Paris Legal Makers : quelle valeur éthique de la data ?

Le 6 décembre 2021, le Barreau de Paris organisait la première édition du Paris Legal Makers « dédiée au développement économique par le droit », en partenariat avec Le Point et placé sous le haut patronage du président de la République, Emmanuel Macron. Une des tables rondes portait sur la valeur éthique de la data, interrogeant la dualité « vie privée versus modèle économique ».

Modéré par Jérôme Béglé, directeur adjoint de la rédaction du Point, la dernière session du Paris Legal Makers donnait la parole à Sarah Wanquet, EU assistant General Counsel-DPO à Live Ramp, Marie-Laure Denis, présidente de la Cnil et Mario Stasi, avocat et président de la LICRA. Pour conclure ce Paris Legal Makers, l’idée était de questionner la place des données dans nos vies et surtout leur impact. « Sommes-nous tous devenus des data ? Est-ce qu’on peut les mesurer ? Comment s’en servir ? Liberté d’exploiter ces données ? liberté d’expression ? », demandait Jérôme Béglé à ses invités.

Transparence et consentement

« Le retail media est une activité qui permet à un cercle vertueux de pouvoir collaborer autour de la donnée, à des stades différents du parcours utilisateur », explique Sarah Wanquet lors de son intervention. Selon elle, connaître ses clients est un atout qui n’est pas récent, mais « le levier de croissance c’est son utilisation dans le domaine du numérique ». Dans ce contexte, le consommateur doit pouvoir avoir une forme de contrôle sur ses données, mais comment ? « Le contrôle n’est pas installé par défaut », poursuit Sarah Wanquet. Il faut renforcer la transparence, instaurer un système de consentement et la possibilité de s’opposer à l’utilisation des données. On y croit. On pense qu’aujourd’hui tout doit se renforcer dans la first party data, c’est-à-dire de la donnée collectée directement par un acteur, afin de l’exploiter de manière transparente, tout en laissant le choix de s’y imposer ». Selon elle, pas de doute, « on peut concilier l’éthique et l’utilisation de la donnée ».

Marie-Laure Denis la rejoint sur ce point. « La Cnil demande aux responsables de traitement de bien informer les individus avant de poser des traceurs et d’obtenir leur consentement en amont ». Du temps a été donné au secteur pour s’adapter, ajoute-t-elle. « On ressent le besoin d’un contrôle sur les données. C’est le cas depuis quatre ans. Nous recevons 14 000 plaintes par an et un projet de loi actuel doit modifier la procédure répressive pour qu’elle soit plus efficace ».

Régulateurs et entreprises ne sont pour autant pas forcément dans des camps opposés. « Nous avons collaboré avec la Cnil sur la façon de faire les choses », précise Sarah Wanquet. « C’est ce qu’on attend d’elle : venir nous solliciter et partager avec nous sa vision des choses pour agir sur l’innovation. En France, on a la chance d’avoir une législation ancienne qui a pu évoluer et également un organisme de contrôle qui se positionne de manière courageuse et qui a su influencer les autres régulateurs en Europe ».

Vieille de quarante ans, la Cnil joue en effet un rôle important au sein du Comité européen de la protection des données pour essayer d’harmoniser la doctrine. Elle traite ainsi au niveau européen les plaintes transfrontalières, ce qui représente 1/5ème du total des plaintes. « À la fin de l’année prochaine nous serons 270. Numériquement, nous sommes plutôt en situation de faiblesse, mais il y a une prise de conscience des pouvoirs publics en général de donner des moyens aux régulateurs de la protection des données », complète la présidente.

« Ne pas courir après les innovations »

Mais face aux exploits techniques et à la vitesse des innovations, les réglementations sont-elles à la traîne ou arrivent-elles à imposer des lignes directrices ?

En 2019, on comptait 60 000 téléconsultations. Elles ont atteint 5,5 millions l’année d’après. Télétravail, télé-enseignement… « C’est le vrai sujet d’anticiper les usages du numérique », répond Marie-Laure Denis. « Mais en tant que régulateur il ne faut pas courir après les innovations. La Cnil est le seul organisme de contrôle en Europe à avoir un laboratoire du numérique où on produit et diffuse des livres blancs, par exemple sur les assistants vocaux. Nous diffusons la culture de l’éthique du numérique ».

Selon elle, deux enjeux vont concerner la prochaine décennie. D’abord, les algorithmes, pour lesquels il faudrait arriver à « concilier innovation, confort, intérêt, opportunité en matière de recherche et attirer l’attention sur les biais qu’ils contiennent en nature ». « On le voit au niveau du recrutement : des millions de travailleurs sont susceptibles de rester sur le carreau parce qu’ils n’auront pas coché la bonne case. C’est déjà le cas avec Parcoursup où des milliers de lycéens n’ont pas pu accéder au parcours d’enseignement supérieur de leur choix »! L’autre enjeu, affirme-t-elle, c’est la cybersécurité.

Cybersécurité, enjeu majeur

La question n’est plus de savoir si vous allez être hameçonner, mais quand… C’est du moins ce que pense Marie-Laure Denis. « On le mesure concrètement parce que les entreprises sont censées nous notifier les violations de données. Celles-ci ont augmenté de 25 % depuis l’année dernière. Un chiffre déjà en constante augmentation ».

Le RGPD impose à ceux qui traitent des données une obligation de moyens en termes de sécurité (registre de ses traitements de données, analyses d’impact, etc.). « Ce que je voudrais, c’est que les organismes, les entreprises, les administrations, ne le fassent pas uniquement pour être en conformité avec un énième règlement, mais qu’elles comprennent que c’est vraiment dans leur intérêt de savoir quelles données elles ont, d’avoir une hygiène dans le traitement de leurs données, de les sécuriser. Que c’est leur propre intérêt en termes d’enjeu réputationnel et en termes de coût. C’est certes complexe, coûteux, mais ça peut l’être encore plus de mettre après coup les systèmes à niveau ».

Sarah Wanquet parle même d’« obsession » concernant la cybersécurité : « On ne traite pas de données sensibles, ni bancaires ni de santé, mais la sécurité est obligatoire et au plus haut niveau » !

Mario Stasi, avocat au Bareau de paris, préside la LICRA depuis 2017 : « On a été hacké trois ou quatre fois, donc la cybersécurité n’épargne personne. Le risque est continu et quotidien ». La France serait même une mine d’or pour les hackeurs en termes de données de santé. « Des hôpitaux sont attaqués alors qu’ils n’ont pas beaucoup d’argent », réagit Marie-Laure Denis. « La Cnil a diffusé un référentiel pour les cabinets médicaux. Les médecins ont des mesures basiques à prendre. C’est un sujet essentiel »…

Le RGPD, et ensuite ?

Le RGPD porte selon la présidente de la Cnil une « ambition mondiale » du fait de son caractère extraterritorial : « Il s’adresse à tous les responsables de traitement même s’ils ne sont pas établis en Europe, dès qu’ils ciblent les données des Européens. C’est un langage que les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) comprennent très bien. Depuis 2018, neuf sanctions ont été prononcées par l’ensemble des autorités de régulation européenne contre les GAFAM pour un montant d’un peu plus d’un milliard ».

Face aux enjeux notamment de réputation, les pratiques peuvent être modifiées en réaction aux sanctions ou aux injonctions sous astreinte. « On voit qu’il y a une élévation du standard moyen. Le RGPD a fait des émules avec des législations pour la première fois dans certains pays. L’Europe arrive à faire de la diplomatie d’influence de façon utile ».

Selon Sarah Wanquet, le mot « privacy » fait effectivement partie du langage des GAFAM. « En pratique ils le font pour obtenir des partenariats. Il est nécessaire d’avoir une réglementation globale, même s’il y a beaucoup de critiques contre le RGPD. Aujourd’hui, dans des industries qui n’ont pas de frontières, c’est intéressant d’avoir un référentiel réglementaire qui permet d’avoir une activité globale encadrée de la même manière ». Face à la puissance des GAFAM, Mario Stasi recommande de « mettre des délais, des injonctions mais aussi des sanctions financières et pénales ». « On vient de loin », dit-il. « Le processus s’accélère. Il faut aller toujours vers plus de responsabilisation » !