[Facebook] "Le RGPD définit un standard mondial", tranche Gilles Babinet

• Twitter
• Facebook
• Linkedin
• Flipboard
• Email

L'Usine Nouvelle - Le scandale Facebook-Cambridge Analytica ne souligne-t-il pas l’apport du règlement européen sur les données personnelles ?

Gilles Babinet - Cette affaire va dans le sens des Européens, qui disent qu’on ne peut pas faire n’importe quoi avec les données personnelles. Pour moi, le RGPD est un texte historique. C’est un texte qui, demain, se comparera peut-être au code civil et aux droits sociaux. Le code civil a été un marqueur de la première révolution industrielle, les droits sociaux de la deuxième. La troisième révolution industrielle, le RGPD ? Ce peut être un marqueur important, car il ramène aux droits de l’individu la complexité de l’aura numérique formée par les données personnelles. Le RGPD établit des principes fondateurs qui pourraient être de nature constitutionnelle.

Ce texte va-t-il influencer le reste du monde ?

Le RGPD va harmoniser les pratiques au niveau mondial. Une entreprise comme Facebook ne va pas proposer une expérience utilisateur pour les Européens et une autre pour les Américains. Ils vont mettre tout le monde au même niveau. Le RGPD va normaliser les expériences à une échelle jamais vue auparavant. Il définit un standard mondial. L’Europe est la plus grande zone de consommation au monde avec des gens à revenus élevés, cette régulation normalise le monde de fait.

Le RGPD règle-t-il tout ?

Il pose des principes. L’inconvénient, c’est que comme pour tout texte principiel, cela appelle beaucoup de jurisprudence. Le cas de données de réseaux sociaux est à cet égard très intéressant. Le droit à la portabilité introduit par le RGPD vous permet de récupérer vos données auprès d’une plate-forme pour en changer. Mais, par exemple dans le cas de Facebook, est-ce que vous pouvez aussi aspirer votre social graph, votre réseau de connexion avec les gens, avec leurs données personnelles ? Si vous voulez retrouver vos contacts sur un autre réseau, il vous faut bien des identifiants pour ressouder la donnée avec eux… Plus largement, la question de savoir si vous pouvez récupérer les données d’environnement qui contextualisent ce que vous faites va, à mon avis, empoisonner les régulateurs pendant un moment !

Y a-t-il besoin d’encore plus de régulation ?

Nous n’en sommes qu’au début. Il nous faudra aussi réguler le machine learning, par exemple. Il faut bien voir que nous allons vers l’inconnu. Les fake news et leur menace de distorsion de la démocratie, c’est un sujet que l’on n’avait pas vu. Le Parlement fait une loi… Je suis très circonspect sur la réponse a priori de la législation : je pense qu’il nous faut de la softlaw, de l’expérimentation et du droit ensuite, ex-post. Le problème du droit ex-ante, c’est que l’on tape à côté dans beaucoup de cas. C’est typiquement le cas en France avec les données de santé : la restriction de l’usage du NIR [le numéro de sécurité sociale, NLDR] comme identifiant, les hébergeurs agréés santé… Ce sont des erreurs majeures, dont la Commission nationale de l’informatique et des libertés (Cnil) est responsable, qui font que la France est l’une des dernières en e-santé en Europe.

Que pensez-vous de la promotion par Gaspard Koenig d’un droit de propriété sur ses données personnelles ?

Gaspard Koenig pousse la notion de propriété jusqu’au bout et cela force à réfléchir. Il dit : "J’ai une espèce d’aura numérique et même si ce n’est pas moi qui l’ai structurée, j’en ai la propriété, car elle est fondée sur mes données." En somme, ce qui compte, ce serait peut-être plus notre projection dans le monde digital que les données stockées. C’est intéressant et je n’ai pas aimé comment la Cnil a essayé de fermer le débat. Mais Gaspard Koenig n’est pas seul. Jaron Lanier, aux États-Unis, en parle depuis quinze ans. Ce ne sont pas des contributions que l’on peut évacuer. Mais comme d’habitude, ce débat va se retrouver dans les grandes universités américaines, qui vont mâcher le boulot, avec un angle américain. Et nous allons nous réemparer du sujet dans cinq ans en réaction à ce qui a déjà été pensé… Cela m’agace quand ce sont les acteurs de la régulation qui s’emparent des débats. La Cnil est là pour exécuter la loi. Pas pour l’influencer.

Quel va être l’impact du RGPD sur les entreprises ?

En imposant des notions simples, comme la gouvernance de la donnée et l’audit, le RGPD pousse vers une logique de plate-forme. Quand vous êtes en lac de données, dans une administration avec des API [application programming interface], il est beaucoup plus facile – et moins coûteux – de gérer les données personnelles que quand vous avez des bases de données en silos disséminées au sein de l’entreprise. Et cela vous permet de proposer une expérience utilisateur bien meilleure. C’est une question d’architecture. Je pense que le RGPD pourrait déclencher un sursaut technologique. Quitte, peut-être, à devoir faire table rase du passé…

Ce règlement ne risque-t-il pas de freiner l’innovation ?

Il va probablement limiter les potentialités technologiques. Mais le progrès, c’est quand même aussi fait de beaucoup de régulation. Si on suivait l’approche qui semble être celle de Trump aux États-Unis qui est de favoriser les grands acteurs, je pense qu’on martyriserait très vite les gens avec les données de santé, sociales… Si l’on veut des sociétés orwelliennes, supprimons la régulation !

Peut-on espérer que le RGPD fasse émerger des champions européens face aux Gafa ?

Le texte n’est pas fait pour cela. Les Gafa seront vraisemblablement conformes au RGPD. Ce serait un leurre de croire que le RGPD nous protège des Gafa. Pour autant, je ne suis pas de ceux qui pensent qu’il y a une domination inéluctable des Américains et des Chinois. Les cycles d’innovation sont de plus en plus courts et les positions gagnées se perdent vite. Il y a d’autres moyens d’imposer des contraintes, comme la norme, et les Européens peuvent compter sur leur capital humain. Mais la seule chose qui nous protégera des Gafa, c’est d’avoir une vision politique pour l’Europe.

Quelle devrait être cette vision ?

L’Europe a besoin d’une vision agressive, ancrée dans la modernité. Outre l’intelligence artificielle, les blockchains sont une vraie révolution avec la perspective d’une décentralisation des réseaux. Que voulons-nous en faire ? Il faut une vision et un investissement massif dans le numérique, qui passe par une Europe de la défense. Nous sommes un peu comme au début des Trente glorieuses, avec un énorme effort à réaliser. C’est un moment historique. À la Commission européenne, mais aussi en France, des gens commencent à réfléchir autrement. Il nous faut saisir cette opportunité.

[RGPD] Le règlement qui change tout 3 / 7