ENTREPRISES & STRATÉGIES
TECHNOLOGIES

Protection des données

«Le RGPD a une génération de retard»



cyril_pierre-beausse_mm.jpg

Cyril Pierre-Beausse voit dans le scandale des fuites de données Facebook l’expression d’une menace plus inquiétante que la simple utilisation des données à des fins commerciales. (Photo: Maison moderne / archives)

Facebook est dans la tourmente après la révélation du siphonnage des données de 50 millions d’utilisateurs par Cambridge Analytica à des fins de manipulation en pleine campagne électorale américaine. Un accident révélateur des enjeux qui se trament autour de la protection des données, à deux mois de l’entrée en vigueur dans l’UE du RGPD, selon Me Cyril Pierre-Beausse, fondateur du cabinet d’avocats Claw spécialisé dans l’IT et la propriété intellectuelle.

Que faut-il retenir de l’affaire qui secoue actuellement Facebook?

«Cela illustre tout à fait l’importance qu’a la donnée aujourd’hui, puisqu’il s’agit d’un prestataire qui travaillait avec Facebook et qui a violé ses règles pour s’approprier des données. Si votre hôpital a son système informatique qui crashe, personne n’est opéré, sauf les urgences vitales. Si cela arrive à l’aéroport de Luxembourg, aucun avion ne décolle. Si cela advient dans une banque, aucune agence ne peut ouvrir. C’est même à se demander si on fait encore nos industries de base ou si, finalement, on n’est pas tous en train de traiter de la donnée.

Ce qui arrive à Facebook, c’est qu’un prestataire a décidé de s’approprier de l’information, parce que c’est l’information finalement qui a le plus de valeur. Et cette information était utilisée dans le cadre de campagnes électorales afin d’exercer de l’influence via les réseaux sociaux. Les données qui sont utilisées et la manière dont elles sont présentées sont aujourd’hui parfaitement reçues par les gens au niveau des schémas neuronaux. Ces entreprises-là justement, les Facebook et les Google, apprennent en ce moment massivement à utiliser les données en s’appuyant sur les neurosciences pour pouvoir justement un peu aussi nous manipuler, à des fins commerciales voire maintenant à des fins politiques.

Les Gafa sont beaucoup moins inquiets du RGPD que les asbl.

Me Cyril Pierre-Beausse, avocat à la Cour

C’est donc une question de société, je pense, qui concerne tout le monde sur la manière dont on utilise les réseaux sociaux et dont on communique volontairement ces informations-là qui servent ensuite à nous influencer.

Cela pose aussi la question de la manière dont les autorités doivent protéger les citoyens. Nous sommes à deux mois de l’entrée en vigueur du RGPD. Tout le monde en parle beaucoup et lorsqu’on est un praticien dans la matière, on voit que c’est quelque chose qui inquiète les hôpitaux, les banques, mais aussi des petites asbl, des PME.

Le RGPD inquiète-t-il aussi les Gafa?

«Les inquiétudes qu’ont les organisations luxembourgeoises sont à mille lieues de ce que font ces grands groupes et de leurs pratiques. J’ai l’impression parfois que ces grands groupes-là sont beaucoup moins inquiets de la réforme RGPD, comme s’ils pensaient déjà qu’ils avaient une forme d’immunité à l’image de ce que l’on voit au niveau fiscal parfois. En tout cas, ça n’a pas l’air de les inquiéter beaucoup par rapport aux petites organisations, qui prennent assez massivement au sérieux cette grande vague de conformité qui arrive. Il ne faudrait pas qu’on se trompe de cible: le but est quand même de faire en sorte de protéger les gens contre ce genre de manipulation.

Ce modèle économique de gestion industrielle de la donnée et les bénéfices qu’ils peuvent en tirer sont supérieurs aux risques d’une sanction par les autorités.

Me Cyril Pierre-Beausse, avocat à la Cour

La CJUE a récemment autorisé le militant Max Schrems à poursuivre Facebook en Autriche concernant la protection de ses données. Pas de quoi inquiéter les géants du numérique?

«Pour l’instant, ils attendent de voir. Et de toute façon, ils continuent à penser que ce modèle économique de gestion industrielle de la donnée et ce qu’on est capable d’en faire en termes d’intelligence aujourd’hui, et les bénéfices qu’ils peuvent en tirer sont supérieurs aux risques d’une sanction par les autorités.

Il faut rappeler aussi que la première affaire Schrems, qui avait mené à l’invalidation du Safe Harbor, était une affaire entre Max Schrems et l’autorité irlandaise. Cela pose la question de la manière dont les autorités peuvent faire face à ce genre de géants. Très clairement, on a vu dans le passé que dans le cas de Facebook, l’autorité irlandaise n’y était pas arrivée – avait-elle même seulement essayé? C’est une question universelle de la puissance qu’ont acquise ces groupes-là et qui est assise principalement sur la donnée.

Les citoyens européens attendent massivement que l’on puisse utiliser la protection des données comme un véritable contre-pouvoir. Mais aujourd’hui, malheureusement, il n’y a que des exceptions comme Max Schrems pour aller dans ce sens-là, et au prix d’un effort sans doute harassant. Pour un citoyen ordinaire, faire valoir ses droits contre un géant n’est pas évident.

Est-ce que le scandale qui se produit aujourd’hui ne va pas justement changer la donne pour Facebook, dont le fondateur, Mark Zuckerberg (qui vient de publier un mea culpa, ndlr), est tout de même convoqué par le Congrès?

«J’aimerais beaucoup dire oui. Il faut voir aussi que l’on parle du pouvoir américain. Qu’est-ce que cela va rapporter à l’économie américaine de commencer à ‘censurer’ ce que font les grandes entreprises qui sont leur fleuron mondial et qui sont en position de monopole dans leurs activités respectives? Comment intervenir sans risquer de tuer cette poule aux œufs d’or? Et je ne crois pas qu’il y ait une énorme volonté locale aux États-Unis de faire ça, surtout avec une administration comme celle de Donald Trump. Je pense que l’idée est vraiment de maximiser les profits et simplement Cambridge Analytica s’est fait prendre les doigts dans le pot de confiture.

Le péril démocratique passe totalement à la trappe.

Me Cyril Pierre-Beausse, avocat à la Cour

En l’occurrence, il ne s’agit plus seulement d’une menace purement commerciale…

«On voit bien qu’au niveau des données personnelles, on ne parle plus uniquement de vous manipuler pour que vous achetiez le dernier iPod. On est en train de passer à une étape suivante et c’est exactement là-dessus que porte l’attaque de Cambridge Analytica: prendre des données et les dévoyer afin aussi de manipuler des campagnes électorales.

Et on se rend compte que le législateur, comme toujours, a une génération de retard. Le RGPD n’est même pas encore entré en vigueur et a déjà une génération de retard puisqu’il s’intéresse aux dérives commerciales d’internet, qui n’étaient pas traitées par la directive précédente de 1995. Or les dérives sont devenues politiques et démocratiques, ce qui est beaucoup plus inquiétant. Le RGPD va permettre de condamner des gens comme Cambridge Analytica à l’avenir, mais il n’a même pas été conçu avec ça en tête.

On pourrait presque dire qu’on a une approche administrative – les entreprises doivent faire essentiellement de la paperasse et préparer des études d’impact pour les soumettre à la CNPD. Alors qu’en fait, le péril démocratique qu’il y a derrière et qui est beaucoup plus inquiétant passe totalement à la trappe. Ceux qui sont en train de faire ce genre de manipulation, de lutte d’influence en utilisant les réseaux sociaux, sont tout à fait à l’abri et ce n’est pas le RGPD qui les inquiète.

Les réseaux sociaux et leur détournement ont tout de même été mis en cause dans l’élection de Trump et lors du référendum sur le Brexit. Ça fait quand même plusieurs précédents un peu inquiétants maintenant et il faudra voir combien de temps s’écoulera avant que d’autres pays soient victimes de ça.

La réponse viendra des citoyens et des consommateurs.

Me Cyril Pierre-Beausse, avocat à la Cour

Faut-il mettre cela en relation avec le principe de neutralité du net qui est récemment tombé aux États-Unis?

«Exactement. L’appât du gain et du bénéfice économique immédiat est devenu plus fort qu’un certain nombre de principes: le principe d’égalité dans l’accès à internet est en train d’être achevé aux États-Unis. Et on va voir poindre des revendications de la part d’opérateurs dans pas longtemps en Europe. On peut se dire même de manière légitime: c’est peut-être la démocratie qui est une entrave à faire le business finalement. C’est une dérive inquiétante.

Y a-t-il une lueur d’espoir dans ce tableau inquiétant?

«Je pense que oui, parce que les citoyens se saisissent des choses. Les campagnes d’influence fonctionnent mal là où les gens sont éduqués, là où les gens réfléchissent. La protection des données personnelles s’inscrit aussi dans un mouvement où les gens, petit à petit, s’accaparent leurs droits, réfléchissent et adaptent leur comportement pour ne pas se laisser influencer. La réponse viendra des citoyens et des consommateurs. Mais c’est vrai que les ‘masses’ sont fragiles à la manipulation.»