Il y a presque trois ans, le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur, et depuis lors, les politiciens et les experts en protection des données en Europe se félicitent mutuellement de la réussite globale du RGPD et du fait qu’il constitue un contrepoids aux lois ou réglementations libérales, voire inexistantes, en matière de protection des données aux États-Unis ou en Chine. L’une des preuves citées est que désormais, même des entreprises de la Silicon Valley comme Apple citent la protection des données européenne (GDPR) comme modèle et la promeuvent dans leur propre pays comme une proposition de réglementation raisonnable. Une autre preuve pour beaucoup est la façon dont les entreprises européennes peuvent maintenant se positionner en tant que professionnels de la protection des données et exporter cette expertise dans le monde entier.
La lutte contre Google & Co
C’est un argument qui laisse un goût très désuet dans la bouche quand on sait que la motivation derrière le RGPD était initialement dirigée contre les géants numériques des États-Unis (et dans une moindre mesure de la Chine). L’intention était de rendre plus difficile la collecte de données par les Google, Facebook, Amazon ou Microsoft et de rendre la collecte de données plus transparente et contrôlable pour les utilisateurs finaux. Par ailleurs, l’Europe, et plus particulièrement le monde germanophone, a connu quelques mauvaises expériences dans le passé. Deux idéologies issues de notre sphère culturelle ont commis des violations massives de la protection des données à l’encontre de leurs citoyens et ont ainsi pu exercer leurs ravages meurtriers en premier lieu. Il est compréhensible qu’il existe ici une sensibilité particulière à la collecte et à l’utilisation des données.
Mais ce noble motif a eu l’effet inverse dans certains cas. Ce ne sont pas les géants américains du numérique qui ont été arrêtés, mais les nombreuses petites et quelques grandes entreprises européennes. Ces entreprises sont non seulement surchargées par la tâche de comprendre le dédale de lois, mais elles n’ont pas non plus les ressources nécessaires pour s’y conformer. Quelle startup de trois personnes peut se permettre d’avoir son propre responsable de la protection des données ? Même les grandes organisations ont du mal à s’y retrouver. Par exemple, quelques mois à peine après l’entrée en vigueur du RGPD, la nouvelle a fait le tour de la toile que le gestionnaire immobilier autrichien Wiener Wohnen, qui gère 220 000 appartements, avait commencé à remplacer toutes les plaques signalétiques de ses sonnettes afin que les noms des locataires ne soient pas visibles, suite à la plainte d’un locataire. Le service de la ville de Vienne chargé des questions de protection des données avait interprété le RGPD de cette manière et recommandé cette ligne de conduite au gestionnaire immobilier afin de ne pas s’exposer à d’éventuelles poursuites pour violation de la protection des données.
L’épée de Damoclès
Cette épée de Damoclès est suspendue au-dessus de chaque entreprise, quelle que soit sa taille, parce que quelque part, un cookie ou une case à cocher peut être mal réglé par défaut. Bien que les autorités européennes de protection des données aient qualifié l’interprétation de la ville de Vienne d’incorrecte, la confusion et l’incertitude demeurent. Après tout, si même les experts en protection des données en Europe ne sont pas d’accord et que seule une décision de justice peut apporter une certitude, qui s’impliquera encore ?
Ignoré et ignorant
En tout cas, cela n’empêche pas les entreprises qui n’ont pas de succursale dans l’UE d’ignorer le GDPR, avec le meilleur consentement des utilisateurs européens qui préfèrent utiliser les applications plutôt que de s’en passer. Le meilleur exemple est celui de Clubhouse. N’ayant même pas un an d’existence, l’application a été littéralement envahie par les utilisateurs germanophones en janvier 2021, et ce malgré le fait que l’application allait tellement à l’encontre de toutes les règles de confidentialité que vous pouvez imaginer. Les données de contact étaient téléchargées dans les carnets d’adresses par les nouveaux utilisateurs sans leur consentement, les données et les enregistrements audio étaient stockés aux États-Unis, et les données de Clubhouse étaient scannées par des parties externes.
Alors que Clubhouse et d’autres entreprises se soucient peu de ce problème, les utilisateurs, eux, doivent se battre contre d’innombrables fenêtres de cookies. Tous les sites Web européens – et je dis bien tous les sites Web merdiques – vous envoient dès votre première visite des fenêtres de messages indiquant quels cookies sont utilisés, à quoi ils servent et lesquels les utilisateurs doivent accepter avant de pouvoir enfin consulter le site. Ce n’est absolument pas normal. Tout comme la loi européenne qui l’exige. Elle témoigne d’une ignorance technologique de la part des régulateurs européens, ce qui semble d’autant plus déprimant quand on sait que même les cookies de sites web technologiquement primitifs qui ne disent pas grand-chose sur les individus n’y sont pas compris. Qu’en est-il de la réglementation de la sécurité des centrales nucléaires ou de l’intelligence artificielle, auxquelles les Européens s’attaquent actuellement ? Le pire est à craindre.
Le conte de fées des données personnelles
Dans le même temps, tous les partisans du RGPD soulignent que les lois sur la protection des données ne s’appliqueraient, après tout, qu’aux données personnelles. La protection et le contrôle des données de l’utilisateur individuel devraient être garantis pour lui et placés entre ses mains. Si je ne veux pas que quelqu’un stocke mon numéro de téléphone ou le dernier site web visité, il ne devrait pas être autorisé à le faire. Mais les choses se compliquent déjà lorsqu’il s’agit de protéger les métadonnées. Dans quelle mesure celles-ci n’en relèvent-elles pas, ou en relèvent-elles déjà ? Il s’avère que ces métadonnées, qui décrivent les données réelles, peuvent souvent être utilisées pour tirer des conclusions sur des utilisateurs individuels à partir de données anonymisées. Netflix l’avait appris à ses dépens lorsqu’il avait anonymisé et publié un ensemble de données sur les films loués par 500 000 utilisateurs à des fins de recherche en 2007. Mais sans trop d’efforts, les chercheurs ont réussi à réaffecter les ensembles de données à des utilisateurs individuels.
Mais qu’en est-il des données des machines dans les processus de production qui, selon les experts, ne sont pas personnelles ? Si l’on en croit les experts en protection des données, cela ne pose aucun problème.
Pas si vite, car toutes les données des machines sont créées par des personnes. Elles peuvent également être utilisées pour tirer des conclusions sur les personnes. Par exemple, l’heure à laquelle la machine a été mise en marche correspond à l’horaire de travail des employés présents. Il est également possible de déterminer quel mécanicien a entretenu la machine qui a rencontré un problème. Il est également possible de savoir qui a installé la pièce dans la voiture fabriquée. Et dès que le comité d’entreprise et les syndicats en ont vent, la collecte de données est terminée. Car si un manager peut tirer des conclusions à partir des données sur l’employé auquel un incident peut être attribué, cela peut se retrouver dans l’évaluation des performances de l’employé et donc dans les négociations salariales, ou dans le cas le plus extrême, conduire au licenciement. Et cela signifie que toutes les données, sans exception, sont également des données à caractère personnel.
Retard numérique dû à l’incertitude
Un ingénieur chargé du logiciel et de la collecte des données la met en porte-à-faux avec ses propres responsables de la protection des données et son service juridique. Si elle commet l’erreur de soumettre sa collecte de données sur cette machine à un examen juridique et de protection de la vie privée, elle se rend compte qu’il est préférable de ne jamais enregistrer aucune donnée d’aucune sorte. Le processus de détermination de ce point est si long et en même temps si peu utile que vous voulez capituler immédiatement.
Après tout, quiconque a déjà eu affaire à ces deux organes internes sait que ce sont surtout les indices de danger qui leur viennent à l’esprit. En clair, leur tâche consiste à éviter tout risque pour l’entreprise. Et par la même occasion, le leur. Si l’entreprise est effectivement poursuivie pour violation de la protection des données, cela nuit non seulement à sa réputation, mais peut aussi coûter très cher.
Cependant, les activités économiques, la recherche, le développement de produits ou l’innovation comportent toujours des risques. C’est dans la nature des choses. Seule une entreprise qui cesse toute activité ne court aucun risque (ou presque). Seulement : le risque ne reste pas chez l’expert en protection des données ou le service juridique, mais chez la direction et les ingénieures. Et ces dernières sont les pions en cas de problème.
Effet de refroidissement
Cet effet de refroidissement entraîne une censure de l’acquisition des données par les ingénieurs. Si l’on n’est pas clair, on préfère ne pas enregistrer les données. Et pas même dans ces cas-là, où en fait tout devrait être sûr. Les conséquences pour les entreprises nationales, l’économie et la force d’innovation ne doivent pas être sous-estimées. Aucune donnée n’est collectée, ou seulement des données insuffisantes. Ces quelques ensembles de données sporadiques sont également rarement partagés ou fusionnés avec d’autres données. De plus, comme il n’y a pratiquement pas de données utilisables, les technologies actuelles, telles que l’apprentissage automatique, ne peuvent pas être alimentées par suffisamment de données et entraînées. La maîtrise, voire le développement de ces technologies, devient plus difficile. Et si ces conditions de base font déjà défaut, les percées dans le domaine des nouveaux algorithmes, des nouvelles applications ou des nouvelles perspectives sont moins possibles.
C’est un cercle vicieux. La protection des données est présentée à l’utilisation des données. Les données dont on peut – sans les consommer – extraire des connaissances précieuses sont enfermées dans la voûte de la loi sur la protection des données. Au lieu de créer de la richesse à partir des données, nous sommes fiers de la voûte dans laquelle, dans l’obscurité froide, les données et donc notre espace économique dépérissent.
Après seulement trois ans d’existence du RGPD, il est temps de l’adapter à la réalité. Parce que sans changement, non seulement un frisson froid parcourra l’échine de ceux qui sont en quelque sorte censés faire “quelque chose avec les données”, mais l’Europe dans son ensemble restera figée sur la voie technologique.