RGPD : échec de la Protection, triomphe de la Gouvernance

RGPD : échec de la Protection, triomphe de la Gouvernance

En décembre 2017, GreenSI s’étonnait que la prévision de l’année 2020 était l’explosion des emplois en IA, de l’ordre 2 millions, sans considérer l’épée de Damoclès que l’Europe allait mettre en 2018 sur tous ses champions : le RGPD. Le carburant de l’IA restant la donnée et la donnée personnelle s’immisçant partout quand les experts cherchent la petite bête ou l’exception, l’équation semblait insoluble.

Le RGPD est maintenant en place depuis plus de trois ans et en regardant autour de vous le constat semble sans appel. L’intention initiale à bien fait pschitt et le RGPD est aujourd’hui plus présent par la gouvernance qu’il impose aux entreprises basées en Europe que par la protection des données des européens qu’il amène à ceux qui naviguent sur l’internet mondial.

publicité

La protection des données a même peut-être aussi touché ses limites pendant la crise sanitaire. Elle a été utilisée pour bloquer la diffusion d’un moyen moderne de prévenir et de sauver des vies, l’application TousAntiCovid. Plus d’un an après sa sortie, elle commence à s’imposer comme une évidence de protection des individus pour fréquenter les lieux publics, alors qu’elle n’a été sauvée que par le passage en force du gouvernement. 

D’ailleurs, dans les entreprises et le service public, de multiples idées innovantes et bienveillantes sont enterrées tous les jours, car une “opposition” pourrait exploiter l’épée de Damocles du RGPD pour nuire à l’entreprise.

Et pour ceux qui n’ont pas que des idées bienveillantes, plus la contrainte se renforce (comme avec le Digital Act sur les cookies et qui a suivi le RGPD), plus l’avantage est donné à ceux qui ont les moyens techniques et financier de la contourner. Sans compter que l’IA qui prendra des décisions sera de moins en moins “explicables” pour un humain (fini le bon vieux cookie dont il suffisait de tester la présence…) ce qui ne sera pas sans créer des casses têtes juridiques.

C’est pourquoi les publicités qui s’ouvrent sur nos écrans sont de plus en plus précises et qu’il suffit de laisser son smartphone écouter ses conversations pour les rendre encore plus précises !

Ce n’est plus un secret pour personne, et c’était d’ailleurs une prédiction de GreenSI dans un billet de 2017, les nouveaux paradis du traitement de la donnée personnelle sont devenus une réalité, comme d’autres sont depuis toujours des paradis fiscaux.

Certains territoires cumulent même d’être à la fois des spécialistes du traitement des données personnelles et des technologies militaires d’espionnage, comme la “Silicon Wadi” en Israël où toutes les grandes sociétés numériques américaines y avaient déjà un laboratoire de recherche. C’est dans ces paradis que vous pouvez y localiser vos usines de stockage, de raffinage et vos projets de recherche “sensibles”. Il y a peu de chance que notre CNIL, bras armé du RGPD, puisse y débarquer et questionner le registre des traitements et les algorithmes de scoring des citoyens européens. Les fenêtres de validation du consentement aux options non décochables ou aux parcours semés d’embuches pour les décocher, n’y craignent pas non plus grand-chose pour les sociétés non européennes.

Est-ce que les citoyens se sont emparé de ce texte et ont poursuivi des entreprises, car c’est bien en leur noms que tous se décide ? Les juristes nous disent que c’est très limité et que les actions ne sont engagés que par les CNIL européennes. La CNIL française elle-même reconnait dans son rapport annuel avoir reçu plus de 13.000 plaintes, mais finalement prononcé que 14 sanctions en 2020. 

L’Europe de 2018 nous aura donc laissé une approche technocratique, majoritairement mise en œuvre en Europe, qui en trois ans, aura eu peu d’impact sur l’exploitation massive des données personnelles des européens.

Est-ce que l’Europe croit encore a ce bouclier qui aurait protégé les données personnelles des européens ? On a plutôt l’impression que la nouvelle commission est passée à autre chose.

Peut-être sous l’impulsion du nouveau commissaire Thierry Breton, l’Europe se cherche maintenant des champions pour construire ce havre de paix, au lieu de vouloir faire adapter celui des champions américains comme elle le clamait en 2018. Le plan de relance européen est d’ailleurs une chance de ce point de vue là.

Le dernier billet sur la stratégie “Cloud First” de l’Administration montre que l’intention de la France est identique, même si on peut encore douter de l’approche et y voir un cheval de Troie des opérateurs de cloud américains.

Comme souvent, le RGPD aura certainement raté son objectif de résultats, mais bien réussi son objectif de moyens.

L’impact principal du RGPD aura été de renforcer la gouvernance des données dans les entreprises et services publics européennes, en menaçant d’amendes énormes. Les amendes d’Amazon et Google en dizaines de millions d’euros sont souvent exhibées comme des trophées, mais ne nous leurrons pas, on est très loin du 4% du chiffre d’affaires qui peut s’appliquer à une entreprise ayant moins d’avocats et de liberté de localisation de ses ressources dans le Monde.

Et en fixant un prix à l’exposition de données personnelles (les 4%), cela crée un marché pour un type de cyberattaques visant à les dérober là où il n’y avait avant qu’un risque d’image pour l’entreprise. Et qui dit risque, dit développement du marché de l’assurance “cyber”.

Ainsi les postes de “Data Protection Officer” imposés par le RGPD ont été créés ou cette charge a été sous-traitée à des consultants spécialistes. L’entreprise a aussi investi dans la sensibilisation et la formation du personnel, et s’est faite appuyer de nouveau, par des consultants pour ses audits de conformité de l’existant. Le marché du conseil a donc été tiré par la mise en conformité, un peu comme le contrôle technique automobile a créé le réseau des sociétés de contrôle, et c’est peut-être ici qu’il faut chercher la création d’emplois, en plus du secteur de la cybersécurité, et moins dans l’IA.

Le moindre nouveau site internet bienveillant fait maintenant l’objet de multiples réunions avec de multiples interlocuteurs, juste pour vérifier que les conditions légales sont respectées et que la capture du consentement est conforme sur la page web. Le RGPD aura réussi pour la gouvernance des SI, en seulement 3 ans, à lui faire gagner au moins 10 ans pour toutes les entreprises. Une gouvernance qui était jusque-là limitée aux industries avec une réglementation spécifiques, comme la Banque, ou aux sociétés côtés à l’international. Elle touche maintenant jusqu’à mon traiteur, avec son site internet monté à la hâte pendant les confinements et son cahier de livraison qui contient mon numéro de portable.

La seule note positive du RGPD serait donc finalement la gouvernance des SI, maintenant mieux considérée, staffée et contrôlée. 

Tout ceci est certainement une très bonne chose sur le long terme, mais tout cela a un coût à court terme. Un coût qu’il faut intégrer dans une compétition mondiale que d’autres n’ont pas, comme on l’a vu. Parfois le RGPD fait penser au bio dans l’alimentaire, tout le monde en souhaite, mais personne ne veut en payer le prix et les importations à bas coût de pays moins regardant sur les conditions de production ne sont pas bloquées à la frontière.

L’Europe aura finalement imposé ses normes en matière de gouvernance des SI, à ceux qui n’ont pas les moyens d’y déroger, et il faudra encore du temps pour qu’elles produisent des effets à l’échelle de la planète et de nos écrans branchés sur des applications et des terminaux très majoritairement chinois ou américains.

Parce que c’est peut-être ça le fond du problème qu’il faudrait attaquer : aider à l’émergence de plateformes européennes pour les européens. Dans la fragmentation toujours plus grande de l’internet mondial, le havre de paix européen des données personnelles sera construit par des acteurs européens. Les licornes sont ces nouvelles multinationales géostratégiques de l’ère du numérique. Saluons donc l’arrivée de ces nouvelles “scale-up” au lieu de saluer les amendes RGPD records infligées à des entreprises européennes.

Le réseau CNIL européen devrait ajouter a son rapport annuel une partie sur la contribution du RGPD à faire émerger des offres différenciantes qui ont contribué à propulser des entreprises européennes et créer de la richesse. De regarder lesquels des 99 articles sont bénéfiquement à l’œuvre avec un équilibre entre protection et gouvernance.

Et si elles n’en trouvent pas, de comprendre que le règlement n’est pas le bon instrument, voir est le pire, et qu’il devrait être revu et mis à profit de l’émergence d’une nouvelle souveraineté européenne. 

Et on fait quoi maintenant à la DSI au quotidien pour concilier développement et réglementation ? Tais-toi et rame !

Leave a Reply

Your email address will not be published. Required fields are marked *