L’Entretien du Mois – Etienne Drouard

5212
Imprimer

Nous avons interrogé Étienne Drouard, associé au sein du bureau de Paris du cabinet d’avocats K&L Gates. Véritable expert en droit des données personnelles, il accompagne de nombreux sites e-commerce et intervient régulièrement dans le cadre de la FEVAD. Il revient, pour nous, sur les implications du nouveau règlement RGPD sur le secteur e-commerce et sur l’innovation.

Comment le nouveau règlement « RGPD » va-t-il impacter les e-commerçants ? Quels défis leur impose-t-il ?

Leur premier défi est interne et inter-entreprises. Les e-commerçants vont devoir cartographier leurs relations avec les partenaires et prestataires qui traitent avec eux des données. Par exemple, les prestataires de la chaîne logistique (transporteurs, livreurs) ou les partenaires d’acquisition de clients, de données ou de profils (agences digitales, référencement, géolocalisation, fournisseurs de segments d’intérêts, personnalisation des plateformes et des offres, etc.)

Cette cartographie leur sert notamment à définir ou amender les relations contractuelles entre les e-commerçants et leurs prestataires et partenaires, pour clarifier les rôles, les responsabilités et la collaboration à la conformité réglementaire (droits des personnes, sécurité, flux de données). Cela permet de repenser -il n’est jamais trop tard- la propriété ou l’usage de la valeur des données.

Dans la communication dominante qui en est faite, le RGPD semble imposer des interdictions fortes et nouvelles. Sur le fond, l’adaptation au RGPD requiert de justifier comment, pourquoi et avec qui on échange des données ou on les utilise, mais on ne peut pas dire que le RDPR, dans sa lettre, bouleverse les droits des personnes.

Pour les entreprises, il s’agit avant tout de documenter et de justifier l’usage des données, en particulier lorsqu’on établit des profils ou des centres d’intérêts, notamment grâce à des algorithmes. Les e-commerçants -et leurs prestataires- doivent dans ces cas élaborer des “Privacy Impact Assessments” (ou « PIA »), c’est-à-dire une analyse de l’impact des usages des données sur leur protection et sur la vie privée des personnes et démontrer qu’un tel impact est mesuré et assorti de garanties effectives de conformité à la réglementation.

L’exercice sera difficile pour ceux qui n’arrivent pas à instaurer une qualité de dialogue interne entre les métiers opérationnels et le juridique, car de cette intelligence collective, naîtra les meilleures justifications possibles.

La donnée est au cœur de l’innovation avec l’IA, big data etc.  Est-ce que le RGPD sera un frein à l’innovation ?

Disons, pour être synthétique, que l’innovation débridée et la liberté d’explorer ne se suffisent plus à elles-mêmes. Élaborer ces « Privacy Impact Assessments » peut ressembler à un examen de conscience, qui sera soumis à un examen de confiance ou de conformité par les régulateurs, les partenaires commerciaux, les consommateurs. Il faut pouvoir dire, à la fin de cet exercice, non seulement “je pense que c’est utile pour notre entreprise”, mais aussi “je démontre que c’est justifiable et proportionné pour la protection de la vie privée des clients”.  C’est un règlement qui est plein d’opportunités dès lors qu’on explique l’intérêt qu’on poursuit et qu’on anticipe les garanties à apporter.

Tout nouveau projet devra se poser ces questions et intégrer ces règles dans une check-list dès la conception.

Un des problèmes dénoncé par le député et mathématicien français Cédric Villani dans son récent rapport sur la stratégie française en matière d’Intelligence Artificielle remis au Premier Ministre fin mars 2018[1], est que la nouvelle réglementation ignore complètement la Recherche & Développement sur les sujets de l’Intelligence Artificielle et l’analyse prédictive.

En effet, le RGPD oblige désormais toute entreprise à décrire ce qu’elle fait et fera des données. Comme s’il fallait décrire ce que la recherche de productivité ou d’efficacité va trouver, avant même de l’avoir trouvé. A cet égard, les procédures d’analyse préalable d’impact prévues par le RGPD peuvent être un frein au développement de projets d’intelligence artificielle en Europe. En Californie ou en Chine, on commence par chercher à convaincre des investisseurs. En Europe, il faudrait, selon le RGPD, convaincre d’abord les régulateurs et les consommateurs, sur des projets encore inexistants qui, par définition, ne peuvent pas avoir fait leurs preuves.

Cédric Villani propose à très juste titre de mettre en place des “bacs à sable d’innovation” (“sandbox”) permettant par exemple, “l’allégement, temporaire, de certaines contraintes réglementaires”.  Sans cette faculté de chercher avant de savoir, toutes les activités qui impliquent de l’algorithme et du profilage (scores de risque, d’appétence, etc) seront impactés, car il faudrait pouvoir informer les personnes de ces scores, documenter les critères utilisés, etc. Pour ce faire, encore faudrait-il, pour informer correctement les personnes, savoir d’avance quoi leur dire. 

Est-ce que certains modèles d’affaires vont être interdits avec le RGPD? Par exemple, les fournisseurs de données ?

Il n’y aura pas d’impact légal direct, mais bien un impact de compétition économique. L’obligation de cartographier et la faculté d’auditer risque d’exclure du marché certains acteurs qui ne sont pas conformes. Le risque économique est en fait beaucoup plus important que le risque de sanction.  Les plus exposés seront les “data brokers” et les intermédiaires des marchés publicitaires et de personnalisation, qui auront des difficultés à garantir la conformité de la collecte de données, lorsqu’il n’y ont pas pris part.  Ils vont avoir beaucoup de difficulté à survivre dans un environnement où la peur va pousser leurs clients à exiger plus de transparence.

Est-ce que les GAFA, en particulier Amazon, Facebook & Google, qui basent leur modèle sur la collecte de données personnelles pour optimiser le ciblage publicitaire, vont être affectés?

Ils vont être affectés car la réglementation s’applique même pour les entreprises qui ne sont pas établies en Europe.  Ces grands acteurs s’exposent sur les discours qu’ils tiennent publiquement, sur les paramètres de choix offerts aux utilisateurs finaux, etc. C’est la partie visible de l’iceberg. Par contre, il va être plus difficile d’aller les chercher sur le « back-office » de leurs traitements de données, comparé à leurs plus petits concurrents en Europe, qui seront directement sous la main des régulateurs.

Est-ce que cette nouvelle réglementation a fait émerger de nouveaux business, pour aider les entreprises à s’y préparer ?

Le marché de la préparation à la conformité est en train d’exploser.  Certaines offres en deviennent malsaines, car beaucoup surfent sur la peur des entreprises et le besoin d’afficher une devanture « repeinte » aux couleurs du RGPD. Il y a de tout sur ce marché : les acteurs traditionnels de l’audit, de la sécurité informatique, du conseil en transformation digitale des entreprises, ou encore du conseil juridique.  C’est un marché direct et indirect qui, sous le prétexte du RGPD, passera entre 201 et 2019, de 100 millions d’euros à 8 milliards d’euros.

 

[1] https://www.economie.gouv.fr/files/files/PDF/2017/Rapport_synthese_France_IA_.pdf