Le 25 mai prochain va entrer en vigueur en Europe le nouveau règlement général sur la protection des données (RGPD). Cette échéance fait un peu penser au bug de l'an 2000, en plus compliqué. En 1999, une véritable panique s'était emparée des directions informatiques des entreprises qui craignaient que le passage du 31 décembre 1999 au 1er janvier 2000 ne conduise au dérèglement de toutes les horloges internes des logiciels et des ordinateurs qui n'avaient pas anticipé. Au final, cela s'était bien passé : il n'y a pas eu de bug ni de krach de l'an 2000. Quelques mois plus tard, la bulle technologique a implosé, mais c'est une autre histoire...
Faut-il donc craindre un bug du 25 mai 2018, pour dérouler ce parallèle ? Non bien sûr : cette date n'est que celle de l'obligation légale de mise en conformité de tous les acteurs publics et privés opérant en Europe au regard du traitement des données personnelles dont ils sont détenteurs : celles de leurs clients, de leurs salariés ou fournisseurs. L'objectif est de redonner au citoyen sinon le contrôle ou la propriété, du moins l'assurance que leurs données personnelles ne sont pas (ou plus) utilisées pour des usages non transparents et conformes à la loi Informatique et libertés réformée.
Mieux accompagner les PME dans leurs nouvelles obligations
Les acteurs qui ne s'y adapteront pas risquent gros, du moins en théorie : jusqu'à 4% du chiffre d'affaires mondial pour les cas les plus graves. Un avertissement sérieux qui cible, en particulier, les géants du numérique, qui se sont approprié sans vergogne nos data, en échange certes de services gratuits à forte valeur ajoutée (Google et sa bibliothèque universelle, Facebook et son média universel, Amazon et sa boutique universelle...), mais à un prix précieux, celui de notre vie privée.
En France, si les grands groupes sont bien armés pour se mettre en conformité, les PME sont en revanche très en retard. Beaucoup de patrons n'ont même jamais entendu parler du RGPD, malgré une campagne de communication active de la part des acteurs du "business de la conformité" qui proposent des solutions clefs en main aux entreprises désemparées devant cet obstacle réglementaire. Un véritable "marketing de la peur", qui joue sur la crainte de la sanction.
Face à la panique, la présidente de la Cnil, Isabelle Falque-Pierrotin, joue l'apaisement, en promettant d'aider les PME à s'adapter. Un kit pratique a même été mis en place avec Bpifrance. Surtout, la Cnil assure que son objectif n'est pas d'afficher un « tableau de chasse des sanctions », mais d'accompagner et d'expliquer, « dans un premier temps». Pour autant, elle prévient que son pragmatisme ne sera pas un automatisme : « Imaginez une PME dans l'économie des données de santé qui laisse passer une faille de sécurité considérable : dans un tel cas, nous serions forcés de réagir vite... »
Dans la gamme des risques auxquels sont soumises les entreprises, celui de se faire voler, ou bien d'utiliser à mauvais escient, des données personnelles, va donc entrer au premier plan. Et ce n'est pas qu'un risque de réputation comme pour Uber qui a attendu plus d'un an avant de dévoiler le vol des données, y compris bancaires, de millions de ses utilisateurs. Selon une récente étude de Pegasystems, un spécialiste américain de la relation client, 82% des personnes dont une entreprise détient des données ont l'intention d'activer le RGPD. En d'autres termes, les internautes sont, eux, parfaitement informés de leurs nouveaux droits à la vie privée. Au-delà d'un chantier réglementaire et informatique fastidieux, la mise en conformité est donc un enjeu vital et stratégique puisque ce nouveau règlement va bouleverser la relation d'une entreprise avec ses clients.
RGPD, vers un "Internet des Lumières" ?
On voit bien poindre le procès en légitimité de la Cnil. Gilles Babinet, un spécialiste de la data, a un jour qualifié la Commission nationale de l'informatique et des libertés d'« ennemi de la nation », ou plus exactement de l'innovation. Et, de fait, il y a un risque qu'en faisant trop fort pencher le balancier du côté de la protection, le RGPD bride encore plus que ce n'est déjà le cas le développement d'une alternative européenne aux Gafa. Car la data, c'est le nouvel « or noir » du XXIe siècle, la « ressource minière » de l'économie digitalisée. En disposer librement, de façon gratuite et abondante est la source de tous les nouveaux services apportés par les nouvelles technologies. Sans data, pas d'IA : l'intelligence artificielle se nourrit des immenses quantités de données disponibles dans les serveurs des géants du Net.
Cela ne veut pas dire qu'il faut accepter de laisser n'importe qui faire n'importe quoi avec nos données personnelles. Le RGPD est là pour remettre de la confiance dans un écosystème où tout le monde se méfie désormais de tout le monde. Et où pourtant personne ne lit jamais les interminables "conditions générales d'utilisation" des applications que nous utilisons... C'est aussi, affirme la présidente de la Cnil, un moyen de remettre les géants américains et les acteurs européens à égalité de concurrence, en Europe tout au moins. C'est plutôt une bonne nouvelle : à l'Internet libertarien des origines, qui a fini par donner naissance à des entreprises plus puissantes que des États, pourrait succéder un "Internet des Lumières", de culture européenne, plus respectueux du respect de la vie privée. Ou au moins qui devra prendre soin de nous demander notre consentement explicite pour utiliser nos données. Le scandale qui éclabousse actuellement le réseau social Facebook après le viol sans consentement de données personnelles de 50 millions voire plus encore d'utilisateurs par la société Cambridge Analytica pose un problème politique crucial. Demander le consentement, tiens, cela rappelle confusément quelque chose, non ?