Après de longs mois d’attente, des dizaines de réunions compliance et des centaines d’emails demandant un nouveau consentement ou informant de la mise à jour de conditions de confidentialité, cette semaine, ça y est, le RGPD/GDPR est là. C’est l’occasion pour nous de rappeler que le GDPR apporte certes de nombreux changements, mais qu’il ne s’agit pas pour autant d’un revirement complet du droit de la protection des données personnelles : ne cédons pas à l’hystérie du GDPR.
La responsabilisation du droit des données personnelles
Les principaux changements du GDPR ne portent pas sur les principes essentiels, qui restent peu ou prou les mêmes : bases légales (contrairement à ce que l’on peut souvent lire, le consentement n’est pas devenu obligatoire), notions de données personnelles, responsable, sous-traitant, finalité, traitement… les quelques modifications ne sont que des ajustements à la marge. De même, il y a in fine peu de nouveaux droits pour les personnes (portabilité et effacement généralisé).
Le mouvement majeur du GDPR, c’est celui de la responsabilisation des acteurs, en faisant fi des déclarations préalables mais en obligeant à la tenue de registres et à la documentation des traitements de données personnelles, à la contractualisation encadrée entre prestataires, et, de manière générale, à la prise en compte de la protection des données personnelles dans la stratégie commerciale.
Les opportunités cachées du GDPR
Cette évolution de paradigme doit être considérée au regard des opportunités qu’elle offre. La vie privée est désormais une préoccupation importante des citoyens européens, comme le démontrent les récents scandale Facebook et une mise en conformité avec le GDPR est un argument commercial en plus d’être une obligation légale, et ce d’autant qu’un français sur deux serait prêt à défendre ses droits en justice en cas de non-respect du GDPR.
Ainsi, la prise en compte de la vie privée dès la conception d’un produit, la limitation des données traitées, les études d’impact et les analyses de traitement tout comme les notifications en cas de violation de données personnelles peuvent être perçues comme autant d’initiatives de rationalisation des traitements effectués et d’opportunités d’établir une relation de confiance avec le consommateur dont les données sont traitées.
La conformité en douceur
Enfin, voire surtout, il convient de rappeler la position de la CNIL sur la mise en conformité : “le 25 mai ne sera pas une date couperet pour les sanctions” a affirmé la CNIL plusieurs fois. Si le GDPR décuple les pouvoirs de sanction, il réitère en effet aussi les principes de collaboration et de sanction proportionnée qui figuraient déjà dans la directive de 1995 et la loi informatique et libertés : la CNIL peut certes désormais infliger des amendes de 4% du chiffre d’affaires mondial, mais elle doit le faire en prenant en compte tous les facteurs pertinents, et notamment les démarches de coopération et de transparence des acteurs. La CNIL a donc déjà annoncé qu’elle attend une conformité avec les obligations déjà en vigueur avant l’entrée en application du GDPR, mais qu’elle serait tolérante en cas de retard de bonne foi dans le respect de l’ensemble du texte.
Et pour cause : la France elle-même va être en retard dans l’adoption de la loi informatique et libertés remaniée, puisque le projet de loi fait l’objet d’un recours constitutionnel, et qu’il faudra ensuite que le gouvernement prenne des ordonnances de réécriture de la loi. De la même manière, la CNIL manque de moyens pour atteindre ses ambitions, comme la plupart des autorités européennes. Le GDPR arrive enfin, et personne n’est complètement prêt : pas de panique !
L’actu en bref
Sinon cette semaine, Mark Zuckerberg va finalement répondre aux questions des députés européens, et contrairement à ce qui avait initialement été annoncé, cette intervention sera retransmise en direct ; Toys ‘R’ Us fait faillite et met en vente ses actifs, et notamment une série de noms de domaine comme “SexToys‘R’Us.com” ; Legalis note un arrêt de la Cour de cassation considérant que la seule détention de clés d’activation d’un logiciel n’est pas constitutive d’une infraction ; la lutte interne contre l’implication de Google dans des projets de défense nationale et militaires se renforce, tandis que Google efface le fameux “Don’t be evil” de son code de conduite interne ; et surtout, l’Internet s’est déchiré pour savoir si on entend “yanny” ou “laurel” dans cet enregistrement audio – Wired nous explique tout.
À ne pas rater cette semaine
Surtout, il est donc temps de mettre fin à “l’hystérie du GDPR”, et c’est ce que fait Jacques Mattheij, un spécialiste de nouvelles technologies, dans un édito sélectionné cette semaine. Sur un thème similaire, la Commission Européenne met la pression pour accélérer l’adoption de ePrivacy. La semaine a également été riche en actualités liées à l’IA : la France a annoncé un plan de développement de la voiture autonome, tandis que la Harvard Business Review propose une lecture intéressante sur l’automatisation du travail en usine. Il s’avère par ailleurs que le règlement des litiges liés au e-commerce se fait de plus en plus souvent en ligne, tandis que la neutralité du net revient sur le devant de la scène aux États-Unis alors que le Sénat vote pour la restaurer. Enfin, le Monde a eu l’occasion d’interviewer la directrice de la politique des contenus de Facebook, et on vous propose une réponse à la question que vous vous posez forcément : “mais qu’est-ce qu’un smartphone blockchain” ?
Faites la Maj, et à la semaine prochaine !
Ce qu'on lit cette semaine
#gdpr
#imminence
#lesfemmesetlesmineursdabord
Un édito plein de bon sens histoire de remettre les pendules à l’heure à l’approche du GDPR, en coupant l’herbe sous le pied de quelques idées réussies que la frénésie des derniers mois aura vues proliférer. L’auteur, qui s’adresse explicitement aux PME (essentiellement aux PME américaines du secteur de la tech), rappelle ainsi à juste titre que le GDPR non seulement n’est pas un si grand bouleversement qu’il ne le paraît, mais aussi et surtout qu’il est scalable, et que son application tiendra compte de nombreux paramètres selon les acteurs concernés. Une saine lecture pour qui n’a pas encore eu le temps d’aller au fond de ce texte (il est vrai) particulièrement riche de subtilités, et dont on retiendra peut-être surtout qu’il a créé, plus que tout autre loi ou réglementation avant lui, un engouement et des émotions collectives absolument dantesques dans les mois qui auront précédé la date désormais symbolique du 25 mai. Le droit de l’Union comme feuilleton à suspense – qui donc eût pu le croire ?
#Robots
#travail
#production
#1partoutballeaucentre
Un son de cloche différent dans les anticipations de l’impact de la robotisation sur les industries du secteur secondaire. Alors qu’intuitivement, l’on s’attend à ce que la chaîne de production automobile, déjà très automatisée, ait pour objectif ultime celui de se passer entièrement de ses travailleurs humains pour repousser les frontières du rendement, il semblerait que la conquête doive se faire ailleurs. Plutôt que de remplacer les ouvriers dans l’accomplissement de leurs tâches, il s’agirait de changer le contenu même de ces tâches car les robots ne sont pas des hommes et les hommes pas des robots. Un bel exemple contre l’obsolescence humaine dans les usines qui corrobore l’aveu que M. Automatisation , Elon Musk, avait fait après s’être rendu compte qu’une partie des difficultés qu’il rencontrait pour produire ses Model 3 était lié à la sur-robotisation de ses usines.
#e-commerce
#plateformes
#consommation
#jamaismarredesMARLs
C’est le temps de faire le point sur l’activité de la plateforme de règlement des litiges en ligne en matière de consommation (RLL, à prononcer, très probablement, reuleuleu) lancée il y a deux ans par la Commission Européenne. Même si elle peine encore à se faire connaître, c’est, côté Français, tout de même près de 5500 plaintes déposées dans le courant de l’année dernière. Présentée comme une manière de faciliter les relations de confiance entre les entreprises et les consommateurs, clef de voûte du commerce sur internet, l’on saluera également que ce type de plateforme garantie l’accès à « une » justice alors que de nombreux petits litiges restent irrésolus, du fait de l’existence de barrières à l’entrée trop exigeantes, et donc désincitatives, à « la » justice. On apprendra peut être également au passage qu’il existe une obligation légale pour les e-commerçants et intermédiaires de faire apparaître sur leur site un lien de redirection vers la plateforme RLL, woops.
Après le GDPR, le e-Privacy : un temps resté dans l’ombre comme un petit satellite de droit spécial orbitant autour du mastodonte GDPR, voici que la Commission Européenne met les bouchées doubles et la pression sur les Etats membres pour finaliser l’adoption de ce règlement qui viendra se subsituer à l’actuelle directive dite e-Privacy, sur la vie privée dans les communications électroniques. Il est vrai que le projet initial était d’assurer son entrée en vigueur au 25 mai 2018, en même temps que le GDPR – un voeu pieu, à l’évidence, au vu de la lenteur du processus en pratique. Mais faut-il vraiment se presser ? La complexité des sujets est telle qu’il y aurait tort à légiférer à la va-vite, quand bien même les scandales tels que Cambridge Analytica y inciteraient : d’abord, l’adoption d’un nouveau texte n’est pas la garantie que de tels scandales cesseraient du jour au lendemain, loin s’en faut ; et, surtout, le risque serait de voir des règles adoptées contre tout sens des réalités, pour le seul motif qu’il faudrait agir immédiatement, alors même que le régime actuellement applicable aux cookies, pour ne donner qu’un exemple, a largement prouvé son impraticabilité, et que l’état actuel du texte en discussion ne fait rien pour y remédier, tout au contraire. Espérons donc, afin d’éviter pour l’avenir bien des migraines aux régulateurs comme aux acteurs concernés, que le législateur de l’Union saura quand même prendre le temps d’accoucher d’un texte raisonné.
#blockchain
#innovation
#tousdansl'ether
Oubliez les écrans sans bordure ou les émojis animés : et si la prochaine grande innovation en matière de smartphone consistait dans la blockchain ? C’est le pari qu’a fait la startup Sirin avec son projet de téléphone à 1000$ (aujourd’hui en plein crowdfunding), dont l’OS et les applications seraient intégralement adossées à une blockchain dérivée d’Ethereum, et achetés via les tokens correspondants. Il en résulterait, ainsi que le décrit cet article, des possibilités nouvelles en matière notamment de sécurité et de partage d’information. Si le projet se heurte pour l’heure à des obstacles non seulement techniques, mais aussi liés à la complexité de la prise en main d’un tel smartphone par l’utilisateur lambda, il n’a pas manqué de faire des émules : Apple serait ainsi susceptible de reprendre le concept, et HTC aurait déjà franchi le pas. La démocratisation des usages de la blockchain est en marche.
#neutralité
#çasenvaetçarevient
Le feuilleton continue outre-atlantique après la disparition redoutée, annoncée puis confirmée du cadre réglementaire assurant la neutralité du net par la Federal Communication Commission (FCC) : donnant force au tollé populaire qui s’en était suivi, le Sénat américain s’est emparé du sujet et vient de voter la remise en place de ce même cadre réglementaire. Une victoire menée par le camp des démocrates, dont la pérennité dépend cependant désormais de la confirmation de l’autre chambre du Parlement, puis du président Trump. Deux obstacles assez élevés, dans la mesure où les démocrates restent minoritaires au sein de la House of Representatives, et où, surtout, le chef de l’exécutif avait déjà donné quitus à Ajit Pai, président de la FCC, pour la suppression de la neutralité du net… La suite au prochain épisode !
#facebook
#libertéd'expression
#modération
Il est parfois difficile de se rendre compte de toutes les facettes qu’une même problématique juridique et sociale peut revêtir, surtout lorsqu’il s’agit de concilier des impératifs souvent contradictoires dans plusieurs ordres juridiques différents. Cette interview de Monika Bickert, directrice de la politique des contenus sur Facebook, met en lumière tous les enjeux de la modération sur le premier réseau social mondial. Derrière les règles des conditions d’utilisation de Facebook, l’on y voit la promotion de certaines valeurs. Derrière une responsabilisation croissante, l’on y voit le développement d’une armée de juges particuliers, humains ou non, et des problématiques opérationnelles très concrètes. Derrière son rôle dans la vie collective, l’on y voit un réel poids géopolitique. Facebook deviendrait-il un petit Etat ?
Pour un aperçu statistique de la modération opérée sur Facebook l’année dernière, c’est ici.
#voitureautonome
#IA
#voitureautonomeenconduiteaccompagnée
Le rapport de la Haute Responsable pour la Stratégie du Développement de la Voiture Autonome (HRSDVA), dont on sera agréablement surpris d’apprendre l’existence, vient tout juste d’être déposé. On y dresse des grands enjeux, comme la cybersécurité, l’interconnectivité, et l’inénarrable protection des données personnelles, le tout dans un ton particulièrement technophile puisque l’on y lira que l’acceptabilité de la technologie (la faculté de la population française à adopter et accepter une innovation dans son quotidien) est également présenté comme un véritable objectif. L’on y retrouve également ce bon vieil ethos européen de la régulation puisque l’on s’y pose déjà la question de l’élaboration de cadres commun pour l’homologation des systèmes.
Et puisqu’on est dans le thème, on pourra également apprendre comment la présence d’une seule voiture autonome sur sur la route peut prévenir les risques de bouchon en palliant nos réflexes grégariens.
