Expertises
Droit, technologies & prospectives

interview / Sophie NERBONNE

ACCULTURATION DES PME AU RGPD : VERS UNE CONFORMITÉ FACILITÉE

Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

Nos derniers numéros

EXPERTISES N°504 - septembre 2024 - ACCULTURATION DES PME AU RGPD : VERS UNE CONFORMITÉ FACILITÉE / Sophie NERBONNE
N°504 – septembre 2024
EXPERTISES N°503 - juillet 2024 - RELATION CLIENT/FOURNISSEUR, UN DÉSÉQUILIBRE EN ÉVOLUTION / Stéphane LEMARCHAND
N°503 – juillet 2024
EXPERTISES N°502 - juin 2024 - Société à mission, un statut prisé par la Tech / Garance Mathias et François Gorriez
N°502 – juin 2024
EXPERTISES N°501 - mai 2024 - SAINT-GOBAIN : UNE GESTION AGILE DES FLUX TRANSFRONTIERES ET DES DONNEES / Charlène GABILLAT et Emma GOLDITÉ
N°501 – mai 2024
EXPERTISES N°500 - avril 2024 - DROIT DU NUMÉRIQUE : RÉTROSPECTIVE ET PERSPECTIVES / Alain BENSOUSSAN
N°500 – avril 2024
EXPERTISES N°499 - mars 2024 - Extra -                                                                                                                                                                                                                                         Territorialité: menaces et solution / Pierre DESMARAIS
N°499 – mars 2024
EXPERTISES N°498 - février 2024 - Rassurer les assureurs sur la Blockchain / Nicolas Hélénon, Delphine Mercelat, Emmanuel du Ranquet
N°498 – février 2024
EXPERTISES N°497 - janvier 2024 - FiDA, l’open finance qui fait peur à l’assurance / Anne-Sophie Morvan
N°497 – janvier 2024
EXPERTISES N°496 - décembre 2023 - Le droit, créateur d’un marché de la donnée / Marie-Hélène Tonnellier
N°496 – décembre 2023
EXPERTISES N°495 - novembre 2023 - L’Europe de la donnée, malgré les différences / Simon Chignard
N°495 – novembre 2023
EXPERTISES N°494 - octobre 2023 - Se défendre dans la jungle des noms de domaine wEB3 / Matthieu Quiniou
N°494 – octobre 2023
EXPERTISES N°493 - septembre 2023 - RGPD & Droit de la concurrence « Entente » mode d’emploi / Richard Milchior
N°493 – septembre 2023
EXPERTISES N°492 - juillet 2023 - DPO : un métier en souffrance / Bruno RASLE
N°492 – juillet 2023
EXPERTISES N°491 - juin 2023 - L’UE s’investit dans les crypto-actifs / Arnaud Touati
N°491 – juin 2023
EXPERTISES N°490 - mai 2023 - Transhumanisme : un changement de civilisation / Amandine Cayol, Emilie Gaillard et Coline Vuillermet
N°490 – mai 2023
EXPERTISES N°489 - avril 2023 - Anonymiser : une question de gestions de risques / Maryline Laurent
N°489 – avril 2023
EXPERTISES N°488 - mars 2023 - Actifs immatériels : Une valeur encore trop sous-estimée / Sylvie Gamet
N°488 – mars 2023
EXPERTISES N°487 - février 2023 - Flux transatlantique de données : Des progrès mais… / Bradley Joslove
N°487 – février 2023
EXPERTISES N°486 - janvier 2023 - L’intelligence juridique : pour un juriste stratège / Véronique Chapuis-Thuault
N°486 – janvier 2023
EXPERTISES N°485 - décembre 2022 - Les problématiques virtuelles des métavers / Caroline Laverdet
N°485 – décembre 2022
EXPERTISES N°484 - novembre 2022 - BIG DATA DEMATERIALISATION DU REEL / Antoinette Rouvroy
N°484 – novembre 2022
EXPERTISES N°483 - octobre 2022 - Intelligence artificielle : Vers une justice plus sécurisée / Thomas Cassuto
N°483 – octobre 2022
EXPERTISES N°482 - septembre 2022 - MiCA, un règlement qui manque de hauteur / Pierre Storrer
N°482 – septembre 2022
EXPERTISES N°481 - juillet 2022 - Néobanques, le far west bancaire / Aude Poulain de Saint Père
N°481 – juillet 2022
EXPERTISES N°480 - juin 2022 - Géopolitique du numérique et risque de fragmentation / HENRI VERDIDER
N°480 – juin 2022
EXPERTISES N°479 - mai 2022 - Ransomware : payez la rançon l'assurance rembourse / Valéria FAURE-MUNTIAN
N°479 – mai 2022
EXPERTISES N°478 - avril 2022 - RÉDUIRE LA POLLUTION DU NUMÉRIQUE : UNE LOI PIONNIÈRE / Patrick CHAIZE et Frédéric BORDAGE
N°478 – avril 2022
EXPERTISES N°477 - mars 2022 - LE CASSE-TETE DE LA FISCALITE DES CRYPTO-MONNAIES / Frédéric poilpré
N°477 – mars 2022
EXPERTISES N°476 - février 2022 - Véhicule connecté : l'enjeu des données / Romain Perray
N°476 – février 2022
EXPERTISES N°475 - janvier 2022 - DROIT DU LOGICIEL : ETAT DES LIEUX / Bernard LAMON
N°475 – janvier 2022
EXPERTISES N°474 - décembre 2021 - Open data judiciaire : Un lancement prudent / Estelle Jond-Necand
N°474 – décembre 2021
EXPERTISES N°473 - novembre 2021 - La data au cœur des investigations internes / Jean-Julien Lemonnier
N°473 – novembre 2021
EXPERTISES N°472 - octobre 2021 - ROMAIN DARRIERE / INFLUENCEURS VERS LA MATURITÉ
N°472 – octobre 2021
EXPERTISES N°471 - septembre 2021 - ENTENTES ALGORITHMIQUES / NATASHA TARDIF
N°471 – septembre 2021
EXPERTISES N°470 - juillet 2021 - Brevets IA : les écueils à éviter / Mathias Robert
N°470 – juillet 2021
EXPERTISES N°469 - juin 2021 - IA : POUR UN DROIT DE RUPTURE / ALAIN BENSOUSSAN
N°469 – juin 2021
EXPERTISES N°468 - mai 2021 - Néoassurance, un modèle qui émerge / Christophe Dandois
N°468 – mai 2021
EXPERTISES N°467 - mars 2021 - Humain / machine : la nouvelle division du travail juridique / Olivier CHADUTEAU
N°467 – mars 2021
EXPERTISES N°466 - mars 2021 - DSA/DMA : CHANGEMENT DANS LA CONTINUITÉ / ANNE COUSIN ET JEAN-MATHIEU COT
N°466 – mars 2021
EXPERTISES N°465 - février 2021 - CMP : UN PASSEUR DE CONSENTEMENT / Romain BESSUGES-MEUSY
N°465 – février 2021
EXPERTISES N°464 - janvier 2021 - L’expertise-conciliation : pacifier les litiges / Fabien CLEUET et François-Pierre LANI
N°464 – janvier 2021
EXPERTISES N°463 - décembre 2020 - Matching prédictif un recrutement biaisé / Stéphanie Lecerf
N°463 – décembre 2020
EXPERTISES N°462 - novembre 2020 - La révolution open banking / Thibault Verbiest
N°462 – novembre 2020
EXPERTISES N°461 - octobre 2020 - IA en procès / Yannick Meneceur
N°461 – octobre 2020
EXPERTISES N°460 - septembre 2020 - Smart city : intérêt général by design / Jacques Priol
N°460 – septembre 2020
EXPERTISES N°459 - juillet 2020 - Transmettre l'immatériel / David Ayache
N°459 – juillet 2020
EXPERTISES N°458 - juin 2020 - Les racines de notre dépendance technologique / Christian HARBULOT
N°458 – juin 2020
EXPERTISES N°457 - mai 2020 - Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” title=”EXPERTISES N°457 – mai 2020 – Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” description=”EXPERTISES N°457 – mai 2020-  Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova”></div>
<div class=N°457 – mai 2020
EXPERTISES N°456 - avril 2020 - Pour l’ouverture<br>des données privées / Laurent Lafaye” title=”EXPERTISES N°456 – avril 2020 – Pour l’ouverture<br>des données privées / Laurent Lafaye” description=”EXPERTISES N°456 – avril 2020-  Pour l’ouverture<br>des données privées / Laurent Lafaye”></div>
<div class=N°456 – avril 2020
EXPERTISES N°455 - mars 2020 - Profilage :<br> pratiques & parades / Cédric Lauradoux” title=”EXPERTISES N°455 – mars 2020 – Profilage :<br> pratiques & parades / Cédric Lauradoux” description=”EXPERTISES N°455 – mars 2020-  Profilage :<br> pratiques & parades / Cédric Lauradoux”></div>
<div class=N°455 – mars 2020
EXPERTISES N°454 - février 2020 - La robustesse de<br>la PI face A l’IA / Franck Macrez” title=”EXPERTISES N°454 – février 2020 – La robustesse de<br>la PI face A l’IA / Franck Macrez” description=”EXPERTISES N°454 – février 2020-  La robustesse de<br>la PI face A l’IA / Franck Macrez”></div>
<div class=N°454 – février 2020
EXPERTISES N°453 - janvier 2020 - RGPD : une révolution dans la continuité / Ariane MOLE
N°453 – janvier 2020
EXPERTISES N°452 - décembre 2019 - le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” title=”EXPERTISES N°452 – décembre 2019 – le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” description=”EXPERTISES N°452 – décembre 2019-  le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche”></div>
<div class=N°452 – décembre 2019
EXPERTISES N°451 - novembre 2019 - Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” title=”EXPERTISES N°451 – novembre 2019 – Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” description=”EXPERTISES N°451 – novembre 2019-  Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus”></div>
<div class=N°451 – novembre 2019
EXPERTISES N°450 - octobre 2019 - Numérique :<br>le défi fiscal / Frédéric Douet” title=”EXPERTISES N°450 – octobre 2019 – Numérique :<br>le défi fiscal / Frédéric Douet” description=”EXPERTISES N°450 – octobre 2019-  Numérique :<br>le défi fiscal / Frédéric Douet”></div>
<div class=N°450 – octobre 2019
EXPERTISES N°449 - septembre 2019 - L'impérialisme<br>juridique / Olivier de Maison Rouge” title=”EXPERTISES N°449 – septembre 2019 – L’impérialisme<br>juridique / Olivier de Maison Rouge” description=”EXPERTISES N°449 – septembre 2019-  L’impérialisme<br>juridique / Olivier de Maison Rouge”></div>
<div class=N°449 – septembre 2019
EXPERTISES N°448 - juillet 2019 - DPO : un métier<br>qui s’installe / Paul Olivier Gibert” title=”EXPERTISES N°448 – juillet 2019 – DPO : un métier<br>qui s’installe / Paul Olivier Gibert” description=”EXPERTISES N°448 – juillet 2019-  DPO : un métier<br>qui s’installe / Paul Olivier Gibert”></div>
<div class=N°448 – juillet 2019
EXPERTISES N°447 - juin 2019 - Le RGPD : du droit sans vision stratégique / Julien Nocetti
N°447 – juin 2019
EXPERTISES N°446 - mai 2019 - IGN : la gratuitE des données en question / Marie Pisan
N°446 – mai 2019
EXPERTISES N°445 - avril 2019 - Nom de domaine un actif et des risques / Nathalie Dreyfus
N°445 – avril 2019
EXPERTISES N°444 - mars 2019 - Les logiciels libres, un modèle mature / Benjamin Jean
N°444 – mars 2019
EXPERTISES N°443 - février 2019 - Résister à la gouvernance algorithmique / François Pellegrini
N°443 – février 2019
EXPERTISES N°442 - janvier 2019 - Anticiper sa survie numérique au-delà de sa mort / Mathieu Fontaine
N°442 – janvier 2019
EXPERTISES N°441 - décembre 2018 - Intelligence artificielle et médecine quelle éthique pour demain ? / David Gruson
N°441 – décembre 2018
EXPERTISES N°440 - novembre 2018 - Blockchain AS A SERVICE Démocratisation de la blockchain ? / Marc-Antoine Ledieu
N°440 – novembre 2018
EXPERTISES N°439 - octobre 2018 - Nathalie Nevejans / Nathalie Nevejans
N°439 – octobre 2018
EXPERTISES N°438 - septembre 2018 - Pour la médiation judiciaire en  propriété  intellectuelle / Françoise Barutel Naulleau
N°438 – septembre 2018
EXPERTISES N°437 - juillet 2018 - Science-fiction : quand l’imaginaire devient source de droit / Fabrice Defferrard
N°437 – juillet 2018
EXPERTISES N°436 - juin 2018 - CONTRATS, Accès indirects & coûts cachés : SAP BRISE LA GLACE AVEC Ses utilisateurs / Gianmaria Perancin
N°436 – juin 2018
EXPERTISES N°435 - mai 2018 - L’innovation prédatrice Un nouveau défi pour le droit de la concurrence / Thibault Schrepel
N°435 – mai 2018
EXPERTISES N°434 - avril 2018 - LES données LA NOUVELLE INGENIéRIE  DU POUVOIR / Adrien Basdevant
N°434 – avril 2018
EXPERTISES N°433 - mars 2018 - L’open data de la jurisprudence : Le casse-tête de l’anonymisation / Loïc Cadiet
N°433 – mars 2018
EXPERTISES N°432 - février 2018 - RGPD : vers un futur standard global / Max Schrems
N°432 – février 2018
EXPERTISES N°431 - janvier 2018 - L’angoisse du RGPD la Cnil rassure / Jean Lessi
N°431 – janvier 2018
EXPERTISES des systèmes d’informationseptembre 2024 – N°504

L'édito du mois

Bouc émissaire

Dans le numérique comme en politique, l’Europe a souvent bon dos. Et la panne informatique qui a touché 8,5 millions d’ordinateurs sous Windows 10 et 11 dans le monde en est encore une illustration. Le 19 juillet dernier, un patch défectueux de Falcon Sensor, un logiciel développé par la société de cybersécurité américaine CrowdStrike, a provoqué l’apparition d’un « écran bleu de la mort » ou Blue Screen of Death (BSoD), ce qui désigne le message d’erreur affiché sur l’écran d’un PC sous Windows lorsque celui-ci ne parvient pas à récupérer d’une erreur du système, ou lorsqu’il arrive à un point critique d’une erreur fatale. Conséquence : le fonctionnement de systèmes d’information d’aéroports, de banques, d’hôpitaux et même du Comité d’organisation des JO de Paris 2024 ont subi de fortes perturbations.
Microsoft a rapidement communiqué sur le fait que cet incident ne relevait pas de sa responsabilité directe, mais de la mise à jour problématique d’un logiciel provenant du sous-traitant. Si Microsoft n’est pas à l’origine de la panne, celle-ci a néanmoins révélé les vulnérabilités de Windows. Mais très vite, Microsoft a accusé l’Europe d’en être à l’origine. Dans un article publié dans le Wall Street Journal, le porte-parole de Microsoft a affirmé qu’un accord conclu en 2009 avec la Commission européenne l’empêcherait de verrouiller davantage son système d’exploitation afin d’en renforcer la sécurité. Le 16 décembre 2009 en effet, un accord avait été conclu entre Microsoft et la Commission européenne qui l’accusait d’abuser de sa position dominante pour imposer son navigateur Internet Explorer. L’éditeur américain s’était ainsi engagé à proposer aux utilisateurs de Microsoft Windows un écran multi-choix leur permettant de sélectionner facilement différents navigateurs. Cet accord comportait également un volet qui imposait l’interopérabilité des produits de Microsoft avec des logiciels tiers. L’exigence de la Commission ne consistait cependant pas à donner aux éditeurs tiers un accès à l’espace noyau, mais de leur offrir les mêmes capacités que ses propres produits, à savoir l’accès aux API, aux paramètres et à la documentation que les programmes de sécurité de Microsoft utilisent.
Un porte-parole de la Commission européenne a vite réagi en déclarant que le géant américain n’avait jamais soulevé de préoccupations en matière de sécurité auprès de la Commission, ni avant ni après l’incident. Et d’ajouter que « Microsoft est libre de décider de son modèle économique. Il lui appartient d’adapter son infrastructure de sécurité pour répondre aux menaces conformément au droit de la concurrence de l’UE. En outre, les consommateurs sont libres de bénéficier de la concurrence et de choisir entre différents fournisseurs de cybersécurité. ». Il apparaît ainsi que Bruxelles aurait demandé un accès équivalent, et non privilégié au kernel du système d’exploitation. Ce qui n’empêchait pas Microsoft de créer une API hors du noyau pour le géant américain et que d’autres fournisseurs de sécurité puissent l’utiliser. Apple a choisi une approche opposée. Il a supprimé progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d’extension du système ». Apple a ainsi forcé les éditeurs tiers à s’adapter. Ce quia du reste fait CrowdStrike.
Cette affaire met ainsi en lumière la difficulté pour les régulateurs de concilier concurrence et sécurité informatique et les questions sur la responsabilité partagée entre les éditeurs de logiciels, les géants de la tech et les autorités réglementaires dans la prévention et la gestion de telles crises. Elle interroge aussi sur le sujet de la concentration du secteur des technologies de l’information et la monoculture d’un système d’exploitation ayant créé un milieu homogène.
Ces problématiques générales n’empêchent toutefois pas CrowdStrike de voir sa responsabilité engagée pour les dommages causés par sa mise à jour dans le cadre d’une class action aux Etats-Unis. Du côté européen, la panne informatique pourrait susciter des plaintes quant au non-respect de l’article 32 du RGPD sur la sécurité des données à caractère personnel. Reste à déterminer s’il y a eu atteinte à ces données et qui est le responsable de traitement.

Le focus du mois

Données personnelles

La Privacy fatigue

Les internautes en ont assez de ces bannières de cookies complexes et renoncent de plus en plus à exprimer leurs préférences en matière de confidentialité ou consentent sans réfléchir. Cette résignation inquiète la Commission européenne mais les acteurs concernés résistent au changement.

Bien que les personnes se sentent toujours concernées par la protection de leurs données, elles sont de plus en plus lassées par toutes ces sollicitations de consentement, ces bannières qui constamment leur réclament de faire des choix. Un sentiment de résignation les gagne, les conduisant à donner mécaniquement leur consentement. Cette lassitude ou Privacy fatigue, observée depuis peu, entraîne une perte de confiance des internautes qui préoccupe la Commission européenne. Pour lutter contre cette tendance au désengagement, la Commission européenne avait proposé aux acteurs concernés de modifier leurs pratiques. Sans succès.
La chaire « Valeurs et politiques des informations personnelles » de l’Institut Mines-Télécom avait fait réaliser un sondage en 2023 qui montre que le phénomène de Privacy fatigue est en hausse bien que les internautes restent très sensibles à la question de la protection de la vie privée et de leurs données. 57% des répondants en 2023 contre 50% en 2019 ont déclaré avoir peu de contrôle sur les pratiques des acteurs privés et institutionnels et en acceptaient, résignés, l’idée. Et parallèlement, le nombre de réfractaires, à savoir de personnes souhaitant maitriser l’accès à leurs données et n’acceptant pas d’avoir peu de contrôle a diminué (41% en 2023 versus 46% en 2019).

Les internautes sont en effet constamment sollicités par des demandes de consentement, souvent ennuyeuses et répétitives, auxquelles ils doivent répondre par un clic ou en balayant leur écran. Cette multiplication des messages s’accompagnent d’une complexification des sollicitations avec une offre de paramétrage personnalisé des services. De nombreux sites ne font guère d’effort pour mettre en place une solution de recueil du consentement facile et fluide, dissuadant ainsi l’internaute de refuser le cookie, via un design complexe et fastidieux. Comme pour les conditions générales, les informations liées au consentement cessent d’être lues et l’approbation ainsi obtenue est vidée de sa substance.

Si face à ces sollicitations incessantes certains finissent par installer des bloqueurs de publicités pour neutraliser les bannières ou quitter le site dès qu’ils aperçoivent une bannière contraignante, beaucoup acceptent les cookies pour se débarrasser de cette contrainte et ne pas avoir à réfléchir, consentant sans approuver.

La Commission européenne cons-ciente de cet affaiblissement du principe de consentement par des pratiques dissuasives et in fine de la confiance des internautes, avait proposé, en mars 2023, un plan d’engagements aux entreprises concernées, le « Cookie Pledge ». Le commissaire européen à la Justice Didier Reynders avait annoncé le lancement d’une initiative volontaire pour répondre à la « lassitude croissante des internautes face aux cookies ». Une série de tables rondes avec des parties prenantes (éditeurs, annonceurs, entreprises AdTech, plateformes numériques et organismes de protection des consommateurs) avait été organisée afin de trouver une façon d’informer les internautes de manière complète et compréhensible sur les implications de leur choix lié à leur vie privée, en évitant une « surcharge d’informations ».

Huit principes destinés à simplifier les cookies pour les utilisateurs et répondre à la fatigue du consentement avaient été dégagés, sur lesquels les entreprises concernées devaient s’engager volontairement. Le projet garantissait que les utilisateurs reçoivent des informations concrètes sur la manière dont leurs données sont traitées, ainsi que sur les conséquences de l’acceptation de différents types de cookies, de façon à avoir un plus grand contrôle sur le traitement de leurs données. Le consentement ne devrait pas être demandé à nouveau avant un an après son refus, constituant ainsi une étape importante vers la réduction de la lassitude en matière de cookies.

Le Comité européen de la protection des données (CEDP) avait globalement souscrit à cette initiative mais en avril dernier, les discussions avec les acteurs se sont interrompues, faute d’accord. De nombreuses parties prenantes ont invoqué une approche volontaire prématurée, compte tenu de la mise en œuvre des règlements sur les services numériques (DSA) et sur les marchés numériques (DMA). Le « Cookie Pledge » semble bien mort, mais le problème de la lassitude du consentement reste entier.

Si certains acteurs profitent de cette fatigue du consentement (consent fatigue), d’autres sont conscients de son impact négatif à terme, notamment sur la mesure de leurs performances. Selon la Chaire de Mines-Télécoms, les conditions d’une confiance solide et durable nécessiteraient de s’appuyer sur une combinaison de solutions. Il s’agirait d’abord de repenser la place omniprésente du consentement individuel, aujourd’hui en perte d’effectivité et de modifier « les modalités d’encapacitation des utilisateurs, en intégrant les aspects collectifs et multipartites de la protection des données personnelles et en renforçant l’accès à l’information, notamment en développant une signalétique de confiance pour ces technologies ». Il faudrait par ailleurs « proposer des modèles économiques plus vertueux, des modèles centrés notamment sur les questions de protection de la vie privée et des données personnelles (Privacy as a business model) ».

Sans évolution des pratiques, cette lassitude risque de se transformer en hostilité. Ce qui, à terme, n’est bénéfique ni pour les personnes ni pour le business.

par Sylvie Rozenfeld

L'invité du mois

Interview / Sophie Nerbonne

par Sylvie Rozenfeld

Acculturation des PME au RGPD : vers une conformité facilitée

Après l’application du RGPD, beaucoup d’entreprises essentiellement des PME et des TPE ont été tétanisées par la hauteur des sanctions potentielles et la complexité du texte. Si souvent elles avaient entendu parler de la protection des données personnelles, elles ne savaient comment faire pour la respecter. Pourtant la Cnil n’a pas ménagé ses efforts de pédagogie. Sophie Nerbonne, qui était directrice de l’accompagnement (ex-direction de la conformité) de la Cnil en 2018 a fait le constat que cette information générale au travers de lignes directrices, de fiches ou autres livres blancs ne permet pas de toucher ces entreprises, pourtant très majoritaires en France, car elles ont besoin d’une information ciblée sur leurs métiers ou leurs pratiques, avec leur langage. Sophie Nerbonne a été chargée de la co-régulation économique pour aller chercher ceux qui ne vont pas sur le site de la Cnil, qui n’appellent pas. D’où l’idée de s’appuyer sur des « têtes de réseaux », des organisations professionnelles ou sectorielles, en capacité de les convaincre de respecter ce droit dans leur intérêt et celui de leurs clients.

Sylvie Rozenfeld : Vous avez commencé votre carrière à la Sodexo en tant que juriste d’entreprise avant de rejoindre la Cnil où vous avez a successivement pris en charge le secteur financier (banque et assurance) puis le service des affaires économiques à la direction juridique avant de devenir directrice adjointe des affaires juridiques, de l’expertise technique et des affaires internationales à la Cnil. Vous avez été directrice de la conformité, avant d’être nommée directrice chargée de co-régulation économique. On peut dire que vous avez une riche expérience de la protection des données personnelles par les entreprises, côté régulateur. Avant d’évoquer votre fonction de co-régulation, j’aimerais savoir comment vous voyez l’évolution de la pratique et de la perception des entreprises à l’égard de cette protection.

Sophie Nerbonne : Quand je suis entrée à la Cnil en 1988, pour les 10 ans de la loi, les données personnelles étaient souvent considérées comme une lubie de juriste, uniquement axé sur les droits de l’homme, une cerise sur le gâteau. Alors qu’aujourd’hui on se rend compte que la protection des données personnelles représente le gâteau lui-même, indissociable de la data, désormais identifiée comme le carburant de nos économies. La protection des données s’impose d’autant plus qu’elles sont constitutives du patrimoine des entreprises. La question de leur protection est aujourd’hui vitale, y compris au niveau mondial. L’évolution de la perception provient du changement radical des technologies et de notre société qui vit une véritable révolution, sans forcément sans rendre compte, comme la grenouille qui nage dans l’eau qui chauffe. Les principes de la loi de 1978 sont toujours là mais revisités dans un paysage technologique qui a été complètement bouleversé. Il y a donc eu une mise en lumière de la protection des données personnelles en parallèle avec la numérisation croissante de notre vie et de nos activités. Et puis, la vie privée n’est plus celle de 1978.

Toutes les entreprises ne sont pas convaincues par la protection des données personnelles.
Très rapidement à la Cnil, j’ai été amenée à travailler au contact des entreprises dans les secteurs banquier, financier, commercial, etc. J’ai toujours travaillé avec le secteur privé. J’ai pu constater que la prise de conscience de l’importance de cette protection est intervenue essentiellement au moment de l’application du RGPD en mai 2018 alors que la loi avait plus de 40 ans. On a constaté un effet tsunami chez une grande partie des PME et TPE avec une angoisse provoquée par la hauteur des sanctions et la complexité du texte. Elles avaient la sensation d’être face à une montagne qu’elles ne pourraient pas gravir. La cybersécurité leur apparaissait comme le tonneau des Danaïdes, c’est toujours le cas. Elles avaient aussi peur de devoir dépenser beaucoup d’argent sans voir de retour sur investissement. Autant d’enjeux dont nous nous sommes saisis à la Cnil.
Tout en sachant que le risque d’être attrapé est très faible vu le nombre de sanctions.

C’est vrai que le nombre de sanctions que la Cnil prend est infinitésimal par rapport au nombre de traitements qui existent. Sur 4 millions d’entreprises, seules quelques dizaines de sanctions sont prononcées. Récemment, la procédure a été simplifiée pour adopter des « petites sanctions » beaucoup plus rapidement et le mouvement va donc s’accentuer. Pas que pour les petites sanctions d’ailleurs, même si la Cnil veut être équilibrée sur ses deux jambes, celle de l’accompagnement et celle de la sanction.

Et il n’y a quasiment pas de condamnations par les tribunaux.
S’il y a encore peu de décisions de justice, on constate cependant une progression, comme en atteste les « Tables Informatique et Libertés » publiées depuis 18 mois, qui réunissent les décisions de la Cnil et la jurisprudence nationale et européenne suivant un classement thématique. Le niveau de conformité est contrastée depuis la prise de conscience effrayée par les petites PME qui demandèrent à être exonérées de cette loi aux grandes entreprises s’étant dotées de code interne (les BCR) pour matérialiser les process de conformité internes à l’occasion des transferts hors UE. En gros, les acteurs professionnels soucieux de conformité peuvent être répartis en trois catégories. D’abord, il y a ceux qui ont la conformité dans leur ADN, à savoir les professions réglementées, dont la protection des données personnelles constituent une brique supplémentaire, comme dans le secteur financier ou pharmaceutique. Puis ceux dont la réputation est éclaboussée par une sanction rendue publique, des plaintes ou une médiatisation, comme par exemple dans le secteur social ou la santé, ce qui provoque une …

Les doctrines du mois

Données

Intermédiation de données dans le DGA : Un business model en construction

Par Marie-Hélène Tonnellier et Clyde Coutellier

Le partage des données est un sujet dont l’importance ne fait que croître et qui occupe de manière exponentielle l’Union européenne, qui a souhaité favoriser les mécanismes d’échange de données dans le cadre de sa stratégie européenne pour les données. Acte législatif majeur de cette stratégie, le Data Governance Act, applicable depuis le 24 septembre 2023, encadre ainsi, entre autres, l’intermédiation de données dans le but de favoriser les échanges de données. Mais pas de business sans confiance… neutralité, transparence, non-discrimination, label européen ; un véritable business-model européen de l’intermédiation de données se dessine et mérite d’y prêter une attention toute particulière. Tour d’horizon du cabinet Oyat sur ce nouveau service.

Intelligence artificielle

Utilisation de l’ IA en entreprise : risques et points de vigilance

Par Arnaud TESSALONIKOS et Anne LAMBERT-FAVREAU

L’introduction de l’IA en entreprise est une technologie qui bouleverse les schémas actuels du travail. D’où la nécessité d’élaborer une charte pour encadrer les pratiques et gérer les risques juridiques liés à son usage. Quelques conseils quant à la rédaction et la mise en œuvre d’une telle charte.

Intelligence artificielle

L’IA, outil de lutte contre la fraude sociale et fiscale

Par Bruno Knadjian et Emmanuel Piekut

Dans le cadre de ses travaux, la délégation sénatoriale à la prospective a publié une série de rapports thématiques consacrés à l'utilisation de l'intelligence artificielle (IA) dans le service public. Le premier rapport déposé le 2 avril 2024 est consacré à la lutte contre la fraude sociale et fiscale où elle identifie « trois priorités pour avancer ».

Contentieux

Moyens de preuve illicites, collecte de données et responsabilité pénale

Par Alexandre Fiévée

Par plusieurs arrêts récents, la Cour de cassation a admis que l’illicéité d’un moyen de preuve n’entraîne pas nécessairement son rejet des débats. Est-ce que cela signifie que l’employeur peut désormais avoir impunément recours à tous les stratagèmes possibles pour parvenir à ses fins dans le cadre d’un litige avec un salarié ? Assurément, non. Dans une telle situation...

Liberté d'expression

Loi SREN : le délit d’outrage en ligne invalidé

Par Antoine Gravereaux

En censurant l’une des mesures phares et controversée de la loi SREN, le Conseil constitutionnel s’affiche ainsi comme un défenseur des libertés fondamentales, préservant toute atteinte disproportionnée à la liberté d’expression et de communication, dans un environnement numérique régulé.

Cybersécurité

La désinformation à l’ère de l’IA est une cybermenace

Par Daniel GUINIER

La prolifération de la désinformation à l’ère de l’IA représente une cybermenace d’une ampleur sans précédent. Si l’élimination complète de la désinformation est improbable, la diminution de son impact reste possible. Présentation des actions de nature réglementaire, technique, organisationnelle ou éducative constituant un écosystème de défense par couches complémentaires communicantes.

RGPD

Souriez, vous êtes filmés !

Par Alexandre Fiévée

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question de l’utilisation par l’employeur des images issues d’un dispositif de vidéosurveillance pour une finalité différente de celle pour laquelle un tel dispositif avait été mis en place.

Expertises : Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

FORMULES D'ABONNEMENT

EXPERTISES N°433
EXPERTISES N°499
EXPERTISES N°471
EXPERTISES N°437
EXPERTISES N°477
EXPERTISES N°469