Delphine Sabattier : Faut-il revoir cette copie du RGPD ? Le règlement européen sur la protection des données fête ses trois ans, pas aujourd’hui, on les a déjà célébrées. Peut-être est-il déjà dépassé au bout de trois ans ? On a de l’autre côté de la Manche le gouvernement britannique qui commence à envisager une réforme de ces règles de protection des données personnelles pour alléger certaines contraintes. On entend même parler d’un Brexit du RGPD. C’est d’ailleurs la question que vous avez posée lors d’un séminaire, Jean-Noël de Galzain : est-il temps de faire évoluer le règlement européen ?
Jean-Noël de Galzain merci d’être avec vous. Vous êtes fondateur PDG de Wallix, un spécialiste européen de la sécurisation des accès et des identités, également président de Hexatrust qui regroupe les champions de la French Tech de la cybersécurité. Vous êtes aussi vice-président du Pôle de compétitivité Systematic et président du projet cybersécurité et sécurité de l’Internet des objets au Conseil national de l’industrie.
Je vais présenter également votre voisin, Yann Padova. Vous êtes, on va dire, un ancien régulateur, en tout cas un spécialiste du droit des données personnelles et des technologies de l’information, aujourd’hui avocat associé au cabinet Baker McKenzie à Paris. Je disais ancien régulateur puisque vous avez été secrétaire général de la CNIL entre 2006 et 2012, la CNIL qui est ce grand régulateur français.
Je vais commencer avec vous, Yann Padova, à l’époque 2006/2012, on n’était encore pas du tout dans le RGPD [1], mais est-ce que c’est un règlement qui était attendu au niveau européen déjà ?
Yann Padova : Tout à fait. Il était attendu puisqu’il a commencé à être préparé en 2010. Moi, en tant que secrétaire général, j’ai participé aux premières négociations de rédaction et d’élaboration du RGPD. Il est présenté officiellement en 2011 et il n’est finalement finalisé qu’en 2016. C’est un règlement très difficile dans sa genèse, très long à adopter, qui a fait l’objet d’énormément de tensions et de discussions, des milliers d’amendements dessus. Ça a été un texte très attendu parce que le précédent datait de 1995, à l’époque il n’y avait même pas vraiment d’Internet. Donc le monde avait énormément changé, le pari du RGPD c’était de s’adapter à ce nouveau monde de la technologie. Est-ce que c’est réussi ?, on peut en parler aujourd’hui, en tout cas c’était son pari, donc il était très attendu.
Delphine Sabattier : Si l’accouchement fut long ça peut le rendre encore plus vieux avant l’âge je dirais.
Yann Padova : C’est le risque. On parlait de l’innovation, vous introduisiez cette problématique. Si vous cherchez le mot « innovation » dans le RGPD, vous ne le trouverez pas, il n’y est pas. C’est donc un règlement qui est essentiellement de protection des droits, qui est très puissant de point de vue-là, qui est un modèle y compris à l’étranger, c’est un règlement qui est imité dans nombre de pays, mais qui a quand même une approche extrêmement restrictive par rapport à l’innovation. C’est un des sujets aujourd’hui : est-ce qu’il est en mesure de s’adapter au big data, à l’intelligence artificielle qui a un mode de fonctionnement relativement antinomique avec les principes du RGPD. C’est une opinion personnelle, mais je ne suis pas le seul à la partager ; au niveau européen, des parlementaires européens commencent à dire ça : Axel Voss, par exemple, qui était le rapporteur du RGPD à l’époque, avec lequel j’ai travaillé, qui est membre du PPE [Parti populaire européen], donc le parti conservateur ; c’est un Allemand, ce n’est pas un fantaisiste.
Delphine Sabattier : Et avec lequel Jean-Noël de Galzain a débattu lors d’un webinaire.
Jean-Noël de Galzain : Oui, tout à fait, nous avons fait une tribune d’ailleurs.
Delphine Sabattier : Donc vous réfléchissez, vous avez réfléchi ensemble à ce qu’il faudrait mettre en œuvre pour répondre à ces nouveaux enjeux numériques d’aujourd’hui. Vous diriez vous aussi, Jean-Noël de Galzain, que trois ans à peine après son entrée en vigueur ce RGPD est déjà dépassé ?
Jean-Noël de Galzain : Je pense que le RGPD n’est pas dépassé, je pense qu’il faut le laisser grandir. Par contre, on est dans un processus jeune puisqu’il a été publié finalement assez récemment, en 2018, donc c’est un processus qui est jeune.
Delphine Sabattier : Vous pensez qu’il est trop jeune ?
Jean-Noël de Galzain : Je pense qu’il a besoin de mûrir.
Yann Padova : Il est dans l’adolescence.
Delphine Sabattier : Il n’est pas fini.
Jean-Noël de Galzain : Il n’est pas fini, c’est-à-dire qu’il a été créé, il a été publié pour donner un cadre, et après, comme toujours, on va répondre à 80 ou 90 % des situations et il va falloir aller faire, on va dire, du tuning ou des améliorations sur les points de détail, notamment la question de l’innovation. Attention, il faut garder l’esprit du RGPD. Pour moi, le RGPD c’est une révolution dans les consciences qui est de dire « l’innovation ça ne consiste pas à capter les données de tout le monde sans qu’ils le sachent et qu’ils aient le choix de les partager ou non », et ça il faut le garder. Je vous donne un chiffre que j’utilise souvent : 92 % des données des Européens sont hébergées aux États-Unis. Moi je veux bien qu’on parle d’intelligence artificielle, mais si on n’a pas les données, si on n’a pas NOS données, de quelle intelligence artificielle parle-t-on ? Quand on parle des robots de demain qui vont être nourris à l’intelligence artificielle, est-ce que ça va être des robots américains, des robots chinois ou est-ce qu’on va avoir nos propres humanoïdes et notre propre intelligence artificielle ?
Delphine Sabattier : Est-ce que le RGPD répond à cette question ? Je ne sais pas.
Jean-Noël de Galzain : En tout cas le RGPD et les nouvelles réglementations sur lesquelles sont en train de travailler la Commission européenne et Thierry Breton, va dire une chose, va partir d’un principe qui est de dire « nos données sont les nôtres » et après on peut les partager. À mon sens, aujourd’hui la priorité c’est un, d’appliquer le RGPD, deux, de le faire respecter notamment par les grands opérateurs américains ou les grands opérateurs en dehors de l’Europe qui ne l’appliquent pas.
Delphine Sabattier : Donc davantage de sanctions ?
Jean-Noël de Galzain : Davantage de sanctions et il faut faire payer les sanctions. Par exemple il y a eu un procès récemment, il y a quelques semaines, où la maison Facebook a été condamnée parce qu’elle a récupéré des données en provenance de WhatsApp à l’insu de tout le monde, ça n’est pas possible, ça n’est plus audible. Je pense qu’il y a une chose que l’on n’a pas faite et que l’on doit faire d’urgence, c’est donner les moyens à chaque Européen de se protéger lorsqu’il pense ou lorsque ses données sont usurpées. Il y a aujourd’hui une équité au niveau des règles, mais il n’y a pas d’équité au niveau de la possibilité de revendiquer et de se protéger contre l’usurpation de ces règles.
Delphine Sabattier : Justement quand on entend, de l’autre côté de la Manche, la volonté d’assouplir ce règlement pour pouvoir être davantage compétitifs dans la course à l’innovation, est-ce que c’est la bonne voie en disant finalement on est peu trop sévères entre nous, Européens, et trop lâches, trop laxistes avec les autres acteurs. Ou au contraire faut-il dire, comme vous le dites, accentuons les sanctions ?
Yann Padova : Si vous voulez il y a deux choses. Accentuer les sanctions c’est un des problèmes de la gouvernance du RGPD. Le RGPD est un texte qui est, en effet, essentiel sur les principes, les droits qu’il accorde aux personnes. Le problème c’est sa mise en œuvre et la gouvernance entre les autorités.
Delphine Sabattier : Là on a quand même un texte qui rassemble l’ensemble des pays membres.
Yann Padova : Mais le diable est dans les détails et dans la mise en œuvre. Vous avez un délai moyen pour les procédures de sanctions qui concernent plusieurs États, transfrontières, dont le cas qu’évoquait mon voisin à l’instant contre WhatsApp, le délai est de trois ans d’instruction entre le début de la plainte et la sanction et les délais moyens de certains régulateurs sont de 26 à 28 mois. C’est beaucoup trop lent et c’est un des problèmes de mise en œuvre d’effectivité. C’est un point, je dirais, et c’est aussi le fait que certains régulateurs ont des sièges sociaux nombreux, l’Irlande et le Luxembourg pour ne pas les évoquer, et ont des moyens très faibles, donc il y a un problème de fonctionnement. Aujourd’hui, dans l’évaluation du RGPD, cette gouvernance est questionnée. Il y a d’autres modèles qui existent et celle-là est, je dirais, insatisfaisante.
Delphine Sabattier : Il faudrait une sorte de CNIL européenne ?
Yann Padova : Après c’est un saut fédéral, donc c’est un saut politique. Je suis avocat, je ne suis pas politique. Passer à une organisation fédérale c’est une décision politique mais peut-être que c’est la solution par rapport à cette fragmentation qu’on voit apparaître aujourd’hui.
Deuxième chose sur l’Angleterre. Effectivement c’est toujours l’approche anglaise, c’est-à-dire qu’elle est très pragmatique. Ils vont garder le RGPD sinon ils vont interrompre les flux de données libres, ils ne vont plus être adéquats, comme on dit en langage juridique. Ils ont simplement identifié depuis longtemps les zones de friction par rapport à l’innovation, ils veulent être une sorte de hub de l’innovation, de plateforme, de pays qui attire l’innovation. À ce sujet-là ils ont identifié, dans une consultation organisée par le gouvernement, certains points sur lesquels il faudrait peut-être bouger : la réutilisation des données, la recherche, la durée de conservation, des points d’ajustement mais qui touchent à des principes fondamentaux. La ligne de crête va être fine entre est-ce qu’on sort d’un « cadre européen », entre guillemets, au sens large ou est-ce qu’on reste dedans avec l’enjeu majeur à aller défendre dans la salle, c’est l’adéquation. S’ils vont trop loin ils perdent leur adéquation, du coup ils mettent en difficulté les flux de données et aujourd’hui 20 % des flux de données passent encore par la Grande-Bretagne. Donc ce serait un effet disruptif majeur s’ils vont trop loin.
Delphine Sabattier : Est-ce qu’aujourd’hui vous diriez aussi que ce RGPD freine l’innovation en Europe ?
Jean-Noël de Galzain : Il ne freine pas l’innovation en Europe, en revanche il nécessite de mettre en place des précautions de l’usage de la donnée. Je dirais qu’on a un autre problème, disons-le clairement, et ça va peut-être, d’ailleurs, faire le lien avec l’intervention de la personne qui était là précédemment. On a un problème : les plateformes ne sont pas européennes aujourd’hui. Le cloud est américain ou il est chinois. Ça veut dire que nous devons reconstruire nos territoires européens. C’est pour ça que, pour moi, le RGPD est historique.
Delphine Sabattier : C’est une certaine façon de garantir notre souveraineté ?
Jean-Noël de Galzain : Oui. Pour moi, la souveraineté n’est pas une question de nationalité, la souveraineté numérique j’entends. Pour moi c’est un, une question d’autonomie. Que se passe-t-il si demain il y a un problème avec les ressources numériques ? Est-ce qu’on peut limiter donc du coup, nous Européens, se retrouver un peu comme on était face à la pandémie et l’absence de vaccin il y a quelque temps sur une autre pandémie sanitaire ? Je crois qu’il y a un vrai sujet d’autonomie, stratégique. Et il y a un deuxième sujet lié à la souveraineté, c’est la responsabilité numérique. Pour moi la responsabilité numérique c’est qu’on ne peut pas continuer dans un monde où 92 % de nos données sont aux États-Unis. Nous avons un devoir de créer des territoires numériques, des plateformes de cloud, des usines digitales, de reconstruire une chaîne de valeur numérique dans laquelle on respecte les données par design.
Delphine Sabattier : Si je reviens à la question du RGPD et de l’innovation, où est-ce que ça coince aujourd’hui ? Qu’est-ce qui doit changer pour libérer l’innovation en Europe ?
Jean-Noël de Galzain : Par exemple il faut peut-être innover en inventant des systèmes d’intelligence artificielle qui ne manipulent que des données anonymisées. Ensuite, dans l’innovation, il y a ce qu’on appelle les données non personnelles, l’essentiel de l’innovation par exemple dans le domaine industriel. L’Europe est le premier continent industriel au monde. On a un enjeu devant nous qui est l’Internet des objets qui va être mu par la 5G, etc., toutes les nouvelles technologies réseau, et on a un deuxième enjeu qui est l’industrie du futur. On va manipuler des données non personnelles. Quel est le problème autour du RGPD avec les données non personnelles ?
Delphine Sabattier : Est-ce qu’il y a un problème aujourd’hui ? C’est tout à fait possible de manipuler des cohortes de données.
Jean-Noël de Galzain : Je vais vous dire une chose très simple. Il y a quelques années, trois ou quatre ans, le patron technique d’un des GAFAM – je ne vais pas le nommer – au moment où il y avait des problématiques MeToo, expliquait qu’il allait utiliser l’intelligence artificielle à l’intérieur d’un réseau social extrêmement connu pour aller déterminer les problématiques de risques de pervers sexuels, etc., en analysant les données à l’intérieur de son réseau social. En vertu de cela, il proposait simplement, dans un tweet, qu’on donne encore plus de données à ce réseau social, qu’on l’autorise à capter encore plus de données pour pouvoir résoudre les problématiques Metoo, les problématiques de pervers sexuels. Je vais vous poser une question : est-ce que c’est le rôle des réseaux sociaux de régler ce genre de sujet ?
Delphine Sabattier : Je vais vous répondre qu’on a fait beaucoup de débats sur ce sujet et la réponse n’est toujours pas très claire.
Jean-Noël de Galzain : Est-ce que ce n’est pas le rôle des États ? Est-ce que ce n’est pas le rôle de la justice, du régalien ?
Delphine Sabattier : Ma question : sur ce règlement général de la protection des données que nous avons aujourd’hui quels sont les freins à l’innovation qu’il faudrait vraiment lever ?
Yann Padova : Il y en a un juridique. D’ailleurs c’est intéressant, la CNIL s’appelle l’ICO [Information Commissioner’s Office. Elle a organisé ce qu’on appelle un sandbox, dans son domaine, ce qu’on appelle une zone franche d’innovation. Pourquoi a-t-elle organisé ça ?, en plus, j’étais le conseiller stratégique dans cette initiative-là, donc j’étais très impliqué en Angleterre, parce que j’ai un peu prêché dans le désert en France, elle a lancé un appel à projets auprès d’entreprises qui identifiaient des difficultés dans des projets innovants – premier élément il fallait une vraie innovation qui soit dans l’intérêt du public, qu’il y ait un bénéfice social. Donc un appel à projets en disant « j’organise une sorte de zone franche dans laquelle on va pouvoir éventuellement lever certains principes qui posent problème pour voir le résultat ». Eh bien des hôpitaux, Heathrow aéroport, des entreprises, ont soumissionné et ont réussi. L’idée c’est de sortir avec un projet innovant conforme ; au départ il ne l’est pas forcément. Pourquoi ? Parce qu’on utilise des données pour d’autres finalités, le principe de finalité. Pourquoi ? Parce qu’on utilise des données plus longtemps que prévu, principe de durée de conservation limitée enfreint. Principe de réutilisation à d’autres finalités, etc. Information impossible au départ parce que finalité inconnue. Donc vous voyez que juridiquement il y a énormément de problèmes qui ont augmenté dans la granularité de l’innovation.
Delphine Sabattier : C’est dans la cadre de la recherche finalement.
Yann Padova : C’est une recherche, mais par l’entreprise et par les structures publiques. L’intérêt c’est que ça montre très précisément où peuvent être les freins. Le RGPD est un bon texte, simplement il a ses limites. Évidemment, c’est un peu bizarre que ce soit un ancien secrétaire général de la CNIL qui le dise, mais je pense que sur l’innovation il y a de la friction. Elle est fine, mais elle est là. On a l’a vu aussi dans le Covid, dans le partage des données de santé pour telle finalité dans l’hôpital, mais ça peut servir à d’autres choses, en corrélant avec d’autres données on peut avoir une intelligence sur les parcours, sur la pandémie, sur sa géographie. Tout ça c’est du partage de données.
Delphine Sabattier : D’ailleurs on s’est aussi félicités du RGPD comme étant une façon de mettre la cybersécurité au centre de toutes les préoccupations des entreprises, ça c’est vrai, mais ça n’a pas empêché, quand même, des fuites de données.
Jean-Noël de Galzain : La cybersécurité c’est quelque chose qui va permettre de contrôler l’accès aux données, identifier qui accède à quoi. Ça va être l’instrument pour l’application du RGPD, ça va être l’instrument pour protéger les données, les chiffrer, faire en sorte que les infrastructures ne se fassent pas capter des données, que les entreprises ne se fassent pas voler les données. Je pense que la cybersécurité est l’instrument qui va permettre de mettre en application. Du reste, vous avez vu ce matin une annonce de Thales qui faisait un accord avec Google alors que déjà Microsoft avait fait un accord avec Cap Gemini et Orange pour créer des clouds. C’est-à-dire c’est quoi ce pays ? Il y a aussi GAIA-X [2] dans lequel sont rentrés Palantir et les GAFAM. Il y a un sujet qui est, encore une fois c’est ce que je disais tout à l’heure, que les territoires, les plateformes aujourd’hui ne sont pas les nôtres. On a eu l’affaire du Health Data Hub [3] qui pose exactement ce que vous venez dire. En fait Stéphanie Combes, la patronne du Health Data Hub, dit « moi il me faut les technologies les plus performantes avec les services les plus performants pour faire jouer les algorithmes et être très pointus en matière de recherche ». Il y a peut-être un moyen très simple de régler le sujet. Plutôt que de faire exister des sortes de paradis digitaux, un peu comme les paradis fiscaux, des paradis de non-droit sur la donnée, ou ultra-libéraux, ce qui pourrait arriver si, d’aventure, certains pays entiers venaient à sortir du RGPD ou à l’adapter en étant trop libéraux, on pourrait imaginer un cadre – le terme de zone franche n’est peut-être pas le terme approprié – dans le cadre de la recherche publique, sur des sujets dont on a besoin, sous forme d’appels à projets. L’Europe a mis en place des fonds très importants pour investir sur ces sujets de protection des données, de création d’infrastructures, de développement des services digitaux, peut-être faut-il créer, simplement, le cadre qui va nous permettre, dans la recherche, d’utiliser les données en encadrant cela sur des sujets bien précis. Et ça, ça va peut-être faire avancer la recherche pour tous.
Delphine Sabattier : J’ai une question pour l’avocat. Aujourd’hui on a ce règlement européen sur les données personnelles, mais visiblement il n’est pas suffisant puisqu’on est toujours en attente de trouver un bon bouclier pour la question de l’extra-territorialité des données. Vous parlez du Health Data Hub, donc cette centralisation des données de santé des Français dont l’hébergement a été confié à Microsoft, qui a posé cette question sur la table : quid du CLOUD Act [4] qui permettrait aux États-Unis d’avoir accès à ces données dans certains cas de figure. Pourquoi le RGPD aujourd’hui ne répond-il pas à la question de l’extraterritorialité des données ?
Yann Padova : Le principe du RGPD est le suivant : la protection suit la donnée européenne. Si la donnée européenne sort de l’Union elle doit être aussi bien protégée que dans l’Union, c’est ça son principe. C’est pour ça qu’on encadre les transferts, c’est pour ça qu’on ne peut pas faire n’importe quoi dans un pays pas adéquat, etc. Donc, d’une certaine façon, c’est aussi un règlement qui a une portée extraterritoriale.
Delphine Sabattier : Pas suffisante visiblement !
Yann Padova : Elle l’est puisque, par exemple, il y a eu un arrêt de la Cour de justice de l’Union européenne qui a invalidé le mécanisme de transfert aux États-Unis, l’arrêt dit Schrems 2 [5], parce que les garanties étaient insuffisantes et que les droits de surveillance étaient trop intrusifs par rapport aux exigences européennes.
Delphine Sabattier : Pour autant on travaille sur un autre Privacy Shield.
Jean-Noël de Galzain : C’est une question qu’on n’a pas réglée.
Yann Padova : Non, on n’a pas réglé, mais les entreprises ne peuvent rien faire, c’est un problème de droit public, c’est un problème politique : est-ce que les Américains sont prêts à modifier leur droit intérieur de surveillance pour donner satisfaction aux Européens, qu’ils aient des droits sur la surveillance de leurs données.
Delphine Sabattier : Est-ce qu’une évolution du RGPD ne pourrait pas être justement de prendre en charge...
Yann Padova : Le RGPD a déjà une exigence très forte en sortie des données puisque si vous ne respectez pas cette protection vous commettez une infraction au RGPD et potentiellement des infractions pénales en France. Donc le droit est là, c’est juste que, après, il y a un aspect politique.
Delphine Sabattier : C’est le problème de l’application.
Yann Padova : C’est aussi un problème politique : est-ce que les gouvernements sont prêts, américain, aujourd’hui je n’ai pas l’impression, à faire des efforts pour modifier leur droit ?
Delphine Sabattier : Donc on a un super règlement, un peu dur à suivre.
Yann Padova : Complexe.
Delphine Sabattier : Qui fait reposer pas mal des responsabilités sur les épaules des entreprises européennes, mais le vrai problème, ce que vous me dites, c’est l’application.
Jean-Noël de Galzain : C’est l’application et il y a un enjeu, je pense qu’il y a un enjeu majeur. On parlait d’innovation. Moi je pense que l’innovation c’est comment est-ce qu’on va créer demain une innovation numérique qui soit RGPD par design, qui soit privacy et security by design ?
Delphine Sabattier : Pour l’instant, ce sujet n’est pas adressé.
Jean-Noël de Galzain : Ça commence. Là on parlait d’OVH, j’ai entendu OVH sur votre antenne il y a quelques minutes, c’est une société qui, aujourd’hui, est une société qui vient de l’innovation française, d’un entrepreneur, d’une famille d’entrepreneurs d’ailleurs immigrés français, c’est intéressant, c’est un sujet d’actualité. C’est une entreprise qui est en train de devenir un leader mondial. Dans la cybersécurité, les entreprises qu’on fédère à l’intérieur du groupement Hexatrust par exemple, on est un certain nombre d’ETI [Entreprises de taille intermédiaire] qui commençons à être installées. Si je prends le cas de la société Wallis, on est dans dix pays différents. On a l’opportunité de créer des géants du numérique qui défendent une vision d’un numérique RGPD.
Delphine Sabattier : On est d’accord. On va continuer sur la lignée de ces sujets très engagés pour ce numérique français juste après la pause. On va retrouver le rendez-vous avec Le Monde du libre et on va parler de la place du logiciel français dans l’administration. Merci beaucoup Yann Padova, avocat associé au cabinet Baker McKenzie à Paris, et Jean-Noël de Galzain fondateur et PDG de Wallix.
Jean-Noël de Galzain : Merci.
Yann Padova : Merci à vous.
Delphine Sabattier : Merci.