Bercy, Paris | 26/01/23 | Replay vidéo et compte-rendu
RGPD: au défi de la souveraineté et de la compétitivité
A la faveur des Assises Data Transformation dont elle est partenaire, La villa numeris initie ses travaux sur le RGPD qui s’imposent à tous les acteurs économiques depuis cinq ans
Depuis 2018, le Règlement général de protection des données (RGPD) joue un rôle central au sein des entreprises. A l’approche de la date d’anniversaire – le 25 mai 2023 – notre think tank va porter des travaux autour de ce texte. Pour ce faire, une table-ronde réunissait deux dirigeants pour poser les bases de la réflexion les locaux du ministère de l’Economie et des Finances jeudi 26 janvier 2023.
Echange avec Juliette Rouilloux-Sicre, vice-présidente Data, Propriété intellectuelle et Cyber du groupe Thales, Nicolas Rieul, vice-président d’Europe de l’Ouest de Criteo, et David Lacombled, président de La villa numeris
A l’échelle de l’Europe
«Si l’Europe peut s’enorgueillir d’avoir un texte qui s’applique sur tout le continent et qui définit un cadre concurrentiel stable», pour David Lacombled, président de La villa numeris, qui animait le débat, «le RGPD ne doit pas entraver les entreprises».
Juliette Rouilloux-Sicre, vice-présidente Data, Propriété intellectuelle et Cyber du groupe Thales, y voit un signal fort: «l’Union européenne a réussi à faire une loi à portée extraterritoriale ; ce qui n’est pas toujours le cas. Pour une fois, l’Union européenne a instauré une loi avec un certain nombre d’exigences valables pour les Européens mais pas seulement. Elle l’est aussi pour toutes les entreprises qui ciblent des produits et des services à destination de l’Europe». «On s’aligne à 27 Etats en Europe», confirme, Nicolas Rieul, vice-président d’Europe de l’Ouest de Criteo. Celui qui est également président de l’Alliance digitale revient sur les différents objectifs de la réglementation dont celui de «la création d’un marché unique européen: parler le même langage légal sur tout le territoire européen. On connaît la force d’un marché chinois ou américain avec un marché intérieur très important qui permet de scaler. On ne parle pas tous la même langue en Europe mais si on parle la même langue légale, on pourra scaler plus facilement nos business. Avoir une même façon de gérer les pays ; c’est très pratique».
Une montée en compétence
Juliette Rouilloux-Sicre souligne «la montée» en compétence des acteurs sur le sujet de la protection des données personnelles» relevant «l’accélération de la transformation numérique des entreprises et des projets autour de l’intelligence artificielle (IA)». Pour elle, «le niveau de maturité des acteurs sur le sujet est bien plus important» et de la part de multiples parties prenantes. Nicolas Rieul évoque ainsi «une prise de conscience, à tous les niveaux, dans chacune des entreprises. Je suis en charge des activités commerciales et mes équipes sont sensibilisées. Ce n’est plus uniquement l’affaire d’une équipe légale ou du DPO qui sont évidemment des experts pour accompagner. Il y a une vraie prise de conscience dans chacun des actes effectués. C’est vrai aussi pour une association de quartier qui gère des emailings». Juliette Rouilloux-Sicre relève aussi «la bonne connaissance du sujet: du top management aux collaborateurs».
«Le choix est maintenant beaucoup plus clair» considère Nicolas Rieul évoquant «les bannières de consentement RGPD sur tous les sites médias venues renforcer la façon dont on demande le consentement à l’utilisateur. En France, sur n’importe quel site média, vous pouvez accepter ou refuser en un seul clic, sans aller chercher très loin. Cela aurait pu être une mesure d’inquiétude pour les acteurs de la publicité digitale. En réalité, quand on donne le choix à un utilisateur, il accepte et plébiscite, en très grande majorité, la publicité personnalisée».
Pour un meilleur accompagnement
«Il y a un vrai sujet d’accompagnement des entreprises. Cela a été très lourd pour les investissements de toutes les entreprises et dans tous les secteurs. Le RGPD arrivait il y a 5 ans ; on aurait dû avoir en même temps une mise à jour de la directive e-privacy qui aurait dû préciser beaucoup de choses sur le digital. Or, on est resté sur quelque chose de très large», relève Nicolas Rieul. Outre l’accompagnement, Juliette Rouilloux-Sicre plaide pour «une grande réactivité dans la mise en place de guidelines et de recommandations. Le régulateur met parfois un peu de temps, par souci de bien faire». S’installe alors une «incertitude juridique qui peut bloquer certaines activités».Peut s’améliorer. Il faut «travailler et améliorer» conseille Nicolas Rieul notant «les problèmes d’interprétations différentes au niveau local. Les autorités de protection des données interprètent le texte potentiellement de façon différente. Les différences d’application peuvent avantager certains acteurs plutôt que d’autres». Il propose ainsi d’«avoir une application du texte qui est la même pour scaler du business tout en respectant les droits fondamentaux de l’utilisateur».
David Lacombled se demande néanmoins si parfois nous ne sommes «pas trop zélés dans l’application de ce texte». Il souligne, ainsi, «le risque de brider la création et l’innovation». Nicolas Rieul note ainsi le risque de «freiner l’innovation et que les entreprises s’autocensurent dans ce qu’elles développent». Evoquant ChatGPT, Nicolas Rieul partage son point de vue: «je ne pense pas que cela ait pu arriver, exister et être conçu en France et en Europe. C’est la plus grande innovation complètement disruptive ; ce n’est pas arrivé sur le territoire français et européen ; il faut se demander pourquoi. On veut créer des champions européens».
En effet, le président de La villa numeris rappelle que «les CNIL européennes n’ont pas chômé en 2022. 438 amendes au niveau du continent pour un total de 800 millions d'euros. La France a eu 9 amendes pour un total de 25 millions d’euros». Aussi, Juliette Rouilloux-Sicre indique que «les sanctions augmentent significativement. Les géants américains biaisent un peu les chiffres des CNIL européennes». Elle souligne que «les montants des sanctions encourues sont extrêmement importants. Ce n’est pas certain que ce soit la seule manière de s’assurer de la conformité des entreprises».
Selon elle, «ce qui tétanise les entreprises, c’est le foisonnement de régulations avec, à chaque fois deux points majeurs, la mise en place de sanctions qui pourraient être cumulatives et la création d’autorités administratives indépendantes qui pourraient avoir des visions différentes et pas forcément être coordonnées avec elles». Elle note que «l’Europe met en place une stratégie de la data et du numérique qu’on ne retrouve pas dans les textes. On ne demande que cela d’innover!» Nous voici, selon David Lacombled, sur «une ligne de crête entre tenir cette souveraineté exacerbée tout en maintenant une forme d’attractivité ne serait-ce que pour faire venir des capitaux pour permettre à nos entreprises de croître».