Archive pour le Tag 'données'

Pour une régulation des données personnelles

Pour une régulation des données personnelles

L’analyse de Jean-Marie Cavada, Président de l’Institut pour les Droits Fondamentaux Numériques, après la publication de la note de la Fondation Digital New Deal, « Partage de données personnelles : changer la donne par la gouvernance ».( Chronique dans la tribune)

 

Les menaces que fait peser l’hégémonie des Big Tech sur la concurrence, l’innovation et la souveraineté européenne doivent être prises en compte. Alors que l’Europe tente d’agir avec le Digital Services Act, force est de constater que les velléités régulatoires européennes trouvent un écho outre-Atlantique – enfin ! La Chambre des représentants américaine a en effet récemment rendu un rapport sur les pratiques anticoncurrentielles des Big Tech.

Pourquoi les Big Tech dominent-elles ?

Les grandes plateformes numériques ont parfaitement su exploiter la puissance exponentielle des effets de réseau. Les modèles « winner takes all » propres aux marchés technologiques confèrent aux Big Tech, dès lors, une influence indéniable sur des pans entiers de l’économie internationale. A cela s’ajoute une taille de marché
presque sans limite puisque l’expansion de ces géants technologiques n’est pas freinée par des coûts marginaux élevés contrairement à des industries plus traditionnelles et des problématiques de transport par exemple. L’addition de ces deux facteurs – effets de réseau et taille potentielle de marché – a permis aux Big Tech de conquérir, petit à petit, la frange BtoC de l’économie européenne.

Lire aussi : Vers un « cyberscore » pour informer les internautes sur la sécurité de leurs données?

Au-delà des caractéristiques particulières de l’économie numérique sur lesquelles les Big Tech ont su s’appuyer, c’est également l’utilisation d’un modèle économique spécifique qui leur a permis d’asseoir leur domination. Elles ont concentré leurs efforts sur des marchés dits bifaces, où le service gratuit offert au plus grand nombre permet de fermer la porte aux nouveaux entrants, tandis que le modèle publicitaire permet
d’atteindre une rentabilité maximale.

Si l’intelligence artificielle et la science des données constituent autant d’outils utiles pour répondre aux défis de notre monde, force est néanmoins de constater que les meilleurs cerveaux de la planète sont recrutés pour parfaire un modèle publicitaire déjà effectif ! Le pouvoir accumulé par ces entreprises, de surcroît, aboutit aujourd’hui à un impact systémique sur l’ensemble de la société, et notamment sur le fonctionnement même de nos démocraties. Il s’agit désormais de redonner toute sa place au bien commun et à l’intérêt collectif.

Si les Big Tech ne considèrent les individus que comme des consommateurs, les porteurs du projet aNewGovernance souhaitent inverser ce paradigme.

Encourager un nouveau modèle pour la donnée

L’uniformisation des règles du jeu concernant le traitement et l’utilisation des données constitue un objectif primordial. Il semble ici nécessaire, comme le démontre le think tank Digital New Deal dans le rapport de Matthias de Bièvre et Olivier Dion Partage de données personnelles : changer la donne par la gouvernance, de repenser l’architecture de circulation des données pour que tous les acteurs, publics comme privés, associatifs
comme académiques, puissent en retirer les bénéfices.

L’article 20 du Règlement général sur la protection des données, qui consacre un droit à la portabilité des données, constitue une des clés pour mettre sur pied une architecture des données plus vertueuse que celle qu’ont mise en place les Big Tech. Là où le bât blesse, c’est que ce nouveau droit n’est pas incarné dans des procédures et des règles simples d’accès et d’utilisation par tous. A ce titre, des outils doivent être mis à
disposition des individus pour maîtriser leurs données, tout en s’assurant qu’ils soient indépendants des plateformes, par souci de séparation des pouvoirs. Également, la puissance publique doit intervenir, sur ce point, afin d’assurer que cette nouvelle catégorie d’outils se développe et prenne en compte l’intérêt public et l’intérêt de l’individu, à l’inverse des Big Tech qui font fi des deux.

Pour parvenir à créer cette nouvelle infrastructure de données, l’effort doit être partagé par le secteur public et le secteur privé. A cet égard, aNewGovernance et l’Institut des Droits Fondamentaux Numériques, appellent à la création d’un organe de gouvernance européen et international pour que les mondes du public et du privé pilotent ensemble l’écosystème de gestion des données et les services qui émettent et consomment des
données. Cette gouvernance mondiale permettrait, d’une part, de faciliter la circulation des données pour l’ensemble des acteurs de l’économie, et aurait, d’autre part, un effet de renversement de la relation asymétrique qui existe aujourd’hui entre une plateforme et un utilisateur.

Pour une plateforme financièrement puissante et dont les services sont quasi universels, il est aisé d’imposer une architecture et un modèle de partage de données. A l’inverse, proposer une architecture et un modèle différents qui profitent à des dizaines de millions d’acteurs requiert une importante coordination. Un organe de gouvernance doit être la clef de voûte d’une infrastructure mondiale de circulation de données centrée sur l’individu. Le numérique étant devenu un sujet éminemment politique – et non plus uniquement technique ou économique – cette infrastructure de circulation de données pourrait constituer la première pierre d’un numérique plus juste. Et cela n’aboutira pas sans gouvernance.

La scandaleuse exploitation des données

La scandaleuse exploitation des données

Professeure émérite à la Harvard Business School, l’Américaine a théorisé le concept et les dérives du «capitalisme de surveillance», pratiqué par Google, Facebook et depuis peu Amazon, dans un ouvrage qui paraît ce jeudi en France.

. - L’Âge du capitalisme de surveillance est sorti aux États-Unis en janvier 2019. Pensez-vous que votre message d’alerte a été entendu?

Shoshana ZUBOFF. - Lorsque mon ouvrage est sorti aux États-Unis, mon éditeur avait prévu une tournée promotionnelle de trois semaines. Au final, j’ai voyagé quatorze mois. L’intérêt pour le livre n’a pas baissé avec le temps, bien au contraire. Fin 2019, je remplissais des salles de mille personnes, plusieurs fois par semaine. À chaque rencontre, je demandais au public de noter en un mot pourquoi ils étaient venus. Les réponses ont toujours été les mêmes: anxiété, confusion, colère, méfiance, résistance, prise de conscience, peur, liberté, démocratie. Ce sont des mots de mobilisation d’une avant-garde de citoyens. Certains pensaient que le mouvement critique envers la tech s’éteindrait avec la pandémie, au vu des services que Facebook, Zoom, Amazon ou Google nous ont apportés. Je pense tout le contraire. Le confinement a mis crûment en lumière

Une urgence : développer des GAFA européens

Trois spécialistes du numérique plaident pour une stricte mise sous contrôle de ces plateformes et pour le développement de concurrents européens.

Jean-Marie Cavada est Président de l’institute for Digital Fundamental Rights.

Léonidas Kalogeropoulos est Délégué Général de l’Open Internet Project (OIP).

Benjamin Jayet est Président de GibMedia et membre de l’OIP, association européenne créée en 2014 pour combattre les abus de position dominante sur le marché numérique européen.


Depuis le début de la crise sanitaire, les pouvoirs publics ont perçu l’ampleur de notre vulnérabilité au regard des enjeux de souveraineté numérique. Confronté à la nécessité d’utiliser des plateformes collaboratives numériques pour les échanges confidentiels, le gouvernement a pris conscience des risques liés à l’utilisation des outils les plus populaires appartenant aux GAFA, dont les services sont pour la plupart hébergés aux États-Unis. Des solutions alternatives souveraines ont ainsi été choisies en urgence, et la prudence a conduit le gouvernement à décliner l’offre de Google et Apple pour le choix de l’application «StopCovid», préférant développer une solution souveraine.

Ce sursaut de patriotisme économique, rapide et salutaire, témoigne de la prise de conscience de notre dépendance technologique en utilisant des services développés par les GAFA, qui nous tracent et stockent nos données dans des serveurs soumis au Patriot Act. Cette dépendance ouvre surtout la voie à des abus de position dominante fragilisant des pans entiers de notre économie. Devenues des plateformes structurantes pour de très nombreux marchés, les GAFA sont en mesure de contourner les règles qui permettent d’assurer une concurrence loyale non seulement en France, en Europe, et partout dans le monde, y compris outre-Atlantique, où la Justice américaine a annoncé l’ouverture d’un procès contre Google pour ses pratiques anticoncurrentielles dans la publicité.

Google a additionné 1,5 milliard d’euros d’amende pour pratique abusive en matière de publicité en ligne.

Pourtant, à l’évidence, les enquêtes et les sanctions des autorités concurrentielles nationales ou européennes sont devenues un simple paramètre dans le business model de ces géants du numérique. Le cas de Google est édifiant. Il additionne 2,3 milliards d’euros d’amende dans le dossier «Shopping» infligé par la Commission européenne, 4,3 milliards d’euros dans le dossier Android, ou encore 1,5 milliard d’euros pour pratiques abusives en matière de publicité en ligne. En France, il faut rajouter 50 millions d’euros d’amende prononcée par la CNIL pour manquement aux règles des cookies, 150 millions d’euros infligés par l’Autorité de la concurrence dans le dossier GibMedia et, tout récemment, la décision de prononcer des mesures conservatoires pour forcer Google à négocier avec les éditeurs et agences de presse la rémunération qui leur est due au titre du respect des droits voisins, parce que Google refusait d’appliquer la loi! Généralement renvoyées en appel, ces décisions ne permettent pas encore, dans de nombreux cas, de réparer les dommages subis par les entreprises victimes, et par l’économie en général. Par exemple, 10 ans après l’ouverture par la Commission du dossier «Shopping» sur les comparateurs de prix en ligne, le marché reste toujours soumis aux abus de position dominante de Google.

Cet acteur, «délinquant» au regard du droit économique de la concurrence, est un multirécidiviste. Ses turpitudes ne s’arrêtent jamais, comme le démontre l’initiative prise par Google de rendre son serveur publicitaire gratuit durant la crise du Covid-19, véritable opération de dumping à grande échelle qui va lui permettre d’étendre encore son emprise sur les médias. Qu’importe les poursuites… Google a intégré dans son modèle économique l’opportunité de s’exposer à des procédures judiciaires interminables et à des amendes vertigineuses, parce que leur l’impact est marginal au regard du chiffre d’affaires réalisé et des positions économiques avantageuses conquises par ces pratiques déloyales.

Face au géant Google, tous les autres acteurs sont démunis et redoutent de se voir refuser l’utilisation de ses services s’ils ne se plient pas à ses règles.

Par ses agissements, Google est devenue une menace pour la libre-concurrence et pour la capacité à faire émerger un écosystème numérique souverain. Des appels au démantèlement se multiplient outre-Atlantique, afin de transformer Google en une plate-forme d’utilité publique qui n’aurait pas le droit de détenir des participations dans les sociétés utilisant ses services. Alors que le géant américain a racheté plus de 200 start-ups et concurrents depuis 2010, le débat se porte également sur la création d’organismes anti-trust dédiés pour surveiller toutes ces fusions.

En France, nous ne saurions attendre les décisions venues d’outre-Atlantique pour protéger les acteurs de la French Tech qui souffrent de ces abus à répétition. Face à ce géant, tous les autres acteurs semblent démunis et redoutent de se voir refuser l’utilisation de ses services s’ils ne se plient pas à ses règles.

La crise sanitaire conduit à une prise de conscience: dans le monde numérique, nous sommes totalement dépendants ; nous serons vassalisés, colonisés, par des groupes ultra-puissants qui se dressent face aux États et qui prendront possession des données, des contenus, des innovations, de pans entiers de notre économie, si nous restons désunis, désarmés, et que nous ne structurons pas notre propre industrie numérique.

Les plate-forme opérant sur notre territoire ne doivent plus être autorisées à racheter nos entreprises.

Pour y parvenir, il est indispensable que ces plate-forme structurantes et géantes trouvent en face d’elles des autorités de régulation aux pouvoirs spécifiques et adaptés à ces défis.

Pour la France, sans attendre, il est urgent de mettre sur pied une autorité publique indépendante (API), dotée d’une personnalité juridique et administrative propre, capable d’ester directement en justice. Les plate-forme opérant sur notre territoire ne doivent plus être autorisées à racheter nos entreprises, à modifier unilatéralement leurs conditions générales d’utilisation, leurs algorithmes ou leurs pratiques commerciales sans accord et donc le contrôle préalable de cette agence de régulation numérique.

La France peut avoir un rôle précurseur avant qu’une telle agence indépendante se mette en place au plus vite à l’échelle européenne.

L’Union doit bâtir d’urgence sa «troisième voie européenne», dont le but est au moins triple: développer des industries numériques continentales, faire cesser la loi du plus fort au profit d’une saine concurrence, et protéger contenus et investissements au profit de l’Europe d’abord.

Cybersécurité: les données européennes confiées aux Américains

Cybersécurité: les données européennes confiées aux Américains

La souveraineté numérique est sérieusement mise en cause notamment depuis que le Conseil d’État a autorisé que les données sanitaires françaises puissent être confiées aux grands du numérique américain tout en exigeant des garanties de sécurité et de confidentialité. Reste que l’autorisation a été donnée.

On attend un débat et des dispositions européennes à propos de notre sécurité et de la souveraineté numérique.

Plus  de 70% des données européennes sont aujourd’hui stockées dans des clouds non-européens, rappelle OVHcloud. «Les politiques de souveraineté numérique se renforcent avec la crise du Covid-19Nous nous sommes encore plus rendu compte de notre dépendance à tous ces outils» observe Julien Nocetti, spécialiste des questions numériques et professeur à Saint-Cyr/Coëtquidan.

Or la nouvelle bataille qui se joue est celle des données industrielles des entreprises européennes. «Nous ne pouvons pas faire l’économie d’un traitement conjoint de notre sécurité et de notre souveraineté numérique. Nous devons rester maîtres de notre destin, insistait Guillaume Poupard, le directeur général de l’Anssi .

Transfert illégal de données personnelles entre les États-Unis et l’Europe

Transfert illégal de données personnelles entre les États-Unis et l’Europe

Charles Cuvelliez, de l’université de Bruxelles, et de Jean-Jacques Quisquater, de l’université de Louvain tire les conséquences de l’illégalité du transfert de données personnelles entre l’Europe et les États-Unis dans une chronique de la Tribune

 

 

« Il y a quinze jours, la Cour européenne de justice a fait souffler un vent glacial sur le business transatlantique en annulant (encore !)  le cadre qui règle les transferts de données entre les États-Unis et l’Europe, la décision dite « Privacy Shield », après « Safe Harbour ». Dans les deux cas, on retrouve le même plaignant, M. Schrems, un citoyen autrichien, qui en fait un vrai business (d’activiste).

Ses données personnelles hébergées par Facebook, s’était-il plaint, n’ont pas une protection digne du RGPD, le Règlement général de protection des données, sur le territoire américain en dépit des garanties obtenues par la Commission auprès des autorités américaines. La Cour l’a suivi (1) et ne laisse même pas de période de grâce : sa décision s’applique tout de suite ! Si des données personnelles de vos clients ont le malheur de faire un aller-retour par les États-Unis pour mille raisons, vous êtes depuis mi-juillet dans l’illégalité.

Si vous avez de la chance, votre fournisseur américain avait déjà prévu le coup et fait en sorte que vos données ne transitent jamais par les USA. C’est le cas des fournisseurs  de clouds qui s’arrangent pour ne jamais faire sortir les données de leurs centres de données européens. Mais gare à tous les autres cas de figure. Le forum des autorités de protection des données des 27 États membres et des 3 Etats de l’Espace Economique Européen, dont la Cnil (l’EDPB ou European Data Protection Board) a publié des conseils pour guider les sociétés et leurs fournisseurs américains désorientés (2).

Il faut revoir les contrats, expliquent ces autorités. Un contrat est compatible avec le RGPD s’il contient des clauses standards dites « SCC » (Standard Contractual Clauses) dont le modèle a été approuvé par la Commission. La Cour européenne de justice, dans son arrêt invalidant le Privacy Shield, ne remet pas en cause leur validité mais, en l’espèce, elles sont inutiles dit-elle, puisque la loi américaine rend ces SCC inopérants. Il faut, dit l’EDPB, des mesures supplémentaires de protection des données.

C’est la même conclusion pour les BCR, les Binding Corporate Rules, un concept plus fort que les SCC. Elles lient personnellement les entreprises qui y  souscrivent lorsque l’une d’elles est hors Europe : elles s’engagent à compenser le manque de protection des données personnelles. Ces BCR doivent même être approuvées par les autorités de protection des données des États membres d’origine de ces entreprises. Ces BCR se font au cas par cas et Privacy Shield ambitionnait justement de l’éviter. Les entreprises américaines pouvaient obtenir une certification Privacy Shield à la place.

Mais ces BCR ne compensent que l’absence de lois de protection des données.  Or, les États-Unis n’ont pas une législation incomplète, dit la Cour. Elles ont carrément une législation qui s’oppose à la protection des données, puisque les autorités américaines peuvent les consulter grâce à leur propre cadre juridique. Les BCR aussi seraient inopérantes. Là aussi il faut des mesures de protection supplémentaires.

 

La nature de ces mesures supplémentaires reste peu claire. L’EDPB explique qu’elle viendra en son temps avec des explications sur leur nature. Mais n’attendez pas, dit-elle. Renégociez vos contrats et montrez que vous tentez de prendre des mesures de protection, techniques, organisationnelles ou légales, contre lesquelles même les USA ne peuvent rien faire.

Tant qu’à faire, l’EDPB propose de suivre la même approche pour tous les pays tiers qui n’ont pas de législation de protection des données personnelles ad hoc. Là aussi, les BCR qui lient les entreprises de ces pays et celles de l’Europe doivent être « augmentées » de mesures supplémentaires. C’est du bon sens quand on sait que les Américains n’ont rien à envier aux Chinois ou aux Russes qui ne s’encombrent sûrement pas d’une législation pour fouiner dans les données en provenance d’Europe (heureusement, les occasions sont moins nombreuses !).

Quant aux exceptions de l’article 49 du RGPD qui permettent exceptionnellement de transférer des données hors Europe (pour la bonne exécution d’un contrat, quand le citoyen y consent ou quand il s’agit d’une question d’intérêt public couvert par une loi de l’État membre concerné), elles ne peuvent jamais devenir la règle. Facebook ne peut se retrancher derrière ses conditions générales pour faire comme avant.

Mais la garantie de n’avoir aucune de ses données sur le territoire américain n’offre pas la protection tant « désirée »  par M. Schrems. Les USA peuvent invoquer le Cloud Act pour inspecter des données en Europe. Devrons-nous, dans le futur, créer et utiliser des logiciels vantards qui donnent vie à des centaines d’avatars pour protéger notre vie privée ? Tout le contraire d’être identifié sur internet. »

Données numériques : l’Europe sous la tutelle du cloud américain

Données numériques : l’Europe sous la tutelle du cloud américain

Le cloud (computing ) , nuage en français, est la technique informatique qui consiste à permettre  l’accès des informations via Internet. Les principaux services proposés en cloud computing sont le SaaS (Software as a Service), le PaaS (Platform as a Service) et le IaaS (Infrastructure as a Service) ou le MBaaS (Mobile Backend as a Service). Généralement sur trois niveaux, le cloud public — accessible par Internet —, le cloud d’entreprise ou privé — accessible uniquement sur un réseau privé —, le cloud intermédiaire ou hybride — qui est un mix entre le cloud public et le cloud privé. Cela grâce aux   services des géants de l’informatique américains; l’Europe est en quelque sorte en tutelle des grands du numérique qui fournisse ses services du cloud. Claude

« La plupart des données européennes sont stockées hors de l’Europe, ou, si elles sont stockées en Europe, sur des serveurs appartenant à des sociétés non européennes », s’alarmaient à la mi-juillet des experts et responsables de médias, dans un rapport d’une trentaine de pages écrit sous la direction notamment de l’ancien dirigeant du grand éditeur de logiciels allemand SAP, Henning Kagermann.

L’UE est en train de « perdre son influence sur la sphère numérique, à un moment où elle a pris un rôle central dans l’économie du continent », déploraient-ils.

Au début du mois, un haut fonctionnaire français livrait un diagnostic encore plus abrupt, lors d’une réunion de professionnels de l’informatique à laquelle l’AFP assistait sous condition de respecter l’anonymat des interlocuteurs.

 

« On a un énorme sujet de sécurité et de souveraineté autour des clouds », expliquait-il.

« Dans beaucoup de cas, c’est une facilité, voire une trahison » pour des entreprises ou institutions européennes que d’aller « se débarrasser de tout cela » auprès d’acteurs non-européens « parce c’est plus simple », a-t-il dit, sans donner toutefois d’exemple spécifique. « Pourtant nous avons de très bons acteurs dans le cloud et le traitement de données. »

L’une des sources d’inquiétude des Européens vient du « Cloud Act », la législation américaine qui permet aux puissantes agences de sécurité des Etats-Unis d’avoir accès dans certains cas aux données hébergées par les fournisseurs américains, où qu’elles se trouvent sur la planète.

Si en Europe « on est juste capable de produire des données, en ayant besoin d’autres pour parvenir à les exploiter, alors on va être dans la même situation que les pays qui ont des ressources minières mais qui ont donné la capacité à d’autres de s’enrichir avec, avec des retombées extrêmement faibles » pour eux-mêmes, expliquait le haut fonctionnaire français cité plus haut. Bref il s’agit aussi d’un enjeu de souveraineté.

Les données numériques européennes sous domination des Gafam

Les  données numériques européennes sous domination des  Gafam

Une lettre ouverte de 52 personnalités du numérique et responsables politiques  à Cédric O, Secrétaire d’État chargé de la transition numérique et des communications électroniques qui dénonce un gigantesque système de prise de contrôle de nos données organisé par les GAFA qui confisquent  ainsi la souveraineté européenne dans le numérique.

 

« En l’espace de deux décennies, les « GAFA » ont éteint toute compétition digne de ce nom. Ils ont monopolisé les secteurs de la messagerie, des réseaux sociaux, de la communication, des moteurs de recherches, des smartphones… en construisant de véritables Empires numériques. Leurs points communs ? Ils sont tous américains, et reposent sur l’exploitation de milliards de données. Avec une insouciance totale, nous autres, Européens, utilisons quotidiennement ces plateformes et permettons à des milliards de données de traverser l’Atlantique pour être stockées sur le Cloud américain. Ces données, ce sont nos conversations privées ou professionnelles, nos données sanitaires, et même des informations intérieures de haute importance.

Si la crise du Covid-19 a révélé l’extrême dépendance de nos productions de masques, de gel et de médicaments vis-à-vis de l’étranger, elle doit aussi précipiter des mesures concrètes pour préserver notre souveraineté numérique qui se dégrade jour après jour. C’est notre liberté collective qui est en jeu.

Le secteur des données est incroyablement déséquilibré en faveur des États-Unis et de la Chine, au sein duquel l’Europe fait pâle figure. En 2018, Amazon, Microsoft, Alibaba, Google et IBM détenaient ni plus ni moins que 76,8% du marché mondial du Cloud (selon Gartner). Et non seulement ces mastodontes pillent nos données, mais ils rachètent aussi à tout-va nos entreprises les plus prometteuses à coup de millions de dollars. Force est de constater que nous sommes les idiots utiles d’une bataille numérique mondiale.

Ce déséquilibre se nourrit de nos habitudes quotidiennes. Lorsque nous écrivons un e-mail, activons notre géolocalisation, visionnons des publicités…, nous envoyons des données stockées dans des serveurs américains, permettant aux GAFA omniscients d’en tirer d’immenses bénéfices. Prenons un secteur qui nous est cher : la messagerie. Google, avec Gmail, a la capacité d’analyser et de lire l’intégralité de nos messages « privés » et de revendre ces données à d’autres entreprises. Même la DGSI, le cœur des renseignements français, a récemment décidé de continuer de travailler avec le géant américain Palantir, tandis qu’une grande partie de notre administration publique échange des mails à travers… Microsoft.

Or, comprenons bien que ce qu’on appelle une « donnée » n’est pas une simple information numérique. C’est une ressource, un trésor numérique national, le pétrole d’aujourd’hui ! Les données sont aussi importantes que la découverte et l’exploitation de ressources naturelles. En fournissant gratuitement nos données aux GAFA, nous alimentons aussi le développement de leurs programmes d’intelligence artificielle, et nous prenons un immense retard dans ce qui constitue la prochaine révolution économique et industrielle déjà en cours, et dont nous dilapidons la matière première. Alors, agissons dès maintenant.

L’objectif est donc clair : maintenir nos données sur notre sol en faisant émerger des services alternatifs. Malheureusement, l’Europe se limite aujourd’hui à un rôle de régulateur, à l’heure où les États-Unis (avec le CLOUD Act) et la Chine (avec le bannissement des GAFA) mènent une politique agressive. En France, les mesures fiscales et de relocalisation de certaines données publiques mises en place sont largement insuffisantes. Alors ne nous limitons pas à de grands discours, agissons !

Nous avons besoin d’un État à la fois protecteur et stratège. Protecteur parce qu’il doit prendre les mesures nécessaires pour protéger massivement nos données. Stratège parce qu’une vision long-termiste est nécessaire pour définir notre stratégie numérique. Si nous n’agissons qu’au fil des événements, à coup sûr nous perdrons !

Pour obtenir ce cadre protecteur au niveau de l’UE, utilisons la même méthode concrète que pour la taxe GAFA : commençons par la France, donnons l’exemple en Europe par des dispositions courageuses. C’est dans cet esprit que nous vous appelons, Monsieur le Ministre, à créer un label « NSF » (« Numérique Souveraineté France ») décerné aux services internet français vraiment respectueux de nos données personnelles. Ce label devra s’obtenir selon 4 critères essentiels : le premier est le respect des réglementations françaises en matière de données personnelles. Le second est l’hébergement en France des données des internautes français utilisant le service. Le troisième est que la maison mère de l’éditeur du service paye ses impôts en France. Le quatrième est de ne pas être contraint par une législation étrangère sur le sol français (comme le CLOUD Act). La mise en place sans tarder à l’échelle nationale du label « NSF » doit préfigurer la mise en place d’un « NSE » (« Numérique Souveraineté Europe ») qui devra suivre au plus vite.

L’objectif de ce label n’est pas seulement réputationnel, il consiste à mettre en lumière et à valoriser les entreprises qui œuvrent dans le sens de notre souveraineté numérique et qui créeront de nombreux emplois. Les pouvoirs publics doivent aussi avoir une démarche déterminée pour encourager les sociétés labellisées et notamment en utilisant leurs solutions dans l’administration.

Ce label ne serait bien entendu qu’une première étape, un socle essentiel, avant la mise en place d’une politique numérique souveraine et ambitieuse, à laquelle nous sommes résolument prêts à contribuer par des propositions très concrètes. »

Les données : outils pour la nutrition et l’empreinte carbone

Les  données : outils pour la nutrition et l’empreinte carbone

Par Stéphane Cren, responsable innovation chez GS1 France, et neuf autres signataires* soulignent l’intérêt des données pour permettre à chacun de contrôler la valeur nutritive de l’alimentation et l’empreinte carbone ( chronique la Tribune)

 

La crise sanitaire du coronavirus nous a rappelé aux difficultés et à la fragilité de notre modèle de société. Pour y faire face, nous avons redécouvert l’importance des comportements individuels (gestes barrières, entraide, etc.) et leur nécessaire articulation avec des réponses systémiques (système de santé, de recherche, chaînes d’approvisionnement, etc.).

De la même manière, la transition écologique appelle à un changement macroscopique des comportements individuels: parce qu’ils représentent une part du changement nécessaire, et parce que l’on peut parier sur leur considérable effet d’entraînement. L’éco-geste, en se généralisant, prendra une portée politique.

Mais pour l’heure, et malgré l’idée un peu rebattue de la « prise de conscience du consommateur », il y a cette dure réalité: les choix de consommation évoluent bien moins rapidement que la sensibilité à la question environnementale. Il faut alors s’interroger: de quels leviers disposons-nous pour réduire rapidement l’écart qui subsiste entre notre désir d’agir et nos actes réels ?

Observons le monde alimentaire. Nous sortons d’une longue période d’attentisme qui a vu la confiance dans l’offre alimentaire se dégrader progressivement. Depuis peu, les informations nutritionnelles des produits ont été digitalisées et mises à disposition du grand public sur leurs applications favorites. Et de là, le basculement qui a cours aujourd’hui.

L’accès à la donnée a provoqué ce que nulle loi ou directive n’avait été en mesure d’engendrer: la possibilité concrète pour le consommateur de choisir ses produits en fonction de leurs qualités nutritionnelles. L’effet de dévoilement et d’objectivation de la qualité de l’offre secoue toujours le secteur. Les industriels révisent leurs recettes, les distributeurs modifient leurs assortiments. Et ce n’est qu’un début, car la donnée n’est aujourd’hui accessible qu’à l’échelle du produit. Le vrai bilan nutritionnel à établir, c’est celui du foyer, à l’échelle de sa consommation alimentaire d’ensemble, de la multitude de ses choix.

C’est ce qui arrive! Avec le droit européen à la portabilité (l’article 20 du RGPD), chacun se voit autorisé à récupérer les données relatives à ses actes d’achats pour en confier l’usage à des applications. Ce droit permettra de suivre et de consolider les impacts de nos choix de consommation, quelles que soient les enseignes dont nous sommes les clients. Que deviendront alors les applications de conseils nutritionnels que nous utilisons déjà, une fois « connectées » à nos listes d’achats ? Assurément, des applications augmentées: plus pratiques (plus besoin de scanner), plus pertinentes (dressant un bilan nutritionnel de sa consommation globale) et probablement encore plus…influentes, avec une force prescriptive décuplée.

La Commission européenne, qui a récemment rendu public sa nouvelle stratégie (2020-2024) pour les données, annonce un renforcement de ce droit à la portabilité, pour le rendre accessible à tous, en un clic. Pour ce faire, elle demande des connexions automatiques et temps réels entre opérateurs. C’est à dire entre les distributeurs alimentaires et les applications nutritionnelles dans notre exemple. Bien entendu, toujours sous le contrôle de l’individu. Elle se dit prête à imposer ces nouvelles exigences. Cela ouvre la voie à ce que les données agissent demain comme un facteur de changement comportemental de grande ampleur.

Ce qui vaudra pour la dimension nutrition-santé de notre consommation alimentaire, vaudra assurément pour la dimension écologique de notre consommation globale. La possibilité de suivre et d’agir sur son bilan carbone personnel (ou encore sur sa consommation d’emballages plastiques par exemple), est une perspective qui vient d’être sérieusement crédibilisé.

L’empreinte carbone moyenne des français est estimée aujourd’hui à 12 tonnes équivalent CO2. Elle devra être abaissée à 2 tonnes seulement d’ici 2050. Les mécanismes de portabilité des données personnelles ouvrent des possibilités immenses pour développer les outils de responsabilisation individuelle et d’émulation collective dont nous avons besoin. Un Score Carbone individuel, composé à partir de données détenues par les entreprises de la distribution, des transports et de l’énergie, est possible. Il faut alors s’engouffrer dans la brèche !

Il reste toutefois de nombreux défis à relever. Il sera critique notamment d’accélérer l’effort d’enrichissement et d’ouverture des données relatives aux produits et services. Pour cela, il faut mettre en place cet « espace de données », comme le nomme la Commission européenne, sur des principes de décentralisation et de co-création. Marques et opérateurs de services, agences publiques, certificateurs, associations, innovateurs, citoyens-consommateurs, tous devront pouvoir y contribuer. Il en va de notre responsabilité collective d’y parvenir. La période que nous vivons renforce la disponibilité dans la population, à servir, par des actes personnels, les causes collectives. Le monde d’après doit commencer maintenant.

 

 

———————–

Williams Bertrand-Rihet, co-fondateur de Bill.e

Patrick Cocquet, délégué général, Cap Digital

Stéphane Cren, responsable innovation, GS1 France

Olivier Dion, co-fondateur, OneCub

Chistophe Hurbin, co-fondateur, myLabel

Julien Masanès, entrepreneur, co-fondateur, ProductChain

Sébastien Picardat, directeur général, AgDataHub

Gabriel Plassat, co-fondateur, la Fabrique des Mobilités

Eric Pol, co-fondateur, aNG

Richard Ramos, député du Loiret

La mainmise sur les données européennes par les Gafam

La mainmise sur les données européennes par les Gafam

Une lettre ouverte de 52 personnalités du numérique et responsables politiques  à Cédric O, Secrétaire d’État chargé de la transition numérique et des communications électroniques qui dénonce un gigantesque système de prise de contrôle de nos données organisé par les GAFA qui confisquent  ainsi la souveraineté européenne dans le numérique.

« En l’espace de deux décennies, les « GAFA » ont éteint toute compétition digne de ce nom. Ils ont monopolisé les secteurs de la messagerie, des réseaux sociaux, de la communication, des moteurs de recherches, des smartphones… en construisant de véritables Empires numériques. Leurs points communs ? Ils sont tous américains, et reposent sur l’exploitation de milliards de données. Avec une insouciance totale, nous autres, Européens, utilisons quotidiennement ces plateformes et permettons à des milliards de données de traverser l’Atlantique pour être stockées sur le Cloud américain. Ces données, ce sont nos conversations privées ou professionnelles, nos données sanitaires, et même des informations intérieures de haute importance.

Si la crise du Covid-19 a révélé l’extrême dépendance de nos productions de masques, de gel et de médicaments vis-à-vis de l’étranger, elle doit aussi précipiter des mesures concrètes pour préserver notre souveraineté numérique qui se dégrade jour après jour. C’est notre liberté collective qui est en jeu.

Le secteur des données est incroyablement déséquilibré en faveur des États-Unis et de la Chine, au sein duquel l’Europe fait pâle figure. En 2018, Amazon, Microsoft, Alibaba, Google et IBM détenaient ni plus ni moins que 76,8% du marché mondial du Cloud (selon Gartner). Et non seulement ces mastodontes pillent nos données, mais ils rachètent aussi à tout-va nos entreprises les plus prometteuses à coup de millions de dollars. Force est de constater que nous sommes les idiots utiles d’une bataille numérique mondiale.

Ce déséquilibre se nourrit de nos habitudes quotidiennes. Lorsque nous écrivons un e-mail, activons notre géolocalisation, visionnons des publicités…, nous envoyons des données stockées dans des serveurs américains, permettant aux GAFA omniscients d’en tirer d’immenses bénéfices. Prenons un secteur qui nous est cher : la messagerie. Google, avec Gmail, a la capacité d’analyser et de lire l’intégralité de nos messages « privés » et de revendre ces données à d’autres entreprises. Même la DGSI, le cœur des renseignements français, a récemment décidé de continuer de travailler avec le géant américain Palantir, tandis qu’une grande partie de notre administration publique échange des mails à travers… Microsoft.

Or, comprenons bien que ce qu’on appelle une « donnée » n’est pas une simple information numérique. C’est une ressource, un trésor numérique national, le pétrole d’aujourd’hui ! Les données sont aussi importantes que la découverte et l’exploitation de ressources naturelles. En fournissant gratuitement nos données aux GAFA, nous alimentons aussi le développement de leurs programmes d’intelligence artificielle, et nous prenons un immense retard dans ce qui constitue la prochaine révolution économique et industrielle déjà en cours, et dont nous dilapidons la matière première. Alors, agissons dès maintenant.

L’objectif est donc clair : maintenir nos données sur notre sol en faisant émerger des services alternatifs. Malheureusement, l’Europe se limite aujourd’hui à un rôle de régulateur, à l’heure où les États-Unis (avec le CLOUD Act) et la Chine (avec le bannissement des GAFA) mènent une politique agressive. En France, les mesures fiscales et de relocalisation de certaines données publiques mises en place sont largement insuffisantes. Alors ne nous limitons pas à de grands discours, agissons !

Nous avons besoin d’un État à la fois protecteur et stratège. Protecteur parce qu’il doit prendre les mesures nécessaires pour protéger massivement nos données. Stratège parce qu’une vision long-termiste est nécessaire pour définir notre stratégie numérique. Si nous n’agissons qu’au fil des événements, à coup sûr nous perdrons !

Pour obtenir ce cadre protecteur au niveau de l’UE, utilisons la même méthode concrète que pour la taxe GAFA : commençons par la France, donnons l’exemple en Europe par des dispositions courageuses. C’est dans cet esprit que nous vous appelons, Monsieur le Ministre, à créer un label « NSF » (« Numérique Souveraineté France ») décerné aux services internet français vraiment respectueux de nos données personnelles. Ce label devra s’obtenir selon 4 critères essentiels : le premier est le respect des réglementations françaises en matière de données personnelles. Le second est l’hébergement en France des données des internautes français utilisant le service. Le troisième est que la maison mère de l’éditeur du service paye ses impôts en France. Le quatrième est de ne pas être contraint par une législation étrangère sur le sol français (comme le CLOUD Act). La mise en place sans tarder à l’échelle nationale du label « NSF » doit préfigurer la mise en place d’un « NSE » (« Numérique Souveraineté Europe ») qui devra suivre au plus vite.

L’objectif de ce label n’est pas seulement réputationnel, il consiste à mettre en lumière et à valoriser les entreprises qui œuvrent dans le sens de notre souveraineté numérique et qui créeront de nombreux emplois. Les pouvoirs publics doivent aussi avoir une démarche déterminée pour encourager les sociétés labellisées et notamment en utilisant leurs solutions dans l’administration.

Ce label ne serait bien entendu qu’une première étape, un socle essentiel, avant la mise en place d’une politique numérique souveraine et ambitieuse, à laquelle nous sommes résolument prêts à contribuer par des propositions très concrètes. »

Le hold-up des données européennes par les Gafam

Le hold-up des données européennes par les Gafam

Une lettre ouverte de 52 personnalités du numérique et responsables politiques  à Cédric O, Secrétaire d’État chargé de la transition numérique et des communications électroniques qui dénonce un gigantesque système de prise de contrôle de nos données organisé par les GAFA qui confisquent  ainsi la souveraineté européenne dans le numérique.

 

 

« En l’espace de deux décennies, les « GAFA » ont éteint toute compétition digne de ce nom. Ils ont monopolisé les secteurs de la messagerie, des réseaux sociaux, de la communication, des moteurs de recherches, des smartphones… en construisant de véritables Empires numériques. Leurs points communs ? Ils sont tous américains, et reposent sur l’exploitation de milliards de données. Avec une insouciance totale, nous autres, Européens, utilisons quotidiennement ces plateformes et permettons à des milliards de données de traverser l’Atlantique pour être stockées sur le Cloud américain. Ces données, ce sont nos conversations privées ou professionnelles, nos données sanitaires, et même des informations intérieures de haute importance.

Si la crise du Covid-19 a révélé l’extrême dépendance de nos productions de masques, de gel et de médicaments vis-à-vis de l’étranger, elle doit aussi précipiter des mesures concrètes pour préserver notre souveraineté numérique qui se dégrade jour après jour. C’est notre liberté collective qui est en jeu.

L’Europe, victime d’une bataille mondiale du numérique ?

Le secteur des données est incroyablement déséquilibré en faveur des États-Unis et de la Chine, au sein duquel l’Europe fait pâle figure. En 2018, Amazon, Microsoft, Alibaba, Google et IBM détenaient ni plus ni moins que 76,8% du marché mondial du Cloud (selon Gartner). Et non seulement ces mastodontes pillent nos données, mais ils rachètent aussi à tout-va nos entreprises les plus prometteuses à coup de millions de dollars. Force est de constater que nous sommes les idiots utiles d’une bataille numérique mondiale.

Ce déséquilibre se nourrit de nos habitudes quotidiennes. Lorsque nous écrivons un e-mail, activons notre géolocalisation, visionnons des publicités…, nous envoyons des données stockées dans des serveurs américains, permettant aux GAFA omniscients d’en tirer d’immenses bénéfices. Prenons un secteur qui nous est cher : la messagerie. Google, avec Gmail, a la capacité d’analyser et de lire l’intégralité de nos messages « privés » et de revendre ces données à d’autres entreprises. Même la DGSI, le cœur des renseignements français, a récemment décidé de continuer de travailler avec le géant américain Palantir, tandis qu’une grande partie de notre administration publique échange des mails à travers… Microsoft.

Or, comprenons bien que ce qu’on appelle une « donnée » n’est pas une simple information numérique. C’est une ressource, un trésor numérique national, le pétrole d’aujourd’hui ! Les données sont aussi importantes que la découverte et l’exploitation de ressources naturelles. En fournissant gratuitement nos données aux GAFA, nous alimentons aussi le développement de leurs programmes d’intelligence artificielle, et nous prenons un immense retard dans ce qui constitue la prochaine révolution économique et industrielle déjà en cours, et dont nous dilapidons la matière première. Alors, agissons dès maintenant.

Un État protecteur et stratège est plus que jamais nécessaire.

L’objectif est donc clair : maintenir nos données sur notre sol en faisant émerger des services alternatifs. Malheureusement, l’Europe se limite aujourd’hui à un rôle de régulateur, à l’heure où les États-Unis (avec le CLOUD Act) et la Chine (avec le bannissement des GAFA) mènent une politique agressive. En France, les mesures fiscales et de relocalisation de certaines données publiques mises en place sont largement insuffisantes. Alors ne nous limitons pas à de grands discours, agissons !

Nous avons besoin d’un État à la fois protecteur et stratège. Protecteur parce qu’il doit prendre les mesures nécessaires pour protéger massivement nos données. Stratège parce qu’une vision long-termiste est nécessaire pour définir notre stratégie numérique. Si nous n’agissons qu’au fil des événements, à coup sûr nous perdrons !

Pour obtenir ce cadre protecteur au niveau de l’UE, utilisons la même méthode concrète que pour la taxe GAFA : commençons par la France, donnons l’exemple en Europe par des dispositions courageuses. C’est dans cet esprit que nous vous appelons, Monsieur le Ministre, à créer un label « NSF » (« Numérique Souveraineté France ») décerné aux services internet français vraiment respectueux de nos données personnelles. Ce label devra s’obtenir selon 4 critères essentiels : le premier est le respect des réglementations françaises en matière de données personnelles. Le second est l’hébergement en France des données des internautes français utilisant le service. Le troisième est que la maison mère de l’éditeur du service paye ses impôts en France. Le quatrième est de ne pas être contraint par une législation étrangère sur le sol français (comme le CLOUD Act). La mise en place sans tarder à l’échelle nationale du label « NSF » doit préfigurer la mise en place d’un « NSE » (« Numérique Souveraineté Europe ») qui devra suivre au plus vite.

L’objectif de ce label n’est pas seulement réputationnel, il consiste à mettre en lumière et à valoriser les entreprises qui œuvrent dans le sens de notre souveraineté numérique et qui créeront de nombreux emplois. Les pouvoirs publics doivent aussi avoir une démarche déterminée pour encourager les sociétés labellisées et notamment en utilisant leurs solutions dans l’administration.

Ce label ne serait bien entendu qu’une première étape, un socle essentiel, avant la mise en place d’une politique numérique souveraine et ambitieuse, à laquelle nous sommes résolument prêts à contribuer par des propositions très concrètes. »

Transfert de données UE-USA : annulé par la justice européenne

Transfert de données UE-USA : annulé par la justice européenne

 

 

l’accord “Privacy Shield”, qui régulait ces transferts est contraire au  règlement général sur la protection des données (RGPD) dans l’UE, entré en vigueur en mai 2018 a estimé la cour de justice.

“Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis (…) ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité”, écrit la CJUE dans un communiqué. En clair on interdit aux GAFAM dutiliser les données personnelles d’Européens pourrait être détournéeés  à des fins commerciales voire politiques ou autre.

La CJUE souligne que les autorités de protection de la vie privée doivent suspendre ou interdire les transferts hors de l’UE si la protection des données ne peut être assurée.

C’est l’agence irlandaise de protection des données, principale autorité de régulation de Facebook en Europe, qui a porté l’affaire devant la Haute Cour irlandaise, qui a elle-même saisi la CJUE.

Le jugement de la CJUE constitue un nouveau camouflet pour Bruxelles après l’annulation mercredi par le Tribunal de l’Union européenne de la décision de la Commission européenne réclamant à Apple le versement de 13 milliards d’euros d’arriérés d’impôts à l’Irlande.

Margrethe Vestager, vice-présidente de la Commission européenne chargée de la politique de la concurrence, a concédé jeudi que les deux décisions rendues par la justice européenne constituaient “une défaite”.

“La première chose que l’on fait lorsque l’on reçoit un jugement du tribunal est de le lire très, très attentivement. Et nous sommes toujours en train de le faire. Bien sûr, c’est une défaite, car c’est une annulation par le tribunal”, a-t-elle déclaré.

Enquête sur le commerce des données de Google

Enquête sur le commerce des données de Google

 

Un enquête européenne devrait éclairer sur le commerce des données recueillies par Google.une étude menée  par l’équipe du professeur Douglas C. Schmidt, spécialiste des systèmes logiciels, chercheur et enseignant à l’Université Vanderbilt décrit le système de recueil des informations de Google.

Google a des dizaines de produits et services qui évoluent en permanence. On accède souvent à ces produits grâce à un compte Google (ou on l’y associe), ce qui permet à Google de relier directement les détails des activités de l’utilisateur de ses produits et services à un profil utilisateur. En plus des données d’usage de ses produits, Google collecte également des identificateurs et des données de localisation liés aux appareils lorsqu’on accède aux services Google. 

Certaines applications de Google (p.ex. YouTube, Search, Gmail et Maps) occupent une place centrale dans les tâches de base qu’une multitude d’utilisateurs effectuent quotidiennement sur leurs appareils fixes ou mobiles.

Portée mondiale des principales applications Google

Produits

 Utilisateurs actifs

Search

 Plus d’un milliard d’utilisateurs actifs par mois, 90.6 % de part de marché des moteurs de recherche 

Youtube

 Plus de 1,8 milliard d’utilisateurs inscrits et actifs par mois

Maps

 Plus d’un milliard d’utilisateurs actifs par mois

Gmail

 1,2 milliard d’utilisateurs enregistrés

Google Search est le moteur de recherche sur internet le plus populaire au monde  avec plus de 11 milliards de requêtes par mois aux États-Unis . En plus de renvoyer un classement de pages web en réponse aux requêtes globales des utilisateurs, Google exploite d’autres outils basés sur la recherche, tels que Google Finance, Flights (vols), News (actualités), Scholar (recherche universitaire), Patents (brevets), Books (livres), Images, Videos et Hotels. Google utilise ses applications de recherche afin de collecter des données liées aux recherches, à l’historique de navigation ainsi qu’aux activités d’achats et de clics sur publicités. Par exemple, Google Finance collecte des informations sur le type d’actions que les utilisateurs peuvent suivre, tandis que Google Flight piste leurs réservations et recherches de voyage.

Dès lors que Search est utilisé, Google collecte les données de localisation par différents biais, sur ordinateur ou sur mobile, comme décrit dans les sections précédentes. Google enregistre toute l’activité de recherche d’un utilisateur ou utilisatrice et la relie à son compte Google si cette personne est connectée. L’illustration 13 montre un exemple d’informations collectées par Google sur une recherche utilisateur par mot-clé et la navigation associée.

Non seulement c’est le moteur de recherche par défaut sur Chrome et les appareils Google, mais Google Search est aussi l’option par défaut sur d’autres navigateurs internet et applications grâce à des arrangements de distribution. Ainsi, Google est récemment devenu le moteur de recherche par défaut sur le navigateur internet Mozilla Firefox  dans des régions clés (dont les USA et le Canada), une position occupée auparavant par Yahoo. De même, Apple est passé de Microsoft Bing à Google pour les résultats de recherche via Siri sur les appareils iOS et Mac . Google a des accords similaires en place avec des OEM (fabricants d’équipement informatique ou électronique) , ce qui lui permet d’atteindre les consommateurs mobiles.

Les autorités européennes de concurrence enquêtent donc sur les pratiques de Google en matière de collecte de données, a déclaré la Commission européenne à Reuters samedi, laissant entendre que le moteur de recherche le plus populaire au monde reste en ligne de mire en dépit d’amendes records ces dernières années. Les autorités de régulation des deux côtés de l’Atlantique s’intéressent à la façon dont les géants de la tech récoltent des données et les monétisent.

Facebook : 5 milliards d’amendes pour trafic de données personnelles

Facebook : 5 milliards d’amendes pour trafic de données personnelles

 

 

 

C’est sans doute un premier avertissement pour Facebook puni par une amende de 5 milliards pour trafic de données personnelles aux États-Unis. En effet Facebook est accusé dans bien d’autres pays pour les mêmes raisons. Le problème c’est que le trafic de données personnelles est le cœur de métier de Facebook et de ses applications comme Instagram. En vérité, Facebook ne produit pas grand-chose par rapport à d’autres grands du numérique (Apple, Google, Amazon). L’essentiel de la production de Facebook est assuré par les membres eux-mêmes des réseaux sociaux. C’est donc le nombre de clics qui fait la réputation et la force de Facebook. À partir de ce nombre de clics,  Facebook établir la valeur de ses rentrées publicitaires et revend par ailleurs les données. Les données personnelles de ses plus de 2,7 milliards d’utilisateurs actifs mensuels sont le bien le plus précieux de Facebook, qui les collecte et les exploite pour en tirer d’immenses revenus publicitaires grâce à un ciblage très affiné. Mais c’est à cause de la façon dont ces données sont utilisées que le réseau social se trouve depuis deux ans dans la tourmente et fait face à une grave crise de confiance. Cependant cette amende n’affectera pas la rentabilité de Facebook car ces 5 milliards d’amendes à mettre en parallèle avec 22 milliards de dollars de bénéfice pour un chiffre d’affaires de 55 milliards. Et, même amputé des provisions, le bénéfice net a atteint 2,43 milliards de dollars au premier trimestre.

 

Plainte contre Google pour non respect des données (UFC que Choisir)

Plainte contre Google pour non respect des données (UFC que Choisir)

Une action en justice pour non respect de la protection des données définis dans un RGPD déjà incompréhensibles et non lu dans 95% des cas. Une Plainte de  l’UFC-Que Choisir contre  Google  qui reproche d’exploiter les données personnelles des utilisateurs sans leur consentement, notamment ceux propriétaires d’un appareil Android, son système d’exploitation mobile. Ce dernier équipe plus de 80% des smartphones dans le monde.

Un compte Google est en effet nécessaire sur un smartphone ou une tablette Android pour utiliser les services de l’entreprise américaine (Google Maps, Gmail, etc…) et des applications. Et lorsque l’utilisateur en crée un, il doit accepter des conditions d’utilisation. L’UFC-Que Choisir dénonce le fait que cette acceptation conduit à approuver par défaut les finalités poursuivies par Google dans le cadre du traitement de ses données. Cela concerne le ciblage publicitaire ou encore la géolocalisation. L’association de consommateurs affirme d’ailleurs qu’un smartphone, même immobile, va transmettre sa géolocalisation près de 340 fois par jour.

L’UFC-Que Choisir veut que Google «obtienne un réel consentement de ses utilisateurs pour la collecte et le traitement de leurs données personnelles par ses services et applications». Elle réclame également une indemnisation de 1000 euros pour chaque consommateur lésé pour violation de la vie privée. Elle assure d’ailleurs qu’environ 200 consommateurs sont prêts à s’engager dans cette action de groupe. Toute personne intéressée peut s’y joindre. Cette procédure fait suite à la sanction de la CNIL contre Google en janvier dernier. L’autorité de protection des données a en effet condamné le géant américain à une amende record de 50 millions d’euros pour manquement à ses obligations dans le cadre du RGPD. Elle lui reprochait notamment de forcer le consentement de ses utilisateurs. Google a fait appel de cette sanction.

Facebook a vendu des millions de données à Amazon

Facebook a vendu des millions de données à Amazon

Des millions données d’utilisateurs de Facebook ont été par mégarde affichés à la vue de tous sur des serveurs d’informatique dématérialisée (« cloud ») d’Amazon, rapporte mercredi la société de cybersécurité UpGuard. S’il est possible que cet affichage relève d’une erreur par contre il a bien fallu que ces données soient fournies par Facebook. Ce qui confirme évidemment que Facebook est moins un réseau social qu’une immense arnaque de recueil de données revendues avec profit aux plates-formes de vente.  Selon CNBC, le premier réseau social a confirmé que ces données avaient été stockées sur des serveurs Amazon, ajoutant que Facebook travaillait avec le géant du commerce électronique pour faire en sorte que ces données ne soient plus visibles. Le mois dernier, Facebook a dit avoir résolu une erreur qui avait permis à ses employés d’être en mesure de lire les mots de passe stockés par des millions d’utilisateurs. KrebsOnSecurity, un blog consacré à la cybersécurité, avait précisé que ces mots de passe étaient disponibles pour quelque 20.000 salariés de Facebook et ce parfois depuis 2012.

Gafa, l’Inde veut contrôler les données

Gafa, l’Inde veut contrôler les données

 

Un projet de loi indien vise à réguler très sévèrement le stockage des données des CAF à et autres plates-formes ; il propose notamment de rendre obligatoire, pour les sociétés étrangères, le stockage des données personnelles des utilisateurs indiens – issues des réseaux sociaux, des moteurs de recherche ou encore des plateformes de e-commerce – sur son sol. Les données devront également être rendues accessibles aux autorités locales en cas d’enquête. L’Inde marche ainsi dans les pas de son voisin chinois, qui, en rendant son marché difficile d’accès, a favorisé l’émergence des géants Alibaba et Tencent. La deuxième économie mondiale a notamment adopté une législation similaire en novembre 2016, forçant les entreprises étrangères à stocker sur son territoire les données des internautes chinois. Ainsi, Apple a construit son premier data center en Chine, et a confié la gestion des données de ses utilisateurs à un partenaire local. Ce projet de loi arrive au moment où le régulateur indien des télécoms menace d’interdire l’accès au réseau mobile national aux iPhone. Depuis deux ans, Apple refuse de rendre disponible au téléchargement une application anti-spam, développée sous l’égide du gouvernement indien. Cette application a officiellement été créée pour lutter contre le démarchage téléphonique abusif – très répandu dans le pays – en filtrant les messages et les appels indésirables. De son côté, le fabricant d’iPhone suspecte l’appli de siphonner massivement les données personnelles des utilisateurs… Apple dispose de six mois pour se conformer aux exigences du régulateur, avant de se voir couper l’accès au réseau, rendant ses téléphones inutilisables.

 

Données personnelles : Twitter condamné…. et les autres réseaux ?

Données personnelles : Twitter condamné…. et les autres réseaux ?
Aujourd’hui, c’est Twitter qui est officiellement condamné en France pour clauses abusives. En réalité, la même condamnation devrait s’appliquer à la plupart des grands réseaux et des grandes plates-formes dont d’ailleurs certaines ne sont accessibles qu’après avoir cliqué sur une petite case qui manifesterait l’adhésion à des conditions d’utilisation incompréhensibles, ambiguës et souvent illicites. En clair, il s’agit surtout de l’exportation commerciale des données y compris les données les plus personnelles. La justice française a donc condamné le géant américain Twitter à modifier ses conditions générales d’utilisation, a annoncé mercredi 8 août l’UFC-Que Choisir. L’association avait assigné le réseau social en justice, jugeant certaines de ses clauses « abusives » ou « illicites ». L’association de défense des consommateurs avait saisi le Tribunal de grande instance de Paris en 2014 « pour faire reconnaître le caractère abusif ou illicite » de 256 clauses contenues dans ses conditions générales d’utilisation, a-t-elle expliqué dans un communiqué. Twitter a également été condamné à verser à l’UFC-Que Choisir 30 000 euros d’amende pour le préjudice moral porté à l’intérêt collectif. Une sanction financière que l’association juge « insignifiante pour le réseau social, qui a généré en 2017 un chiffre d’affaires mondial de 2,1 milliards de dollars ».

Données personnelles : une loi pour leur protection

Données personnelles : une loi pour leur protection

Protection, récupération, droit à effacement, non exploitation commerciale tels sont les objectifs de la loi  qui révise la loi informatique et libertés de 1978,  en application du Règlement général sur la protection des données des résidents de l’Union européenne (RGPD). “Les deux textes communautaires sont à la fois protecteurs pour nos concitoyens et doivent être perçus comme une réelle opportunité pour les acteurs de notre vie économique et sociale, et notamment pour nos entreprises”, a commenté dans l’hémicycle la ministre de la Justice, Nicole Belloubet. Principale disposition du “paquet européen” de protection des données : les utilisateurs devront être informés de manière explicite de l’utilisation de leurs données et auront la faculté de s’y opposer. Il instaure de nouveaux droits tels que la portabilité des données personnelles, qui permet de récupérer toutes les données communiquées à une plateforme (réseau social, site marchand) pour le conserver ou le transmettre à un autre opérateur. Sont aussi prévus la rectification et l’effacement des données, le recours à des actions collectives ainsi qu’un droit à réparation du dommage subi. Certaines sociétés, et notamment celles qui collectent un grand nombre de données ou des informations sensibles, devront se doter d’un délégué à la protection des données. Le texte renforce le pouvoir de contrôle et de sanctions de la Cnil avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’organisme concerné. D’après une enquête OpinionWay pour Havas et Baker McKenzie diffusée lundi, 81% des Français se disent prêts à boycotter une entreprise qui ne respecte pas le RGPD et porte atteinte à leur vie privée et 55% à l’attaquer en justice.

Facebook : portage ou déménagement des données ?

Facebook : portage ou déménagement des  données ? 

 

Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles et Jean-Jacques Quisquater, Ecole Polytechnique de Louvain, Université de Louvain expliquent dans la Tribune l’enjeu du portage des données.

 

 

« On se perd en hypothèses sur la volte-face de Facebook qui, après avoir juré ses grands dieux qu’il appliquerait partout dans le monde le RGPD, vient d’exfiltrer tous ses utilisateurs non-européens vers son siège californien. Ils dépendaient jusqu’ici du siège irlandais du groupe. On évoque la peur de l’amende qui peut monter jusqu’à 4 % du chiffre d’affaires (autant réduire la base imposable…) mais c’est peut-être aussi la peur du portage des données, rendu obligatoire par le RGPD. Ce portage rappelle la portabilité des numéros de téléphone qui a tant fait pour la concurrence entre opérateurs mobiles. Sera-ce suffisant pour faire de la concurrence à Facebook ? L’obligation de portabilité des données existait avec l’ancienne directive vie privée mais elle était pratiquement inutile car celui qui possédait vos données avait le choix du format sous lequel il vous les livrait. Contrairement à la portabilité des numéros, le portage des données n’a pas pour objectif de favoriser la concurrence. Il veut donner à l’individu la liberté de disposer de ses données soit pour les confier à un concurrent soit pour lui-même en bénéficier (par exemple, rapatrier sa playlist sur Spotify et la faire jouer sur Deezer). Il pourrait vouloir sa liste de contact de son Webmail pour créer une liste de mariage aux galeries Lafayette. Maintenant l’Union européenne vise surtout le portage entre applications ou réseaux sociaux. Pour l’instant, elle encourage la création d’un format standard entre acteurs pour la rendre plus facile (avant de l’imposer ?). Elle vise un marché plus liquide des données pour ne pas brider l’innovation : une société B aura peut-être de meilleures idées pour exploiter tout ou partie de vos données aux mains de la société A. C’est bien le propriétaire des données qui est le chef de projet du portage : il est le seul responsable de la qualité des données transmises par exemple par son réseau social. Ce dernier n’engage pas sa responsabilité sur le contenu qu’il transmet. Celui qui reçoit les données de son futur client doit par contre faire attention de ne pas en récolter trop par erreur sinon il est déjà en contradiction, avant de commencer, avec le RGPD car ce dernier érige en principe la frugalité des données collectées pour le but visé et le contrat conclu, rien de plus. Il ne doit pas se faire piéger et devra peut-être refuser (de recevoir) certaines données ou expliciter quels types de données il a besoin. Le réseau social donneur ne peut se venger après une requête de portage : il doit continuer à fournir son service si l’utilisateur n’y a pas mis fin. Mais ce dernier dispose aussi du droit à l’oubli : il peut exiger la destruction de toutes les données en possession de son fournisseur initial après portage. Il faut que les données soient entrées en possession du réseau social pour un but déterminé, pour un traitement spécifié par contrat avec l’usager ou parce que les données ont été un jour stockées avec le consentement de l’utilisateur final. Cette nuance est importante car, sinon, un citoyen pourrait par exemple demander à l’administration des impôts de recevoir toutes les données le concernant y compris les enquêtes en cours : fraude fiscale, blanchiment. De telles collectes de données, couvertes par d’autres lois, ne peuvent évidemment pas faire l’objet de portage. Plus délicates sont les données que les ressources humaines ont sur vous. Qui n’a pas rêvé d’accéder à son dossier personnel ? Le G29, qui regroupe les CNIL des Etats membres de l’UE et qui a édité un code de bonne pratique du portage des données, s’avance moins : certes, aucun consentement n’a pas vraiment pu être donné librement dans un rapport de force employeur/employé. Il s’agit par contre de données collectées dans le cadre d’un contrat (de travail), c’est sûr. Le RGPD devrait s’appliquer et le portage aussi. Le G29 préfère dire que des demandes de portage dans le contexte employé-employeur devront être analysées au cas par cas. Cela risque d’être épique. Ce sont les données qu’on aura confiées, évidemment, mais aussi toutes les données qui auront été récoltées ou générées par le fait qu’on est client du réseau social. Si les données ont été rendues anonymes entre temps, elles ne font plus l’objet du portage car elles ne sont plus personnelles. Il reste malgré tout un flou quant à l’anonymat : des données peuvent être anonymes mais, dans un contexte donné, ne le sont pas du tout. Attention car les données privées d’un individu vont contenir des informations relatives à d’autres personnes, tout aussi privées. Le nouveau réseau social ne peut pas en profiter pour en faire un traitement à leur insu : la tentation serait trop forte sinon que le réseau receveur fasse de la publicité envers ces tierces parties peut-être restées chez le réseau donneur. Il pourrait aussi reconstruire un profil de ces tiers à leur insu ! Les données qui viennent des outils même du réseau social ou de l’application qui a un algorithme dernier cri pour établir un profil de vous, qui peut vous faire des recommandations ultra-précises d’après vos goûts, vos habitudes d’achat ou de visionnage, ces données-là restent aux mains du réseau social ou de l’application. C’est normal car le concurrent qui recevrait ces données de vous pourrait faire du reverse engineering et deviner comment fonctionne votre produit d’intelligence artificielle. On doit informer activement ses utilisateurs du droit au portage : dès que vous confiez vos données à un tiers, il vous dira que vous pourrez toujours les (ex)porter ailleurs. Il faut aussi rappeler le droit au portage au moment de la fermeture du compte. L’application slack devra alors revoir son modèle étrange qui bloque tous vos messages anciens au-delà de 10.000 à moins de s’abonner, ce qui va à l’encontre du portage des données. Le contrôle de l’identité de celui qui demande le portage ne sera pas une sinécure. On connait les pratiques de slamming qui ont éclos avec le portage des numéros. Un opérateur un peu trop audacieux pouvait demander le portage d’un client qu’il venait à peine de démarcher sans avoir encore son consentement, tout au plus un pourquoi pas ? Quid lorsque le client n’est connu de son fournisseur que par son pseudonyme ? Quand il s ‘agit de passer de eDarling à Meetic, peu de clients auront envie de prouver qui ils sont. Si la taille des données à porter est trop grande, il faudra proposer un support matériel pour les contenir : DVD, clé USB, sinon, un outil de téléchargement de ses données est préconisé. C’est ce que Facebook et Google proposent déjà. Enfin, le portage doit être gratuit et effectué dans le mois. Si la demande de portage est infondée, excessive, par exemple des allers-retours entre réseaux sociaux, une participation aux frais peut être demandée.Ça fait beaucoup (de défis techniques à surmonter): le RGPD n’a jamais autant donné raison à ceux qui pensent qu’une régulation audacieuse peut donner lieu à de l’innovation. Mais cela ne résoudra pas l’ultra-dominance de Facebook. La valeur d’un réseau (social ici) serait proportionnelle au carré du nombre de ses utilisateurs : avec ses deux milliards d’utilisateurs, Facebook ne sera plus rattrapé. Pour y remédier, ce n’est pas le portage qu’il aurait fallu mais l’interopérabilité : qu’un réseau concurrent puisse se connecter au réseau Facebook tout comme les petits opérateurs mobiles sont interconnectés aux opérateurs mobiles historiques pour qu’un appel passe d’un réseau à l’autre. Ainsi le premier client du réseau concurrent a tout de suite accès aux 2 milliards d’utilisateurs de Facebook. Rêvons. »

 

 

Trafic de données personnelles : Google, pire que Facebook

Trafic de données personnelles : Google, pire que Facebook

Facebook a bien sûr été l’objet de toutes les critiques concernant exploitation des données et les détournements fiscaux. En fait un reproche qu’on peut faire à tous les GAFAM. La difficulté,  c’est que derrière la gratuité de certains services se cachent le business des données sur lequel se fonde le commerce. Facebook on le sait vend et exploite ses données mais comme d’autres. En particulier Google qui dispose de bien plus de données en tant que moteur de recherche et de manière plus général comme moyen d’ intermédiation entre les services. Ce que confirme un article dans l’Opinion qui attire l’attention sur la violation de la vie privée à des fins commerciales (voire politiques) :

 

« La récente controverse sur l’appétit de Facebook pour les données personnelles a fait ressurgir l’idée que l’industrie de la publicité en ligne pourrait être dangereuse pour notre vie privée et notre bien-être. L’attention portée sur Facebook est justifiée, elle ne reflète cependant pas toute la réalité. Si le souci porte sur le fait que des entreprises collectent des données personnelles à notre insu ou sans notre consentement explicite, Google est une menace bien plus importante par de nombreux aspects: le volume d’informations qu’il recueille, l’ampleur de son suivi et le temps passé sur ses sites et ses applications. De nouvelles réglementations, en particulier en Europe, incitent Google et d’autres à être plus transparents et à demander plus d’autorisations aux utilisateurs. Ayant le choix, beaucoup de personnes accepteraient quand même le compromis des données personnelles pour des services. Pourtant, à ce jour, peu d’entre nous réalisent à quel point nos données sont collectées et utilisées. « Il y a un problème systémique qui ne se limite pas à Facebook », explique Arvind Narayanan, informaticien et professeur assistant à l’université de Princeton. Le modèle économique de ces entreprises est entièrement axé sur la violation de la vie privée, assure-t-il. Nous devons comprendre le rôle… »

 

 

Protection des données : nouvelle contrainte ou opportunité avec le règlement européen RGPD ?

Protection des données : nouvelle contrainte avec le  règlement européen RGPD ?

 

 

 

C’est la question à laquelle répond dans une  interview à la Tribune, la présidente de la Commission nationale de l’informatique et des libertés Isabelle Falque-Pierrotin. On sait que l’enjeu est considérable.  Pour faire simple, il s’agit de réguler pour empêcher la mise en sous-traitance de l’économie européenne par les GAFA, le trafic de données notamment à des fins politiques  et pour protéger les consommateurs et les citoyens.

- Pourquoi considérez-vous que le RGPD est indispensable ?

ISABELLE FALQUE-PIERROTIN - Le RGPD est une grande avancée pour plusieurs raisons. Tout d’abord, il crée un marché européen de la donnée en unifiant les législations par un règlement unique. Jusqu’à présent, il fallait composer avec des textes nationaux pas forcément raccords les uns avec les autres. Deuxièmement, le RGPD remet enfin les acteurs européens et internationaux à égalité de concurrence. La disposition relative au ciblage, qui permet d’appliquer le règlement aux groupes étrangers qui traitent les données de citoyens européens, force les géants du Net américains et chinois à ne plus s’affranchir des règles de l’UE. Le troisième avantage du RGPD est qu’il renforce la capacité de dialogue de l’Europe face à ces acteurs. Google, par exemple, ne dialoguera plus séparément avec la Cnil française puis son équivalente allemande, mais avec l’autorité chef de file qui représente toutes les Cnil européennes. Enfin, le RGPD répond à la volonté de plus en plus marquée des citoyens européens de mieux maîtriser leur vie numérique. Les droits des personnes sont considérablement renforcés. Certes, la mise en conformité s’accompagne d’un investissement et d’une réorganisation interne pour les entreprises et les collectivités, mais le RGPD est une chance pour l’Europe.

Les acteurs soumis au RGPD ont eu deux ans pour s’y préparer, mais à moins de soixante-dix jours de son entrée en vigueur, le 25 mai prochain, très peu sont prêts. Comment expliquez-vous ce retard ?

Beaucoup d’entreprises n’étaient pas conformes à la directive sur la protection des données de 1995 révisée en 2004, qui a modifié la loi de 1978. Elles partent donc de très loin, il y a un effet de rattrapage. En dépit de nos efforts de communication, la culture de la protection de la donnée peine à s’installer en France. Historiquement, la gestion des données a été cantonnée aux directions juridiques des entreprises. Elle n’a jamais été investie par les directions générales ou au niveau du comex [comité exécutif, ndlr]. Une prise de conscience est nécessaire pour que l’enjeu monte dans la hiérarchie des structures et devienne stratégique. Le RGPD pousse justement à cette prise de conscience parce que les sanctions qui résultent du non-respect du règlement sont très dissuasives. Aujourd’hui, les entreprises sont vraiment au pied du mur.

L’arme des sanctions, qui peuvent atteindre 4% du chiffre d’affaires mondial, force les entreprises à enfin se préoccuper de leur gestion des données. La menace est-elle le seul moyen efficace ?

L’ampleur inédite des sanctions est une bonne arme de dissuasion. Cette crainte nous permet de faire entrer le sujet de la protection des données dans les entreprises. Mais maintenant que nous avons leur attention, notre but est surtout de pousser un autre message, celui que la conformité au RGPD n’est pas seulement une contrainte réglementaire mais peut aussi apporter un bénéfice opérationnel. Respecter la vie privée de ses clients et collaborateurs est un facteur de différenciation concurrentielle et répond à une demande sociétale forte depuis l’affaire Snowden. Dans les secteurs qui utilisent énormément les données, comme les startups du numérique, les mentalités changent. Des fonds d’investissement commencent à se dire qu’ils ne veulent pas investir dans une startup qui ne pratique pas le « privacy by design ». La conformité est aussi un outil marketing : elle rassure les consommateurs. On l’a bien vu au CES de Las Vegas, où de plus en plus de startups françaises ont mis en avant leur éthique des données. Le RGPD est une opportunité de business.

Beaucoup d’entreprises restent complètement dans le flou, notamment les PME-TPE. Comment les aider à se mettre en conformité ?

Il est vrai que les grands groupes ont les moyens de s’adapter et sont en train d’investir. Les PME en revanche sont plus démunies face à la complexité du texte. En tant que régulateur, il est de notre responsabilité de les aider. Nous avons mis en place beaucoup d’outils. D’abord, les « six étapes » du RGPD, une information de base très pédagogique sur ce qu’est le RGPD et comment s’en emparer. Nous proposons aussi des outils plus opérationnels, par exemple un tutoriel pour aider à réaliser une étude d’impact. Pour les PME et les ETI tous secteurs confondus, nous travaillons avec Bpifrance à la réalisation d’un kit pratique qui sera disponible d’ici à la fin du mois de mars. Nous menons aussi une réflexion plus macro qui consiste à réutiliser les packs de conformité que nous avons développés ces dernières années. Le but est de créer un référentiel sectoriel qui permettrait d’éviter quelques démarches aux entreprises qui y adhèrent. Ainsi, les entreprises sauront exactement ce que le régulateur attend en termes de conformité dans leur secteur, en fonction des usages.

Les « guidelines », les guides de bonnes pratiques publiés par le G29 [l'organisme qui fédère les Cnil européennes, présidé par Isabelle Falque-Pierrotin jusqu'en février 2018] pour aider les entreprises à interpréter le texte, ne sont pas toutes sorties. De fait, beaucoup de sociétés se plaignent de ne pas pouvoir se mettre en conformité car elles n’ont pas les outils nécessaires…

Je rappelle que le G29 n’avait aucune obligation de sortir des guidelines. Normalement, un règlement est applicable dès qu’il est voté. Or, l’UE a laissé un délai de deux ans. Nous avons pris l’initiative de rédiger des guidelines sur les sujets clés car nous craignions que la complexité du texte amène à des interprétations différentes de la part des autorités nationales. Ces guidelines ont été élaborées en coconstruction avec les fédérations professionnelles. Leur but est d’être souples, utiles, et de coller aux usages du terrain. Elles arrivent tard car elles ont demandé un travail monstrueux de dialogue avec les acteurs. Les entreprises peuvent déjà se féliciter de les avoir.

Allez-vous commencer votre travail de contrôle et de sanction dès le 25 mai, tout en sachant que la plupart des entreprises ne sont pas en situation de conformité ?

Le RGPD ne part pas d’une feuille blanche. Un certain nombre de principes liés à la gouvernance des données existaient déjà, comme la finalité du traitement des données par exemple. Nous les contrôlerons donc comme avant, car les entreprises sont déjà censées les avoir intégrés. La méthode sera la même : soit nous réagirons à des plaintes – nous en recevons 8.000 par an -, soit nous diligenterons nous-mêmes des contrôles, qui peuvent déboucher sur des sanctions.
En revanche, nous souhaitons faire preuve de pragmatisme et de bienveillance pour les principes nouveaux du règlement, comme le droit à la portabilité ou l’obligation de mettre en place un registre, car il faut laisser aux entreprises le temps de se les approprier. Le but d’un régulateur n’est pas d’afficher un tableau de chasse de sanctions. Dans un premier temps, nous privilégierons l’accompagnement et l’explication.

Aurez-vous une tolérance plus forte envers les PME qu’envers les grands groupes et les géants du Net, par exemple ?

Nous raisonnons au cas par cas. Une PME suscite bien sûr une certaine réserve, mais cela ne veut pas dire qu’on laissera passer n’importe quoi. Imaginez une PME dans l’économie des données de santé qui laisse passer une faille de sécurité considérable. Dans un tel cas, nous serions forcés de réagir vite. Il ne faut pas tomber dans des automatismes.

Le RGPD oblige les structures qui utilisent des données à grande échelle à recruter un Data Protection Officer (DPO). Mais il n’y a pas assez de DPO… Comment faire ?

J’entends cette difficulté, mais je crois aussi que les DPO vont « se faire » sur le terrain. Ce nouveau métier, central, nécessite des compétences transversales. Des formations se mettent en place dans tous les pays européens. Mais les entreprises peuvent aussi faire évoluer un profil existant. Le DPO peut être un juriste, un technicien, un CIL (correspondant informatique et libertés)… Son positionnement doit à la fois être proche des métiers et branché sur la chaîne de décision pour qu’il ne soit pas un personnage de paille et que ses recommandations soient suivies.

Avec le RGPD, le marché de la conformité explose. Vous avez d’ailleurs mis en garde contre la multiplication des arnaques…

Ce marché n’est pas nouveau mais il prend de l’ampleur. De nouveaux outils et programmes de conformité émergent à partir des règlements européens. À certains égards, je m’en réjouis car il n’y avait pas suffisamment d’acteurs investis dans l’opérationnalisation des principes européens. Cette activité peut être complémentaire de celle des régulateurs. Depuis quatre ans, nous émettons des labels qui prennent la forme de référentiels en fonction des secteurs. À présent, nous voulons progressivement passer des labels à une véritable certification, en s’appuyant sur des certificateurs privés. Cela permettra de mieux encadrer ce marché et de réduire les arnaques. Il est vrai que certains pratiquent un grossier marketing de la peur en accentuant les difficultés du RGPD pour vendre des prestations parfois inutiles à un prix exorbitant. Face à cela, nous rappelons que tout n’est pas nouveau : si vous êtes en conformité avec les réglementations précédentes, le RGPD ne nécessite qu’un travail de toilettage. Les entreprises doivent rester vigilantes, vérifier la crédibilité de leur interlocuteur et utiliser nos outils sur notre site pour identifier leurs besoins de conformité.

Vous insistez sur les nouveaux droits que le RGPD offre aux citoyens pour mieux contrôler leur vie numérique. Mais les usages révèlent une attitude paradoxale : d’un côté les citoyens se méfient des acteurs qui « aspirent » leurs données de manière non transparente, de l’autre ils continuent d’utiliser en masse ces services…

Le « privacy paradox » est une réalité mais je crois que le RGPD arrive à point nommé pour appuyer un changement de culture vis-à-vis des données personnelles. Il y a de plus en plus de bloqueurs de publicité. De plus en plus de profils Facebook ferment, ce qui n’était pas le cas il y a quelques années. On sent bien que les services qui se présentent comme plus respectueux des données recueillent de plus en plus d’intérêt. Il est vrai que beaucoup de droits existants, comme le droit d’accès ou le droit de rectification, sont peu utilisés, en grande partie car ils restent peu connus. Mais le droit à l’oubli sur les moteurs de recherche est un vrai succès en France et en Europe. Je suis également persuadée que le nouveau droit à la portabilité des données, ainsi que la possibilité de recours collectifs face aux acteurs qui ne respectent pas leurs obligations, vont être plébiscités. Le RGPD va accélérer cette prise de conscience, qui est pour l’heure marginale. C’est un vrai choix politique de la part de l’Union européenne.

Dans quel sens ?

Avec le RGPD, nous affirmons une certaine vision de l’innovation. Contrairement à ce qui peut être dit, le règlement ne freinera pas l’innovation, bien au contraire. Commercialement et stratégiquement, l’idée de l’Europe est de bâtir une innovation robuste parce qu’elle est construite sur le respect des droits, qui sont pris en compte en amont. Bien sûr, il y aura toujours des paradis de la donnée. Mais est-ce le modèle que l’Europe veut construire ? Non. Le RGPD incarne un modèle d’innovation durable.

12



L'actu écologique |
bessay |
Mr. Sandro's Blog |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | astucesquotidiennes
| MIEUX-ETRE
| louis crusol