric Mora et Jean-Baptiste Soufron pour étudier à quatre voix le Règlement Général sur la Protection des Données (RGPD) qui entrera en vigueur en 2018 dans toute l’Union Européenne. Retour sur une soirée d’échange et de partage qui a permis de dégager le sens de ce dispositif, son histoire et ses perspectives.

« Le nouveau RGPD, c’est un changement de business model qu’il faut voir comme une opportunité de se démarquer ». Dès le début des échanges, Anne-Sophie Taillandier donne le ton de la soirée : si la réglementation européenne est souvent perçue par les entreprises comme une contrainte supplémentaire (avec obligation de mise en conformité dès le 27 mai 2018), le RGPD porte aussi en lui de nombreuses opportunités stratégiques. Avec en premier lieu, l’enjeu fondamental de la dataliteracy. A l’heure où 54% des citoyens européens se déclarent plus vigilants qu’auparavant sur la protection de leurs données personnelles en ligne, la question de la confiance ne peut plus être ignorée. Dans le domaine de la publicité, par exemple, médias et annonceurs font face à des bloqueurs d’annonces (ad-blocker) qui témoignent de la prudence des utilisateurs. Si les entreprises montrent où les données sont stockées et comment elles sont utilisées, alors les utilisateurs seront plus à même de livrer celles dont ils estiment l’utilisation utile, sans recourir à des techniques de contournement.

Regagner en confiance et en compétitivité

C’est bien là l’esprit de ce règlement qui offre la possibilité aux entreprises d’impulser un changement culturel vers une meilleure protection des données personnelles au profit des utilisateurs ET de la valeur d’usage de leurs produits et services numériques.  « On est sur un principe d’écologie des données. Il faut maintenant ne récupérer que les données dont on a besoin« , insiste Jean-Baptiste Souffron pour marquer les esprits. Il s’agit de mettre un terme à la période des habitudes minimales en termes de protection des données personnelles, précise Sophie Pène, afin que les entreprises se pensent comme de véritables « info-structures » responsables. Et sur cette question, l’Union européenne compte bien se donner les moyens de son ambition. Le RGPD imposera ainsi à chaque entreprise de se doter d’un Digital Privacy Officer (DPO) – en remplacement du Correspondant Informatique et Libertés (CIL) créé par la loi de 1978. En cas de non-respect de la loi, les sanctions seront renforcées – jusqu’à 4% du chiffre d’affaire annuel mondial pour une multinationale. De quoi inquiéter tous les acteurs en place, des PME jusqu’aux GAFA.

Assurer la portabilité des données

Le RGPD tente donc de remettre les citoyens au cœur du jeu. Ces derniers doivent jouir pleinement de la propriété de leurs données afin qu’ils ne soient pas captifs d’écosystèmes fermés, comme c’est souvent le cas aujourd’hui. Le nouveau règlement intègre à ce titre la notion de portabilité des données qui entend restituer aux individus les données collectées lors de l’utilisation de services sur internet, pour leurs usages personnels ou pour les transférer vers un autre service.

C’est ce qu’a rappelé Cédric Mora en évoquant le travail de la start-up CosyCloud, dans laquelle a récemment investi la MAIF, qui prône la possibilité pour chaque citoyen d’avoir à disposition un serveur personnel sur lequel stocker ses données et en garder le contrôle. Si l’objectif est louable, Jean-Baptiste Soufron souligne les enjeux techniques que soulève ce principe de portabilité : « La donnée n’est pas quelque chose de fluide, qui passe d’une plateforme à une autre facilement, parce qu’il n’y a pas de standard en portabilité. Si je demande à Whatsapp de transférer mes données à Snapchat, c’est compliqué. Alors imaginez si je veux les transmettre à 1 000 start-up ! ». Il reste aussi à évaluer comment la fluidité et la portabilité des données seront de nature à redistribuer les cartes du jeu de la concurrence, dans un contexte de domination des plateformes.

Privacy by design : penser données dès la naissance d’un projet

De même, le RGPD défend le principe du privacy by design. Chère à Margrethe Vestager, commissaire européenne en charge de la concurrence, cette notion obligera les entreprises à mettre la protection des données au cœur de leur réflexion, dès la naissance d’un projet. L’enjeu : produire des outils et services numériques qui protègent mieux nos données personnelles, en garantissent l’utilisation minimale utile et s’interdisent de recueillir des données non nécessaires. C’est ce que défend la start-up Snips, labellisée par Cap Digital et lauréate du Concours Mondial de l’Innovation en 2014, qui propose d’utiliser l’intelligence artificielle de chaque objet connecté pour anticiper le comportement de l’utilisateur. Un process qui permet de lui proposer les applications dont il a besoin sans lui faire perdre de temps et sans utilisation excessive de ses données personnelles.

Un texte vivant…

Si ces grands principes sont désormais figés dans la loi, les intervenants ont cependant insisté sur le fait que le RGPD est un règlement vivant. Le texte continuera d’évoluer en même temps que les technologies qu’il régule. Cette condition est nécessaire pour stimuler la réflexion et établir une nouvelle culture responsable de la protection des données personnelles à laquelle aspire l’Europe.

En cela, le RGPD ne propose en rien des solutions clef-en-main pour les entreprises. « N’attendez pas de solutions toutes faites » met en garde Sophie Pène. Entreprises et organisations doivent maintenant discuter ensemble afin de mieux définir le nouveau modèle qu’elles souhaitent voir émerger et qui leur permette de respecter le règlement européen et de regagner la confiance des utilisateurs.

… dont on mesure déjà quelques limites

Enfin, notons que le RGPD ne traite que des données personnelles et pas des autres types de données, comme celles produites par les machines et capteurs. C’est là l’une des faiblesses du texte qui laisse s’échapper de son radar les enjeux liés aux croisements des données personnelles et non-personnelles. Autre lacune : le règlement reste flou sur la nécessaire transparence des algorithmes, véritable serpent de mer de la politique numérique européenne face auquel les États peinent à apporter une réponse commune. Jean-Baptiste Soufron a également rappelé le risque d’émergence, sur fond de lutte contre le terrorisme, d’une société du contrôle permanent par les nouvelles technologies et souligne à ce titre la portée hautement politique des questions soulevées par le RGPD… auxquelles le texte ne répond finalement pas. Dès lors, si le RGPD offre une véritable mise à jour de la loi informatique et libertés de 1978 et introduit de nouveaux concepts centraux, il ne semble être que la première pierre d’un édifice juridique qui reste à construire. Construction à laquelle nous devons tous prendre part, collectivement Le pôle Cap Digital réfléchit déjà aux formes de réflexion et de mobilisation les plus adaptées pour avancer sur quelques-unes des pistes évoquées le 4 juillet.

ici…