#Replay | B Smart | Smart Tech
Passer d’une culture de la sanction à l’accompagnement
Alors que les textes législatifs s’accumulent, un renforcement du dialogue entre la CNIL et les entreprises s’impose
David Lacombled est invité de l’émission présentée par Delphine Sabattier pour présenter le rapport de La villa numeris sur les cinq ans du Règlement général sur la protection des données (RGPD) auquel réagit Bertrand Pailhès, directeur des technologies et de l'innovation de la CNIL.
Delphine Sabattier, journaliste: Vous regardez Smart avec votre quotidienne sur l'innovation et le numérique. On est sur B Smart. Et maintenant c'est le moment de notre grand rendez-vous avec David Lacombled, le président think tank La villa numeris.
Vous avez publié un rapport dont on a déjà parlé sur le règlement général de la protection des données, le célèbre RGPD. Donc après cinq années d'application, on va s'intéresser à la France en particulier et vous poser la question est ce que ça se fête? Alors, au moment où on avait évoqué la sortie du rapport, moi j'avais dit dans l'émission que vous mettiez quand même les pieds dans le plat avec ce rapport, donc ça ne se fête pas vraiment ces cinq ans, finalement.
David Lacombled, président de La villa numeris: Bon, je suis d'accord, la réponse c'est déjà un peu dans la question Il faut bien l’avouer. Nous, on se fait le porte-voix des entreprises que nous avons interviewées et avec un bilan somme toute contrasté. Alors l'accueil a été très favorable des organisations, des citoyens, des entreprises et il faut bien voir que cette affaire n'est pas encore stabilisée, ne serait-ce que parce qu'il y a une jurisprudence abondante en la matière et que les choses évoluent également.
Si on parle du recueil des consentements, puisqu'on est bien en cela, je donne mon accord pour qu'on utilise mes cookies quand je vais sur un site. D'ailleurs, je le fais de manière de plus en plus automatique tant j’en ai pris l'habitude et je sais parfaitement où le bouton se trouve. Mais néanmoins, certaines entreprises l'ont détourné parce qu'elles vous forcent au consentement, ne serait-ce que pour continuer vos visites.
Et ça ne contribue pas à installer un climat de confiance. D'ailleurs, un Français sur deux dit ne pas avoir confiance dans le numérique. Et selon un sondage publié en novembre dernier de l’ACSSEL, et c'est bien le but de ce texte et de son application aujourd'hui que de créer des liens de confiance pour les entreprises.
Effectivement, on peut s'enorgueillir que ce texte soit mondialement connu et soit même approprié par certains États. Ce qui n'empêche pas malheureusement d'être parfois encore dans des flou juridiques, ne serait-ce que entre l'Europe et les Etats-Unis, avec l'absence d'un Privacy Shield par exemple. Et donc effectivement, on a une instabilité qui fait que vous investissez moins quand vous êtes une entreprise.
Ensuite, il y a une obligation de rendre des comptes dans le RGPD, l’accountability, et on publie dans notre rapport un dossier de conformité très conséquent à remplir. Alors quand vous êtes une grande entreprise avec un service juridique pléthorique, ça va. Quand vous êtes une plus petite entreprise, c'est là où ça commence à être difficile. Ensuite, il y a eu la mise en des délégués à la protection des données, les DPO. Ceux-ci sont perçus en entreprise comme les représentants de la CNIL, mais ils sont une porte d'entrée intéressante mais qui, là aussi, même s'ils n'ont pas de pouvoir décisionnel puisque ce n'est pas leur fonction, ils peuvent mettre en garde. Et on se retrouve parfois avec des entreprises qui vont être dans l'autocensure, l'autocontrôle, et ne pas oser aller jusqu'au bout des projets. Et c'est pour cela qu'elles ont le sentiment aujourd'hui d'être un peu au milieu du gué.
Delphine Sabattier: Alors je ne l'ai pas précisé, mais est resté avec nous en plateau et je vous en remercie. Bertrand Pailhès, directeur de l'innovation et des technologies à la CNIL. Donc, vous allez bien évidemment réagir à ce sujet. Il semble quand même, David, que les entreprises aient pris le pli de ce RGPD, même si, cinq ans ce n'est pas beaucoup, C'est encore très jeune.
David Lacombled: Il y a peu de salariés non formés et d'entreprises qui ne le connaissent pas, c'est indéniable. Et effectivement, les DPO également ont rempli leur office au sein des entreprises, ne serait-ce que par le rappel du droit qu'ils peuvent faire en permanence. Malheureusement, la CNIL aujourd'hui est plus perçue comme un gendarme qui manie le bâton que la carotte.
Delphine Sabattier: Oui, c'est difficile d'aimer la police. Alors dans ce rapport donc, vous êtes d'ailleurs assez sévère, je trouve, avec ces relations entre la CNIL et les entreprises.
David Lacombled: Les entreprises ont été relativement sévères et d'ailleurs pour la plupart, n'ont pas voulu s'exprimer à visage découvert. On est face à une autorité indépendante et une des plus anciennes en France. 1978 après la CADA, si mes souvenirs sont bons. La qualité des membres est indéniable et celle de ceux qui la font vivre au quotidien également, C'est indiscutable. Mais effectivement, l'approche, un peu radicale, centrée autour de la sanction, fait qu'on a des entreprises qui vivent dans la crainte.
Ensuite, c'est vrai que la protection des données a été érigée comme un quasi droit absolu, oubliant parfois, nous semble-t-il, un principe de conciliation, sur la préservation de la santé ou le développement économique par exemple. Et donc effectivement, in fine, on se retrouve avec des entreprises qui ont le sentiment de ne pas pouvoir toujours être entendues, même s'il y a beaucoup de choses qui sont faites en termes de formations, de colloques, conférences et de numéros de téléphone. Mais il est vrai qu'on a d'autres autorités de régulation, sectorielles, qui ont tiré leur légitimité du fait d'un dialogue très en amont avec le secteur qui le régule. Je pense à l'ARCEP par exemple pour les télécommunications, La Poste et la distribution de la presse ou l’ARCOM, pour la télévision, et de plus en plus pour Internet. C'est vrai que la CNIL est plus crainte par les entreprises.
Delphine Sabattier: Et vous allez même un peu plus loin puisque vous dites qu'il faudrait même repenser la composition de la CNIL.
David Lacombled: 2024 sera une année de renouvellement. Et effectivement, certainement faut-il changer de cap. Mettre un peu plus d'entrepreneurs et de représentants de l'innovation serait aussi un bon moyen de se faire entendre, tout simplement. De jouer aussi un peu plus l'inter régulation. C’est dans ses principes mêmes, mais cela a tourné finalement vers une autorité de contrôle. On en a parfois oublié le fait de devoir dialoguer aussi avec les autres autorités. Et c'est un impératif. Vous parliez à l'instant de l'IA Act qui va arriver. On voit bien qu'on a une accumulation de textes. Le DSA, Digital Services Act, va arriver en discussion au printemps, dans quelques jours au Parlement, on voit bien qu'on est dans de la distribution entre différentes autorités, des copies. On est sur l'encadrement des plateformes, on risque malgré tout l'enchevêtrement et l'accumulation des textes.
Delphine Sabattier: Bertrand Pailhès. Vous avez entendu, vous avez lu, évidemment, vous connaissez très bien ce rapport. Vous avez entendu ces crédits, Je l'ai titré côté coulisses. Et là, on est vraiment dans les coulisses, c'est à dire dans les relations entre les entreprises et le gendarme, mais qui protègent des données personnelles.
Bertrand Pailhès, directeur des technologies et de l'innovation de la CNIL: Oui alors nous on fait pas le même constat. Et évidemment alors, et je pense qu'on n'a peut-être pas eu assez l'occasion de discuter sur les pistes de ce rapport et de peut-être de faire valoir un dialogue qu'on a maintenant. De deux choses l'une, d'une part, on a une très importante mission de conseiller à la CNIL, on répond à 500 demandes d'entreprises par an de gens qui vont nous dire comment je fais ci, comment je fais ça. Et on le fait avec une logique qui n'est justement pas celle de la sanction. Donc effectivement, ce n'est pas connu, c’est peut être moins connu. C'est vrai qu'à côté on reçoit des plaintes. On doit aussi traiter 15 000 plaintes de personnes qui ont des problèmes avec des entreprises. Et peut-être le deuxième point, c'est que je pense que c'est une partie des constats, je peux les percevoir. Je pense qu'il ne faut pas généraliser. C'est ce qui arrive dans certains secteurs. Nous, on ne traite pas pareil. Il y a des secteurs sur lesquels il y avait des non-conformités majeures au RGPD et du coup, il a fallu faire changer les pratiques.
On a essayé de le faire de manière de manière aussi prédictible que possible. Donc c'était notamment le cas du marketing digital sur les cookies. Et c'est un sujet où on sait que le secteur est très vigilant. Ils ont construit une économie qui est basée sur la publicité personnalisée et ciblée et où il faut le RGPD. Il faut qu'il y ait un effet. Ce n'est pas toujours le cas. Si c’est une entreprise de mécanique, votre sujet RGPD, c'est vos RH et votre vidéosurveillance. C'est important, il faut le faire, mais ça ne demande pas du tout le même niveau d'expertise juridique pour comprendre. Enfin, on a des choses très balisées, on publie beaucoup de choses qui permettent d'être, de se mettre en conformité, même si on doit toujours faire plus l'effort d'être compris par des non-spécialistes.
Mais en tout cas, ce que je veux dire, c'est que nous, on a bien conscience qu'on doit répondre aux besoins des entreprises. On constate que peut être toutes les entreprises n'ont pas si peur que ça, puisqu'il y a quand même, il y a des fois des gens qui ont fait découvrir le RGPD et. Et par contre, c'est sûr qu'une régulation, elle est là pour changer des choses. Donc l'objectif de cinq ans après, c'est aussi qu'il y a des gens qui pensaient que ce qu'ils faisaient, c'était bel et bon. En fait, ils comprennent que ce n'est pas bel et bon et qu'il faut qu'il faut changer. Eh bien ça, c'est sûr que les entreprises n'aiment pas trop ça.
Delphine Sabattier: Bon aussi, du côté la CNIL, y a peut-être des choses aussi à changer. En tout cas, si le dialogue s'installe encore davantage entre les représentants des grandes organisations et des plus petites aussi, qui souffrent parfois des nouveaux règlements et l'autorité de régulation, c'est parfait. Moi, je suis ravi que vous soyez en face tous les deux.
David Lacombled: Donc c'est vrai que la communication par la sanction et on ne retient que ça parce que c'est. Il y a un effet à chaque fois de blast. Quand Facebook est condamné à 1,2, comme ça a été le cas la semaine dernière en Irlande, même si entre les lignes, on voit bien qu'elles ont été aidées par d'autres autorités, on retient cela en priorité. Alors c'est vrai que la CNIL a fait que la France est dans le top 3 des sanctions européennes et qu'on a tendance à s'attacher à ça. Et donc je pense qu'il faudrait aussi communiquer effectivement sur le nombre de formations d'entreprises reçues en particulier.
Bertrand Pailhès: Tout à fait. Le cas de Meta qui est 1,2 milliard, il ne faut pas que toutes les entreprises se disent que je risque d'avoir 1,2 milliard. C'est quand même une activité qui est très particulière, avec des conformités majeures et répétées qui le justifient, des non-conformités majeures et répétées.
Je prendrai un exemple récent qu'on a lancé il y a quelques semaines. C'est ce qu'on a appelé l'accompagnement renforcé. On prend trois entreprises, donc Hugging Face qui fait des modèles et des data set d’IA qui rend ça disponible, Lifen, qui fait de l'exploration de données pour la santé et Content Square qui fait de l'optimisation de sites web, trois sujets très sensibles en termes de protection des données sur lesquels on s'engage là à les accompagner pendant plusieurs mois pour s'assurer que leur conformité est faite et ne pas se mettre dans une position de sanction, mais bien dans une position d'accompagnement très renforcée où on met beaucoup d'équipes.
Delphine Sabattier: Merci beaucoup. Merci Bertrand Pailhès de la CNIL et David Lacombled de La villa numeris.
:: Pour aller plus loin:
:: Smart Tech est le magazine dédié au monde de l’innovation et à la nouvelle société numérique animé par Delphine Sabattier
:: Retrouvez B Smart sur votre TV: Bouygues (canal 245), Free (canal 349) et Orange (canal 230)