Lorsque l’Union Européenne offre des opportunités commerciales et souveraines aux États membres, ce n’est pas toujours évident de le discerner. Aux antipodes d’un libéralisme déstructurant, le RGPD, ou Règlement Général sur la Protection des Données, est entré en application avec un cortège de principes protecteurs pour les Droits et libertés des personnes au sein de l’Union.

Mais le RGPD est davantage qu’un texte protégeant les Sociétés démocratiques à l’heure du "tout numérique" : c’est également une arme puissante mise à la disposition des États et des entreprises européennes en quête d’une plus-value décisive face à leurs concurrents, pour peu qu’ils apprennent - vraiment - à l’utiliser.

Le RGPD n’est pas une simple pétition de principe. Il donne théoriquement, au nom des si facilement critiqués Droits de l’Homme, de la puissance aux institutions pour tenter de rattraper le chemin terriblement destructeur pour nos démocraties qu’ont pris la conjugaison du numérique et du "KYC" [1].

Théoriquement également, il permettrait aux personnes et aux associations de saisir les institutions pour obtenir de puissantes condamnations. Il permettrait également des actions de groupe, ou « class-actions » en fédérant tous les citoyens soucieux des nombreux préjudices sur leurs vies privée qu’ils subissent à titre individuel et collectif.

Théoriquement, c’est également un formidable levier industriel pour créer un numérique européen distinct de ses concurrents si peu soucieux des principes fondamentaux d’une vie démocratique saine.

Si le RGPD était réellement dissuasif et efficace, il perturberait les développements économiques de nombre d’entreprises massivement indexées sur les collectes et les traitements massifs de données sans régulation (collectes directes, mais le plus souvent indirectes, pour tenter de créer de l’opacité dans les responsabilités). Si le RGPD était réellement institutionnellement dissuasif, la masse de contrôles ferait pâlir nombre de comités de direction. Donc, sur le court terme, en réalité, personne n’en veut du RGPD.

Informer les personnes des traitements que l’on effectue ? Leur garantir l’exercice de leurs Droits ? Disposer de bases légales et collecter - vraiment - le consentement des utilisateurs ? C’est pratiquement inimaginable dans certains secteurs. Nombre de conseils orientés strictement "business" réussissant, Dieu seul sait comment, à répondre à certains appels d’offre conseillent les grandes entreprises pour… ne rien modifier de leurs comportements (à quelques pages de politiques supplémentaires, et facturées, prêt). Combien de fois ai-je, à titre personnel, rencontré des équipes m’annonçant fièrement que leur conseil avait trouvé la faille du RGPD permettant de sous-traiter à tire-larigot des données à des mini Cambridge Analytica [2] collectant massivement les informations les plus personnelles sur les individus, notamment via réseaux sociaux, exemple marquant.

Combien d’entreprises spécialisées dans la mise à disposition de bases de données gigantesques permettent à n’importe qui d’appeler...n’importe qui ? Pourtant, même dans le monde professionnel, le fameux "B2B", les personnes doivent a minima être informées qu’elles figurent dans ces nombreuses bases. Cette obligation simple [3] n’est, bien évidemment, jamais (ou presque) respectée.

Du coup, logique, des entreprises se font littéralement « spammer » de sorte qu’un jour ou l’autre, un courriel d’hameçonnage [4] ou une technique quelconque d’ingénierie sociale [5] fait son œuvre. On retombe alors sur le salarié fautif qui aurait du « être mieux formé à la sécurité informatique ». Mais c’est oublier qu’à son retour de vacances, ledit salarié avait plusieurs centaines de courriels à traiter dans un temps record.

C’est à se demander si l’on était vraiment capable de faire des affaires avant le numérique. On imagine un commercial dans sa petite voiture qui sillonne les routes à la recherche de sacro-Saint prospects…le Moyen-Âge, quoi !

L’Europe est aujourd’hui dépassée dans de nombreux domaines, particulièrement dans le numérique. Pourtant, des acteurs crédibles existent pour inverser la tendance, et beaucoup sont (cocorico) français ! Je pense à OVH (qui vient de se lancer en bourse) bien sûr, mais également à Jamespot, Atolia, Jalios, Netframe, Talkspirit, Twake, Whaller, Wimi qui se sont groupés pour se présenter comme alternatives à Microsoft Office 365 (tout en étant, hélas, peu écoutés).

Je pense bien évidemment à des OS orientés « Privacy » pour smartphone, dont le fameux /e/ OS, de /e/ Foundation. Je pense à la marque de téléphone Fairphone, néerlandaise, bien sûr. Je pense aussi, bien évidemment, au moteur de recherche Français Qwant, à la messagerie sécurisée Olvid... Bref, toutes ces solutions existent (et j’en oublie énormément), respectent bien d’avantage la vie privée que leurs concurrents, et sont sécurisées pour peu qu’on les paramètre correctement.

Pourtant, dans les entreprises, c’est massivement du Microsoft, Apple, Google, Samsung, Facebook, Amazon (etc.) et leurs innombrables cascades de sous-traitants qui règnent en maîtres. Pourquoi ?

Tout simplement parce que dans cette guerre économique du numérique, ni les entreprises (à commencer par les plus grandes) ni les acteurs politiques et institutionnels ne prennent le sujet à bras-le-corps. Une preuve parmi d’autre de l’incurie : les effectifs de la CNIL, l’autorité de contrôle en matière de protection de la vie privée en France, sont passés -ô joie- de 200 à 245 salariés [6] entre 2018 (entrée en application du RGPD) et aujourd’hui. Cet effectif, équivalent à un demi-mariage, doit, je le rappelle, contrôler des millions d’entreprises, analyser les systèmes d’informations kafkaïens de nombre d’entre elles, prendre position par ses avis etc.

Y-a-t-il eu une prise de position politique ferme face aux derniers grands scandales Facebook, que nombre de courageux lanceurs d’alerte dénoncent [7] ? Y-a-t-il eu des prises de position et des changements de prestataires de la part des entreprises française clefs dont la propriété intellectuelle, la sécurité et la R&D sont pourtant capitales ?

Non, tout le monde attend, et tout le monde - ou presque - triche.

Or, vers quoi nous dirigeons-nous si personne ne fait rien ? Et bien, c’est dramatiquement simple :

 Puisque les entreprises se rendent dépendante de technologies qu’elles ne maîtrisent pas, le risque est qu’elles voient leurs secrets les plus intimes volés et éparpillés aux quatre vents, mais également leurs personnels-clefs espionnés, ou débauchés. Pensez à cette histoire des soldats US en Irak [8].

D’abord, c’est déjà un risque énorme : imaginez des entreprises françaises et européennes incapables d’innover (ou « magiquement » dépassées par leurs concurrents sur tous leurs projets « secrets »). Selon toute logique, cela file dans la même veine que la désindustrialisation « au plus offrant » des 30 dernières années qui nous a offert le constat glaçant, début 2020, qu’on ne savait même plus (sic.) faire nos propres masques chirurgicaux tout seuls. Nous ne pouvons pas tous être consultants en marketing digital à « enregistrer du clic » si, derrière, nous n’avons plus rien à vendre.

 Au-delà de ça, en tant que société : l’espionnage et la transparence étant de plus en plus la norme, chacun évaluant tout le monde, nous nous dirigeons vers un crédit social qui ne dit pas son nom. Il n’est pas centralisé, mais décentralisé, et c’est pratiquement pire. En effet, j’ai d’avantage confiance dans l’objectivité de quelqu’un dont c’est le métier de m’évaluer (et dont le rôle est une mission de service public) que dans mon voisin, mon patron ou mon oncle. La transparence bloque toute évolution : quoi que vous fassiez, vous porterez toujours au fer rouge l’erreur ou le choix contestable que vous auriez fait à une époque. L’humain apprenant par itération, c’est à dire en faisant des erreurs, cette transparence lui interdit d’évoluer.

Il ne peut que se conformer sous la contrainte, dans les standards établis dans le « superpanopticon » [9] des réseaux sociaux (ou du nouveau Metavers [10]), par « instinct de survie » Sociale : l’appartenance à un groupe (coucou Maslow ! [11]).

L’individu va donc se soumettre aux injonctions partagées par le grand nombre, avec impossibilité pour lui d’exprimer une voix différente de son segment marketing (ou de sa « bulle de filtre » [12]). Il va s’éteindre en tant qu’individu, et se laisser porter par le mouvement tout en se droguant aux anxiolytiques pour oublier qu’il ne se définit plus par lui-même (je caricature, mais pas tant que ça).

C’est donc vers un effondrement de nos économies et de nos démocraties que l’on se dirige, vu la tournure que semblent prendre les évènements. Il y a pourtant un tel levier de croissance formidable avec ce fameux RGPD :

 Vu que la plupart des pays du monde semblent faire une croix sur toute notion de vie privée, l’Europe dispose de la « fenêtre de tir » lui permettant de créer ses propres champions, même plus pauvres, même techniquement inférieurs par rapport à leurs concurrents US ou Chinois. Donc emploi, croissance, écologie etc. (pensez à la différence de poids en terme d’impact écologique entre un Gmail et un Tutanota ...)

 Vu que le monde a découvert le télétravail, et que nombre d’outils permettent de tracer de manière extrêmement oppressives les salariés, les conduisant droit vers le présentéisme, l’absence de prise d’initiative et le burn-out, nous pourrions créer (et utiliser) nos propres outils à nous, respectueux de la vie privée au travail. Pourquoi ?

Avoir des salariés plus investis, mieux dans leur peau, plus créatifs, plus interactifs (dans le bon sens du terme), plus capables d’expérimentations… et surtout moins susceptibles d’être espionnés !

 Vu que des outils existent pour utiliser et stocker nos données au sein de l’Union Européenne, dans des pays ayant des législations strictes sur la protection de la vie privée, peut-être pourrions-nous redécouvrir l’intérêt de protéger ses secrets d’entreprise, et de ne pas les confier, même chiffrés (sachant que rien n’est indéchiffrable à terme), à l’autre bout du monde ? Des solutions existent, on le rappelle. Il ne faut pas oublier un élément important en terme de cyber-risque : plus la cible est grosse et alléchante, plus elle attire les attaques. Tout centraliser au même endroit (chez le gros prestataire que tout le monde choisit) signifie enterrer son trésor sur une île et fournir son emplacement à tous les pirates qui sillonnent les mers. Il y a tellement de malversations possibles en ligne aujourd’hui : fraude au président, extorsion, escroquerie, dénis de service, vol de données, usurpation d’identité…

Et encore : attendez de voir l’explosion des deep-fake [13]. Mais anticiper, ce n’est pas comme ça que les entreprises européennes fonctionnent, et particulièrement (trop souvent) leurs DSI [14] : ils vont prendre les solutions que les concurrents et autres membres de leur secteur d’activité choisissent. Pourquoi font-ils ça, sachant que ce n’est pas parce qu’en groupe on va dans une même direction que c’est la bonne ?

Tout simplement parce que les acteurs connus hors UE sont souvent moins chers mais, et surtout, parce que, si il y a un problème (et il y aura un problème), on ne pourra pas entraîner leur responsabilité individuelle d’avoir fait un choix partagé par tant de personnes. Ce problème de fond, celui de la prise de décision et de la responsabilité individuelle, est un problème grave que la plupart de nos organisations subissent aujourd’hui. Mais nous ne nous étendrons pas sur ce sujet (pourtant passionnant) [15] faute de temps et d’espace.

Du coup, à quand un politique qui fait rentrer ce sujet dans son programme en 2022 ?

Ah oui, j’oubliais : l’utilisation massive des réseaux sociaux à des fins électorales et les règles subjectives et incertaines du référencement les empêchent de risquer de froisser frontalement les tenants desdits outils (qui, je le rappelle, non seulement ne sont pas des services publics mais en plus sont massivement basés hors de l’Union Européenne). Ce n’est donc probablement pas du politique que viendront les solutions.

Des institutions ? Vu leurs faibles budgets humains et matériels ainsi que leurs choix politiques discutables, c’est difficile à imaginer.

Des citoyens et des associations ? Malheureusement c’est oublier que l’addiction au numérique et aux outils existants font des citoyens défenseurs - réels - de la vie privée... une infime minorité de personnes. Les citoyens veulent protéger leur vie privée, en théorie, mais ne savent pas vraiment comment faire tout en ayant peur de « disparaître » en mettant en danger leur « double numérique ».

Des juges ? Tout dépendra des affaires qui leur seront portées. Mais il faut également considérer qu’un procès est extrêmement cher (donc pas à la portée de tous) et que certains procès prennent plus de 10 ans (or, avec le numérique, on vit dans le temps court). Là n’est pas le sujet, mais la faiblesse des aides juridictionnelles et du budget de la justice ne plaident pas en faveur d’une Justice efficace et -surtout- ouverte à tous sans distinction de revenu.

Des pirates et des malfaiteurs du net ? C’est encore pire que tout, car plus les cyber-risques augmentent, plus les personnes se réfugient (à tort) sur des grands acteurs connus pour sécuriser leurs données.

Des conseils ? Si l’on enlève ceux qui ont juste rajouté une corde de ressources économiques à leur arc (souvent ayant le plus grand réseau) et que l’on prend uniquement ceux qui ont choisi ce domaine par passion, ils sont bien isolés, les pauvres (et leur pouvoir de négociation face à leurs clients est, quoiqu’il en soit, faible).

Je le conçois tout à fait : cet article ne vous a pas fait rêver, et s’est montré éminemment critique. Tout n’est bien évidemment pas nécessairement aussi sombre que cela puisse sembler. Et là, c’est mon côté individualiste optimiste qui reprend le dessus pour vous fournir une touche d’espoir en guise de conclusion (je ne peux pas vous abandonner comme ça). Il suffit d’une personne pour changer une trajectoire de groupe (pour peu qu’on la laisse s’exprimer et qu’on le soutienne). Qu’une grande entreprise du CAC 40 s’investisse sérieusement sur le sujet au travers de son dirigeant, et c’est toute une cascade de sous-traitants qui seront obligé de changer leurs pratiques. Qu’une grande administration publique fasse le choix de la protection de la vie privée, et c’est de nombreux marchés publics qui se voient obligés de changer.

Qu’une association ou une personne réussisse à faire le procès qui modifiera toute la jurisprudence du domaine, à l’image de Schrems [16] via son association NYOB ou de La Quadrature du Net, et c’est une pluie de condamnations qui suivront et obligeront l’ensemble à changer. Qu’un ministre ou secrétaire d’Etat au numérique prenne le projet à bras le corps, et c’est toute une « start up nation » qui se mettra en ordre de marche vers ce marché prometteur et unique dans le monde : le numérique européen, premier pôle numérique soucieux -réellement- de la vie privée de ses utilisateurs !

L’individu peut faire beaucoup dont vous, peut-être, qui lisez cet article. Courage !

Pierre Loir Juriste et consultant en protection des données personnelles, Délégué à la Protection des Données externalisé et conférencier observantiae.com