Mon discours sur la protection des données personnelles durant la lecture définitive du texte à l’Assemblée nationale
Madame la présidente/ Monsieur le président,
Madame la ministre/ Monsieur le ministre,
Madame la présidente de la commission des Lois,
Mes chers collègues,
Face aux défis croissants liées au numérique et à la protection des données personnelles, aux scandales à grande échelle qui ne cessent de faire l’actualité et alimentent un sentiment d’impunité pour ceux qui s’en rendent coupables, et de laisser-faire de la part des Etats, l’Europe est aujourd’hui regardée comme un modèle à suivre par nombre de pays.
Pourquoi ? Quelle est l’essence de ce nouveau cadre réglementaire qui fait sa particularité et, qui à me yeux, constitue sa condition la plus prometteuse ?
C’est qu’il préfigure une nouvelle gouvernance du numérique où la société dans son ensemble pourra décider des orientations à prendre, où la démocratie pourra reprendre le dessus. Les responsables politiques ont voulu mettre en place des nouveaux droits, des mécanismes de contrôle, des voies de recours qui permettront d’établir de véritables contre-pouvoirs, de redonner du pouvoir d’agir aux utilisateurs pour qu’ils soient en capacité de récupérer la maîtrise de leur données personnelles, et, plus largement de leur activité en ligne.
Consentement obligatoire, droit à la portabilité des données, droit à l’oubli, droit à la rectification, nouvelles protections aux mineurs, possibilité d’engager des actions de groupe en réparation…
Je ne reviendrai pas sur les choix qui ont été les nôtres, que nous avons expliqués à plusieurs reprises, et qui sont à ce stade connus de tous. Le temps de la discussion théorique sur les grands principes et les dispositifs à mettre en œuvre est révolu. Nous nous trouvons maintenant au stade de la mise en œuvre, ce qui soulève de nouveaux défis et de nouveaux dangers.
Nous avons mis en place un arsenal juridique puissant, nous ne pouvons pas permettre une mise en œuvre au rabais, qui soit en deçà des ambitions qui ont été portées politiquement. La pente serait trop difficile à remonter, le travail de longues années serait perdu. Le risque est réel et c’est maintenant qu’il faut rester vigilants, dans les prochaines semaines, dans les prochains mois.
Nous recevons tous depuis quelques semaines, des mails et des notifications de la part de plateformes, d’applications et de services en ligne qui s’apprêtent à recueillir notre consentement pour être conformes au RGPD à partir du 25 mai.
Mais nous observons déjà de nombreux manquements qui vont à l’encontre du recueil d’un consentement qui doit être donné (et je cite le règlement) « par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».
- Nous observons des simples mises à jour des Conditions Générales d’Utilisations encore trop techniques, trop juridiques, trop complexes, incompréhensibles pour la plupart des utilisateurs. Il faudrait en effet dans certains cas un master en droit pour les comprendre !
- Nous observons des interfaces et des parcours utilisateurs désignés de façon à entraîner vers un consentement rapide et mal informé, à travers des techniques d’incitation à la prise de décision, ou « nudge ». Il s’agit bien là d’un clic de lassitude et pas d’un clic de conviction !
- Nous observons des stratégies de « chantage au service », ou des plateformes conditionnent l’accès à leur service au fait que les utilisateurs consentent au receuil et au traitement de leur données personnelles, alors que cela est clairement interdit par le RGPD et que c’est bien le principe de minimisation des données que nous poursuivons.
- Nous observons des atteintes au principe de « privacy by design » lorsque des cases pré-cochés ou des paramètres par défaut ne mettent pas en place les options les plus protectrices des données personnelles.
La CNIL, et tous les organes régulateurs de l’UE, devront jouer leur rôle pour que l’esprit du texte soit respecté face à tous les cas pratiques qui pourront surgir et que nous n’avons certainement pas encore tous découverts. La CNIL compte pour cela sur de nouveaux pouvoirs d’enquête et la possibilité de fixer des pénalités financières considérables, de jusqu’à 4% du chiffre d’affaires mondial des entreprises en situation irrégulière. La jurisprudence fixera le niveau d’ambition auquel nous pourrons aspirer de façon collective. Il faudra pour cela des moyens suffisants à la CNIL et nous y veilleront dans le cadre du prochain PLF.
Mais, la société civile aura aussi un rôle à jouer. Elle a, en effet, déjà commencé à se mobiliser avec des initiatives qu’il faut saluer dans la mesure où elles font vivre les droits, contrôles et voies de recours mis en place par le texte, ces contre-pouvoirs indispensables pour que son application soit effective. Quelques exemples ? Le « RGPD bookclub», un club de lecture ouvert à tous pour étudier et comprendre les enjeux du texte de façon collective (https://hackmd.io/s/rkg6n1k5xz), l’observatoire du RGPD, un compte twitter qui suit et recueil des exemples de violation au RGPD (https://twitter.com/obs_rgpd), la fête des libertés numériques, une journée d’ateliers pratiques pour apprendre à s’emparer des nouveaux droits tels que le droit à la portabilité, qui aura lieu le 25 mai à l’occasion de l’entrée en application du texte (https://fetedeslibertesnumeriques.org/), des actions collectives lancées par l’association la Quadrature du Net (https://gafam.laquadrature.net/), l’explosion de forum et de sites d’entre-aide à la mise en conformité à destination des développeurs…
Enfin, ce sont les citoyens eux-mêmes qui devront aussi rester vigilants. Que pouvons-nous faire en tant qu’utilisateurs ?
- Lire les CGU attentivement, et ne donner notre consentement que à ce qui nous semble juste. Ce n’est que en rentrant dans les détails des paramétrages que nous comprenons la quantité de données qui sont effectivement recueillies et l’information que ces acteurs peuvent avoir sur nous, sur notre activité en ligne (données de géolocalisations, fiches de contacts, historiques de recherche, images et commentaires partagées…)
- Si le choix ne semble pas suffisamment large, le droit à la portabilité nous permettra de récupérer nos données personnelles pour les transférer à un autre service (comme c’est déjà le cas, par exemple, dans le secteur de la téléphonie mobile et le secteur bancaire). Vous pourrez choisir des services plus éthiques, plus protecteurs des données personnelles. Il en existent déjà plusieurs, dont notamment des français, comme les outils et applications de framasoft, de Cozy cloud ou de Qwant, pour n’en nommer que quelques-uns…
- Enfin, le choix peut être fait de rejoindre les initiatives de la société civile pour adopter une connaissance plus approfondie des nouveaux droits que nous avons acquis et pouvoir ainsi s’en saisir de façon proactive !
Nous votons donc aujourd’hui un texte ambitieux dans le cadre d’un règlement dont nous pouvons être fiers en tant qu’européens, mais ceci n’est qu’un début. Ce sera à nous tous, responsables politiques, régulateurs, société civile et citoyens de le faire vivre et de s’assurer que son niveau d’ambition reste intact !
Je vous remercie.
Paula Forteza