RGPD : quels changements pour les internautes - RCF

Gérald Sadde

Titre : RGPD : quels changements pour les internautes ?
Intervenants : Gérald Sadde - Jean-Baptiste Cocagne
Lieu : RCF - Invité du 18/19
Date : mai 2018
Durée : 15 min
Présentation de l'émission ; Écouter le podcast
Licence de la transcription : Verbatim
Illustration : Flag of Europe blue - Wikimedia Commons. Licence Creative Commons CC0 1.0 Universal Public Domain Dedication.
NB : transcription réalisée par nos soins.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas forcément celles de l'April.

Description

Le règlement général de protection des données est entré en vigueur pour les citoyens européens le 25 mai 2018. Pour quels changements ?

Transcription

Voix off : RCF – 18/19 – L’invité

Jean-Baptiste Cocagne : Depuis une semaine, vous devez recevoir sans cesse dans vos boîtes mails ou sur les applications de votre smartphone des mails qui vous demandent d’accepter les nouvelles conditions d’utilisation des services que vous utilisez. Pourquoi recevez-vous tout ça ? Parce que la législation européenne a changé : c’est le RGPD, le règlement général de protection des données, et la nouveauté c’est que vous êtes, en tant que particulier, censé être mieux informé sur ce que l’on collecte sur vous, sur l’utilisation faite de vos données par des entreprises. On va parler de tout ça ce soir en détail avec un avocat. Maître Gérald Sadde, bonsoir.

Maître Gérald Sadde : Bonsoir.

Jean-Baptiste Cocagne : Merci d’être avec nous en direct ce soir. Vous êtes cofondateur de Legal Pilot, une start-up d’édition de logiciels juridiques et également cofondateur du cabinet lyonnais Shift avocats, un cabinet spécialisé dans le droit informatique et l’économie numérique ; c’est pour ça qu’on vous a fait signe ce soir. Tout simplement déjà, est-ce que ce RGPD correspond à un changement majeur ? Est-ce qu’on est à l’aube d’une révolution pour notre utilisation quotidienne du Web ?

Maître Gérald Sadde : Oui, on va y trouver du bon ; je pense que tous les internautes vont y trouver du bon. Après, ça n’est que la continuité d’un texte extrêmement ancien finalement, puisque la France était pionnière en la matière en 1978. On est les premiers je crois, au niveau mondial, à avoir une loi qui protégeait, déjà, les personnes.

Jean-Baptiste Cocagne : La loi informatique et libertés1.

Maître Gérald Sadde : La loi, la fameuse loi informatique, fichiers et libertés, elle s’appelait à l’époque comme cela et donc, ensuite, on a une belle directive en 1996, mais finalement le RGPD n’est que la continuité, alors amplifiée : c’est un texte qui correspond aux enjeux de l’Internet d’aujourd’hui, c’est un texte que est ambitieux dans son application territoriale et puis, aussi, dans le niveau des sanctions qu’il entend appliquer y compris aux géants de la tech américaine.

Jean-Baptiste Cocagne : On va voir tout cela en détails effectivement. Vous parlez de territoire, ce texte s’applique à l’échelle de toute l’Europe : c’est pour les 28 pays membres de l’Union européenne. Mais qu’est-ce que ça veut dire ? Quand on reçoit « ses conditions d’utilisation ont changé, veuillez donner votre consentement », qu’est-ce que veulent nous dire ces entreprises ?

Maître Gérald Sadde : En fait, le texte est même d’application encore plus large parce qu’il concerne toutes les sociétés qui collectent des données de citoyens européens, donc y compris, justement, les fameux GAFA, les Google, Amazon, Facebook, etc., qu’ils soient en Asie ou ailleurs. Et puis, les textes que vous recevez actuellement, les e-mails, ce sont des e-mails quelque part pour se rassurer. Ce sont des e-mails qui sont là pour réassurer leurs bases de données qui, du fait, on peut en déduire qu’elles ont été collectées dans de mauvaises conditions parce que si ça n’était pas le cas ils n’auraient pas besoin aujourd’hui d’envoyer ces mails, puisque tout ce qui a été fait correctement avant continue de valoir juridiquement. Donc ça veut dire qu’ils essayent de rattraper quelque chose et que, parfois, il va certainement y avoir un petit peu de casse parce que j’espère que les gens, aussi, vont se rendre compte du risque qu’ils ont pris avant avec leurs données.

Jean-Baptiste Cocagne : Donc tous ces mails c’est aussi une forme, pour les entreprises, de se protéger juridiquement de possibles retours, de dire « voilà ; on l’a fait, on vous a informé ».

Maître Gérald Sadde : Oui, ils essaient de prendre date un petit peu. Ils ont essayé de prendre date, vous avez dû tous crouler sous les mails le 25 ou avant le 25 minuit, parce qu’effectivement, il y a une sorte d’ombre qui planait au-dessus de tout ça ; il y a eu beaucoup d’épouvantails qui ont été agités et donc les GAFA, les entreprises hors Europe notamment, qui ont été très sensibilisées à cela par nos confrères aussi américains, souvent, eh bien elles ont eu vraiment le défi d’arriver à se mettre en conformité avant la date dite. Alors c’est une conformité de surface parce que le mail n’est que la petite partie émergée de l’iceberg. En fait la conformité, dans leur cas, est très compliquée à obtenir puisqu’elle est technique, elle relève de la sécurité, elle relève de l’organisation interne. Donc le mail c’est un tout petit bout de la conformité, mais il ne faut pas que ce soit l’arbre qui cache la forêt ; au contraire, il y a beaucoup de travail à faire après ce mail.

Jean-Baptiste Cocagne : C’est ce qu’on va voir dans la deuxième partie de l’interview, vous restez avec nous. Maître Sadde, on se retrouve juste après le journal régional.

Voix off : 18/19 – L’invité.

Jean-Baptiste Cocagne : Nous somme toujours en compagnie de maître Gérald Sadde, cofondateur du cabinet lyonnais Shift avocats, spécialité dans le droit informatique et l’économie numérique. Avec vous ce soir on parle de ce RGPD, ce règlement général de protection des données.

On le disait tout à l’heure on a reçu beaucoup de mails. J’imagine que certains auditeurs, comme moi, je le confesse, n’ont peut-être pas vraiment lu dans le détail ces messages. Est-ce que c’est grave docteur ?

Maître Gérald Sadde : Ça serait dommage ! Ça serait dommage parce que si vous observez un petit peu ce qu’on vous demande, vous allez découvrir, en fait, l’envers du décor, c’est-à-dire tout ce qu’on ne vous a pas dit initialement, la contrepartie de l’utilisation des services du Web. Je ne sais plus qui a dit : « Il y a toujours quelqu’un qui paye à un moment ou à un autre. »

Jean-Baptiste Cocagne : Et si c’est gratuit c’est que vous êtes le produit !

Maître Gérald Sadde : Exactement, vous m’enlevez les mots de la bouche. Donc il y a un prix ; le prix ce sont vos données. Donc le carburant de tout ça, le prix, ce sont les données, donc c’est un petit peu une partie de vous-même vos données personnelles ; c’est pour ça que ça a de la valeur d’ailleurs, c’est parce que c’est attaché à une personne physique ; on essaye de comprendre qui elle est pour mieux lui vendre, finalement, des produits. Donc quand vous recevez ces mails-là et que vous allez vraiment, que ce soit d’ailleurs dans les applications ou dans les mails classiques — dans les applications, en ce moment, ils n’arrêtent pas aussi de remettre à jour leur « police vie privée », la privacy policy — donc il faut regarder toutes les petites cases qu’on vous demande de cocher parce que vous allez découvrir qu’il y a un luxe de détails sur à quoi ça sert, qu’est-ce que vous avez accepté, et on va vous demander, en fait, des consentements.

C’est plus ou moins bien fait, c’est plus ou moins, d’ailleurs, fait dans les canons de ce qu’il faut faire selon les termes du RGPD, mais il faut regarder, il faut prendre le temps de lire, ça va vous permettre de reconfigurer, en fait de reprendre le contrôle d’applications dont vous avez complètement oublié tout ce qu’elles faisaient sur vous et pour cause, souvent elles ne vous l’ont pas dit !

Jean-Baptiste Cocagne : Voilà pour l’information, on va dire, mais quel est l’esprit de ce nouveau texte ? Quel est l’esprit de ce règlement général ? En quoi il protège mieux, ou pas, les citoyens européens ?

Maître Gérald Sadde : Il offre plus de droits. Il oblige les entreprises qui produisent ces services de la société de l’information à une vraie introspection, donc elles sont obligées de s‘auto-responsabiliser pour essayer de documenter beaucoup mieux ce qu’elles font sur les données. En fait, ça les force à créer une sorte de comptabilité des données personnelles : au lieu que ce ne soit que du chiffre maintenant c’est carrément qu’est-ce que je fais avec ces données ? Combien de temps je les garde ? Pourquoi je les garde ? Quel est le fondement légal de tout cela ? Donc ça va permettre, en cas de contrôle, de montrer une sorte de fiche d’identité de ce que fait la personne morale, donc la société, avec toutes vos données. Évidemment, le but c’est de chercher l’erreur ; c’est de chercher ce qui n’a pas été déclaré, donc c’est beaucoup plus protecteur, en tout cas en théorie.

Jean-Baptiste Cocagne : Et puis il y a de nouveaux services aussi qui sont rendus possibles, notamment la portabilité de ces données avec ce RGPD, c’est-à-dire qu'aujourd’hui je suis abonné à Spotify dans l’univers musical, je peux me transférer chez Deezer et garder l’intégralité de ma playlist par exemple ?

Maître Gérald Sadde : Oui parce que la donnée, en fait, c’est un bien qui n’est pas comme les autres ; c’est un bien dont la société qui les gère doit prendre soin. Finalement, la société est en permanence dépositaire de vos données ; elle ne les possède pas vraiment : c’est vous qui lui autorisez, pour les besoins d’un contrat, pour les besoins de l’utilisation du service, à en faire un usage. Donc quand vous partez de ce service-là, toute cette valeur qui a été accumulée, ce n’est pas seulement une valeur pour la société, c’est une valeur pour l’utilisateur, donc il n’y a pas de raison qu’il ne puisse pas partir avec.

Jean-Baptiste Cocagne : Concernant l’autonomie, le fait d’être informé, de prendre conscience aussi de toutes ces données et de leur utilisation, est-ce que c’est dans une idée de responsabiliser chaque utilisateur, notamment après le Facebook gate et Cambridge Analytica ? Est-ce que ça participe aussi à ce mouvement global de prendre conscience que ces données ne sont pas dans l’air, elles sont aussi, tout simplement, au service des entreprises ?

Maître Gérald Sadde : Je ne dirais pas forcément responsabiliser l’utilisateur. On essaie de l’informer tout en le prenant par la main. Et on est plutôt dans l’hyper-protection, parce qu’on considère qu’on est quand même dans des machineries extrêmement complexes, qui sont très compliquées à décortiquer pour le commun des mortels, que ce soit d’ailleurs les personnes qui sont peu férues de technologie ou les personnes qui sont peu férues de droit ; il faut avoir un peu des deux, voire beaucoup des deux, pour comprendre 100 % de ce que l’on vous propose. Ce que l’on demande aujourd’hui, ce que la loi demande, c’est effectivement plus de transparence pour que, au moins ceux qui le souhaitent, puissent s’emparer, reprendre la maîtrise de ces outils-là et donc avoir des outils, souvent d’ailleurs de plus en plus informatisés, qui leur permettent d’enlever ce qu’ils ont donné. Vous avez donné un consentement, vous devez pouvoir l’enlever. Vous avez donné beaucoup de données, vous devez pouvoir vous faire oublier. Le but c’est ça, c’est de vous redonner la maîtrise sur votre « soi digital ».

Jean-Baptiste Cocagne : Mais est-ce que ça pousse la logique jusqu’à pouvoir choisir les données que l’on donne à la carte ? Ou finalement c’est quand même un service global suivant les règles du jeu définies par l’entreprise ?

Maître Gérald Sadde : Il y a des choses très techniques derrière tout ça, mais oui, il y une granularité on dirait, j’aime bien ce terme.

Jean-Baptiste Cocagne : Granularité.

Maître Gérald Sadde : Une belle granularité à observer. C’est-à-dire que théoriquement nous, quand on fait le conseil aux entreprises, on leur explique justement que chaque type de données, chaque type de besoins fait l’objet finalement d’une raison différente. C’est-à-dire que la personne qui vous donne ses données, elle ne le fait pas forcément de la même façon pour tous les usages que vous allez faire de cette donnée.

Jean-Baptiste Cocagne : Est-ce que vous auriez un exemple ?

Maître Gérald Sadde : L’exemple un peu concret qui a déjà été jugé c’est avec par exemple Facebook ou peut-être plus simplement avec Netflix, ça sera peut-être plus simple. Vous avez besoin de Netflix, vous voulez être utilisateur de Netflix donc le système de VOD.

Jean-Baptiste Cocagne : De vidéos.

Maître Gérald Sadde : De vidéos à la demande. Vous savez qu’ils ont évidemment besoin de votre identité pour pouvoir fonctionner ; ils ont besoin de conserver ce que vous avez acheté pour vous facturer ; ça vous le savez donc vous allez signer un contrat avec eux et vous allez accepter, parce qu’ils en ont besoin, simplement, de dire « OK, je vais vous confier certaines de mes données ». Et vous voyez à peu près ce qu’ils vont en faire et on va en plus vous l’expliquer. Mais ce que vous ne savez pas c’est que derrière ils essaient de vous profiler. Donc ils vont essayer de déduire de vos habitudes de consommation, aussi en posant des cookies sur votre ordinateur, pour savoir où est-ce que vous avez été avant, où est-ce que vous avez été après être passé sur Netflix ; ils vont essayer de comprendre qui vous êtes pour vous proposer un contenu qui est, tout simplement peut-être, plus adapté. Ça part peut-être d’un bon sentiment mais le problème c’est que là on est sur une donnée qui est beaucoup plus opaque, qui n’est pas collectée directement auprès de la personne et c’est ça qui va être intéressant à qualifier ; c’est là où on va avoir besoin d’un travail juridique et parfois de consentement. Il va vraiment falloir passer par le consentement, ce qui n’est pas forcément le cas pour le contrat initial.

Jean-Baptiste Cocagne : D’ailleurs, en parlant de consentement, il y a aussi un âge de consentement numérique, c’est ce qu’apporte le RGPD. En France il a été fixé à 15 ans, mais chaque pays État membre de l’Union peut le fixer sur un autre âge. Vous disiez, Maître Sadde, que ça ouvre la porte à plus de recours en justice, potentiellement, parce que ce RGPD, eh bien si on lit, on peut trouver la faille et, du coup, ça ouvre la porte à plus de recours ?

Maître Gérald Sadde : Oui, ça ouvre la porte déjà à la volonté de faire exercer valablement ses droits. Ce qui veut dire qu’aujourd’hui on a énormément de sociétés, quand vous envoyez un mail, quand vous demandez d’avoir accès à vos données, de les rectifier, vous n’avez pas de réponse, voire pire, vous continuez de recevoir des mails, vous continuez de recevoir des sollicitations alors que vous avez demandé d’agir dans le sens inverse. Donc là, déjà, vous allez avoir la capacité de saisir la CNIL et au bout de quelques plaintes, la CNIL va se déplacer.

Jean-Baptiste Cocagne : La Commission nationale informatique et libertés.

Maître Gérald Sadde : En plus, vous allez avoir le droit de faire ce qu’on appelle des actions de groupe. Donc vous allez pouvoir vous saisir à plusieurs, avec des associations de consommateurs notamment, d’un problème, d’un prestataire, d’une société éditrice d’un service qui vous pose problème parce qu’on a constaté que vu la quantité de personnes qui s’en plaignaient c’est qu’elle bafoue les droits, donc on va essayer, à ce moment-là, de faire bouger les choses avec un avocat qui va aller servir de fer de lance contre cette société.

Jean-Baptiste Cocagne : Quand on dépeint le paysage informatique, on va dire avec ce RGPD, on a le petit citoyen face aux mastodontes numériques — on pense tout de suite à Google, Amazon, etc.—, mais ce RGPD concerne toutes les entreprises, on l’a dit, notamment je pense à des petites PME en France qui, par exemple, éditent une newsletter ou collectent des données pour leurs services. Là c’est un gros big-bang pour elles, c’est-à-dire qu’il y a tout une machinerie à mettre en place pour se conformer à la loi désormais ?

Maître Gérald Sadde : La CNIL ne cesse de dire qu’il faut adapter la mise en conformité aux moyens de la société. Donc c’est un big-bang si, effectivement, c’est une petite société dont l’activité tourne principalement autour de la donnée et que, pour autant, elle n’a jamais rien fait, ce qui serait anormal. C’est-à-dire que ça fait peut-être 40 ans, qu’elle est dans l’illégalité. Donc ça veut dire qu’il y avait un problème à la base !

Jean-Baptiste Cocagne : Là c’est un gros rappel, gros message de rappel.

Maître Gérald Sadde : Voilà ! C’est un gros message de rappel ; mais ça veut dire que, effectivement, il y a des sociétés qui peuvent être parfois d’une taille très modeste et qui vont se retrouver avec quelque chose qui les dépasse un petit peu parce qu’on a mis en lumière un aspect de leur activité, qui est parfois un aspect essentiel, parce que c’est tout simplement qu’elles sont sur un secteur hyper-réglementé avec, par exemple, de la donnée sensible, de la donnée de santé, de la donnée religieuse – je suis sur RCF, ça en fait partie. Je sais que même les congrégations se posent aujourd’hui la question de comment se mettre en conformité, c’est un vrai, alors pas un souci, mais c’est une vraie question qu’il faut se poser ; il y a certaines exceptions qui sont prévues par la loi, mais il faut encore savoir si on rentre bien dedans.

Jean-Baptiste Cocagne : Et ça pourrait faire l’objet d’un beau reportage dans les jours prochains. Merci Gérald Sadde, maître Gérald Sadde d’avoir été notre invité de soir.

Maître Gérald Sadde : Merci.

Jean-Baptiste Cocagne : Je rappelle que vous êtes cofondateur de Legal Pilot, une start-up d’édition de logiciels juridiques, également cofondateur du cabinet lyonnais Shift avocats, spécialisé dans le droit informatique. Merci.