1

COMPTE-RENDU

DU COLLOQUE

« Confiance dans l'économie numérique : à l'impossible nul n'est tenu ? »

15 mars 2019

au Sénat Palais du Luxembourg

(Salle Clemenceau) 15 Rue de Vaugirard, 75291 Paris

14h

Ce colloque a été co-organisé par Le Diplôme d'Université RGPD - DPO de Dauphine

Executive Education (formation continue de l'Université Paris-Dauphine), le Certificat Délégué à la Protection des Données (DPO) de Dauphine|Tunis et l'association « Data Ring ».

2

Résumé

La thématique générale du colloque est la confrontation entre la nécessaire confiance des particuliers pour permettre de profiter du formidable potentiel de croissance de l'économie numérique et la protection des données personnelles des consommateurs, entreprises et autres acteurs du jeu économique.

*

Voir les vidéos du colloque en cliquant sur Youtube.

3

PROGRAMME

Propos introductifs du sénateur LREM des Hauts de Seine, André Gattolin, auteur de plusieurs rapports sur l'économie numérique.

Propos préliminaire par Chloé Morin, Directrice de projets-Ipsos Global Affairs, qui a présenté

une étude de suivi mondiale sur l'acceptation des technologies de l'information par le public.

Table ronde 1

« LES ENJEUX MARKETING ET LA PROTECTION DES CONSOMMATEURS »

Avec la participation de : Me Etienne Drouard (modérateur) Corinne Denis, directrice du numérique et du développement des revenus, Lagardère Active Antoine Couret, CEO, GEO4CAST.

Table ronde 2

« LA SECURITE : L'EXEMPLE DE LA SANTE »

Avec la participation de : France Charruyer (modératrice) Philippe Loudenot, fonctionnaire de sécurité des systèmes d’information (FSSI) des Ministères sociaux – Administrateur du CESIN Stéphane Larrière, Group Chief Data Governance Officer, Atos Olivier Spreux, directeur juridique, LIVI.

Table ronde 3

« LA CRUELLE RESPONSABILITE DES AUTORITES DE CONTROLE EN EUROPE ET HORS UE »

Avec la participation de : Frédérique Berrod, Professeur à l'Université Robert Schuman (Strasbourg), (modératrice) Sophie Nerbonne, directrice chargée de projets corégulation économique à la CNIL Chwaki Gaddès de l'INPDP (Tunisie) et de l'association francophone des autorités de protection des données personnelles (AFAPDP) Antonio Gameiro, député portugais, Président du conseil de contrôle du système de données de l'information pénale (au Portugal).

Conclusion par Jean-Luc Sauron, conseiller d'Etat, professeur à l'Université Paris-Dauphine, Directeur du Diplôme d'Université RGPD - DPO et du Certificat DPO Dauphine|Tunis.

4

PROPOS INTRODUCTIF Par M. André Gattolin, sénateur LREM des Hauts de Seine

Monsieur Gattolin commence son intervention en exprimant ses sentiments pour la tenue

de ce colloque sur la régulation du numérique.

D’abord il remercier très chaleureusement le professeur Jean-Luc Sauron, grand spécialiste du droit européen et qui dirige le Diplôme universitaire RGPD-DPO à l'université Paris Dauphine.

Et souligne que c’est M. Sauron qui a eu la lourde charge d'organiser ce colloque, ajoute

qu’au regard de la qualité des panels d'intervenants ne manquera pas d'être riche d'enseignements très utiles à chacun des personnes présentes et aussi au législateur.

Il ajoute que d'éminents représentants des instances de régulation des données personnelles, des représentants du monde universitaire, et des acteurs économiques du monde numérique sont également présents.

Il salue tout particulièrement M. Chawki Gaddès, Président de l'autorité de contrôle tunisienne, également Président de l'association des autorités de contrôle francophones qui défend actuellement devant le Parlement tunisien une loi majeure sur la protection des données et qui devrait porter la Tunisie aux meilleurs standards mondiaux.

Il salue également la présence de Madame Sophie Nerbonne, Directrice chargée de la co-régulation économique de la Cnil, grande spécialiste des questions qui nous intéressent aujourd'hui.

Suite aux remerciements et les mots de bienvenue M. Gattolin souligne qu’il ne se passe

pas une semaine sans que la question des bonnes pratiques - et surtout des mauvaises pratiques - du monde numérique ne fasse l'objet d'informations et de révélations pointant les difficultés que nous avons à maîtriser ses règles, son fonctionnement ou ses usages.

Pour lui la question de la régulation et de l'auto-régulation du monde numérique est

devenue centrale. Elle se pose actuellement et avec vivacité, en France comme à l'étranger, au moins à trois

niveaux :

5

• un niveau économique et même plus précisément un niveau fiscal : comment mettre en place une meilleure répartition de l'incroyable richesse produite par les grands acteurs du numérique ? • Un niveau qui concerne la régulation des contenus qui sont aujourd'hui massivement diffusés sur les réseaux sociaux, c'est la question notamment des fake news et de leurs conséquences désastreuses sur la qualité de l'information et du débat public au sein même de nos démocraties consolidées. • Une question concernant l'usage des données personnelles qui font l'objet d'une captation sans précédent dans l'histoire de l'humanité et d'un risque considérable quant au respect de la vie privée et par incidence du respect des droits fondamentaux de la personne.

Selon lui, la question de la protection des usagers et de leurs données personnelles est certes capitale dans la régulation qui doit - et qui est déjà parfois - mise en œuvre. Mais notre réflexion à ce sujet ne peut être totalement dissociée de la nécessité aussi de préserver le développement économique, la capacité d'entreprendre et d'innover dans une société où la révolution technologique n'a jamais été aussi rapide et intense.

Si, en France comme dans le reste du monde, nous venions à nous tenir à l'écart de la transformation économique et technologique en cours, ne risquerions-nous pas en effet de nous mettre en marge de la nouvelle production de la richesse, qui fonde la prospérité, qui est finalement à la base de notre modèle social et qui, in fine, participe du bon fonctionnement de nos démocraties et aussi de l’acceptation par chacun des contraintes qu'elles imposent ?

M. Gattolin remarque qu’il faut bien évidemment procéder à une régulation de ce monde nouveau de plus en plus globalisé, et qui précisément de par son caractère dématérialisé, extraterritorialisé, désétatisé, désintermédié et impermanent, rend obsolètes les traditionnels instruments nationaux de régulation.

Pour lui, la question sous-jacente à cette nécessaire régulation – qui ne peut d'ailleurs exclure les logiques d'auto-régulation et de co-régulation – est celle de déterminer le juste équilibre entre l'indispensable protection des personnes, des usagers et des consommateurs, et le non moins nécessaire respect de la liberté d'entreprendre des acteurs pour garantir un développement économique qui puisse être équitable à l’intérieur de chacune de nos sociétés comme entre les différentes sociétés.

Nous vivons certes une époque nouvelle, inédite dans ses bouleversements des usages, et plus que jamais incertaine, pour ne pas dire imprévisible.

Pour autant, nous en revenons cependant, encore et toujours, à la question éternelle en démocratie des frontières à définir entre droits individuels et bien-être collectif.

D’après M. Gattolin ce juste équilibre, cette juste régulation (et les bonnes pratiques qui doivent accompagner et compléter toute forme de règle ou de norme pour que les choses fassent à la fois sens et usage) ne peut évidemment que se fonder et se traduire en acte sans un préalable qui est plus humain que mécanique : c'est celui de la confiance ; confiance de la personne envers un univers, des services et des mécanismes hautement technologisés, confiance bien évidemment entre l'ensemble des acteurs de ce monde numérique.

Il termine son intervention et souligne qu’en la matière rien n’est simple…

6

La loi est importante, mais comme on le dit souvent : « la confiance ne se décrète, elle construit »…

Cas de la LCEN…

7

PROPOS PRELIMINAIRES

Par Chloé Morin, directrice de projets-Ipsos Global Affairs, qui a présenté une étude de suivi mondiale sur l'acceptation des technologies de l'information par le public.

Mme Morin a présenté une série de diapositives qui sont reproduites intégralement afin de permettre aux lecteurs d’avoir les points les plus importants de son intervention :

8

Elle souligne qu’il existe aujourd’hui une relation paradoxale à la technologie et à la protection des données :

Un exemple identifié par les analyses réalisées par Ipsos est le domaine de la santé :

9

Madame Morin avertit que, malgré les craintes, paradoxalement la confiance dans les acteurs de santé est bien supérieure à celle que nous plaçons dans la plupart des autres acteurs susceptibles de détenir et utiliser nos données :

Pour Mme Morin, l’inquiétude et la défiance auraient pu accélérer la prise de conscience et le changement de nos habitudes, mais en réalité il n’en est rien…

Mais tout se passe comme si l’opinion mesurait bien les risques de l’usurpation d’identité ou de données de santé ou bancaires, et au même temps ne percevait pas de préjudice personnel majeur associé à la potentielle exploitation commerciale ou politique de la majorité de ce qu’ils postent sur les réseaux sociaux.

Le caractère personnel des goûts et centres d’intérêt, ou encore des messages, images et vidéos postés sur internet, est nettement moins identifié par l’opinion que le caractère personnel des coordonnées bancaires, informations de santé, ou encore coordonnées de contact.

10

11

12

Si l’on poursuit l’analyse des paradoxes qui caractérisent nos attitudes vis-à-vis du numérique, certaines données sont intéressantes car elles montrent un contraste entre optimisme (excessif souvent) et pessimisme (parfois infondé). C’est le cas sur le front de l’emploi et de l’impact des technologies sur le marché du travail…

13

14

15

Dans ce contexte Mme Morin se demande si c’est une bonne idée d’ignorer l’opinion, et réguler /agir “par le haut”? et elle souligne que toutes les réformes aujourd’hui sont vouées à l’échec si elles ne construisent pas les conditions d’acceptation des utilisateurs /citoyens. Donc il faut à la fois agir, réguler, et en même temps dialoguer /construire les conditions d’un débat transparent et serein.

Ce que l’on constate, c’est que les comportements changent peu ou insuffisamment. Or, cela ne peut s’expliquer uniquement par un manque d’informations…

16

Evidemment, l’information des publics pourrait réduire l’opacité et la complexité... Mais elles seules n’expliquent pas tout... Il faut aller chercher dans les sciences cognitives d’autres raisons pour expliquer l’inertie des comportements citoyens /internautes

17

D’ailleurs, on voit que beaucoup de citoyens sont favorables à ce qu’on les paie pour exploiter leurs données – ce qui suppose qu’ils ont déjà accepté que des parties de leur vie soient réduites à des “produits” de consommation…

18

19

TABLE RONDE 1

« LES ENJEUX MARKETING ET LA PROTECTION DES CONSOMMATEURS »

Avec la participation de : Me Etienne Drouard (modérateur) Corinne Denis, directrice du numérique et du développement des revenus, Lagardère Active Antoine Couret, CEO, GEO4CAST.

M. Etienne Drouard modérateur de la table ronde, souligne que l’ergonomie du choix

aujourd’hui sur internet, c’est le comment savoir dire ‘oui’ ou ‘non’ afin de garder la souveraineté sur les données de l’utilisateur.

Ensuite, M. Drouard passe la parole à Madame Corinne Denis pour lui demander son avis sur la problématique suivante : Qui capte aujourd’hui la donnée, comment et pourquoi ?

La réponse est donnée par rapport à l’économie des médias. D’après Madame Denis, l’économie des médias a toujours fonctionné sur un chiffre

d’affaires de double nature, soit la diffusion payante, soit la publicité.

Dans l’économie des médias la majorité du chiffre d’affaires dépendent en tout ou partie de leurs revenus publicitaires. Les télévisions toutes chaînes confondues en dépendent à 100% ; la radio à 100% ; et la presse entre 20% à 70%.

Selon elle, les médias ont toujours fait de l’intermédiation, c'est-à-dire que leur travail est de recruter et fidéliser une audience grâce à leurs produits et la qualité de leurs informations. Ainsi, l’important pour les chaines est de proposer leur audience à l’achat à des annonceurs qui sont intéressés par cette audience.

Or, avant l’avènement de l’internet la qualification d’une audience médias se faisait par son contenu, par exemple : Un magazine de mode attirait des femmes par exemple ce qui amenait à cibler des

20

« panels » ou groupes rattachés à un contenu. Et pour perfectionner cette qualification il y avait des instituts qui préparaient des études d’audience.

Puis est arrivé Internet, et ce secteur d’activité a pensé qu’il pourrait faire la même chose qu’avant, à savoir l’utilisation de la Médiamétrie classique, ne voyant pas que les cadres de l’écosystème avaient changé, notamment avec Google, d’abord avec la recherche et Facebook dont le modèle économique est basé essentiellement sur la publicité. Ces acteurs qui ne veulent pas se revendiquer comme media rentrent en concurrence avec les medias.

Ces acteurs sont devenus les plus gros consommateurs d’espaces publicitaires et ils ont peu à peu dépassé le secteur historique des médias classiques pour le placement des annonces publicitaires.

Madame Denis ajoute que ce qui est intéressant si l’on s’interroge sur cette évolution c’est

qu’au départ les GAFAM ne se considéraient pas comme des « supports publicitaires » en qualité de « Médias ».

Aujourd’hui le media numérique est le premier média en investissement publicitaire, il est passé dans tous les autres médias d’affichage radio télé presse en 2015, il croît très rapidement avec une croissance de 6%, 7% et 12% l’année dernière, et 17% entre 2017 et 2018.

Malheureusement pour elle, les médias historiques qui se sont investis tôt dans la diversification numérique (le 2/3 de cette manne publicitaire) sont aujourd’hui préemptés par Google et Facebook.

Elle souligne qu’il ne s’agit pas simplement d’un problème qui fragilise le secteur de médias historiques dans leur partie numérique mais aussi ces acteurs sont aussi fragilisés dans leurs parties traditionnelles, puisque la presse est majoritairement impactée, ainsi que la télévision et la radio. Il est à souligner que l’affichage perd des points chaque année face à l’investissement numérique des publicitaires.

Quel est donc le rôle de la data dans tout cela ?

Pour Mme Denis, la data s’est substituée au « panel » et les « études de marché », ce sont les nouveaux acteurs qui arrivent avec un nouveau modèle de vente de publicité très différent des outils utilisés par les médias traditionnels qui s’appelle le programmatique, l’intermédiation classique commerciale d’antan des médias a été remplacé par une intervention technologique avec des outils technologiques qui permet l’achat d’inventaires à l’instant et sans l’interaction humaine dans la chaîne, cette invention représente l’essentiel des revenus publicitaires de Facebook et Google en France cela représente 49% du marché et aux USA 80%.

Evidement les medias classiques pour continuer à se battre sur ce marché, ils sont obligés de rentrer sur ce marché du programmatique, or ce n’est pas leur culture mais aujourd’hui ils sont en concurrence à armes égales avec leurs concurrents médias et GAFAM inclus. Pour rentrer dans ce marché il faut s’associer avec des acteurs de la data parce que l’essence du programmatique permet de cibler les internautes avec l’utilisation des cookies. Le régulateur a permis que ce code installé dans le navigateur fasse partie de la grande famille de données personnelles. Ce marché publicitaire, qui est déjà un marché fragilisé par les médias, est dépendant de ces cookies, qui à la fois font la force des GAFAM

Or le cookie est ce qui permet à la chaîne programmatique de se mettre en œuvre et d’opérer.

21

Elle souligne que cette donnée personnelle est donc importante puisque c’est le vecteur

autour duquel s’organise toute la publicité digitale. Si l’internaute décide de les priver de ses données en disant « Non » aux questions posées par le cookie, la publicité aujourd’hui ne peut plus être servie et ,dans ce cas, les sites médias sont privés de publicité.

Ce sujet préoccupe forcément les acteurs de l’écosystème de la publicité. Selon elle, le cookie dans la chaîne programmatique est le seul lien que le média a avec son

internaute ; étant précisé que le média ne le connaît pas il sait simplement avec le cookie que l’internaute est venu par exemple hier, ou il y a un mois, qu’il lit environ 4 à 5 articles, que ce qui l’intéresse particulièrement c’est plus ou moins tel ou tel sujet. C’est un outil simple mais qui a énormément de fonctions. Forcément expliquer toutes ces fonctions sur une page d’accueil en leur posant des questions techniques sur ce qu’ils acceptent ou pas est très compliqué, et c’est donc le sujet principal du moment pour les éditeurs de contenus médias.

La RGPD ne nous pose pas de problèmes, au contraire la réglementation nous permet de donner confiance aux clients. Par contre, le règlement e-Privacy tel que l’ont écrit les premiers rédacteurs sans l’adopter, a fait frémir les éditeurs de médias, car la Commission européenne propose que ce soit les navigateurs qui recueillent le consentement des cookies pour tous les sites internet. Ces navigateurs sont aujourd’hui trois américains puisque, pour l’instant, nous n’avons pas de grand champion européen dans le domaine.

Le modérateur reprend la parole et souligne que les contrats publicitaires sont souscrits de manière automatique à la vitesse de l’éclair, et le nœud du sujet ici c’est l’identifiant du terminal de l’internaute, soit l’identifiant mobile ou l’identifiant du navigateur pour le terminal fixe. Cela pose une question économique et notamment aux termes de traces. Car cette dernière permet de voir et garder le comportement d’une visite, et cela touche aussi à la communication entre deux machines, ce facteur qui est aussi traité dans le règlement e-Privacy.

Si dans le RGPD on retrouve des principes et des obligations, des pouvoirs de régulateurs et des niveaux de sanctions et de droits des personnes en fonction de l’activité dans le Règlement e-Privacy, l’on retrouve aussi la communication « machine to machine », et il s’agit d’un enjeu de calendrier avec au surplus un enjeu d’intelligence artificielle.

Dans ce contexte une question est posée à M. Antoine Couret :

Pour les traces de comportement de gens en masse que l’on peut traiter de manière agrégée en les calculant pour en tirer une compréhension, une utilisation, une valeur, qu’est-ce que cela représente en matière d’intelligence artificielle ?

M. Couret prend la parole en soulignant que ces traces sont importantes en matière de publicité digitale mais tout autant ces traces utilisées par l’Intelligence Artificielle (IA) vont impacter tous les secteurs de l’industrie.

Selon lui, la vague connue dans le monde des médias c’est une petite vague. La création des données est devenue exponentielle car évidemment il n’y a pas que les données personnelles, il y a aussi l’ensemble des données machines, des bâtiments, etc. qui sont de plus en plus collectées, et de plus en plus les machines elles-mêmes sont connectés.

22

Il s’agira d’une révolution des données globale, d’un point de vu plus macro il est nécessaire de regarder ce phénomène avec un peu plus de recul. L’impact économique de l’Intelligence Artificielle est chiffré à 15,700 milliards de dollars de gains pour l’économie mondiale d’ici 20301.

Il souligne qu’il est évident que l’ensemble des traces collectées seront impactés, utilisés et exploités dans les industries de demain. Le phénomène connu sur les médias arrivera dans l’ensemble des industries. La question c’est de savoir qu’est qu’on veut faire avec toute cette information.

Il souligne que cela veut forcément dire une recomposition des emplois. La question est

d’autant plus importante que l’avenir c’est la confiance et la transparence à la fois dans le contrat social et dans l’économique, et quel avenir on a envie de donner aux citoyens aujourd’hui et demain.

Quel contrat économique va-t-on proposer aux citoyens ?

Il croit que si beaucoup de peurs sont actuellement focalisées sur l’Intelligence Artificielle et les algorithmes, c’est parce qu’on ne sait pas aujourd’hui les expliquer, c’est la même situation qui s’est présentée pour l’économie de la voiture, et à la fin on a fini par s’adapter.

Selon M. Cournet, aujourd’hui on est face à l’irruption de l’intelligence artificielle dans tous les domaines. Et en ce sens, deux phénomènes se présentent : la personnalisation liée aux cookies et l’automatisation liée au programmatique. Ces deux phénomènes pour les 15 prochaines années, soit 2030, vont toucher à peu près tous les secteurs de l’industrie.

Actuellement un des secteurs économiques les plus touchés de manière positive par la combinaison de ces deux éléments grâce à la mise en œuvre de l’intelligence Artificielle est l’agriculture.

Pour l’agriculture les facteurs positifs sont :

▪ La réduction de la pénibilité des emplois,

▪ L’optimisation de la diffusion des engrais, et donc réduction de l’impact environnemental.

Pour conclure sur les impacts de l’Intelligence Artificielle, il souligne que la deuxième peur

véhiculée autour de l’IA est de la faire apparaître comme destructrice des emplois. Ce qui est vrai.

Mais, il souligne aussi qu’avec l’impact sur l’ensemble des industries, il n’y pas destruction des emplois mais une transformation d’emplois, suivant le secteur industriel, autour de 30% à 50%. Ces emplois ne seront pas détruits mais transformés. L’étude de PWC annonce une création positive des emplois de 25%, la question qu’il faudrait se poser est de savoir si on veut que ce 25% des emplois soient créés en Europe ou ailleurs ? …

Le modérateur demande, y a-t-il un rapport de masse dans l’IA ?

M. Couret, affirme que cela dépend des secteurs industriels. Et souligne qu’il y a clairement un rapport de masse. Si on extrapole ce que disait Madame Denis là où elle parlait de plus de 94 % de part de marché sur la publicité mobile avec Google et Facebook.

1 Voir l’étude de 2017 de PWC «Sizing the prize What’s the real value of AI for your business and how can you

capitalise?»

23

Il rappelle qu’aujourd’hui il 5 secteurs dans lesquels on peut identifier des oligopoles mondiaux : sur l’économie OS mobile 90% entre Google et Apple, sur le « Search » 92% de la part de marché européen est capté par Google, la partie publicité a été citée, sur la partie e-commerce c’est moins fort car Amazon compte avec 2 fois moins des parties de marché que C-discount, concernant le Cloud 50 % du marché est concentré par les opérateurs américains.

Sur le marché des télécoms 3 acteurs se partagent le marché dont 2 acteurs européens avec Nokia et Ericsson.

Selon lui, il y a bien un effet de masse lié à la qualité et à la performance des algorithmes à la foi liés à l’ensemble des données qui sont captées de fait, plus vous êtes un opérateur important, plus on peut avoir accès aux données et meilleur sera la performance et la compétitivité de l’entreprise donc meilleure sera la part de marché.

Il souligne qu’aujourd’hui très clairement on peut considérer que pour faire face aux GAFAM il faut s’organiser sur un mode plus collaboratif.

Après le rapport de masse y a-t-il aussi un phénomène exponentiel sur la vitesse ?

M. Couret réaffirme qu’il y a un rapport de vitesse et qu’un phénomène exponentiel sur la vitesse est identifiable. C’est l’histoire du roi qui se fait offrir un jeu d’échecs avec les grains de riz sur le jeu d’échecs.

Selon lui, la question qu’on doit se poser est de savoir si veut-on être le roi ou celui qui a

offert le jeu d’échecs pour récupérer les grains de riz ?

Le modérateur ouvre l’espace aux questions plus microscopiques sur le sujet :

Le règlement e-Privacy a été élaboré en janvier 2017 et depuis il est bloqué et la discussion reprendra après les élections européennes à venir vraisemblablement en octobre 2019 donc une éventuelle entrée en vigueur vers 2020/2021 environ.

Puisque le RGPD est là, faut-il attendre ou devancer le nouveau règlement ?

Comment s’adapter à l’utilisation des traces sur l’utilisation des réseaux de télécommunications électroniques, le RGPD ne traite pas explicitement de ce problème, nous avons des options devant nous ?

Comment se préparer dans l’industrie des médias aux nouveaux défis ?

Mme. Denis évoque que les médias prennent des initiatives face aux nouveaux acteurs, par exemple que la plus part des médias créent des plateformes concurrentes à Facebook et Google avec le système Gravity afin de travailler ensemble. Tout cela est une possible réponse à ce qui arrive dans ce marché concurrentiel et un peu inquiétant pour les médias.

Elle souligne que parallèlement au constat de tout à l’heure les médias ne restent pas les

bras croisés il y a des initiatives prises soit :

Elle cite l’initiative prise par la plupart des médias et d’autres acteurs qui se sont réunis avec SFR et Orange pour offrir une plateforme concurrente de Google basée sur le même système, et des acteurs médias se réunissent aussi pour travailler ensemble sur un régime commun pour une possible réponse dans un marché de plus en plus concurrentiel et un peu inquiétant pour les médias.

24

D’après elle, les acteurs travaillent à la rédaction de mentions d’information types, par exemple dans le secteur des médias expliquer à l’internaute à quoi il consent, et à quoi il refuse sur par exemple un écran de Smartphone nécessairement réduit.

Et comment peut-on rédiger l’information dédiée simplement avec aussi des modalités

communes pour que ce consentement soit certifié et transmis à tous les acteurs de la chaine programmatique de façon fiable puisque l’éditeur est responsable du fait de la loi.

Elle croit qu’il faut organiser que cette responsabilité soit fiable tout le long de la chaîne qu’il n’y ait pas de faute et qu’il ne soit pas puni par le régulateur.

Ainsi elle cite l’exemple au sein de L’IAB (Interactive Advertising Bureau, rassemblement des organisateurs de la chaîne publicitaire Europe) les acteurs travaillent à essayer, difficilement avec beaucoup de contraintes, de poser des questions qui soient claires pour l’internaute, en essayant d’éviter la dissémination des questions, et qui soient rédigées le plus simplement possible sur toute la chaine programmatique.

Mme Denis rappelle qu’entre un annonceur et un éditeur qui publie l’annonce il peut y avoir 10, 15 ou 20 acteurs de la chaîne programmatique, et que toute cette chaîne respecte bien le souhait de l’internaute au départ, ce sont des travaux longs et difficiles et d’autant plus compliqués que nous sommes dans une incertitude juridique chronique depuis quelques années car e-Privacy est toujours en négociation.

Même si les acteurs travaillent avec la Cnil sur le sujet c’est très compliqué, on comprend que si e-Privacy n’aboutissait pas ce sera à chaque régulateur dans chaque pays de donner les consignes et règles de ce que les éditeurs doivent faire, ce qui est un travail de fourmi très complexe qui met une épée de Damoclès sur la tête des éditeurs qui, n’étant pas des entreprises de technologie à la base, ont mis beaucoup d’argent pour rentrer sur la chaîne programmatique.

Elle met en relief que cela coûte de l’argent car, pour passer une annonce l’éditeur recevait une belle marge, aujourd’hui avec le programmatique quand il met 100 € l’éditeur reçoit 20 €, car tous les acteurs sur la chaîne perçoivent une partie pour le travail effectué et il y a évidemment une perte de valeur et il faut retrouver de la valeur sur cette activité.

Elle rappelle que c’est pour cela que des éditeurs ce sont associés pour mettre ensemble de l’argent sur une technologie car ensemble c’est plus simple alors que l’environnement juridique lui n’est pas stable donc le développement de l’activité en souffre. Ce que les acteurs ne savent pas c’est si ils vont devoir tout recommencer demain !!

Si l’on doit demander l’accord de tous les gens avant de traiter une donnée comment alors faire avec l’Intelligence Artificielle ? Par exemple dans la mobilité.

Si l’on veut mesurer les flux de population entre les aéroports et les centres villes pour faire des véhicules électriques ou calculer les interactions entre les véhicules pour faire des véhicules connectés, et se préparer pour les 10/15 prochaines années : s’il faut demander l’accord des gens avant de faire de l’algorithmie et de la productivité comment fait l’IA ?

Madame Denis souligne qu’il faudrait faire un peu d’économie prédictive.

Monsieur Couret ajoute qu’il faut appeler GOOGLE ?

25

Et pourquoi lui, pourquoi Google pourrait avoir un consentement que les autres n’arriveraient pas à avoir ?

Monsieur Couret explique qu’aujourd’hui par exemple sur les offres mobiles toutes les offres sont captées au niveau mondial principalement par Google et Apple.

Il indique qu’au Canada il y une première expérimentation. Il s’agit d’un contrat d’extension sur un quartier complet à Toronto qui a été remporté par Google via sa filiale Sydewalk Labs, basé sur l’ensemble des données captées via l’opérateur de système qui leur permet de modéliser l’aménagement du quartier, mais aussi l’aménagement de la mobilité et les transports et de tous les ‘utilities’ mises à disposition dans le quartier. Selon lui, la question qui se pose est la capacité qu’auront les autres acteurs de récolter ses données car le consentement s’active par les mobiles gérés par Google ou Apple.

Pour le RGPD il y a 6 bases légales, dont le consentement. Comment combiner les enjeux convergents de l’innovation et du RGPD pour que le traitement soit légal ?

Et quel est l’espoir de la sécurité juridique avec le RGPD pour traiter les données avec les moyens de l’IA ?

Madame Denis souligne qu’elle a pu rencontrer les rédacteurs du règlement e-Privacy et elle s’est rendu compte que souvent les rédacteurs du texte ne connaissent pas bien les contingences du secteur pour harmoniser l’intérêt légitime des entreprises et des personnes concernées par rapport à la vie privée.

Elle rappelle qu’au parlement européen, les négociations sur la RGPD ont été longues et

difficiles, on peut constater qu’il y a deux groupes, ceux qui connaissent bien les enjeux économiques, et de l’autre des juristes qui connaissent très bien la protection de la vie privée, mais ce sont des groupes qui ont des difficultés lors de la négociation car ils sont trop spécialisés dans leur domaines et n’arrivent pas à comprendre les autres.

Souvent les enjeux du cookie trop réglementé par rapport à la preuve de l’obtention d’un consentement éclairé sont la privation de la publicité.

La solution serait-elle de changer le modèle économique des supports de connexion voire le logiciel ?

Elle ponctue que le modèle économique est porté par Google et que la difficulté est que ceux qui s’occupent de la vie privée et de l’intérêt économique, ce sont des entreprises innovantes mais ne travaillent pas de concert pour rédiger les textes européens avec les décideurs européens. Ils se parlent en trilogue tout à la fin des négociations et pour elle c’est une situation inquiétante.

Comment cumuler cela avec le développement de l’Intelligence Artificielle ?

Monsieur Couret souligne qu’il faudrait changer d’algorithme et de régulation mondiale, car sinon on ne pourra rien appliquer de sérieux. Pour lui il faudrait changer l’angle de réflexion.

Il attire l’attention sur le fait que le temps d’apprentissage d’un algorithme est long, il y a un besoin d’expérimentation comme par exemple pour la voiture autonome. La solution serait d’ouvrir la loi aux expérimentations et déroger à la réglementation le temps de cette expérimentation. C’est ce que font les américains, ils commencent toujours par l’expérimentation avant de légiférer, ce qui n‘est pas le prisme français et européen.

26

Il ajoute que pour avoir un effet sur les internautes il faut changer la manière dont on

procède aujourd’hui. Changer l’algorithme de la régulation ! Selon lui, la France a aujourd’hui deux ou trois ans de retard dans la course mondiale de

l’intelligence artificielle par rapport à la Chine ou aux Etats Unis. Dans le domaine de l’algorithme on constat ce retard par la perte de compétitivité. Revenir à la course avec l’aide de l’Etat selon le Rapport « Villani »2 2019 est pour nous très important, afin de poser les briques techniques car l’Europe est bonne pour cela, mais il faudrait aussi poser les conditions économiques du marché et de la régulation réelle. Il faudra démarrer un travail de réflexion pour l’ensemble du marché, car le domaine est vaste, agriculture, fakenews, cybersécurité, etc.

Il conclut en soulignant qu’aujourd’hui la réflexion est ouverte !

Question du public : Dans le contexte où l’opinion publique européenne est favorable

à la sur-taxation des GAFAM, et où les citoyen considèrent que consommer c’est voter, est-ce que générer un pôle économique européen numérique, en attribuer la sur-taxation spécifique sur de la subvention pour faire baisser les coûts à la consommation, ne peut être pas une mesure incitative pour récupérer une part du marché sur une modification des habitudes des consommateurs.

Monsieur Drouard souligne que dans la mesure où le consommateur dans toutes les environnements qu’on vient d’évoquer ne débourse pas un centime s’il fournit ses données, je ne sais pas s’il puisse exister une incitation financière. Il est plus plausible de multiplier des expertises. il faut que les quatre régulateurs aient une culture économique des sujets dont ils ont toute la légitimé d’être régulateurs et le faire efficacement.

D’après lui, sur les biais cognitifs cela dépend du secteur du contexte, du langage utilisé

pour communiquer les messages aux utilisateurs, leurs promesses de services. Il vaut mieux s’obliger de les protéger plutôt de leur demander de dire oui tout simplement. L’ergonomie de la protection fait une différence entre les laisser dire oui ou les protéger malgré leurs silences. La différence économique est évidente entre ces deux manières de protéger la vie privée des personnes, mais l’on est pas sûr laquelle est la meilleure protection. Mais il faut cette alternative.

Il conclut la table ronde en soulignant que pour l’instant après 9 mois d’application du

RGPD 80% du discours tenu sur le plan réglementaire porte le mot consentement. Et que avec la possibilité d’une alternative (soit de demander aux gens ou les protéger dans leur ignorance), c’est là où se trouve la compétition.

**

2 https://www.aiforhumanity.fr/pdfs/9782111457089_Rapport_Villani_accessible.pdf

27

TABLE RONDE 2

« LA SECURITE : L’EXEMPLE DE LA SANTE »

Avec la participation de : France Charruyer (modératrice) Philippe Loudenot, fonctionnaire de sécurité des systèmes d’information (FSSI) des Ministères sociaux – Administrateur du CESIN Stéphane Larrière, Group Chief Data Governance Officer, Atos Olivier Spreux, directeur juridique, LIVI

A guise d’introduction Madame Charruyer souligne qu’à la réflexion menée au sujet de la

sécurité dans le domaine de la santé et des données de santé s’impose une question (1) et un constat (2).

(1) Est-ce que les individus sont vraiment intéressés à protéger leurs données ? Elle s’interroge aussi, est-ce que notre logique reptilienne ne nous interdit-elle pas de

nous y intéresser et ne conditionne-t-elle pas notre consentement?

(2) le constat est que, de manière générale, Internet pose de nombreux enjeux sociétaux, enjeux de souveraineté, de compétitivité et de civilisation qui apparaissent encore plus prégnants dans le domaine des données de santé. La première question s’adresse à Mr Philippe Loudenot. Que signifie la sécurité des données dans le domaine de la santé ?

Il répond par une interrogation : Qu’est-ce qu’une donnée de santé ? Selon lui, en réalité la réponse implique de tenir compte de l‘ existence des 4 grandes

sous-directions qui ont été identifiées :

• Le secteur médico-social et les établissements de santé qui utilisent des données nominatives,

• Le secteur social et les services de recouvrement qui utilisent des données administratives et sociales,

28

• Les agences sanitaires,

• Les professionnels de santé libéraux.

Il souligne que ces 4 grands secteurs ont des degrés de maturité et des visions très différents. La multiplicité de ces acteurs n’est-elle pas un défi supplémentaire pour la protection des données ?

D’après lui, en France existe une approche en silo et en mode expert. Or les experts sont souvent hors sol.

Il souligne qu’il est nécessaire de se rendre sur le terrain et de parler avec tous les acteurs

concernés : CNAM, CNAV, cabinets médicaux, établissements de santé… A défaut, les textes d’accompagnement sont vains et passent à côté du sujet. Par exemple

comment fait un médecin pour transférer aux patients ou aux familles des informations simples et sécurisés ? la sécurité doit être partout, simple et pas visible. Est-ce que les échanges professionnels entre médecins ou entre un médecin et son patient peuvent se faire sans passer par la messagerie Gmail ?

Effectivement, pour lui c’est difficile de la contourner car il n’existe pas d’outils de chiffrement simple et facile à utiliser. Or, la sécurité ne doit pas être une contrainte pour le médecin ni pour l’utilisateur final. On peut considérer que la sécurité ne sert à rien quand elle est prise comme une fin en soi mais qu’elle doit avant tout servir un métier ?

Aujourd’hui, on assiste à une situation de monitoring permanent de nos données de santé sur le net y compris dès le plus jeune âge, il y a un enregistrement en continu. Comment relever le défi ? En y répondant de manière technique, de manière humaine, comment fait-on ?

Selon lui, il faut expliquer aux gens le pourquoi des enjeux. Aujourd‘hui les réseaux sociaux constituent une base incroyable de données.

Il remarque que dans les domaines de la santé aujourd’hui on a un problème, d‘un côté, on parle de protection des données et de l’autre sur les réseaux sociaux les gens décrivent spontanément leur pathologie, leurs symptômes, leur traitement et espèrent même un possible diagnostic, et on peut craindre tout ce qui peut arriver.

Ensuite la modératrice passe la parole à M. Larrière, directeur juridique d’ATOS.

M. Larrière présent d’abord l’activité d’ATOS et souligne qu’il s’agit d’un grand opérateur européen dans le domaine de la santé, et depuis peu aussi assure sa présence en Australie orientale. Il est en charge de 85 DPO répartis dans plusieurs pays au sein d’ATOS.

Il souligne aussi que le comportement des occidentaux dans la manière de gérer leurs données et notamment leurs données de santé marque un rapport à la médecine et à la médecine intermédiée au travers de la donnée qui a fait évoluer le rapport à la connaissance médicale. Les enjeux de sécurité sont liés aux enjeux de souveraineté. A travers l’analyse des DPO d’ATOS, il

29

accentue sur le fait que sa vision de la protection des données s’est formée à partir de l’expérience terrain.

De plus il souligne qu’il est d’accord sur tout ce qui a été dit précédemment.

D’après son expérience, il remarque qu’il existe trois types de souveraineté : 1 « La souveraineté de la personne » :

Il remarque que la santé marque un rapport d’intimité qui doit être traité avec une attention

particulière. Pour lui, on parle ici de la vie, de la mort, de la durée de vie sur terre, du temps qui passe, quand vais-je devenir dépendant, pourquoi je vais le devenir et comment, et au final qui suis-je ? 2 « La souveraineté de l’Etat » :

Selon lui, nous avons à faire à toute une population qui a ses habitudes alimentaires et de consommation. Par exemple rappeler l’affaire Cambridge Analytica qui nous a montré les facettes de la manipulation. On peut imaginer le même scénario de manipulation dans les régimes alimentaires pour donner à la population un régime adapté.

Un choix éclairé est-il encore possible ? On pense alors à l’ordre public de protection mais tout dépend de l’Etat qui est aux manettes. C ‘est la cité radieuse : il y a là un enjeu de civilisation.

Pour répondre à cette question M. Larrière explique le dernier type de souveraineté qu’il a identifié. 3 « La souveraineté professionnelle du médecin » :

Pour lui, le médecin va être assisté par l’intelligence artificielle, par les ordinateurs, etc. Il souligne qu’aujourd’hui, le médecin prend une décision en son âme et conscience et

assure la protection du secret médical. Demain, il va être challengé par la technologie, les données connectées. Quand l’algorithme

programmé avec son biais de programmation va rendre une conclusion alors que le médecin pense le contraire, dans quel sens va t’il conclure ?

Comment pourra t’il se défendre au regard de son assurance professionnelle s ‘il a conclu différemment de l’algorithme?

Cela pose aussi la question du biais culturel. Le rapport au médecin est très différent selon les pays. Par exemple aux Etats Unis

on n’a pas le même rapport qu’en France. Aux Etats Unis le médecin délivre une prestation de services avec un accès possible ou non aux soins selon sa situation sociale. En France il y a une forte intrusion de l’assurance collective.

On peut se poser la question de l’accès gratuit ou non des assurances à nos données les plus intimes ?

30

Or si on donne aux assurances l’accès à nos données de santé, elles ajusteront les primes en fonction de nos profils et nous ne serons pas tous égaux au regard de la prime d’assurance.

M. Larrière rappelle que nous sommes à l’ère du suivi continu de notre état physiologique. Ce suivi relève t’-il de la sphère du bien-être ou de celle de la santé ? Dans tous les cas, l’analyse de ces données peut aboutir à une conclusion médicale sur le développement à terme de telle ou telle maladie. Mais aussi nous sommes dans l’ère de la médecine prédictive et non curative.

Selon lui, on va sur Google et on adapte sa conduite hygiénique ou sa stratégie thérapeutique sans aller consulter un médecin. Il faut tenir compte des biais comportementaux du consommateur et du biais comportemental du médecin. Cela entraine une généralisation du raisonnement par la corrélation et non plus par la causalité. Or un raisonnement doit être scientifique et non fondé sur des effets de masse.

C’est la logique reptilienne qui en réalité contamine tout.

Sur ce point, la modératrice passe la parole à M. Spreux directeur juridique de LIVI, plateforme de télémédecine lancé en Suède en 2015, plateforme la plus utilisée en Europe en matière de téléconsultations.

M. Spreux souligne que LIVI dénombre 800 000 téléconsultations depuis 2015. Son lancement en France date de la mi-septembre 2018 et elle compte à ce jour 16 000 consultations réalisées.

D’après lui au regard du RGPD, les préoccupations de LIVI sont focalisées sur la sécurité et les données personnelles. La société est organisée avec des équipes de protection des données en Suède qui appliquent le RGPD et gèrent le risque en matière de sécurité et protection des données. Il explique que c‘est le management par les risques avec un DPO en Suède et dans chaque pays ainsi qu’un comité des risques qui se réunit tous les mois lié à la sécurité et à la protection des données. En plus d’autres équipes travaillent sur les mesures à apporter.

Il souligne que LIVI effectue un audit par trimestre en interne et fait réaliser un audit externe par an.

Selon M. Spreux, un autre aspect à mettre en valeur au sein de LIVI est que la société insiste particulièrement sur les outils d’information et de formation. Informations à l’égard des utilisateurs (patients) à travers les CGU et mentions d’information et des formations plus ou moins poussées à l’égard des équipes.

Par exemple dans le cadre du développement réalisé en Angleterre le système du NHS impose aux professionnels qui gèrent des données de santé des formations afin d’être en mesure de répondre aux questions et de prouver leur connaissance des enjeux et des problématiques liés aux données personnelles.

C ‘est la fin du travail en silo avec un focus sur le métier. Que dire sur le Dossier Médical Partagé en interne ?

31

M. Spreux annonce qu’en Norvège la société vient de faire l’objet d’un contrôle par l’autorité de contrôle norvégienne qui a porté toute son attention sur le partage de l’information, car en Norvège il n’existe pas de partage du dossier patient entre les différents médecins comme en France, notamment au regard des enjeux de sécurité.

Il explique qu’il leur appartenait donc de démontrer à l’autorité de contrôle norvégienne la nécessité pour les médecins de partager l’information pour améliorer les soins aux patients dans des conditions de sécurité nécessaires. Alors qu’en France l’information entre médecins fait partie d’une même équipe des soins et cela permet le partage d’information. Il a été estimé que près de 50 % des acteurs de la sécurité des données de santé estiment ne pas être concernés par les risques de sécurité.

Monsieur Philippe Loudenot indique avoir été en charge de failles de sécurité au sein d’une grosse structure hospitalière. Il affirme être fier d’être le seul secteur à avoir mis en place des recueils d’incidents notamment sur les petites structures avec une obligation de remonter tous les incidents de sécurité et un service de veille sur les vulnérabilités. Les incidents de sécurité ont une nature confidentielle sauf :

• si l’établissement autorise sa diffusion et

• en cas de mise en danger de la vie d’un patient. Deux cas où on est obligés d’ouvrir le dispositif médical.

La conclusion n’est-elle pas que finalement l’humain est le problème mais aussi la solution ?

La réponse pour lui, c’est Oui !

Selon lui, il y a une analyse des risques et une gestion des risques. Dans le domaine de la santé, on prend les risques pour les autres c’est à dire les patients.

Le problème de sécurité est un problème humain, un problème gouvernance et pas tout simplement technique.

Il souligne qu’il faut miser sur l’intelligence collective pour confronter les points de vue et trouver des solutions à ce qui semble au départ inextricable. Afin d’apporter immédiatement un service complémentaire.

Il explique qu’il existe en France un service appelé cyberveille-santé3 dédié au monde de la santé. C’est quelque chose de spécifique et lisible.

Pour lui, il faut rendre l’information simple de compréhension et accessible car tout le monde n’est pas juriste ou informaticien.

Il cite l’exemple de l’hôpital attaqué cette semaine dont l’équipe s’est demandé pourquoi des données médicales n’ont pas été volées, et s’il fallait le révéler à la CNIL.

3 https://www.cyberveille-sante.gouv.fr/

32

Il souligne que le RGPD rappelle ce que la CNIL dit depuis 40 ans concernant la protection de données : disponibilité, intégrité, confidentialité, preuve (traces). Et il rappelle que dans un hôpital, le mélange entre deux dossiers patients peut avoir des conséquences dramatiques.

La frontière avec le médical s’estompe ?

Monsieur Larrière affirme que oui. Mais qu’on ne doit pas le vivre de manière passive, mais de transformer cela en positif.

Il souligne que chez ATOS (prestataire de services de santé agréée en cours de certification)

les médecins sont intégrés à toutes les étapes de la vie d’un projet, par exemple sur l’hébergement proposé à un client ou une demande d’accès à un dossier médical.

Pour lui, ils ont anticipé le RGPD sur le point de la privacy by design et by default en associant informatique et médical, ce qui n’est pas toujours facile car le CNOM (Conseil national de l’ordre des médecins) se montre parfois conservateur. Mais les mentalités sont aussi en cours d’évolution. Le rôle du médecin s’impose comme déterminant pour les prestataires des services de santé. La raison en est-elle le biais culturel ?

Certains médecins deviennent des marchands, par exemple l’initiative de la vente des données génétiques de ses clients par un médecin pour plus de 300 millions de dollars.

Ici se pose la question de la limite éthique. Les données de santé n’appartiennent à personne, il existe seulement un droit d ‘usage.

La sécurité va plus loin. Il s’agit de la capacité à souhaiter la protection et la volonté

de protéger.

Les entreprises veulent récupérer des tests ADN pour les mettre aux enchères sur le marché.

Comment faire ?

M. Spreux souligne qu’ATOS doit respecter la loi. ATOS considère avoir un rôle d’éducation. Le RGPD nous y force !

Selon lui, les données traitées nous regardent comme si elles étaient les nôtres. Heidegger disait qu’« il fallait un supplément d’âme quand on gérait la technique ». Pour M. Spreux, cette obligation d’âme se retrouve dans l’obligation de sécurité qu’on ramène trop à la sécurité physique et logique, alors que la sécurité c’est aussi la vigilance, l’éducation et la prévention.

Il souligne que pour ATOS ces principes sont dans son ADN, applicables aussi en matière de santé.

Il ajoute que depuis l’article 32 du RGPD il a une mise en balance progressive qui doit être

faite dans les situations de traitement, cet exercice qui est fait de manière récurrente et ne doit pas être le seul fait du prestataire, il est un peu basculé chez le prestataire, mais il faut relire le texte et s’intéresser à son exégèse car prestataire et responsable de traitement sont exactement mise au même niveau de responsabilité. Pour citer Jankelevitch : qui nous dit que nos traces sur le net sont indélébiles ? Quid des dossiers médicaux ?

33

M. Spreux souligne que chez LIVI les dossiers ne sont pas disponibles sur le net.

La durée de conservation est prévue par la loi (en France 20 ans). Il rappelle qu’on ne connaît pas tous les détails de sécurité sur le DMP (dossier médical

partagé) mais le fait est que le dossier médical électronique est accessible à tous les médecins et membres de l’équipe de soins, l’échange entre professionnels passe par une messagerie sécurisée qui permet de sécuriser l’information transmise. Quel en est le coût ?

D’après lui, chez ATOS la sécurité coûte très cher. Il faut aussi s’interroger sur le nombre d’acteurs présents sur le marché et leur origine, soient-ils chinois, américains ou autres. Par exemple dans le marché de l’hébergement qui fait appel à diverses technologies très complexes, on ne trouve que les américains.

Madame Charruyer prend la parole et souligne que la sécurité et la souveraineté sont

évidemment des enjeux politiques et des enjeux de régulation européenne, des enjeux sociétaux, de compétitivité, de sécurité.

Ainsi le droit à l’effacement ne fonctionne pas totalement.

Elle se demande, peut-être que la régulation ne se fera que par le contentieux ? La e-Privacy, c’est le droit d’être laissé en paix et au final est ce que cela est encore possible ?

Ensuite, des questions sont posées par le public aux intervenants : Une personne ayant anciennement travaillé à la CNAM et AFNOR demande ce qui

a changé depuis 2006 en matière de sécurité dans le domaine de la santé

Monsieur Larrière souligne qu’aujourd’hui nous avons le RGPD qui a apporté une évolution des mentalités. Il ajoute que même si cela ne va pas si vite, dans le domaine de la santé les changements prennent du temps. Il ajoute qu’il faut se rappeler du temps qu’il a fallu pour accepter l’idée de disséquer les corps puis pour prendre des radiographies du corps …

Et pose la questions sur quelle définition donner à la donnée de santé, élément si fugitif …. ? et quasi organique parce collectée de manière permanente. Il ajoute qu’on ne sait pas ce qu’est une donnée médicale mais on sait ce qu’est une donnée de santé.

Madame Charruyer souligne que tout n’est pas une question de définition mais parfois d’interprétation, et aujourd’hui sur la donnée de santé et tout ce qui touche au domaine de la santé, il faut laisser au magistrat et au juge le soin de réguler tout cela.

Une deuxième question est posée par une créatrice de startup, elle remarque qu’il y a une prise de conscience citoyenne par la volonté de propager les droits et libertés des personnes. Les données personnelles sont un prolongement de la dignité humaine.

On peut opposer sécurité des données et protection des données. Par exemple la Blockchain. On ne peut plus enlever la donnée mais en termes de droits et de libertés, il faut faire un choix. Se pose la question de la conformité de la Blockchain au RGPD ?

34

En l’état actuel cela n’est pas forcément possible car l’exercice des droits n’est pas possible notamment pour le droit à l’effacement.

M. Laudenot souligne que c’est tout le problème de la Blockchain et l’incompatibilité avec

le RGPD, pour lui la Blockchain n’est pas soluble dans le RGPD.

Pour lui, la sécurité ne réside pas dans les moyens mais dans l’analyse des risques au regard de la sécurité physique et logique. Il faut comparer les obligations de moyens / de résultats par analogie avec le système militaire ou secret défense.

Aujourd’hui en santé, l’analyse se fait par rapport aux individus et la technique devra suivre. Il ajoute qu’il existe plusieurs types de Blockchain et qu’on ne peut pas faire de généralités à partir d’un cas.

Pour clore le débat Mme Charruyer souligne qu’elle a tendance à se méfier de la technique

et elle souhaite que la technologie soit éprouvée et que l’inviolabilité de la technologie n’est pas si inviolable qu’elle a l’air. Elle finit en se demandant comment les juristes au niveau de la Compliance vont déterminer qui sera responsable en cas de violation.

M. Larrière conclu qu’il faut regarder la Blockchain dans sa totalité, car il existe une

plusieurs types de Blockchain.

**

35

TABLE RONDE 3

« CRUELLE RESPONSABILITE DES AUTORITES DE CONTROLE EN EUROPE ET

HORS UE » Avec la participation de : Frédérique Berrod, Professeur à l'Université Robert Schuman (Strasbourg) (modératrice) Sophie Nerbonne, directrice chargée de projets corégulation économique à la CNIL Chwaki Gaddès de l'INPDP (Tunisie) et de l'association francophone des autorités de protection des données personnelles (AFAPDP) Antonio Gameiro, député portugais, Président du conseil de contrôle du système de données de l'information pénale (au Portugal)

Madame le Professeur Berrod ouvre la table ronde en indiquant que la confiance dans le

numérique s’installera et perdurera selon l’effectivité de la protection des droits des personnes concernées et que cela place les autorités de contrôle au « centre du jeu ».

Elle poursuit en indiquant que le RGPD met ces autorités de contrôle et en particulier la CNIL, autorité pionnière face à de nouveaux enjeux. Enfin, replaçant le RGPD dans le contexte de la mondialisation, elle souligne la difficulté de l’application extraterritoriale de ce modèle européen et s’interroge sur sa place dans la concurrence normative internationale, notamment face aux règlementations américaine, chinoise et russe.

Mme. Berrod pose ensuite la question du rôle de la CNIL dans l’application du RGPD et

sur la manière dont elle va faire face à la massification du contentieux.

Madame Nerbonne répond que, la CNIL étant un régulateur transverse, c’est-à-dire pour tous les secteurs d’activité, elle se retrouve, tant l’ampleur de sa tâche est vaste, devant un « Tonneau des Danaïdes » ou comme « Sisyphe devant son rocher ». Rappelant que le droit est toujours en retard sur l’évolution technologique galopante, le rôle du régulateur, qui doit être ancré dans la réalité, en devient d’autant plus difficile dans la temporalité.

36

Pour répondre à ce défi d’adaptation permanente, la CNIL développe, à la différence de certaines autres autorités de contrôle qui ne régulent que par la sanction, une doctrine plus souple et élaborée par les praticiens, les professionnels des secteurs d’activités et les autorités de régulation, afin de remplir également une mission d’accompagnement à la mise en œuvre du RGPD. Cette doctrine repose notamment sur un recours accru au droit souple et s’est traduite par l’élaboration et la mise en place de packs de conformité dans de nombreux secteurs d’activité.

Mme. Nerbonne poursuit pour indiquer que le RGPD est la marque d’une évolution des mentalités et d’une volonté politique forte de l’Europe qui, malgré le lobbying américain s’y opposant, a pu aboutir, notamment à la suite des révélations d’Edward Snowden.

Selon elle, le RGPD s’inscrit dans une démarche de développement durable et d’innovation responsable, et constitue une arme pour l’égalité entre les entreprises puisque chacune devra en appliquer les règles.

Mme. Nerbonne souligne que la sanction infligée à Google de payer 50 millions d’euros en raison du manque de transparence et d’information à l’égard des internautes n’est qu’un début.

Alors qu’un grand nombre de dispositions relatives à la protection des données personnelles existaient déjà depuis longtemps en France, le RGPD a eu un « effet tsunami » pour provoquer une véritable prise de conscience sur ce sujet.

La CNIL aide à la mise en œuvre opérationnelle et effective du RGPD au niveau national, européen et international.

• Au niveau national, outre son rôle traditionnel d’instruction des plaintes, de contrôle et de sanction, la CNIL déploie de nombreux outils de gouvernance de la protection des données personnelles et décline une stratégie de tête de réseau envers les fédérations, les secteurs professionnels et même certains regroupements informels (citant l’exemple des directeurs d’achats).

• Au niveau européen, elle participe activement au CEPD et au système décentralisé dit de l’autorité chef de file. Il y aurait actuellement une centaine de plaintes en cours dans ce cadre nouveau.

• Au niveau international, la CNIL est l’une des fondatrices de l’AFAPDP. L’expertise française se répand notamment via la francophonie avec, par exemple, un travail commun engagé entre la CNIL et l’autorité de contrôle marocaine. De la même manière, on constate que l’influence de l’autorité de contrôle espagnole se diffuse dans les pays d’Amérique latine. Elle souhaite participer à une structuration plus forte, afin de faire valoir la question de la protection des données personnelles au plus haut niveau international comme l’ONU.

Madame Berrod souligne le rôle pédagogique de la CNIL et la nécessité de ne pas opposer

la protection des droits des personnes au développement de l’économie numérique. Elle rappelle que trouvant ses racines dans la Convention 108, la Directive 95/46 et la

Charte des droits fondamentaux de l’UE, le modèle du RGPD n’est pas radicalement nouveau. Mais, interroge-t-elle, ce modèle et ses enjeux ont-ils une vocation extraterritoriale ?

37

Monsieur Gaddes prend la parole pour évoquer un point sémantique très important pour lui : l’Autorité tunisienne n’est pas une autorité de contrôle ou de régulation, mais d’abord et avant tout une autorité de protection de la vie privée et des données personnelles.

Bien qu’il n’y ait pas le même niveau de protection en Tunisie qu’en Europe, la Tunisie est précurseur en la matière, puisqu’elle a constitutionnalisé la protection des données personnelle en 2002, a adopté une loi sur le sujet en 2004 et a mis en place une autorité de régulation en 2008. Toutefois, la protection des données est un sujet peu connu en Tunisie. Ses missions sont donc, d’une part, d’installer en Tunisie la culture de la protection des données [car 60% des Tunisiens ne savent pas ce qu’est la protection des données personnelles et 80% ne savent pas qu’il existe une autorité de protection dans leur pays] et, d’autre part, d’accompagner les acteurs en montrant la voie, avant, le cas échéant, de devoir envisager des sanctions.

Il rappelle que la Tunisie a adhéré en 2017 à la Convention 108.

Pour progresser, il a entretenu la psychose du blacklistage de son pays et soutenu un nouveau projet de loi. Ce projet de loi actuellement en cours serait pour partie encore plus avant-gardiste que le RGPD pour poser le principe que les données personnelles feraient partie de la personne humaine, de sorte à en interdire la patrimonialisation. Ce projet de loi est bloqué depuis mars 2018 en raison de l’agenda politique tunisien, mais Monsieur Gaddes espère un déblocage avant l’été 2019.

Il précise que la Tunisie s’aligne sur le RGPD car c’est le meilleur standard mondial pour la protection des données et que cet alignement est un enjeu économique majeur si son pays veut préserver son haut niveau d’échanges économiques et de partenariats avec l’Europe et les entreprises européennes.

Toutefois, afin de préserver les responsables de traitement, la Tunisie garde pour l’instant

les procédures préalables. Il indique que d’autres autorités francophones sont plus réticentes à l’idée de s’aligner sur le RGPD, un tel alignement constituant selon elles un abandon de souveraineté.

Mme. Berrod rappelle que nombre d’acteurs n’en ayant pas véritablement conscience, la protection des données est avant tout une culture. Certains des GAFAM semblent avoir compris l’atout économique qui peut être attaché au respect du RGPD.

Une étudiante présente dans la salle laisse connaître à C. Gaddes son émotion à l’écoute et à la teneur de son exposé et fait part de son avis sur l’urgence pour l’ensemble du continent africain à s’emparer du sujet de la protection des données personnelles.

M. Gaddes précise qu’il a tenté d’instituer l’équivalent d’un G29 au niveau de l’Union Africaine, mais en vain jusque-là.

Il précise que l’Union africaine oublie la question de la protection des données personnelles, quelques-uns seulement de ses pays ayant ratifié la Convention.

Il espère que la situation africaine évoluera.

Une autre question est posée sur le message que la CNIL adresse aux entreprises.

Mme. Nerbonne exprime le souhait que les entreprises transforment la contrainte du

RGPD en un levier d’innovations technologiques, notamment pour la mise en place du privacy by design, et qu’elles se lancent dans des démarches de certification de leurs produits ou services.

38

Une question surgit en relation avec la confiance dans le numérique et plus

particulièrement le traitement des données personnelles et sur certains fichiers régaliens de l’Etat.

Une autre personne demande quel est le temps nécessaire à l’obtention d’une décision d’adéquation, en évoquant notamment le cas du Maroc

Madame Nerbonne indique que de nombreux fichiers de l’Etat ne relèvent pas du RGPD, mais de la Directive Police-Justice du 27 avril 2016 (adoptée parallèlement et simultanément au RGPD) qui a été transposée en France avec la loi du 20 juin 2018. La CNIL a formé de nombreux DPO des ministères à l’analyse d’impact.

Répondant à la seconde question, elle rappelle que la procédure d’adéquation relève de la Commission Européenne, que la durée d’instruction d’un dossier de demande de décision d’adéquation est de l’ordre de deux années (citant l’exemple du Japon).

Enfin, M. Gaddes indique qu’il est trop tôt pour engager la Tunisie dans une procédure d’adéquation, même si la Commission Européenne a envoyé des signaux favorables. Il importe d’abord d’adopter la nouvelle loi et de gagner en expérience.

**

39

CONCLUSION Par Jean-Luc Sauron, conseiller d'Etat, professeur à l'Université Paris-Dauphine, Directeur du Diplôme d'Université RGPD - DPO et du Certificat DPO Dauphine|Tunis

M. Sauron prend la parole pour remercie tous les intervenants de s’être rendus disponibles

pour participer au colloque et de la haute qualité de leurs interventions.

Il adresse des remerciements particuliers à M. Gaddes pour avoir aidé la Tunisie à prendre le véritable tournant de la protection des données personnelles.

Il remercie également toutes les personnes venues assister aux débats.

Il clôture le colloque en indiquant qu’il faudra pour la protection des données apprendre à marcher sur un tapis roulant dans un monde globalisé. Dire que c’est une révolution intellectuelle pour les français qui sont plus habitués à la stabilité. Il est plus possible aujourd’hui de penser ni cette matière ni ces métiers cantonnées au national. Dès le départ cette matière est devenue polyphonique et instable. C’est à-dire il y a des autorités comme la CNIL, et d’autres instances européenne inclus la CEDH, et il sera très compliqué de s’y retrouver dans cet ensemble.

* * *