Pour Clubic, Paul-Olivier Gibert, le président de l'AFCDP, fait le tour de l'actualité concernant les données personnelles. Si le constat n'est pas si morose, l'inquiétude est de mise au regard de la circulation de données, de plus en plus massive.
Fuite de données, régulation, géants du Web, souveraineté européenne… L'actualité sur les données personnelles n'a jamais été aussi riche, et pour cause : les utilisateurs sont de plus en plus nombreux, les données de plus en plus foisonnantes, et les risques de plus en plus grands. De Google, ses cookies et son FLoC, aux enjeux européens, en passant par les multiples fuites de données de ces derniers mois, Paul-Olivier Gibert n'a écarté aucun sujet. Le président de l'AFCDP, l'Association française des correspondants à la protection des données à caractère personnel, a répondu à nos questions à l'occasion du salon Ready For IT 2021, à Monaco.
Cookies walls : la bourse ou la vie (privée) ?
L'interview « données personnelles », de Paul-Olivier Gibert
Clubic : Google a annoncé, il y a quelques semaines, le recul du blocage des cookies tiers à la fin de l'année 2023. La firme de Mountain View dit vouloir prendre le temps de discuter avec tout l'écosystème, les éditeurs, les annonceurs, les régulateurs. Est-ce pour vous une bonne chose ? Ou est-ce un aveu qu'il n'existe pas encore d'alternative fiable aux cookies tiers ?
Paul-Olivier Gibert : Ce n'est pas forcément comme ça que j'interpréterais les choses. Je pense qu'en fait, il y a une prise de conscience du fait que la problématique des cookies tiers et de la publicité ciblée sur les outils Internet et sur les médias numériques est quelque chose d'essentiel dans le business model de l'entreprise. Il y a des enjeux et des transferts financiers absolument énormes, qui sont de nature à déstabiliser un certain nombre d'acteurs et de secteurs. Je pense que c'est plutôt de ce côté-là qu'il faut rechercher une explication à la position de Google. Ils se sont peut-être aperçus qu'ils étaient en position de provoquer un tsunami, et qu'ils n'étaient pas certains d'en maîtriser toutes les conséquences.
« Google, sur les cookies tiers : ils se sont peut-être aperçus qu'ils étaient en position de provoquer un tsunami »
...d'autant plus que l'alternative aux cookies tiers, FLoC, basée sur un système de cohortes, est loin de faire l'unanimité, et une majorité de moteurs de recherche qui s'est rangée contre Google.
En général, les concurrents ne sont pas favorables à voir un autre se placer en position de monopole.
Autre dossier sensible : le 10 juin dernier, il y a le couac Pôle Emploi avec la fuite des données de 1,2 million de personnes, qui se sont retrouvées sur Raidforums. Par empathie, le hacker n'a pas publié la base de données. Finalement, Pôle Emploi, qui a reconnu la fuite, a évoqué le chiffre de 120 000 personnes, qui ont toutes été contactées. On évoque ici des « agissements humains ». Faut-il s'inquiéter ? Ou est-ce le lot de la cybersécurité ou est-ce le lot de l'empreinte humaine sur celle-ci ?
Ce sont les deux, j'ai envie de dire. Service public ou pas service public, les traitements de données sont des traitements de données. Les risques sont les mêmes et il faut prendre les mesures nécessaires pour y faire face. De ce point de vue-là, c'est une annonce qui concerne Pôle Emploi. D'autres concernaient des entreprises du numérique, et nous connaitrons d'autres problèmes de ce type-là. C'est pour cela qu'il faut continuer à être vigilant, et d'autant plus vigilant que ce sont des choses qui se produisent.
Doctolib a été épinglée, dans les médias, pour avoir transféré des données à Facebook et à la société de e-marketing Outbrain, en Allemagne. Que doit-on en penser ? Est-ce un risque que de tels services, assimilés à la santé en ligne, deviennent aussi présents et puissants dans notre société ?
Il faut nuancer. Doctolib, c'est une très belle réussite, une belle entreprise qui a pris une vraie dimension et qui a créé un produit, un réflexe. Maintenant, les médecins mettent, sur leur plaque, un numéro de téléphone et Doctolib, ce qui montre l'ampleur de la chose. Les transferts, cela montre bien qu'il y a toute une économie, des logiques d'échange et de circulation de données. C'est problématique, puisque c'est quelque chose sur lequel la transparence n'est pas très bonne. Cela fait penser à ce qu'on a vu avec une société d'études médicales (IQVIA, société américaine), qui récupérait des statistiques sur la consommation en pharmacie des Français, avec des remontées à partir de leur carte vitale. Les pharmaciens ne savaient même pas que ces données étaient réutilisées.
« Dans les années qui viennent, il y aura de plus en plus de données. Donc proportionnellement, il y aura plus d'incidents et fuites de données »
C'est un petit peu le même problème avec Doctolib. Mais sur Doctolib, on a essentiellement des données de rendez-vous et des données démographiques (nom, prénom etc.), ainsi qu'un historique de consultation, qui n'est pas neutre, certes, mais qui n'est pas comparable à un résultat d'analyse, à un compte-rendu clinique ou à un diagnostic. Ce ne sont pas des données extrêmement percutantes et impactantes sur les individus. Le fait est que dans le RGPD, il y a une obligation de transparence sur l'utilisation des données, pas toujours respectée et en même temps pas évidente à mettre en place.
Un baromètre Data Breach publié récemment nous indique que nous sommes passés, en un an et demi, de 4,5 à 7 violations de données par jour. Plus qu'une tendance, le travail hybride ne risque-t-il pas de renforcer l'augmentation de ces fuites ?
Dans les années qui viennent il y aura beaucoup plus de données, et ce de façon croissante. Donc proportionnellement, il y aura plus d'incidents et de fuites de données. Le chiffre passé de 4,5 à 7, avec + 50 % sur 18 mois est difficile à interpréter. Ce qui est certain, c'est que de nombreuses réunions physiques ont été remplacées par des vidéoconférences, dont certaines avec enregistrement, donc productrices de données à caractère personnel. On détecte plus aujourd'hui qu'avant également, il y a l'augmentation des volumes. C'est vraiment difficile à analyser.
Quelles sont les principaux dossiers et enjeux sur lesquels travaille l'AFCDP ces temps-ci ?
Nous avons beaucoup travaillé, sur les 18 derniers mois et depuis l'année dernière, sur les problématiques liées au recours au télétravail. Il y a toujours des enjeux autour de la numérisation de l'économie. Nous sommes passés au télétravail, mais aussi aux commandes sur Internet et livraison, pour un certain nombre d'achats.
L'autre thème sur lequel nous écrivons, c'est le problème des transferts de données transatlantiques. Depuis que je m'intéresse un peu aux relations internationales, cela a toujours été compliqué. Si l'on prend l'exemple de Facebook, il y a un pôle technique et économique qui est aux États-Unis, qu'on le veuille ou non. Il faut qu'il y ait une circulation de données, et que celle-ci permette de sécuriser les individus, les entreprises et les organisations. Avec l'arrêt Schrems II de la Cour de justice de l'Union européenne (qui a invalidé le Privacy Shields et considéré comme valides les clauses contractuelles types de l'UE, ndlr.), on a dégradé la sécurité juridique pour les opérateurs sur ces transferts de données. C'est un point sur lequel nous sommes amenés à prendre position, en relativisant le discours positif qu'il peut exister sur les clauses contractuelles types (qui permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union, ndlr.), qui sont intéressantes mais qui ne sont pas à la portée de toutes les structures. Elles font, en plus, porter sur l'opérateur (donc le responsable de traitement) la responsabilité finale de domaines qui relèvent de la relation inter-étatique. L'AFCDP considère que ce n'est pas une solution très « fair », comme disent les anglo-saxons.
Peut-on véritablement croire, que dans les années qui arrivent, on arrive à une véritable souveraineté de la donnée, puisque nous parlons des réseaux sociaux. Peut-on imaginer que les données de citoyens européens soient véritablement protégées en Europe, même pour des entreprises basées à l'étranger ?
C'est déjà un peu le cas. Le règlement européen s'impose dès que des données concernant un citoyen européen sont traitées. Il est possible de sanctionner un certain nombre d'entreprises, y compris les GAFAM. Facebook a envisagé quitter l'Europe, à un moment. Mais désormais, l'entreprise n'en parle plus. Elle a peut-être un intérêt à rester.
Sur la souveraineté numérique, je pense que le sujet est plus complexe que cela. On a pris du retard, mais en revanche, il y a des choses qui sont intéressantes. Je pense par exemple à la duplication des outils d'AWS, qui serait finalement fournisseur de logiciels, toucherait des royalties pour la licence et ne serait pas exploitant des données. Il y a, ici, des pistes intéressantes.
Des alternatives européennes se mettent en place, je pense notamment à Gaia-X, qui est un outil très intéressant pour justement avoir une ingénierie locale. C'est un sujet complexe, parce que nous avons des entreprises nées en France et en Europe, qui se sont américanisées. Et en sens inverse, nous avons des entreprises, certes américaines, qui se sont développées en Europe et ont pris une consistance et coloration européennes.
