mardi 27 novembre 2018

Le RGPD 6 mois plus tard : tout ça pour ça ?!


Cela fait 6 mois, jour pour jour, que le Règlement Générale sur la Protection des Données - RGPD - est entré en vigueur en mai 2018.

Les internautes européens ont donc aujourd'hui des droits renforcés et peuvent mieux contrôler leurs traces numériques, et agir dessus si besoin.

En France c'est le secrétaire d'État au numérique lui-même, Mounir Majoubi, qui s'est déplacé sur les plateaux TV démontrer que chaque citoyen pouvait aller récupérer ses données et qu'ils seraient surpris sur ce que les GAFAs savent de vous. Et puis depuis le 25 mai c'est surtout le début de l'avalanche d'e-mails et de pop-ups pour valider l'acceptation de l'utilisation de ses données personnelles.

Tout a donc l'air d'être pour le mieux dans le meilleur des mondes, l'Europe, où ses citoyens vivent sous un parapluie de protection numérique très différenciant par rapport au reste de la planète. Et puis GreenSI est tombé par hasard sur l'extension "I dont'care about cookies".


C'est une extension du navigateur Chrome écrite par un développeur européen (croate) qui met les pieds dans le plat dès sa description de l'application : "Les réglementations de l'UE exigent que tout site Web utilisant des cookies obtienne l'autorisation de l'utilisateur avant de les installer. Imaginez à quel point cela devient irritant lorsque vous surfez anonymement ou si vous supprimez les cookies automatiquement à chaque fermeture du navigateur."

Ce que fait cette extension est très simple, elle accepte tous les cookies en automatique, sans que vous ayez à les lire, et ainsi vous n'êtes plus 
ennuyé!

Mais le plus surprenant c'est que cette extension a été installée plus de 150.000 fois en quelques mois et recueille 4,7/5 de satisfaction, des chiffres dont beaucoup rêveraient, à commencer par la CNIL dont l'extension de vérification du droit au référencement (qui permet de demander à un moteur de recherche de supprimer certains résultats associés à vos noms et prénoms) a été téléchargé moins de 600 fois. On est quand même loin d'un comportement de protection des données tel qu'attendu par le RGPD...

Appelons un chat, un chat. La protection des données ne fait pas rêver les internautes européens.

Or, dans une démarche de conduite des changements on a qu'une seule opportunité de faire une bonne première impression. Cette opportunité est donc clairement passée. L'application à minima du règlement par les sites avec des acceptations forcées, obligatoires quand elles ne sont pas automatiques, y est certainement pour quelque chose. Mais cela n'explique pas tout.

Pourtant il y a des opportunités d'exploitation d'autres aspects du règlement comme l'intérêt de la portabilité. Mais il aurait fallu offrir un service un tant soit peu plus intéressant pour l'internaute, que de simplement pouvoir vérifier que les GAFAs ont stocké des données très diverses sur vos usages. C'est ce qui leur a permis d'avoir cette avance dans la personnalisation des services en ligne et demain dans l'intelligence artificielle, que l'Europe aura du mal à rattraper.

Du côté des listes d'e-mails collectées "post-25mai" sans avoir eu (ou enregistré) le consentement des internautes, le bilan est inverse. Peu ont accepté de valider les e-mails qui ont encombré les boites aux lettres. Les marketeurs, très pragmatiques, ont donc lancé de nouvelles campagnes de collecte d'e-mails qui intègrent la capture de ce consentement, en s'appuyant quand ils le pouvaient sur un site où l'acceptation est quasi-assurée comme on vient de le voir. Le cas extrême de destruction de valeur rencontré par GreenSI est une enseigne très connue qui a effacé toutes les données personnelles associées aux cartes de fidélités de ses clients et qui redemande en caisse à chaque client de redonner son e-mail et son téléphone.

L’idée du RGPD était d’instaurer un climat de confiance entre le collecteur de données personnelles et le collecté. Ce dernier doit pouvoir être assuré que toutes les informations recueillies qui le concernent seront sécurisées, soumises à l’obligation de confidentialité, et utilisées à bon escient, conformément à ce qui aura été stipulé préalablement, au moment du consentement. Est-ce que ce climat à changé ? GreenSI en doute.

Ce qui a le plus changé en 6 mois, c'est la responsabilité de ceux qui collectent et utilisent les données en Europe. Le RGPD a déclenché dans les entreprises des projets d'adaptation des SI et notamment l'identification des données personnelles gérées et les analyses d'impacts autour de la libération de ces données.


La CNIL a d'ailleurs reprécisé il y a 3 semaines (et oui tout le monde est à la bourre...) ce qu'est cette analyse (AIPD), et quand est-ce qu'elle est obligatoire. Elle rappelle les neuf critères candidats, et elle devient obligatoire si vous en cochez deux. Vous avouerez que c'est difficile de ne pas en cocher deux et que dans ce "bingo de la donnée" tout le monde est gagnant ;-)


Mais pendant que ceux qui sont partis dans la valorisation des données se mettent en conformité, de nouveaux acteurs qui viennent de réaliser le potentiel de la datascience, se lancent dans ce qui est le moteur du digital et de la personnalisation, l'utilisation des réseaux sociaux. Il y a deux semaines le Ministère des Finances annonçait fièrement que les données personnelles collectées sur les réseaux sociaux seraient utilisées pour détecter des incohérences entre le train de vie affiché par certains foyers fiscaux et les déclarations fiscales de ces contribuables !

Le ministre en personne, questionné par la presse, a précisé que cela permettra « d’enrichir les données fiscales déjà détenues par l’administration de données publiques, mises volontairement en ligne par les contribuables, pour détecter des cas de fraude potentielle ». Une autre explication issue des services, parle d'automatiser l'analyse des lettres de dénonciations en recherchant des données sur les réseaux sociaux pour de la vérification en automatique, car un très faible pourcentage est exploité actuellement.

Si on cherche, on trouve un texte très instructif dans le document de 2019 sur la lutte contre la fraude fiscale, accessible sur le site du Ministère. Finalement ce traitement a la même finalité qu'un marketeur en train de vendre des produits ou un GAFA en train de vendre de la publicité ciblée, mieux cibler ses opérations pour optimiser son action.


A priori on coche toutes les cases, plus celle de la fin de la présomption d'innocence en matière de contrôle fiscal !

GreenSI attends donc avec envie de pouvoir lire l'autorisation de la CNIL relative à ce traitement et de pouvoir consulter l'analyse d'impact réalisée et le paragraphe sur le consentement et le détournement d'usage. Mais maintenant que le secrétaire d'État au numérique ne dépend plus de Matignon mais de Bercy, suite au dernier remaniement, ce sera certainement plus difficile pour lui de faire le tour des plateaux de TV pour dire : "si vous saviez tout ce que Bercy sait sur vous !" ;-)

GreenSI aimerait aussi bien comprendre comment on peut dépenser autant (20 millions d'euros annoncés) sur ce type d'applications dont toutes les technologies existent déjà, la plupart en SaaS, surtout si in-fine on ne parle pas de surveillance généralisée mais uniquement d'exploration des centaines de milliers de dossiers de redressement. A moins que le montant ne trahisse une ambition plus grande... ;-)

Car finalement c'est le pouvoir de la sanction des CNIL qui est le meilleur atout pour la réussite de la conduite des changements dans la pratique de manipulation des données personnelles. Certes depuis 6 mois quelques startups européennes se sont faites prendre la main dans la collecte illicite de géolocalisation sur smartphone, mais de ce côté aussi il y a un décalage important entre les annonces "pré-25mai" et les premiers résultats.

Facebook a finalement été condamné à verser une amende de 500.000 livres au Royaume-Uni des suites de l'affaire Cambridge Analytica, pour une ouverture de données massives aux impacts qui ont été annoncés comme l'affaire du Siècle. Si ce cas fait jurisprudence, on est loin du 4% du chiffre d'affaires prévu par le RGPD qui a affolé toutes nos directions juridiques. Et puis Facebook joue même la montre et estime qu'il n'a pas à la payer, peut-être en se disant qu'après le Brexit dans quelques mois il pourra renégocier sans passer par la case Europe ?...

Autre impact collatéral du RGPD, il a donné un prix au hacking. Une entreprise qui a été hackée de ses données clients peut décider soit de payer en toute discrétion le hackeur, soit de payer l'amende RGPD pour diffusion de données de clients.

Pour GreenSI le bilan de ces 6 premiers mois est donc bien maigre.

Le RGPD a certes bien déclenché une prise de conscience des entreprises et une réflexion sur le traitement des données, mais plus dans un esprit réglementaire que pour en tirer un avantage. Mais il a aussi déclenché une destruction de valeur massive de données qui ne posaient pas de problème à ceux sur qui on les avaient collectées, mais dans le doute elles auront été effacées. Il a également bloqué des projets dans les entreprises européennes par excès de précautions... nettement moins ambitieux que celui de Bercy !

Du côté des internautes on veut toujours massivement pouvoir utiliser des services gratuits et les payer par ses données personnelles. Les initiatives de Qwant pour changer cet état d'esprit seront à suivre de près après l'adoption de ce moteur à l'Assemblée Nationale ou au Ministère de la Défense. D'ailleurs dans le second cas GreenSI se demande pourquoi avoir attendu le sujet de la donnée personnelle, vu les enjeux à pister les requêtes sur Google des agents de ce Ministère sensible. Mais au-delà des annonces que l'on vérifiera dans 6 mois, l'utilisation de Qwant reste marginale et surtout concerne une population déjà avertie qui prenait ses précautions.

Quoiqu'il en soit, après ce faux départ, il faudra un autre événement déclencheur que ce lancement du 25 mai pour changer massivement l'attitude des internautes. Bercy nous donne une première piste avec ce qui se profile comme une surveillance de votre train de vie, la Chine une seconde avec une classification des individus qui vous permettra (ou pas) de vous déplacer. 

Mais ne tournons pas autour du pot de la donnée. Le vrai sujet de l'Europe c'est son retard dans l'utilisation des données et plus largement en intelligence artificielle. Il faudra donc plus que le RGPD pour faire tomber les moteurs d'apprentissage des BATX et des GAFAS, qui sont sortis par la porte et mais reviennent déjà par la fenêtre.

Alors si maintenant on se retroussait les manches pour articuler une politique européenne en matière d'IA, et surtout son fondement, une politique de construction de grandes bases de données des usages dans tous les domaines (santé, transport, commerce, ...) maîtrisées par des européens ? Les chercheurs en rêvent et ils sont aujourd'hui obligés de pactiser avec Facebook et Google pour pouvoir travailler.
Previous Post
Next Post
Related Posts

L'humour de ceux qui aiment le numérique