« Si c’est moi… c’est à moi »

Une donnée à caractère personnel (couramment « données personnelles ») correspond en droit français à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
L’entrée en vigueur du règlement européen sur la protection des données personnelles, généralement abrévié en RGPD, approche à grands pas, le 25 mai prochain.

Le sigle RGPD signifie Règlement Général pour la Protection des Données personnelles. En anglais, le sigle est GDPR pour « General Data Protection Regulation ». Il désigne le nouveau texte de référence européen en matière de protection des données personnelles. Il a été conçu pour adapter et moderniser la législation et harmoniser le cadre juridique européen dans ce domaine. Toutes les entreprises, organismes publics et associations des 28 États membres de l’Union européenne qui collectent des données à caractère personnel sur les résidents européens, sont concernés. Les organisations issues de pays en dehors de l’UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens. Les Gafa, Uber, Airbnb et autres sont donc également soumis au règlement.

Le texte du RGPD a été adopté définitivement le 14 avril 2016 par le Parlement européen après de longues négociations, et promulgué au Journal Officiel le 27 avril 2016. Il remplace l’ancien texte de référence européen de 1995 en matière de protection des données personnelles. Cette ancienne directive avait servi en France de fondement à la loi Informatique et libertés. La version finale du texte RGPD est disponible en français sur le site de l’Union européenne ou sur le site de la CNIL. Le RGPD doit entrer en vigueur le 25 mai 2018. Comme il s’agit d’un règlement européen, et non pas d’une directive, le texte entrera en application simultanément dans tous les États membres de l’Union européenne, sans transposition dans les droits nationaux. Autrement dit, le Parlement français n’aura pas besoin de voter la transposition du texte en France.
Après le 25 mai 2018, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions. Des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’exercice précédent pourront être prononcées. Ce sera le montant le plus élevé qui sera retenu entre ces deux cas de figure.

Pour les géants du web comme Facebook ou Google, la note pourrait atteindre des dizaines ou des centaines de millions d’euros. Cependant, les multinationales ne sont pas forcément les entreprises les plus exposées car elles ont des armées de juristes et d’experts qui travaillent déjà à plein temps sur le sujet. En revanche, le risque est plus élevé pour les petites entités comme les TPE, PME ou associations, souvent peu renseignées sur le sujet.
Comme auparavant, la Commission nationale de l’informatique et des libertés (Cnil) procèdera à des vérifications dans les locaux des organisations ou en ligne. Les contrôles seront effectués sur la base d’un programme annuel, des plaintes reçues par la Cnil, ou encore des informations présentes dans les médias. Ils pourront également faire suite à un précédent contrôle. Étant donné que les principes fondamentaux de la protection des données restent globalement inchangés (sécurité des données, loyauté du traitement, durée de conservation…), ils continueront donc à faire l’objet de vérifications rigoureuses de la part de la Cnil.

En revanche, les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact…) feront l’objet de contrôles. Mais ils seront dans un premier temps non punitifs. L’objectif est d’aider les organismes à bien comprendre les enjeux et la mise en œuvre opérationnelle des nouvelles dispositions. Si l’entité est de bonne foi et qu’elle est engagée dans une démarche de conformité, la Cnil n’appliquera aucune sanction durant les premiers mois qui suivront l’entrée en vigueur du règlement. Autre nouveauté à noter, les contrôles effectués sur les acteurs internationaux seront réalisés par plusieurs organismes afin de rendre une décision à portée européenne.

Les 4 principes clés du RGPD sont :
– le consentement,
– la transparence,
– le droit des personnes et
– la responsabilité (accountability).

Le consentement.
L’article 7 stipule que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale »;
Le consentement peut être retiré à tout moment par les personnes le demandant. Pour les entreprises à caractère BtoB, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée (les cases pré-cochées sont autorisées).

La transparence.
Comme il est précisé dans l’article 12 du RGPD, les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données. Celles-ci doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages « privacy » des sites web.

Le droit des personnes.
De nouveaux droits sont apparus dans le règlement comme le droit à l’oubli pour tous les utilisateurs. Les organisations n’auront plus qu’un mois (au lieu de deux) pour supprimer les données suite à une demande. Le droit à la portabilité des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour, le cas échéant, les transférer à un tiers.

Le principe de responsabilité (accountability).
Il regroupe toutes les mesures qui visent à responsabiliser davantage les entreprises dans le traitement des données à caractère personnel. Les organismes doivent par exemple mettre en place des mesures adéquates pour garantir la sécurité des données. Elles doivent également appliquer le « privacy by design », un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. Elles doivent aussi choisir des sous-traitants qui soient conformes au RGPD ou encore désigner un data protection officer (DPO), chargé de contrôler la conformité de l’organisme avec le RGPD.

Le DPO, chef d’orchestre du RGPD-
Le délégué à la protection des données personnelles ou data protection officer en anglais est chargé d’assurer la mise en conformité RGPD de l’organisme pour lequel il travaille. Il doit s’assurer que les collaborateurs respectent les dispositions du règlement quand ils utilisent des données à des fins commerciales ou à des fins internes (au sein des logiciels RH par exemple). Il est donc amené à collaborer avec tous les départements. La désignation d’un DPO est obligatoire pour « les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et infractions » précise la Cnil. Enfin, le DPO peut être mutualisé, c’est-à- dire désigné pour plusieurs organismes sous certaines conditions (être facilement joignable par exemple). Le DPO est en quelque sorte le successeur du correspondant informatique et libertés (CIL), facultatif depuis 2005, qui est chargé de veiller au respect de la loi Informatique et libertés dans les organismes publics et privés. Les missions du DPO sont toutefois plus strictes. Il doit être doté de certaines qualifications (qualités professionnelles, connaissances du droit en matière de protection de données). Ses missions diffèrent toutefois du CIL puisqu’il a une dimension de conseil et de sensibilisation sur les nouvelles obligations du règlement.

Tout ceci semble bien pensé et solide. Reconnaissons à l’Europe une apparente réelle volonté, en opposition à ce qui se dessine aux États-Unis, de placer l’internaute et ses données personnelles au centre de la problématique. Nos expériences « déformantes » de lanceurs d’alerte nous conduisent à être néanmoins prudents et d’attendre de voir si tous ces dispositifs sont effectifs et efficaces. Aussi, nous suivrons avec attention toutes les démarches destinées à mettre à l’épreuve cette nouvelle réglementation.

L’association de défense des droits et libertés à l’ère du numérique, La Quadrature du Net (LQDN), a lancé une vaste campagne contre les Gafam (Google, Apple, Facebook, Amazon, Microsoft), (ici), reposant sur une série d’actions de groupe contre leurs services, grâce à l’entrée en vigueur au 25 mai du règlement européen sur la protection des données (RGPD).
L’article 80 du RGPD permet en effet à toute personne concernée de mandater un organisme ou une association à but non lucratif actif « dans le domaine de la protection des droits et libertés des personnes concernées » pour effectuer en son nom une réclamation.
Sur cette base, La Quadrature compte lancer une douzaine d’actions auprès de la Commission nationale informatique et liberté (Cnil) à compter du 25 mai, estimant d’ores et déjà que les géants du Net visés ne respecteront pas les règles de consentement explicite et de protection des données prévues dans le RGPD.
Pour LQDN, « les services des Gafam ne peuvent s’accaparer nos données qu’avec notre consentement libre et explicite. Il n’est pas libre s’il nous est imposé de le donner pour accéder à leurs services. Or, c’est bien ce qu’ils font ».

MM.

Intelligence artificielle : tu auras les honneurs mon fils

Nous en parlions sur MetaMorphosis dans une récente tribune : parmi les grands défis de la société française, le développement de l’intelligence artificielle tient une place fondamentale, aux côtés des problématiques liées au réchauffement climatique.
Nous rappelions également que sur des sujets d’avenir importants, le nouveau gouvernement ne répondait pour l’instant que par d’anciennes solutions surannées, marque de son incompréhension des enjeux qui viennent confronter son avenir, celui du pays et ses propres certitudes. A l’occasion de la présentation des axes de sa politique en matière d’intelligence artificielle, suite au rapport Villani (un grand mathématicien, fait-il pour autant malgré toute la bonne volonté, un grand politique et un visionnaire?), Médiapart porte sous la plume de Romaric Godin (ici) un regard critique mais lucide.

Débarrassons-nous tout de suite de l’habillage promotionnel de la chose, pratique désormais courante de la politique macronienne, mais nécessaire pour replacer le débat dans toute sa dimension.
«Comme souvent, l’exécutif fait de bons constats. Mais ces bons constats sont souvent le paravent communicationnel d’une action au bout du compte décevante et fondamentalement classique de l’État français. Jeudi 29 mars, le chef de l’État, Emmanuel Macron, a prononcé un discours ampoulé sur le sujet. Un seul chiffre en est ressorti : 1,5 milliard d’euros supplémentaires d’ici à 2022, tous dispositifs confondus. En moyenne, c’est 3,75 % d’augmentation de l’ensemble des dépenses publiques d’innovation. Cet argent était déjà promis par François Hollande. En réalité, il n’y a rien de nouveau. Il est difficile de voir là les moyens d’une véritable percée dans un domaine où l’on gagne du terrain à coups de milliards. Les investissements de recherche d’Amazon, à lui seul, s’élèvent à 16 milliards d’euros par an».

Effet d’annonce, vide de toute réalité, mais rien d’étonnant. Faisons un petit détour : à sa décharge comme ses prédécesseurs depuis une vingtaine d’années, ce gouvernement n’a qu’un seul mot à la bouche, «réforme», «réformer». Un petit détour par l’épistémologie grâce au Littré. «1625 : rétablissement de l’ancienne discipline dans une maison religieuse» ; «1690 : suppression des abus» ; «1762 : fait d’écarter de l’armée un homme… reconnu inapte au service» ; «1837 : mettre à la réforme, au rebut (Balzac )».
Nous en sommes bien là : réformer c’est mettre au rebut tout ce que l’on considère inapte, pour revenir aux anciennes disciplines et pratiques. A-t-on vraiment besoin de réformer, ne doit-on pas plutôt adapter?
Reformer donc c’est faire table rase de ce qui existe, de ce qui a été lentement construit, et regarder vers le passé (une bonne définition en somme de la politique actuelle du gouvernement), alors qu’adapter c’est prendre en compte l’existant et chercher à le faire coïncider à l’avenir avec les nouveaux enjeux.
Au final, en matière d’intelligence artificielle, tout ceci ne semble pas si éloigné de la politique gouvernementale actuelle.

Continuons la lecture de l’article de Médiapart, après le renoncement français que traduit l’inexistence d’un budget digne de ce nom : «Dans la chaîne de valeur de l’IA, la France n’a pas d’autres ambitions que de devenir un lieu de sous-traitance de certaines fonctions. En soi, pourquoi pas. Sauf que le pouvoir de décision ne sera pas maîtrisable par la France ou l’UE, mais par les géants privés. Or les conséquences de cette absence de pouvoir ne sont pas maîtrisables : les grands groupes privés feront leurs choix d’implantation en fonction de leurs intérêts. La place de la France dépendra ainsi de trois critères : le coût du travail, un niveau d’imposition faible et un flux de subventions publiques déguisées. Pour conserver les si précieux investissements, la France devra accepter ces trois conditions».
Puis «Mais il y a davantage. L’IA est aussi un enjeu éthique. C’est aussi pour cela que les représentants de l’intérêt général sont hautement concernés et devraient s’interroger sur la nécessité d’un développement autonome de la recherche publique dans l’IA. Là encore, Emmanuel Macron n’a pas manqué de recourir dans son discours à ses habituels termes ronflants sur le sujet. «Quand la technique sert le bien commun, tout va bien. Mais le jour où une start-up ne se référera pas à la préférence collective, nous aurons un problème», a-t-il affirmé … «La stratégie du gouvernement n’est pas étonnante : elle traduit cette confiance fondamentale de l’exécutif dans les mécanismes du marché et sa défiance envers l’action de l’État. Mais dans le cadre de l’IA, cette vision est à très haut risque : elle place la France dans un état de dépendance vis-à-vis des géants privés du secteur, conduit au renoncement sur la question de l’éthique, et risque de placer le pays sur un créneau de moyen de gamme qui a déjà prouvé ses limites dans d’autres secteurs ».

Comme en matière d’écologie, ce gouvernement est-il à la hauteur des enjeux? Ce gouvernement prend-t-il en compte les expériences passées et actuelles, a-t-il tiré les conséquences des échecs, des insuffisances des politiques d’aide à la recherche et développement ? Assurément non.

Ce gouvernement est-il toujours aussi obsédé par cette nécessité de casser, de réformer pour parler «start-up France», sans voir que les acquis actuels nécessitent d’être adaptés aux nouveaux enjeux ? Assurément oui.
La France débloque déjà, tous dispositifs confondus, 10 milliards d’euros par an dans l’innovation, sans que cette politique ait permis à la France de se hisser sur la scène mondiale du numérique.
Plus que miser sur une politique de subventions à l’ancienne, le chef de l’État dit vouloir solliciter l’investissement privé avec tous les risques que cela représente. M. Macron s’est démené pour pousser des fleurons de la technologie tels que Deepmind, Google, Samsung, Fujitsu, Microsoft ou IBM à annoncer ces deux derniers jours un centre de recherche, une chaire ou un plan de formation, mais à quel prix…

Également au cœur du plan présidentiel, la recherche. Elle constitue, en France comme ailleurs, le nerf de la guerre. Pour retenir les chercheurs français attirés comme des aimants par la Silicon Valley, Emmanuel Macron lance un «programme national», coordonné par l’Institut national de recherche en informatique et en automatique. L’objectif est de faire émerger «un réseau d’instituts dédiés localisés dans quatre ou cinq endroits en France», accompagné par un programme de chaires individuelles, afin «d’attirer les meilleurs chercheurs mondiaux et de doubler les capacités de formation en IA».

En revanche, le président de la République n’a pas voulu doubler les salaires des chercheurs du secteur public en France, alors que la faiblesse des rémunérations doublée de la difficulté de faire carrière en tant que doctorant dans l’Hexagone, décourage les vocations et pousse les meilleurs hors de nos frontières.

Chers doctorants, Chers chercheurs,
Vous avez le choix entre:
Des Honneurs Académiques, si vous travaillez pour la «start-up France» – avec peu voire pas de salaires et sans conditions de travail valorisantes.
ou la totale (salaire, conditions, honneurs…) si vous décidez d’aller travailler pour Google ou Microsoft…

Espérons qu’à terme, l’Intelligence artificielle puisse remédier au manque de bon sens qu’a perdu la France.
Les seuls honneurs pour seule motivation, ont très rarement nourri et incité l’homme à rester pour peu qu’il soit un minimum ambitieux.

Mais vu ainsi, nul doute que la France sera gagnante… ou pas.

MM.

En référence à l’article de Romaric Godin paru dans Médiapart, 30 Mars 2018- «Intelligence artificielle : la stratégie perdante du gouvernement» ici