Le régulateur de la protection des données qui s’intéresse à un événement de start-up, ça ne doit pas être si fréquent? Qu’est-ce que ça cache?
. – «Effectivement. L’intérêt, c’est que la CNPD considère être une partie de l’écosystème de l’innovation au Luxembourg. À côté de son rôle primaire d’autorité de contrôle – elle supervise le règlement général sur la protection des données (RGPD) en particulier, mais pas que –, elle veille aux droits des citoyens sur leurs données personnelles avec des moyens de sanction, juridiques.
Quand on les active, on arrive en bout de chaîne. Le début de la chaîne, c’est la création d’entreprise, de business. Quand on dit start-up, quand on dit Web Summit, qui est la référence en Europe, on pense que la CNPD doit aussi être là pour se montrer, aux start-up, aux acteurs, pour dépassionner le sujet de la protection des données, tout en leur faisant comprendre que c’est un sujet d’actualité.
On est dans l’œil du cyclone, comme j’ai pu le constater dans les présentations que j’ai suivies. La protection des données est vraiment mainstream. Les régulateurs sont très prisés, surtout par des entreprises en voie de création ou d’accélération, qui changent et adaptent leur business model. On doit les encourager à utiliser le ‘privacy by design’.
Et si on précisait ce qu’est le «privacy by design», pour vous, représentant le régulateur?
«Essayer dès le départ du design d’une technologie, d’un business model ou des deux à la fois, d’intégrer les considérations pour lesquelles le RGPD est là. C’est-à-dire, se demander pourquoi on collecte des données, pour quels besoins? Quelle est la typologie de ces données? Lesquelles sont critiques, ou hypersensibles? Je pense aux données qui concernent des mineurs ou les données de santé.
L’étude du risque est une approche normale pour un entrepreneur, et il doit intégrer celui de la perte de données.
Être conscient de ce que sont les données personnelles en général; la géolocalisation ou l’adresse IP d’un ordinateur sont aussi des données personnelles. S’assurer de la sécurité des données, de comment on les traite. Sont-elles anonymisées dans certains cas, au moins sécurisées? Quelle est sa responsabilité? Est-on contrôleur? Si je travaille avec des sous-traitants, comme des opérateurs de cloud, quel est son rôle?
Intégrer des possibilités pour l’utilisateur d’avoir accès à ses données ou de donner son consentement de manière simple et éclairée et de pouvoir le retirer à tout moment. L’étude du risque est une approche normale pour un entrepreneur, et il doit intégrer celui de la perte de données. On doit aussi se poser la question de la ‘datafication’: doit-on toujours rassembler toutes ces données, qui ne sont pas toujours des données personnelles? La limitation de la collecte des données est aussi un sujet. Il faut peut-être regarder les solutions technologiques pour cela.
Mercredi matin, Tony Blair disait par exemple qu’entre le moment où le politique met en place le cadre, comme le RGPD, et le moment où il entre en vigueur, la technologie a évolué. Du coup, est-ce qu’on doit rester sur un règlement si rigide?
«La protection des données est dans 99% des exposés ou des ateliers que j’ai suivis. C’est un phénomène global, et plus une particularité européenne. Il y a le risque des amendes, les 4% et les 20 millions d’euros, mais surtout un risque réputationnel. Y compris pour les grandes entreprises qui ont lourdement insisté sur les efforts qu’ils font et les erreurs qu’ils ont commises.
Personne n’aime la régulation… sauf ceux qui veulent être protégés. Et les dirigeants d’entreprise sont aussi des citoyens. Qu’il y ait plus de convergence, c’est clairement un besoin. Ça va venir. J’étais il y a deux semaines en Albanie, au Congrès mondial pour la protection des données avec la présidente de la CNPD, Tine A. Larsen. Il y a 120 juridictions qui adoptent un cadre plus ou moins rigoureux sur la protection des données. Par exemple, la Californie va voir le texte entrer en vigueur.
Mardi, la chief compliance officer d’Uber a demandé que cette réglementation soit étendue à tous les États américains. Ce qui revient dans beaucoup de discours, pour des raisons d’efficience de gestion. La législation suit la technologie, c’est logique. On voit quels sont les effets, l’impact, sauf qu’ici, la législation est particulière, elle porte sur l’analyse et la gestion des risques et elle responsabilise. Elle ne contrôle pas, a priori. La compliance à 100% sera toujours difficile. La législation va s’affiner. Le RGPD sera revu, le moment venu, avec le retour d’expérience. Il faut aussi regarder la convergence avec les différents types de régulateurs. Notamment avec la loi sur la compétitivité et sur le commerce.
À Luxembourg, on se retrouve dans une situation particulière: c’est l’annonce des sanctions qui a un effet réputationnel.
Il y a une évangélisation où il faut passer par des acteurs multiplicateurs, comme des fédérations ou des groupements, et le régulateur est toujours en bout de chaîne pour sanctionner, et c’est très important. La communication autour des sanctions est aussi importante, c’est ce qui déclenche les éléments de réputation. Du moment qu’on est dans des levées de fonds importantes, évidemment que les investisseurs vont aussi regarder ces éléments-là dans leur analyse du risque.
D’ailleurs, à Luxembourg, on se retrouve dans une situation particulière: c’est l’annonce des sanctions qui a un effet réputationnel, mais nous ne pouvons pas dévoiler le nom de l’entreprise sanctionnée, à la différence des autres pays européens. Déjà, ce n’est pas très efficace. Mais en plus, nous nous retrouvons de plus en plus dans des cas qui sont européens, où il faut désigner une autorité coordinatrice, et où nos pairs peuvent parler de l’entreprise, alors que nous ne pouvons pas. Ce sera au ministère d’État de décider ou pas de réviser la loi luxembourgeoise sur cet aspect.
Il faut aussi regarder la convergence avec les différents types de régulateurs. Notamment avec les autorités de surveillance de la concurrence, par exemple.»