•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Le RGPD ou comment l’Europe protège les données personnelles

Des feuillets sont disposés sur une table.

Des feuillets de sensibilisation au RGPD

Photo : Radio-Canada

Janic Tremblay

Contrairement au Canada et aux États-Unis, l'Europe s'est dotée d'une réglementation très contraignante pour protéger les données personnelles des citoyens. L'initiative européenne est louangée, mais aussi décriée par certains qui croient que les nouvelles normes vont compromettre l'innovation et le développement de l'intelligence artificielle.

« Nous sommes à une phase nouvelle de l’Internet qui a perdu son innocence. On s’est rendu compte que les données pouvaient se retourner contre les individus et qu’il faut reprendre la maîtrise de tout ça. Grâce au Règlement général sur la protection des données (RGPD), la vie privée a pris du muscle! », lance Isabelle Falque-Pierrotin, présidente de la Commission nationale informatique et libertés (CNIL).

La mission de son organisme est notamment de faire respecter la vie privée sur Internet. Pour elle, le RGPD consacre le fait que les citoyens veulent reprendre la maîtrise de l’utilisation de leurs données personnelles dans l’univers numérique.

Le ton est donné. Les ambitions sont grandes et les moyens, considérables… à tout le moins du point de vue nord-américain.

Un nouvel écosystème

Depuis l’entrée en vigueur du RGPD, les individus ont davantage de droits. Des exemples? Ils peuvent dorénavant consentir ou non à certaines utilisations de leurs données, notamment à des fins de publicité ciblée. Ils acquièrent un droit à la portabilité de leurs données, c’est-à-dire la possibilité de télécharger toutes les données récoltées sur eux par une plateforme, un commerçant ou un fournisseur d’accès Internet.

Parallèlement, le règlement prévoit de nouvelles exigences pour les entreprises qui amassent, détiennent et traitent les données personnelles des Européens. L’accord des utilisateurs doit être plus explicite. Il faut spécifier quelles données sont collectées et il n’y a plus de consentement précoché. Les plateformes qui ne se conforment pas risquent de lourdes amendes. Il n’est donc pas rare, depuis l’Europe, d’être incapable de consulter certains sites nord-américains qui ne se sont pas encore soumis au RGPD.

Un panneau indique que les sites du Journal de Montréal et du Journal de Québec sont indisponibles.Agrandir l’image (Nouvelle fenêtre)

Capture d’écran du site du Journal de Montréal, réalisée en novembre 2018 depuis l’Europe. Le site est inaccessible depuis l’entrée en vigueur du RGPD.

Photo : Radio-Canada

Les règles doivent être faciles à comprendre. Les mineurs de 13 à 16 ans, selon les pays, doivent obtenir l’aval de leurs parents pour utiliser une plateforme qui traite les données, comme Facebook.

Isabelle Falque-Pierrotin souligne que la décision européenne est liée aux révélations des dernières années. Celles d’Edward Snowden en 2011 sur l’espionnage des citoyens. Ou encore les diverses fuites de données rapportées dans les médias. Ou, plus récemment, l’affaire Cambridge Analytica. Pour elle, le RGPD est une réponse et un cadre de confiance pour des citoyens devenus méfiants.

Plan rapproché de Mme Falque-Pierrotin.Agrandir l’image (Nouvelle fenêtre)

Isabelle Falque-Pierrotin, présidente de la CNIL.

Photo : Radio-Canada

Je crois qu’avec le RGPD, l’Europe a posé un jalon ambitieux dans la société numérique. Il pourrait devenir un standard mondial.

Isabelle Falque-Pierrotin, présidente de la CNIL

La haute fonctionnaire revient du Japon où l’on travaille en ce moment sur un mécanisme inspiré de l’Union européenne. Elle ajoute qu’une loi fédérale est de plus en plus discutée aux États-Unis.

Considérer l’importance de la gestion des données personnelles dès le début

Le RGPD crée un nouveau poste au sein des entreprises qui traitent des données personnelles, le délégué à la protection des données.

C’est le travail de Nicolas Bertrand chez Volountis, une société française qui développe des applications médicales mobiles, notamment pour les personnes diabétiques.

Les données personnelles, c’est précisément le modèle d’affaires de Volountis. Le patient entre sa glycémie (son taux de sucre dans le sang) et l’application déduit l’insuline qu’il doit s’injecter. Rien de neuf ici. Sauf que l’application récolte des tas d’autres données sur les patients : le moment de la journée, l’activité physique, l’heure des repas. Au bout du compte, l’algorithme apprend et ajuste la dose d’insuline automatiquement au fil du temps. Cela facilite grandement la vie des patients.

Aux États-Unis, le Journal of American Medicine a démontré en 2016 que des applications mobiles pour les diabétiques recueillaient des données personnelles des utilisateurs et les partageaient avec des tierces parties. Ce n’est pas le cas de Volountis ni d’aucune autre entreprise européenne qui respecte le nouveau Règlement général de protection des données, le RGPD.

Nicolas Bertrand explique qu’il n’est plus envisageable d’entreprendre des discussions avec un sous-traitant sans aborder la question de la protection des données. « Maintenant, c’est un sujet central des discussions alors qu’avant on l’évoquait seulement à la fin. C’est un changement de philosophie important. »

Plan rapproché de M. Bertrand.Agrandir l’image (Nouvelle fenêtre)

Nicolas Bertrand, délégué à la protection des données chez Volountis.

Photo : Radio-Canada

On doit informer les gens de ce que l’on va faire avec les données dès le départ.

Nicolas Bertrand, délégué à la protection des données, Volountis

La loi est contraignante et les amendes pour les infractions les plus graves peuvent être très salées : 30 millions de dollars ou 4 % du chiffre d’affaires mondial de l’entreprise. Nicolas Bertrand cite le cas d’une décision rendue récemment au Portugal où la compagnie prise en défaut a été condamnée à 600 000 $ d’amende. Rien à voir avec les anciennes pénalités.

Les plus petites entreprises peuvent confier en sous-traitance les tâches de délégué à la protection de la vie privée. Elles font alors affaire avec des spécialistes comme Assaf Bensoussan, directeur de l'entreprise DPO 101. Le juriste accumule les clients depuis l’entrée en vigueur du RGPD.

Plan rapproché de M. Bensoussan.Agrandir l’image (Nouvelle fenêtre)

Assaf Bensoussan, directeur de DPO 101.

Photo : Radio-Canada

Souvent, on dit que les Américains innovent, les Chinois copient et les Européens réglementent. Cette fois, avec le RGPD, on innove!

Assaf Bensoussan, directeur, DPO 101

Selon lui, le règlement arrive au bon moment, avant une vraie crise des données personnelles où même les comptes bancaires pourraient être compromis. Cette réforme était nécessaire, ajoute M.  Bensoussan, pour la sauvegarde des intérêts des citoyens. Il précise que l’on n’a pas idée jusqu’à quel point les données des citoyens sont accumulées, vendues et revendues à droite et à gauche. Il cite l’exemple d’une campagne de publicité sur Facebook qu’il préparait pour des clients avant l’entrée en vigueur du RGPD.

« La plateforme pouvait nous offrir de cibler des gens en fonction de leurs revenus, raconte M. Bensoussan. En principe Facebook ne dispose pas de cette information! Si elle l’a, c’est parce qu’elle l’a achetée à quelqu’un d’autre. Le RGPD va permettre de suivre cette donnée personnelle et savoir qui l’a vendue. »

Le reportage de Janic Tremblay sera diffusé à Désautels le dimanche sur ICI Première le 10 février, dès 10 h.

Une Europe plus faible face à l’Amérique et la Chine?

Il n’y a pas que des éloges à l’égard de la nouvelle réglementation européenne. Laurent Alexandre, le chirurgien devenu entrepreneur du Web et auteur d’un récent livre sur la montée de l’intelligence artificielle, est très dur envers l’initiative de Bruxelles.

« On n’est pas dans un monde de bizounours! Le monde d’aujourd’hui, dit-il, c’est la guerre entre les technologies d’intelligence artificielle chinoises et américaines! Et l’Europe est sortie de cette guerre parce qu’elle est remplie de bécassines et de bizounours bienveillants. »

Dans son livre La guerre des intelligences, il rappelle que les grands amas de données sont fondamentaux dans l'entraînement des intelligences artificielles. Selon lui, le RGDP prive l’Europe de précieuses données et laisse le champ libre à l’Amérique et surtout à la Chine qui produit plus de données que tout le monde.

« S’il n’y a pas une défense atlantique américaine et européenne avec une mutualisation de nos données, nous allons perdre la bataille face à la Chine. Aller à la guerre avec des canons en carton-pâte, ça sauve des vies. Mais si les gens en face ont de vrais canons, il vaut mieux avoir de vrais canons! »

À la CNIL, la présidente Isabelle Falque-Pierrotin ne partage pas du tout ce point de vue. « Nous pouvons entraîner les intelligences artificielles avec nos données. Renoncer à la protection, c’est un mauvais calcul. Il faut choisir une voie plus robuste et un ancrage juridique solide pour l’intelligence artificielle », ajoute-t-elle.

Et la valeur des données dans tout ça?

Le sociologue du numérique Antonio Casilli croit que l’un des aspects des données qui sont très peu discutés, c’est leur valeur. « Souvent, on dit si c’est gratuit, vous êtes le produit, ajoute-t-il. Moi, j’ai tendance à reformuler en disant si c’est gratuit, vous êtes le travailleur de ce service. »

Pour lui, les plateformes sont basées sur une contribution active constante de leurs utilisateurs. Chaque recherche entraîne les algorithmes. Les données sont rachetées à droite et à gauche. Les utilisateurs produisent donc de la valeur pour les plateformes, mais le service qu’ils reçoivent en échange n’est pas équivalent, selon lui. Il ne croit pas à une rémunération des individus, mais plaide plutôt en faveur d’une fiscalité du numérique afin qu’une partie des immenses profits réalisés par les géants du web soit redistribuée aux collectivités.

Société