AccueilExpressions par MontaigneLe RGPD à l’américaine : vers une innovation responsable ?La plateforme de débats et d’actualités de l’Institut Montaigne Technologies États-Unis et amériques01/03/2019ImprimerPARTAGERLe RGPD à l’américaine : vers une innovation responsable ?Regards croisés d'Annie Blandin et de Benoit Tabaka Annie Blandin Professeur à l’IMT Atlantique et membre du Conseil national du numérique Benoit Tabaka Directeur des relations institutionnelles, Google France Le RGPD - Règlement Général pour la Protection des Données - n’en finit pas de faire des vagues. Alors qu’il a été longtemps critiqué comme étant un frein à l’innovation, plusieurs entreprises numériques outre-Atlantique se mobilisent afin de pousser à la création d’une régulation fédérale américaine qui en copierait les grands principes, allant ainsi dans le sens d’une protection accrue des données personnelles. Afin de nous éclairer sur ces enjeux, Annie Blandin, Professeur à l’IMT Atlantique et membre du Conseil national du numérique et Benoit Tabaka, Head of Public Policy and Government Relations chez Google répondent à nos questions.Certaines grandes entreprises technologiques souhaitent que les Etats-Unis suivent l'Europe sur la voie de la régulation des données personnelles. En quoi cette régulation se différencierait-elle du RGPD ? Benoit TabakaIl y aurait sans doute davantage de points communs que de différences avec le RGPD ! Les grands principes qui sous-tendent le RGPD sont aussi ceux que l’on retrouve dans des instruments internationaux comme les principes de l’OCDE, adoptés en 1981, et les législations de plusieurs pays en dehors de l’Europe. Il est donc probable qu’une réglementation américaine partage beaucoup de ces éléments fondamentaux qui font l’objet d’un large consensus : principes de transparence, de sécurité, de qualité des données, de responsabilité... Les Etats-Unis ont cependant un avantage sur l’Union européenne : dans l’éventualité où une loi fédérale serait adoptée, le cadre réglementaire deviendrait davantage harmonisé et unifié que celui que l’on observe en Europe. Au sein de l’Union européenne, malgré les efforts pour tendre vers un marché unique numérique, et malgré le RGPD, il existe encore des divergences notables. Par exemple, les Etats membres n’avaient pas pu se mettre d’accord sur un âge de consentement standardisé. Par ailleurs, les vingt-sept régulateurs de l’Union européenne ont encore des approches assez différentes, en dépit d’un socle réglementaire désormais commun.Annie BlandinL'appel de certaines entreprises à s'inspirer du modèle européen s’inscrit dans une évolution qui voit converger les ambitions de l’Union européenne en matière d'extraterritorialité de ses règles, et les positions américaines qui demeurent ambivalentes. Dans le prolongement de la directive de 1995 sur la protection des données personnelles, le RGPD prévoit un champ d'application territorial très large de ses règles, combiné avec les dispositions organisant le transfert international des données personnelles. Sur la base de plusieurs instruments juridiques, ces dispositions visent à garantir que le transfert ne s'effectue que vers des pays ou des partenaires qui assurent un niveau de protection adéquat, donc équivalent. Ce système ne vise pas tant à exporter le modèle européen qu’à privilégier la recherche d’une convergence réglementaire qui fait une large place à la reconnaissance des différences entre les législations. La perspective d’une loi américaine peut être vue comme une volonté de mieux protéger les citoyens et leurs données, à l’instar de l’Union européenne, tout en ménageant une marge de manœuvre afin de promouvoir une approche tenant compte de certaines spécificités.C'est précisément cette convergence que l'on observe actuellement. D’une part, l'attractivité du modèle européen se confirme, dans le contexte d'une protection faible et différenciée des données personnelles dans le monde. L'exemple des relations entre l’Union européenne et le Japon est à cet égard très intéressant, avec l’adoption début 2019 d’une décision d’adéquation en vue de créer le plus vaste espace de circulation de données au monde en toute sécurité, décision adoptée à la suite de l’accord de partenariat économique. D’autre part, la perspective d’une loi américaine peut être vue comme une volonté de mieux protéger les citoyens et leurs données, à l’instar de l’Union européenne, tout en ménageant une marge de manœuvre afin de promouvoir une approche tenant compte de certaines spécificités. Parmi elles, la conception même des données personnelles, exploitables pour beaucoup d’entre elles aux Etats-Unis, sous réserve que les entreprises ne se livrent pas à des pratiques déloyales.L’enjeu peut être compris comme étant géostratégique, et les conditions d’adoption du Cloud Act confortent cette analyse, au sens où celui-ci manifeste une volonté de développer une emprise sur les données, fussent-elles localisées hors des Etats-Unis. Mais c’est sans compter aussi sur le fait que les données personnelles sont au cœur d’enjeux commerciaux, et qu’elles ont vocation à circuler de manière globale.Le RGPD est souvent critiqué comme étant un frein au développement technologique. Quels motifs poussent des géants numériques à aller dans le sens d'une plus haute protection des données ? Annie BlandinC’est justement ce qui motive certaines entreprises à s’investir dans ce sujet de la protection des données personnelles, laissant de côté le débat sur la difficulté de concilier protection des données et innovation pour s’intéresser à celui de l’innovation responsable. Historiquement, il y a des éléments de convergence entre les régimes européen et américain, notamment en matière de co-régulation sur ces sujets, ce qui a bien évidemment facilité la mise en œuvre successive du Safe Harbor, puis du Privacy Shield. On sait combien ces dispositifs sont insuffisamment protecteurs. C’est une évidence, s’agissant du Safe Harbor, qui a été invalidé par la Cour de justice de l'Union européenne en raison de la perméabilité entre le traitement des données à des fins commerciales et à des fins sécuritaires. Concernant le Privacy Shield, examiner les engagements volontaires des entreprises pro-RGPD dans le cadre qu’il propose reste éclairant pour tester leur sincérité. Un second élément de convergence vient aussi du fait que certains Etats américains se sont dotés de lois ad hoc, comme c’est le cas en Californie. Dans le contexte de la révélation de failles de sécurité récurrentes, certaines entreprises veulent créer plus de confiance auprès des clients et utilisateurs. Elles se placent dans une perspective de long terme, préférant construire la confiance plutôt que de surexploiter les données. La sécurité des données devient à ce titre une priorité, alors qu’elle ne l’est pas dans les cadres juridiques initiaux. Toutefois, une lecture plus critique amène à penser que le fait de souhaiter une loi n’est pas sans arrière-pensées. A cet égard, le consentement au traitement des données ne valide-t-il pas les modèles des grandes plateformes, en particulier les réseaux sociaux qui incitent à la surexposition de soi, moyennant un consentement sans substance ?Benoit TabakaDe plus en plus, l’utilisateur est au centre de toutes les réflexions et décisions prises par les grandes plateformes numériques pour développer des services innovants (une approche “user-centric” en bon français). De ce point de vue, la protection des données est un enjeu clé pour les utilisateurs et pour ces entreprises, car un traitement des données responsable et en toute sécurité est le fondement d’une relation de confiance et donc d’une innovation durable et bénéfique pour tous.Il est important que le RGPD corresponde à du concret pour les utilisateurs, en particulier des fonctionnalités leur apportant de la transparence et du contrôle sur leurs données. En l’espèce pour Google, transparence, via “Compte Google”, une interface dédiée donnant une vision complète et centralisée à l’utilisateur de tout son historique d’utilisation et de toutes les données qu’il ou elle a confiées à l’acteur numérique concerné. Contrôle, en donnant l’opportunité à l’utilisateur, via cette même interface, de supprimer telle ou telle donnée associée à son compte ou accéder à ses paramètres pour indiquer ses préférences. Il est important que le RGPD corresponde à du concret pour les utilisateurs, en particulier des fonctionnalités leur apportant de la transparence et du contrôle sur leurs données.La portabilité des données est un levier supplémentaire pour créer un environnement de confiance. Selon ce principe, l’utilisateur doit pouvoir, lorsqu’il change de service, emporter avec lui ses données et les mettre à disposition d’un autre service. Un dispositif “open source” tel que le Data Transfer Project va même permettre une portabilité directe entre fournisseurs de services. Il ne sera plus nécessaire de télécharger ses données, elles pourront être transférées directement d’un fournisseur à l’autre.L’enjeu réel du RGPD est sa mise en oeuvre. C’est très bien que l’Europe se soit dotée de ce règlement applicable sur l’ensemble du continent. Cependant, du point de vue de l’utilisateur, la question qui se pose est celle de savoir comment ce règlement peut se matérialiser : quels sont les services et fonctionnalités réellement à sa disposition, par exemple pour exercer leur droit à la portabilité. En d’autres termes, l’Europe ne peut pas se contenter d’avoir le RGPD, un cadre réglementaire, elle doit aussi avoir des services et fonctionnalités innovantes allant de pair et matérialisant le RGPD. La protection des données est-elle en train de devenir un facteur de compétitivité pour les entreprises numériques ?Benoit TabakaCompétitivité peut-être, facteur concurrentiel certainement. Les utilisateurs attendent des services aussi innovants, faciles à utiliser, que respectueux de la protection de leurs données. C’est pourquoi, pour les grandes plateformes, la protection des données n’est pas l’apanage de juristes mais un domaine à part entière de recherche et développement. Dans certains cas, des équipes de plus de 400 ingénieurs sont dédiées aux recherches dans le domaine de la protection de la vie privée. La puissance de cette recherche est qu’elle peut être régulièrement testée auprès d’utilisateurs afin d’aboutir aux dispositifs répondant le mieux possible à leurs attentes en matière de protection des données, aux interfaces les plus claires et ergonomiques possibles. Annie BlandinLa protection des données peut être en effet un facteur de compétitivité. C'est le sens du principe d’accountability (ou responsabilité), qui a fait son entrée dans le règlement européen et qui suppose que les entreprises aillent au-delà d'une simple mise en conformité afin de concevoir des politiques proactives faisant appel à l’éthique et prenant en compte les attentes du client. Ce sont désormais des modèles d’affaires à part entière qui se réclament de la protection des données dans ce qui est communément désigné comme le marché de la confiance. Faute d’en faire le cœur de leur modèle, les entreprises pressentent l’enjeu de compétitivité lorsqu’elles appréhendent le respect du RGPD dans une logique de management du risque. Le risque d’atteinte à la réputation est par exemple bien identifié.Les règles de protection des données peuvent aussi être le support du déploiement de nouveaux services. Il en est ainsi du droit à la portabilité qui peut être interprété de manière restrictive ou alors fonder, dans une logique d'ouverture, de nouvelles activités. La palette est donc large, entre un respect strict des règles et la prise en compte de nouvelles opportunités.ImprimerPARTAGERcontenus associés 30/05/2018 Facebook et les défis de l’information en ligne : entretien avec Gilles Bab... Institut Montaigne 28/05/2018 Les bienfaits de la donnée Institut Montaigne