Nous, les données et le virus.

Si le coronavirus a indubitablement bousculé notre quotidien et fait vaciller certains de nos fondamentaux, il est toutefois intéressant de brièvement se pencher sur la manière dont le virus a – possiblement – modifié notre rapport à la protection de nos données à caractère personnel. Et, au-delà, de dresser un bref bilan, nécessairement subjectif, de la régulation européenne en la matière.

Depuis quelques années – personne ne l’ignore, la protection des données personnelles est devenue un thème majeur, sinon en vogue, de nos sociétés, réveillant un gentil monstre endormi de longue date. Rappelons que la loi française de protection des données, dite “informatique et libertés”- date du 6 janvier 1978. Dans son principe, la protection des données à caractère personnel n’a ainsi rien de neuf, loin s’en faut.

Cela étant, la digitalisation et le big data ont évidemment charrié leur lot de problématiques nouvelles ignorées des précédents régimes juridiques et nécessité la réforme de lois nationales éminemment obsolètes. S’y est ajoutée la volonté juridico-politico-stratégique européenne de barrer la route à l’hégémonie étrangère, et à vrai dire très largement américaine, en matière d’offre de services en ligne. Secouez, ajoutez deux pincées de protectionnisme, une dose de bonne conscience, faites lever et saupoudrez légèrement de bureaucratie. Vous obtiendrez un texte très exigeant et non moins compliqué: le Règlement général sur la protection des données (RGPD) qui n’est pas sans rappeler, pour les plus érudits de mes lecteurs, le fameux laissez-passer A-38 des Douze travaux d’Asterix.

Je suis, bien sûr, mauvaise langue: le texte présente évidemment de nombreuses vertus et l’idée même de permettre à l’internaute de se réapproprier la gestion de ses données personnelles doit être saluée. Et de nombreuses avancées en matière de protection des données doivent être mises au crédit du RGPD.

Mais le texte procède, avouons-le, à de nombreux égards d’une usine à gaz. Et les premières cibles assumées du RGPD, soit les GAFAM (Google Amazon Facebook Apple Microsoft), sont souvent, sinon manquées, à tout le moins partiellement épargnées par l’application du texte. Certes, des amendes (atteignant parfois des sommes importantes en chiffres absolus mais en réalité assez timides en regard du pourcentage du chiffre d’affaires de ces mastodontes) leur sont parfois décernées mais, au fond, on n’assiste pas vraiment au changement de paradigme espéré. L’or noir de ces données personnelles demeure le seul modèle d’affaire de nombre de ces entreprises américaines et la manière dont elles le transforment en or jaune n’a que bien peu varié.

Et le grand projet de réappropriation, par les internautes, de leurs données personnelles, rêvé dans les bureaux poussiéreux de la théorique Bruxelles – sous forme d’autorisations et de consentement à donner à tout bout de champ – s’est écrasé en contrebas sur les récifs de la réalité.

Qui, parmi vous, prend véritablement la peine d’analyser les politique de cookies, les conditions générales d’utilisation et autres politiques de confidentialité avant de les autoriser mécaniquement? La réponse est dans la question. Le consentement est moins éclairé que jamais. Multiplier les demandes d’acceptation n’augmente pas forcément la protection effective de l’Internaute, n’en déplaise aux bureaucrates.

La palme va à la SNCF qui, dans un élan de dadaïsme, va jusqu’à proposer une case à cocher, en fin de commande de billets de train, qui se lit comme suit: “Je ne souhaite pas recevoir les informations commerciales et les bons plans de de OUI.sncf“. Comprenne qui pourra. Si vous ne voulez pas recevoir la réclame, il faudra cocher. A défaut, vous serez honorés des “bons plans”. Si un acteur institutionnel tel que la SNCF n’y met pas du sien, l’avenir est plutôt sombre.

Je n’examinerai pas ici la querelle, aussi polarisée que politisée, entre les tenants des applications de gestion de la COVID-19 et leurs détracteurs. A vrai dire, rien d’intelligent ne pourra à mon sens être dit avant d’avoir le recul nécessaire. L’anonymisation sera-t-elle efficace et garantie? Les applications auront-elles un effet mesurable sur la limitation de la propagation de l’épidémie? Autant de questions qui ne peuvent trouver de réponses sérieuses à ce jour.

Au delà de la question des applications, le RGPD n’a pas manqué de faire parler de lui durant la crise.

En France, il s’est parfois révélé un instrument bien encombrant dans la lutte contre la propagation du virus.

Ainsi, le 25 mars 2020, Jean Rottner, Président de la région Grand Est et médecin urgentiste de profession, a lancé un cri d’alarme: le règlement européen sur la protection des données compliquerait inutilement la lutte actuelle contre le Coronavirus. Très concrètement, le RGPD a empêché la CPAM (Caisse Primaire d’Assurance Maladie) de communiquer la liste des professionnels de santé à l’Union régionale des professions de santé, laquelle était chargée de répartir les masques de protection dans le Grand Est, une zone qui, comme chacun le sait, a payé un très lourd tribut à la maladie. Dans le feu de la lutte contre l’ennemi biologique, les préoccupations parfois tatillonnes du RGPD ont pu paraître dérisoire face à des vies que le retard administratif emportait. Certains vous rétorqueront que c’est dans la bataille que les libertés cèdent du terrain. Deux points de vue pas nécessairement antagonistes, la vie étant le système complexe que l’on sait.

Par ailleurs, nombre d’entreprises ont décidé de mettre en place des mesures proactives pour protéger leurs salariés (prise de température à l’entrée des locaux, utilisation de questionnaires médicaux auprès des salariés ou encore enquêtes individuelles sur les risques d’exposition). Ce qui partait d’un bon sentiment a déclenché l’ire de nombres de commentateurs sourcilleux du RGPD, n’y voyant que surveillance, espionnage et abus. Là encore, quelle est la véritable légitimité du RGPD en temps de catastrophe? Est-il le dernier rempart contre les goulus appétits de données des entreprises et des Etats ou est-il le laissez passer A-38? Ou est-il un peu tout cela à la fois?

C’est toute l’ambiguïté du RGPD: il est un instrument nécessaire mais peu maniable. Il soumet peu ou prou au même régime la PME qui vend en ligne du crottin de chavignol et Facebook qui mine nuit et jour des données en masse et en fait son beurre, il met à la charge des petites et moyennes entreprises une charge financière et psychologique conséquente qu’elles n’ont pas toujours les épaules d’assumer et il manque souvent les gros poissons, moins inquiets, mieux conseillés.

Alors qu’espérer? Une application raisonnable du texte, qui devrait se concevoir comme un document de référence dont la violation ne serait financièrement sanctionnée que lors d’abus particulièrement graves.

Les derniers développements judiciaires concernant la cyberattaque dont a été victime EasyJet laissent à penser que cette retenue n’est pas encore pour demain. Une action collective lancée par un cabinet d’avocats anglais entend solliciter de la compagnie européenne (non pas à titre d’amende mais en réparation du préjudice, sur la base du RGPD) le paiement d’un montant de plus de 20 milliards d’Euros.

Les GAFAM doivent sourire en coin.