C’est un peu l’alpha et l’oméga de la protection de nos données personnelles. Depuis 2018, le RGPD encadre très strictement l’utilisation de milliards d’informations, pour les Français et les Européens. Mais au fait, c’est quoi, le RGPD ? Comment il nous protège, et de quoi ?
Oriana Labruyère, avocate en droit du numérique
Oriana Labruyère, avocate en droit du numérique
Category
🗞
NewsTranscription
00:00 C'est un peu l'alpha et l'oméga de la protection de nos données personnelles.
00:03 Depuis 2018, le RGPD encadre très strictement l'utilisation de milliards d'informations pour les Français et pour tous les Européens.
00:11 Mais au fait, c'est quoi le RGPD ? Comment il nous protège ? Et de quoi d'ailleurs ?
00:16 Bienvenue dans Métadonnées, le podcast qui revient aux fondamentaux de la tech.
00:20 Bonjour Oriana Labrouillère.
00:27 Bonjour Raphaël.
00:28 Merci beaucoup d'être avec nous dans Métadonnées.
00:30 Tu es avocate spécialisée en droit du numérique et accessoirement aussi animatrice d'un podcast "La robe numérique".
00:35 Donc c'est parfait.
00:37 On est ravis que tu sois là avec nous.
00:39 Question simple, basique déjà.
00:40 Explique-nous, c'est quoi concrètement, même les initiales déjà, du RGPD ?
00:44 Alors le RGPD, c'est le Règlement général de la protection des données.
00:47 C'est une réglementation européenne qui vise à encadrer l'utilisation, le traitement de données à caractère personnel sur l'ensemble du territoire.
00:55 Donc ça, c'est depuis mai 2018.
00:59 Exactement, le 25 mai 2018.
01:01 Il y avait quoi avant ? On était un peu à poil entre guillemets sur les données personnelles ?
01:04 Alors non, non, non, on n'était pas du tout à poil.
01:06 Alors d'ailleurs, on peut se féliciter en France puisque nous sommes les premiers sur le territoire de l'Union européenne,
01:12 qui était à l'époque d'ailleurs la communauté européenne, à adopter une loi qui est très connue, c'est la loi Informatique et Libertés en 78.
01:20 Cette loi, elle a un historique assez simple.
01:23 Je te coupe, mais on n'avait pas beaucoup d'ordinateurs en 78.
01:26 Alors non, mais on avait très peur des fichiers automatisés, on avait très peur des ordinateurs.
01:31 Et évidemment, après la Seconde Guerre mondiale, on avait très peur de la capacité de l'État à ficher les Français.
01:39 Et c'est d'ailleurs le projet Safari qui a été dénoncé par vos confrères du Monde à l'époque.
01:45 Qui n'a rien à voir avec le navigateur d'Apple, je précise.
01:47 Qui n'a rien à voir avec le navigateur d'Apple, qui a fait sortir le sujet sur la table.
01:53 Et qui a eu pour conséquence la création de l'ACNIL, donc la Commission Nationale Informatique et Libertés,
01:59 et l'adoption de la loi Informatique et Libertés sur les traitements de fichiers automatisés.
02:05 C'était quoi ce projet Safari ?
02:07 Là on remonte loin, c'était en 70, enfin dans les années 70.
02:10 Exactement, en fait Bercy voulait faire un fichier des Français, alors c'était plutôt à visée fiscale.
02:17 Mais il y a eu une véritable montée de boucliers contre ce projet,
02:23 et la prise de conscience qu'il fallait encadrer l'utilisation des fichiers automatisés pour le traitement de données à caractère personnel.
02:34 Donc c'était vraiment la peur du fichage qui a fait qu'en France on a créé une loi.
02:39 En fait c'est la loi qui a créé d'ailleurs l'ACNIL.
02:41 On était un peu les premiers ?
02:43 On était tout à fait les premiers, c'est pour ça qu'on peut se féliciter.
02:46 Évidemment nous on a une culture assez grande des valeurs, la République,
02:51 tout ce qui va être lié à la préservation des droits des individus.
02:55 Et puis on avait, comme tu l'as dit, on a eu le fichage des juges pendant la seconde guerre mondiale, donc c'était très ancré.
03:00 Exactement, c'était très ancré.
03:02 Et notamment cette loi a fait des émules au niveau européen, donc on n'avait pas rien avant le RGPD.
03:08 On avait une directive de 95, qui en France était tardivement transposée,
03:13 et on comprend puisque nous avions déjà la loi Informatique et Libertés qui a inspiré cette directive,
03:18 mais cette loi n'allait pas assez loin, et surtout, enfin pardon, cette directive n'allait pas assez loin,
03:25 et en réalité ce qui s'est passé c'est qu'une directive, comme vous le savez sans doute,
03:28 nécessite donc une loi de transposition, une directive donne des objectifs,
03:32 et les Etats se "débrouillent" pour atteindre ces objectifs dans la loi de transposition.
03:37 Et là on a vu dans des pays une grande disparité de protection.
03:42 Or ce n'était pas l'objectif du législateur européen,
03:44 et donc ils ont repris les stylos, ils se sont mis à bosser, et ils ont travaillé sur un règlement
03:49 qui a commencé à être négocié en 2012 et qui a vu le jour d'une version finale en 2016,
03:55 qui est donc le fameux RGPD.
03:57 Et adopté en 2018, je crois que c'était en mai 2018.
03:59 Exactement.
04:00 Donc en gros on avait des directives, oui, parce que les directives, il y a une marge de manœuvre des Etats,
04:04 et un règlement, c'est un règlement, c'est le même pour tout le monde.
04:06 Alors tout ça exactement, c'est entré en vigueur le 25 mai.
04:10 C'est ça, entré en vigueur en 2016, mais entré en vigueur le 25 mai 2018.
04:14 Donc ça va faire bientôt 5 ans.
04:17 Finalement ça a changé quoi concrètement ?
04:20 C'était quoi les grandes avancées du RGPD par rapport à notre "vieille loi" de 78 ?
04:25 Alors elle était vieille certes, mais assez moderne, donc elle couvrait déjà beaucoup d'aspects.
04:30 Alors le principal bonus du RGPD, c'est de par la nature du texte.
04:37 C'est un règlement, c'est d'application directe, ça crée des obligations et des droits dans chacun des Etats.
04:43 Et quand on lit, c'est un texte qui est relativement simple à comprendre.
04:47 Les objectifs, les termes utilisés, tout est relativement compréhensible,
04:53 même pour tout un chacun, on n'a pas du tout besoin d'être juriste pour comprendre
04:57 qu'on a une obligation par exemple de conservation limitée dans le temps.
05:01 Bon bah voilà, c'est dit tel quel dans le texte, limité dans le temps, bon bah on comprend quoi.
05:05 - Juste une toute petite parenté, je suis d'accord avec toi, c'est la première fois,
05:08 parce qu'on parle souvent des conditions d'utilisation des réseaux sociaux
05:12 qui sont totalement habitables pour le grand public.
05:14 J'encourage vraiment ceux qui nous écoutent à aller voir sur le site de la CNIL,
05:17 qui a listé en fait le RGPD, et effectivement je suis d'accord avec toi là-dessus,
05:21 quand on voit le RGPD, on peut le lire en fait, on peut le lire tranquillement,
05:24 et on comprend concrètement de quoi il s'agit, donc vraiment juste petit conseil,
05:27 allez tout simplement lire le RGPD, voilà, si vous avez quelques dizaines de minutes,
05:31 tranquillement, posez-vous dessus.
05:33 - Alors quelques dizaines, en effet, il faut plusieurs dizaines de minutes.
05:37 - Oui oui, c'est pas trois lignes non plus.
05:39 - Voilà, de bout en bout, mais à la rigueur, même sans lire le texte de manière exégétique,
05:44 on peut au moins lire les quelques considérants de l'introduction,
05:47 qui donnent vraiment le cap du texte, et qui sont très riches d'enseignements
05:50 pour savoir où est-ce que le législateur européen a voulu aller.
05:54 Alors, tu me poses la question des principales avancées,
05:56 donc je te disais, c'est l'harmonisation, clairement,
05:59 harmoniser pour qu'il y ait un niveau de garantie équivalent,
06:02 quelle que soit la sensibilité des pays,
06:04 sur la question de la protection de la donnée à caractère personnel.
06:07 Ensuite, principales avancées, il y a le changement de paradigme pour les autorités.
06:14 Avant, l'autorité comme la CNIL, venait aider les entreprises à valider leur traitement,
06:20 c'est-à-dire, on proposait un traitement à la CNIL,
06:23 je schématise évidemment à grosse maille,
06:25 et la CNIL disait "c'est ok, la manière dont vous mettez en oeuvre le traitement".
06:30 Donc, elle venait, a priori, contrôler le traitement.
06:33 Aujourd'hui, c'est complètement différent.
06:35 Aujourd'hui, elle a une position de sanction,
06:37 elle fait toujours cet accompagnement,
06:39 notamment pour des traitements pour lesquels on a une obligation
06:42 de demande et de déclaration préalable.
06:45 - Style les grandes lois de surveillance du gouvernement, etc.
06:48 - Non, là, je parle à l'échelle des entreprises, des acteurs privés,
06:53 - Ah, vraiment à l'échelle même des entreprises, d'accord.
06:54 - Ou public.
06:54 - D'accord.
06:55 - Par exemple, si vous voulez faire un traitement,
06:57 dans le cadre de traitement de données de santé,
07:00 vous voulez faire un data lake,
07:05 vous allez faire une demande d'autorisation préalable.
07:08 - Un data lake, donc c'est simplement...
07:09 - Un entrepôt de données de santé.
07:10 - Un entrepôt de données de santé.
07:11 - Parce qu'il y a une nature particulière à la donnée que vous utilisez,
07:15 alors là, vous allez faire une demande d'autorisation préalable,
07:17 selon des formulaires, enfin, tout est assez codifié,
07:19 mais là, on est encore dans le système où d'abord,
07:22 on propose son traitement, on le présente,
07:24 on est validé, on peut le mettre en oeuvre.
07:26 Donc en gros, quand c'est des données très sensibles,
07:28 il faut une validation de la CNIL, a priori,
07:31 avant de mettre en oeuvre ce traitement des données.
07:33 Par contre, pour le reste, on peut se faire contrôler,
07:35 mais bon, a priori, on part du principe qu'on est de bonne foi.
07:38 Une petite question, du coup, qui en découle,
07:40 c'est parce que maintenant, il y a trop de boîtes qui traitent des données,
07:42 ou c'est hyper pragmatique ?
07:44 La CNIL ne pourrait pas contrôler toutes les entreprises
07:46 qui traitent des données avant qu'elles traitent ces données ?
07:48 - Non, en fait, c'est...
07:49 Au-delà d'être pragmatique, alors,
07:52 c'est surtout que l'intérêt de se positionner comme ça,
07:57 c'est de laisser la responsabilité aux acteurs privés ou publics,
08:01 dans le cadre du traitement de leurs données.
08:03 Donc c'est de leur dire,
08:04 "Vous réalisez des traitements, vous en êtes responsable."
08:07 Et moi, je viens comme "gendarme", entre guillemets,
08:09 veillez à ce que vous réalisez comme traitement,
08:13 eh bien c'est conforme au texte.
08:15 Donc c'est vraiment, on renverse la responsabilité, si vous voulez,
08:18 et on offre nécessairement plus de liberté
08:20 quand on est dans un système administratif de validation a priori,
08:23 donc on demande une autorisation,
08:25 c'est quand même plus restrictif en termes de liberté
08:27 que quand on dit "c'est ok pour tout le monde"
08:29 et qu'on vient contrôler.
08:31 En revanche, pour les entreprises, même pour les acteurs publics,
08:34 c'est beaucoup de pression,
08:35 parce que ça veut dire qu'on doit rendre des comptes.
08:37 Et donc si on rend des comptes,
08:39 on doit démontrer sa conformité.
08:41 C'est tout l'enjeu du texte,
08:42 c'est arriver à démontrer comment on est conforme.
08:44 - Et pour l'internaute banal comme moi,
08:49 ça change quoi en fait ?
08:50 En quoi ça me protège mieux le RGPD aujourd'hui,
08:52 enfin depuis le 25 mai 2018,
08:54 qu'entre 1978 et 2018, toute la période avant ?
08:57 - Alors je pense que ça protège mieux déjà parce que
09:00 aujourd'hui, grâce à ce texte,
09:01 il y a eu une énorme prise de conscience.
09:05 Quand on change ce paradigme,
09:08 qu'on passe d'une autorité de contrôle, de validation,
09:12 à une autorité de contrôle-sanction,
09:16 la position des acteurs privés et publics
09:19 est forcément très différente.
09:20 Donc déjà, on est mieux protégé à titre individuel.
09:22 - En plus, ça a été vécu comme un big bang.
09:24 Le grand public, franchement,
09:26 ne l'a pas forcément abordé au début,
09:30 parce que c'est vrai que ça reste un règlement,
09:32 c'est pas très sexy,
09:34 mais quand on en parlait aux acteurs,
09:37 moi en tant que journaliste, je me souviens,
09:38 c'était un big bang pour beaucoup d'entreprises,
09:41 toutes les entreprises qui traitaient des données,
09:42 c'est-à-dire quasiment toutes les entreprises aujourd'hui.
09:44 - Du coup, là c'est à moi de te poser une question,
09:46 pourquoi tu penses que ça a été un big bang ?
09:48 - Eh bien justement, parce qu'ils ont flippé.
09:50 - Et pourquoi ils ont flippé ?
09:52 - Parce qu'il y avait un gendarme.
09:54 - En fait, ils ont flippé parce que les sanctions
09:56 sont extrêmement sévères.
09:58 Et alors, là, je vais prendre ma casquette d'avocate,
10:00 une seconde, c'est une sanction administrative,
10:02 une sanction pénale
10:04 et une sanction judiciaire potentielle.
10:06 - Il faut se faire aligner sur tous les niveaux.
10:08 - Exactement.
10:10 Il y a trois piliers dans notre ordre,
10:12 et là, vous les avez tous.
10:14 L'ordre administratif, l'ordre pénal
10:16 et l'ordre judiciaire, au sens
10:18 indemnité, dommage et intérêt.
10:20 - Donc ça, ça a changé que maintenant,
10:22 la CNIL a un gros bâton pour
10:24 taper sur les entreprises qui ne respectent pas la loi.
10:26 Mais après, dans la nature de la loi,
10:28 est-ce qu'il y a des obligations ou
10:30 des éléments de protection vraiment qui n'existaient pas
10:32 du tout avant qu'on ait pu arriver avec le RGPD ?
10:34 - Alors, ce qu'on peut dire, c'est que
10:36 le texte, donc,
10:38 impose en tout cas
10:40 un certain nombre de principes,
10:42 notamment le principe d'information.
10:44 On doit vous informer
10:46 de comment on traite ta donnée,
10:48 quelle typologie de données on traite.
10:50 Donc, tu dois trouver
10:52 facilement cette information. Alors, c'est tous les petits
10:54 bandeaux que vous voyez, et je ne parle pas du bandeau de cookies,
10:56 mais tous les petits bandeaux que vous voyez
10:58 quand vous remplissez des formulaires, vous avez des petites coches,
11:00 et puis, il y a des petites étoiles qui disent
11:02 "alors ça, c'est une donnée obligatoire", et puis à la fin, vous avez
11:04 un petit blabla qui vous dit
11:06 "ces données sont collectées dans le cadre de..."
11:08 Et là, on vous met une finalité,
11:10 c'est-à-dire un objectif de pourquoi on collecte
11:12 la donnée, et puis on vous dit
11:14 qui est le responsable de traitement, en vous disant "la société
11:16 X traite
11:18 vos données dans le cadre du formulaire pour
11:20 répondre à votre question..." - Donc, il y a un responsable.
11:22 En fait, on montre qu'il y a quelqu'un qui est responsable
11:24 devant la CNIL, en fait. - Exact.
11:26 On montre effectivement qu'il y a un responsable de traitement,
11:28 c'est-à-dire le représentant,
11:30 la personne morale, en réalité,
11:32 mais on vous dit qui.
11:34 Et ce qui est intéressant, c'est qu'avant, ces
11:36 mentions d'information, on avait
11:38 quand même l'obligation d'informer, mais en réalité,
11:40 comme c'était pas si coercitif que ça,
11:42 les sanctions n'étaient pas les mêmes,
11:44 on le faisait pas forcément. Donc, déjà,
11:46 on a gagné là-dessus. Ensuite,
11:48 un droit que je trouve
11:50 assez amusant, c'est qu'on
11:52 a aujourd'hui, avec le
11:54 RGPD, le droit à l'information...
11:56 enfin, le droit à l'action
11:58 d'un humain lorsque vous avez
12:00 un traitement automatisé. Je m'explique.
12:02 J'imagine que vous avez déjà fait
12:04 un prêt ou demandé un prêt. Demandez une
12:06 prévoyance, par exemple.
12:08 Je vais vous parler de mon cas. Formulaire
12:10 de prévoyance en ligne, je cherche à souscrire
12:12 à une prévoyance, et mon courtier
12:14 me dit "Faut remplir ce formulaire,
12:16 c'est le formulaire santé, je n'y ai pas accès,
12:18 c'est une plateforme sécurisée, les données que vous mettrez
12:20 dedans, c'est que les médecins conseils
12:22 qui ont accès", et je remplis le formulaire.
12:24 Le formulaire, donc à l'époque, j'étais
12:26 avocate libérale, le formulaire me
12:28 demande si un jour...
12:30 Vous allez voir, c'est assez cocasse.
12:32 Si un jour, j'ai
12:34 pris des psychotropes
12:36 ou des médicaments
12:38 en lien avec une dépression.
12:40 Et je
12:42 déclare la vérité, parce qu'attention,
12:44 il ne faut pas faire de fausses déclarations pour qu'après
12:46 l'assurance se rende compte que voilà.
12:48 Donc je dis oui. Et là, ça me demande
12:50 - véritable, hein - histoire,
12:52 ça me demande
12:54 si la prise
12:56 de ces médicaments,
12:58 de ces antidépresseurs, était en lien avec un
13:00 incident de la vie.
13:02 - C'est un peu vague, un incident de la vie.
13:04 - Ouais, alors je suis toujours en train de chercher ce qu'il voulait dire,
13:06 mais du coup, je me dis "mince,
13:08 quand on fait une dépression du postpartum, on s'en rend compte
13:10 peut-être à la quatrième boîte de chocolat qu'on est en train d'avaler,
13:12 alors qu'on ne l'est pas douchée sur son canapé."
13:14 Et donc, on se dit
13:16 "je ne me rappelle pas qu'il était ce jour où vraiment
13:18 j'ai réalisé que ça n'allait pas". Donc je déclare
13:20 la date de naissance de mon fils, ce qui est
13:22 franchement hyper dur quand même.
13:24 - Très sympa, oui. - Il choue, il n'avait rien demandé.
13:26 Et donc, bon, je continue
13:28 le formulaire, et à la fin,
13:30 j'envoie le formulaire, deux secondes après,
13:32 cinq minutes après, je reçois
13:34 une prise en charge,
13:36 super, et là, je descends
13:38 et je vois "exclus
13:40 toutes les maladies liées au stress".
13:42 J'appelle
13:44 mon agent, mon agent d'assurance,
13:46 et je lui dis "je crois qu'on a un problème".
13:48 Il dit "bah non, c'est bon, vous êtes pris en charge".
13:50 Et oui, mais un avocate libéral qui n'est pas pris en charge
13:52 sur toutes les maladies liées au stress, excusez-moi,
13:54 mais je ne me sens pas hyper protégée, quoi, là,
13:56 ça ne me paraît pas évident.
13:58 Et je lui dis "écoutez, je demande
14:00 une intervention humaine sur la base du RGPD".
14:02 Il me dit "je ne sais pas si c'est possible".
14:04 J'ai dit "écoutez, notez bien ce que je vous dis,
14:06 vous avez un prospect qui demande
14:08 une intervention humaine sur l'analyse
14:10 du dossier, et donc les exclusions
14:12 visées". Bah, ça n'a pas pris
14:14 cinq heures pour qu'il me rappelle en me disant
14:16 "c'est bon, on a modifié
14:18 et effectivement, on a enlevé toutes les exclusions
14:20 parce que c'est un événement,
14:22 Dieu merci, ça s'arrête dans le temps,
14:24 c'est quelque chose qui est très contextuel
14:26 et donc, il n'y a pas la raison
14:28 de vous exclure du cadre
14:30 de protection. - Je t'avoue que c'est un truc dont j'avais
14:32 jamais entendu parler, j'ai travaillé sur
14:34 le RGPD, je ne connaissais pas du tout
14:36 cet article, donc en fait
14:38 on a le droit de demander à n'importe quelle entreprise
14:40 parce que des traitements automatisés, c'est-à-dire en gros
14:42 des formulaires, donc là tu parles
14:44 d'une assurance, alors c'est des formulaires,
14:46 moi j'ai eu à les remplir aussi, dès que t'as un emprunt
14:48 tu dois remplir ce genre de formulaire, mais plus
14:50 simplement une banque, tu ouvres un compte en banque
14:52 ou plein de choses comme ça, t'as tout le temps des formulaires automatiques,
14:54 t'as le droit de
14:56 réclamer de parler à un humain, dans
14:58 tous les cas, je pense, enfin je sais pas,
15:00 par exemple un billet
15:02 d'avion, je sais pas moi, Air France te vend un billet
15:04 d'avion, tu peux pas parler à un humain,
15:06 y'a pas de numéro de téléphone, tu dois parler
15:08 à un chatbot, maintenant ils ont des chatbots partout,
15:10 t'as le droit dans tous les domaines d'avoir un humain, ou c'est
15:12 des domaines très spécifiques ? - Alors c'est à partir du
15:14 moment où la décision automatisée
15:16 te donne un droit ou te le refuse.
15:18 - D'accord. - Et donc là par exemple, tu parles
15:20 du prêt, c'est assez basique,
15:22 on a tous été devant notre banquier, je voudrais un prêt,
15:24 il rentre les plus, il rentre les moins, il dit "ah non, ça passe pas".
15:26 - Enfin pour un remboursement, une assurance
15:28 pour un remboursement d'un voyage par exemple,
15:30 ça rentre dans ce
15:32 cadre-là aussi. - Et ben là c'est pareil.
15:34 - C'est ça, donc on... - A partir du moment où tu as
15:36 une décision automatisée, c'est-à-dire t'as un formulaire
15:38 et t'as personne derrière, en tout cas
15:40 les conditions te laissent penser
15:42 qu'il y a personne derrière, dans mon cas c'était vraiment
15:44 5 minutes, je me suis dit, ils ont les médecins-conseils
15:46 les plus rapides de l'Ouest, j'ai jamais...
15:48 - C'est-à-dire qu'il n'y avait pas un médecin qui avait regardé ton dossier
15:50 et qui avait dit oui ou non. - C'est-à-dire impossible, surtout que
15:52 pour ce qui était du cas de la pathologie,
15:54 enfin tout ce qui tourne autour des grossesses, c'est souvent
15:56 exclu, donc ça n'a pas de sens, enfin
15:58 voilà, là c'est pareil, pour la banque ce serait
16:00 la même chose, à partir du moment où c'est
16:02 l'ordinateur qui dit oui ou qui dit non,
16:04 je voudrais défendre mon dossier, c'est ça.
16:06 - Non mais parce que t'as des services qui n'ont juste
16:08 pas de service client. - Oui, mais en réalité
16:10 tu as la possibilité de demander
16:12 une intervention humaine. - Non mais c'est très bon, moi je trouve
16:14 que c'est un bon type, c'est-à-dire quand
16:16 tu n'as pas de service client, parce qu'aujourd'hui il y a plein d'applis
16:18 qui sont franchement hyper bien, des banques,
16:20 des assurances en ligne, mais on va dire
16:22 c'est vachement moins cher, mais
16:24 en contrepartie on n'a pas de service client humain.
16:26 En fait si, on a le droit d'en demander, en gros
16:28 c'est un peu ce que tu nous expliques, quand on a un problème.
16:30 - Exactement, mais d'ailleurs quand on a un problème,
16:32 il faut parler à des gens, c'est... - En général c'est
16:34 ce qu'on a envie de faire, et puis on ne peut pas et on est très frustré.
16:36 Donc en fait le RGPD nous permet ça, et bah franchement
16:38 je vais dire un truc, je ne le savais pas du tout.
16:40 Est-ce que tu as encore une autre
16:42 grande avancée ? Par exemple on a beaucoup parlé
16:44 du droit à l'oubli, ça c'est quelque chose qui est vraiment nouveau,
16:46 le droit à demander la suppression
16:48 de nos données. - Oui, alors le droit
16:50 à l'oubli et le droit à la suppression
16:52 ne sont pas tout à fait la même chose, mais effectivement
16:54 c'est une avancée du texte, en tout cas
16:56 très présentée
16:58 comme telle. Attention
17:00 parce que le droit à l'oubli ça a été très longtemps
17:02 la tarte à la crème, on le voyait partout.
17:04 C'est quand même pas un droit absolu,
17:06 par exemple si tu es salarié
17:08 tu ne peux pas demander à ce que ton
17:10 entreprise t'oublie au moment où tu pars.
17:12 Il y a de la prescription légale qui va
17:14 jouer parce que tu peux poursuivre ton employeur.
17:16 Il n'est pas question de demander par exemple à son
17:18 employeur de m'oublier à la seconde où j'ai quitté les locaux.
17:20 - Mais si je suis client, on va faire
17:22 un cas un peu plus banal j'ai envie de dire,
17:24 je suis client d'une enseigne, je commande sur un site en ligne
17:26 de vente, je ne suis pas moi de meubles,
17:28 je peux demander à ce qu'on supprime toutes
17:30 mes données ? - Alors attention... - Ou je suis utilisateur d'un réseau
17:32 social. - Alors...
17:34 Pour moi,
17:36 beaucoup plus simple l'utilisateur d'un réseau social,
17:38 demander de supprimer la donnée.
17:40 Pourquoi ? Parce qu'il n'y a pas d'autre vocation du réseau
17:42 social que d'être dans le réseau social.
17:44 En revanche, sur l'exemple que tu donnes,
17:46 mettons que je commande en ligne,
17:48 on me livre un bien, il y a une garantie légale
17:50 qui vient avec ce bien. J'ai donc besoin
17:52 en tant que plateforme
17:54 en ligne de conserver la trace de cet
17:56 achat. Donc quand tu demandes que
17:58 les données soient supprimées,
18:00 ça ne peut pas être toutes les données.
18:02 Et puis aussi parce qu'eux, ils vont avoir une obligation
18:04 fiscale de conserver la trace de la facture,
18:06 de dire "c'est à Raphaël qu'on a envoyé
18:08 cette petite chemise verte".
18:10 Tu vois, donc ils ne pourront pas supprimer
18:12 toutes les données. En revanche, ils pourront
18:14 supprimer toutes les données qui n'ont plus de pertinence
18:16 et qui ne sont pas liées à leurs
18:18 obligations légales. Typiquement, tout ce qui va
18:20 être lié à la prospection commerciale, ça n'est pas
18:22 une obligation légale d'une plateforme de faire de la prospection
18:24 commerciale et donc d'utiliser
18:26 ton adresse e-mail pour réaliser
18:28 cette prospection commerciale.
18:30 Ou alors j'ai acheté ma chemise verte, mais j'avais
18:32 regardé une jaune aussi que j'avais bien aimée et j'avais
18:34 regardé, enfin, tout ce qui n'est pas
18:36 indispensable d'un point de vue fiscal, etc.
18:38 Et moi j'ai une question aussi à te poser,
18:40 alors tu es avocate en droit du numérique,
18:42 tu as ton cabinet d'avocat, donc je suppose
18:44 que des affaires sur l'RGPD
18:46 t'envoient passer des floppés.
18:48 C'est quoi vraiment les cas
18:50 qui reviennent le plus souvent, en fait les plaintes
18:52 qui reviennent le plus souvent, les articles
18:54 du RGPD qui sont en fait un peu le plus
18:56 bafoués ? - Alors,
18:58 petite précision, moi je ne fais
19:00 absolument pas de contentieux. - D'accord. - C'est un
19:02 choix stratégique,
19:04 je ne fais pas de contentieux, moi j'aime bien créer, donc j'aime
19:06 bien accompagner mes clients sur la création, sur
19:08 la modernisation des systèmes,
19:10 - Je suppose qu'entre collègues,
19:12 on doit en discuter. - Voilà. En revanche, c'est la même chose.
19:14 C'est-à-dire que ce qu'on voit arriver dans les
19:16 cabinets de conseil ou dans les cabinets spécialisés en
19:18 contentieux, c'est finalement les mêmes scopes,
19:20 c'est toujours la même chose qui revient. L'enjeu
19:22 aujourd'hui pour les entreprises, ce qu'on voit,
19:24 et pour les collectivités territoriales, c'est
19:26 l'enjeu de la conservation
19:28 limitée dans le temps. C'est l'enfer.
19:30 C'est l'enfer parce que ça
19:32 implique d'énormes
19:34 process très lourds en interne,
19:36 parce que quand on décide, c'est pas tout à
19:38 fait comme dans notre placard quand on décide de vider
19:40 le carrage ou le placard dans lequel
19:42 on met notre bazar,
19:44 là c'est un peu différent parce que quand
19:46 vous enlevez de la donnée à un endroit, ça peut
19:48 avoir des répercussions sur toute
19:50 une chaîne d'informations. - C'est un Tetris quoi.
19:52 - Exactement, c'est tout à fait un Tetris.
19:54 Et donc c'est très compliqué, et ça
19:56 c'est un sujet, mais c'est un sujet
19:58 qui nous occupe tout le temps.
20:00 - Oui c'est un peu contre-intuitif parce que c'est vrai qu'on se dit
20:02 "bon après tout, tu crées un petit algo,
20:04 ça supprime, si ça dépasse les deux ans, hop,
20:06 on bazarde". Et en fait, il y a
20:08 d'autres systèmes qui utilisent ces données et donc
20:10 ça peut faire tomber le système.
20:12 - Comme on disait tout à l'heure, donc
20:14 au commercial je vais supprimer cette donnée,
20:16 alors en prospection je vais dire au bout
20:18 d'un an, parce que je n'ai plus d'échange avec le client,
20:20 je le supprime, par exemple en consommation,
20:22 ça pourrait être... si le cycle
20:24 de vie de la donnée dans l'entreprise
20:26 est très court, on pourrait considérer qu'au bout
20:28 de 12 mois, si il ne s'est plus rien passé, on va supprimer
20:30 un certain nombre d'informations.
20:32 En revanche, il ne faut pas avoir
20:34 pour effet de supprimer dans la
20:36 base au niveau fiscal.
20:38 Tu vois, au niveau...
20:40 - Oui, donc vraiment en fait, il faut faire le tri
20:42 mais de façon très pointue.
20:44 - Exactement, mais pour faire le tri de manière très pointue et avoir
20:46 effectivement, comme le texte l'impose,
20:48 des durées de conservation adaptées
20:50 à la donnée, à l'échelle
20:52 de la donnée, c'est-à-dire le nom est une donnée.
20:54 Le tri doit se faire à cette échelle-là,
20:56 en théorie.
20:58 Eh bien, au final,
21:00 il faut aussi penser au niveau de la structure, de l'architecture
21:02 du système d'information,
21:04 des différentes applications entre elles,
21:06 les conséquences en cascade.
21:08 Donc ça veut dire que, avant de se lancer
21:10 et d'appuyer sur supprimer,
21:12 il faut étudier tout ça, parce qu'il ne faut
21:14 pas avoir d'effet de bord qui mette en difficulté
21:16 l'entreprise vis-à-vis de
21:18 ses autres obligations.
21:20 Notamment, en droit fiscal,
21:22 en droit du travail, où on a évidemment
21:24 des durées de conservation, en droit commercial,
21:26 la préservation aussi de ses intérêts
21:28 d'un point de vue commercial,
21:30 en cas de contentieux avec
21:32 ses partenaires. - Mais j'imagine
21:34 qu'il y a des données, enfin, qui paraissent évidentes,
21:36 typiquement, je vais faire une prise
21:38 de sang dans un laboratoire.
21:40 Je ne sais pas combien de temps ils ont
21:42 pour supprimer ma donnée, c'est peut-être deux ans,
21:44 franchement, j'en sais rien.
21:46 Mais ça, une prise de sang
21:48 qui peut révéler, on ne sait pas, une maladie, quelque chose,
21:50 cette donnée, par exemple, il faut juste
21:52 la supprimer au bout de deux ans.
21:54 Il y a des données comme ça qui sont assez évidentes,
21:56 non, à supprimer ? - Le problème
21:58 que tu soulèves là, c'est la pertinence
22:00 de la durée. Cette durée, soit
22:02 dans le texte, alors dans le RGPD, tu ne trouveras pas
22:04 de durée. - Il n'y a pas de durée dans le RGPD ? - Non.
22:06 Dans le RGPD, tu ne trouveras pas de durée.
22:08 C'est un chifoumi géant, où tu regardes
22:10 le RGPD et les lois particulières,
22:12 les réglementations particulières de ton secteur.
22:14 - Et par exemple, un laboratoire
22:16 d'analyse ? - Donc si,
22:18 dans la réglementation, mais plus largement
22:20 que le laboratoire, si plus largement
22:22 dans leurs réglementations, ils ont l'obligation
22:24 de conserver deux ans, tu vas devoir conserver deux ans.
22:26 S'il n'y a rien de marqué, on va aller
22:28 chercher vis-à-vis de leurs autres obligations
22:30 la durée pertinente.
22:32 En revanche, je pense que ce qui est
22:34 important, et ce sur quoi il faut
22:36 peut-être axer le propos,
22:38 c'est que
22:40 au-delà de la conservation,
22:42 il y a aussi la notion
22:44 d'exploitation de cette donnée,
22:46 et il y a la notion de sécurité
22:48 de la donnée. Pour moi,
22:50 conserver une donnée
22:52 de manière archivée,
22:54 où pour rentrer dans cette
22:56 archive, il y a un niveau d'habilitation
22:58 élevé, et qu'on me
23:00 justifie d'un point de vue juridique, en me disant
23:02 "Tu comprends, moi j'ai besoin de tracer
23:04 l'événement, si la personne
23:06 revient en matière de santé,
23:08 et qu'elle demande ses résultats, on les aura plus."
23:10 Donc,
23:12 on peut avoir
23:14 des justifications opérationnelles,
23:16 légales, qui ont une très
23:18 grande pertinence, évidemment, et qui vont
23:20 nous pousser à conserver l'information.
23:22 En revanche, il faut être hyper
23:24 vigilant sur son exploitation,
23:26 c'est-à-dire, une fois que j'ai fait
23:28 ta prise de sang, est-ce que
23:30 j'en déduis autre chose ? Est-ce que je le
23:32 croise ? Qu'est-ce que je fais de cette donnée ?
23:34 Alors, je te rassure, je rassure tout le monde
23:36 tout de suite, rien !
23:38 - Par contre, moi, en tant que patient,
23:40 j'espère que le résultat de mon examen,
23:42 il va être mis dans un serveur
23:44 méga sécurisé. - Exactement. En fait, c'est ça
23:46 l'enjeu. C'est la question
23:48 de la sécurité de l'information.
23:50 Il est là l'enjeu. Il n'est pas de savoir si on
23:52 le garde ou pas, finalement. Le premier
23:54 des enjeux, c'est de la
23:56 sécurité. Parce que si on a
23:58 misé la conservation, mais qu'au
24:00 final, tout le monde puisse avoir accès, parce que
24:02 c'est pas sécurisé,
24:04 là, on a un réel problème, en réalité.
24:06 Et donc, pour moi, la question
24:08 de la durée de conservation, c'est une question qu'on nous pose
24:10 tous les jours, qui est
24:12 vraiment, quels que soient les départements,
24:14 dans les entreprises, les services,
24:16 quels que soient privés, publics, on a
24:18 toujours cette problématique,
24:20 mais derrière ça,
24:22 derrière ça, il y a la question de la sécurité.
24:24 - Alors, j'ai une question un peu
24:26 naïve, aussi. Donc,
24:28 le RGPD, c'est depuis, ça fait semaine dans 5 ans.
24:30 Moi, tu utilises
24:32 des réseaux sociaux, comme moi,
24:34 t'es sur TikTok, t'es sur Facebook,
24:36 t'es ciblée en permanence par de la publicité,
24:38 et j'ai l'impression que, paradoxalement,
24:40 on n'a jamais été autant fliqués
24:42 qu'aujourd'hui. Est-ce que c'est pas un peu
24:44 paradoxal, ou est-ce que vraiment,
24:46 après, est-ce que c'est une impression
24:48 qui est fausse, et que vraiment, le RGPD limite
24:50 vraiment ce fliquage ? - En fait, je pense pas
24:52 que ce soit paradoxal,
24:54 et je ne crois pas que le RGPD limite le fliquage,
24:56 dans le sens
24:58 où, pour ne plus être fliqué,
25:00 il faut avoir conscience de ce qu'on
25:02 fait. Aujourd'hui,
25:04 vous pouvez faire tous les textes que vous voulez,
25:06 si les personnes ne se saisissent pas
25:08 de leurs droits,
25:10 et qu'on n'a pas ce travail
25:12 de les sensibiliser, de les
25:14 former, et là, je voudrais...
25:16 s'il y a des professeurs de collège
25:18 qui nous écoutent, de primaire qui nous
25:20 écoutent, de lycée qui nous écoutent, s'il vous
25:22 plaît, faites des petits
25:24 sessions sur ces questions-là,
25:26 auprès des étudiants et des
25:28 collégiens, etc. - Je me permets
25:30 juste de rebondir, il y a un truc qui fonctionne très bien aussi,
25:32 je parlais tout à l'heure d'aller voir un peu sur le site de la CNIL,
25:34 si vous avez encore un peu de temps, vous allez
25:36 sur Facebook, sur Twitter,
25:38 sur Instagram, sur TikTok, tout ce que
25:40 vous voulez, et vous téléchargez vos données.
25:42 Parce que justement, ça, le RGPD, maintenant, oblige
25:44 toutes les grandes plateformes à permettre
25:46 le téléchargement de toutes les données
25:48 qu'elles ont sur l'internaute, donc c'est toujours dans les
25:50 paramètres, etc., et en général, en regardant
25:52 ça, ça permet justement un peu de réaliser, je trouve,
25:54 la portée de ce qui est collecté.
25:56 - Exactement, en fait, c'est la problématique,
25:58 c'est là. C'est pas le texte, la loi
26:00 ne... Bien sûr,
26:02 ça est un bouleversement, le texte en lui-même
26:04 est un bouleversement, mais en revanche, si
26:06 les personnes ne s'en saisissent pas, si quand il y a
26:08 des banques de cookies, vous continuez à écrire
26:10 "OK" pour tous les cookies,
26:12 alors que la loi permet, et
26:14 vous le voyez sur votre ordinateur, que vous
26:16 pouvez dire "non, uniquement les cookies
26:18 nécessaires,
26:20 indispensables à ma navigation".
26:22 - En plus, c'est à côté, quoi, enfin, c'est censé
26:24 être à côté. - Donc,
26:26 si vous ne vous... si en tant
26:28 qu'individu, on ne se saisit pas de
26:30 ces questions-là, ça ne peut pas
26:32 avancer. Donc, en fait, je ne crois pas que ce soit...
26:34 Là, c'est un peu
26:36 la rencontre des deux mondes, c'est-à-dire
26:38 il faut que les personnes
26:40 se saisissent de ces aspects. Et je
26:42 crois que c'est de plus en plus le
26:44 cas, pour une raison assez simple,
26:46 c'est que les responsables de traitement, donc c'est-à-dire les entreprises,
26:48 évidemment le secteur
26:50 privé, comme le secteur public,
26:52 ont une obligation de sensibiliser
26:54 leurs collaborateurs. Donc, à partir du
26:56 moment où vous sensibilisez les collaborateurs à la manière
26:58 dont ils traitent les données dans le cadre de leurs fonctions,
27:00 eh bien, ils se posent
27:02 des questions
27:04 d'un point de vue individuel, c'est-à-dire
27:06 "qu'est-ce que je fais ?"
27:08 Et du coup, quand vous voyez des questions bizarres
27:10 sur des sites, ben vous avez
27:12 tendance à ne plus remplir.
27:14 Et donc, cette conscience,
27:16 elle augmente. - Donc, c'est
27:18 finalement la vertu du RGPD, c'est aussi
27:20 une très longue prise de... - Exactement.
27:22 - ...prise de conscience.
27:24 Pour terminer, tu parlais au tout début
27:26 du podcast du
27:28 pouvoir du RGPD, qui est un pouvoir de sanction.
27:30 Est-ce qu'on a vu, vraiment,
27:32 des énormes sanctions qui ont
27:34 visé des boîtes qui n'ont pas du tout
27:36 respecté le RGPD ? - Alors, on peut
27:38 en citer une, évidemment,
27:40 de l'autorité
27:42 luxembourgeoise à l'encontre
27:44 d'Amazon, 746
27:46 millions. C'est beaucoup.
27:48 - Ouais, donc ça pique un peu, quand même, en termes de montant.
27:50 - Voilà, ça pique un peu. En revanche, moi, ce qui me
27:52 paraît intéressant... - C'était à cause de quoi ?
27:54 - Alors, c'était un ensemble de manquements
27:56 qui étaient
27:58 à l'encontre d'Amazon
28:00 Prime.
28:02 Voilà, sur...
28:04 Alors, je me rappelle plus
28:06 tous les fondements, mais ce sont des
28:08 manquements assez classiques que l'on retrouve.
28:10 Mais je vous invite à aller lire, parce que c'est assez...
28:12 C'est riche d'enseignements.
28:14 Les entreprises ou les collectivités qui se
28:16 font pirater pouvaient avoir
28:18 un système d'information bien pensé,
28:20 des mesures de sécurité, et quand même,
28:22 ce sont des métiers. Il y a des gens qui
28:24 attaquent. Leur métier, c'est d'attaquer.
28:26 Et donc, je veux rappeler que, quand on est victime
28:28 d'une attaque, on est victime. C'est-à-dire,
28:30 moi, j'ai des gens qui me disent "ouais, mais on n'était pas
28:32 blanc-bleu". Mais, en fait, c'est pas la question.
28:34 - Oui, t'as raison. Il reste victime.
28:36 Par contre, victime, mais quand même responsable
28:38 d'informer
28:40 l'autre victime de cette
28:42 fuite, c'est-à-dire le patient.
28:44 - Exactement. Et pourquoi on informe ?
28:46 Parce qu'il y a quand même cette
28:48 idée, en tout cas pour moi,
28:50 au-delà de l'obligation du texte,
28:52 qui est une obligation d'informer la personne
28:54 lorsque le risque est important pour sa
28:56 vie privée. Et donc là, on comprend bien
28:58 toutes les questions autour de l'usurpation d'identité.
29:00 C'est assez basique, mais
29:02 après, il y a d'autres risques.
29:04 Vous allez avoir tous les risques qui sont liés à l'intelligence économique.
29:06 Si je veux t'atteindre, peut-être
29:08 que je vais d'abord essayer d'atteindre
29:10 ta sœur, ou
29:12 ta mère, ou ta cousine. Donc, il y a
29:14 aussi toute la question
29:16 de l'étude.
29:18 - Ou du chantage aussi.
29:20 "T'es pas de trop bien entreprise, tiens, j'ai ton dossier médical,
29:22 fais gaffe parce que vire-moi
29:24 je sais pas combien d'euros ou de bitcoins,
29:26 ou peu importe, parce que sinon je vais révéler que t'as
29:28 un problème de santé." - Exactement. Alors, voilà,
29:30 il y a toutes ces questions-là. Et donc,
29:32 l'enjeu, c'est de dire, vous devez informer
29:34 pour que les personnes prennent
29:36 la mesure de ce qui s'est passé,
29:38 et donc, prennent des mesures.
29:40 Elles doivent prendre la mesure,
29:42 des mesures concrètes.
29:44 Donc, changer des mots de passe, avoir une
29:46 certaine vigilance quand on a des informations qui
29:48 arrivent et qui sont un petit peu
29:50 étonnantes. Aujourd'hui, on voit beaucoup
29:52 de fraudes, par exemple, au faux
29:54 agent des fraudes
29:56 dans les services bancaires,
29:58 ou faux conseiller bancaire, qui vous appelle,
30:00 qui parle extrêmement vite,
30:02 qui va vous dire "Vous êtes bien, monsieur machin,
30:04 vous habitez à tel endroit,
30:06 votre compte est bien hébergé à tel endroit." Mais en réalité,
30:08 il a la copie de documents
30:10 qui sont ici de fuites de données,
30:12 ou bien, il a fait une étude,
30:14 mais parce que dans ce qu'on appelle
30:16 les leaks, qui sont les fuites de données,
30:18 il y a tout un tas de documents. Et quand vous avez la personne
30:20 au téléphone, à moins de dire
30:22 - et c'est assez basique, et j'invite tout le monde
30:24 à le faire - "Je ne confirmerai pas
30:26 ces informations, et si vous voulez
30:28 m'adresser un message, faites-le par ma messagerie
30:30 sécurisée." "Oui, mais
30:32 vous vous rendez compte, c'est l'urgence." En fait,
30:34 l'urgence, c'est surtout de ne pas faire de bêtises,
30:36 et donc de ne pas accepter les choses. Mais
30:38 si vous acceptez, vous êtes quand même victime.
30:40 Parce que
30:42 on vous aura manipulé.
30:44 - Et donc, si on n'a pas été prévenu qu'il y a une fuite de données,
30:46 forcément, on ne peut pas être plus vigilant
30:48 quand on a ce type d'appel.
30:50 Merci beaucoup, Oriana Labrouillard, c'était
30:52 passionnant. Alors, c'est un petit acronyme de 4 lettres,
30:54 mais franchement, on aurait pu continuer pendant des heures.
30:56 Merci infiniment d'être venue
30:58 dans Métadonnées. - Eh bien, merci de l'invitation.
31:00 [Musique]