Temps de lecture : 9 minutes

Et si vous compreniez par vous-même le RGPD ?

Suzanne Vergnolle (@SuVergnolle), juriste spécialiste dans la protection de la vie privée et des données personnelles et Johan Richer (@JohanRicher), spécialiste de CivicTech ont lancé en octobre 2017 un club de lecture basé sur le Règlement général sur la protection des données (RGPD). Véritable outil d’empowerment, ce Book Club a pour vocation d’aider les participants, qui se réunissent environ une fois par mois au Carpe Diem café à Paris, à lire, comprendre et concevoir un raisonnement critique sur le texte de loi.

Alors que nos boîtes mails pullulent de mise à jour de confidentialité en tous genres, que les articles sur le net résumant le RGPD se multiplient au même titre que les débats sur l’usage de nos données personnelles, la démarche du Book Club est unique en son genre : « Nous ne cherchons pas à dire aux gens quoi faire, nous voulons leur donner les armes pour se faire eux-mêmes une idée le texte ! » résume Suzanne Vergnolle.
Nous avons rencontré Suzanne Vergnolle qui a lancé l’initiative et Benoît Piédallu (@klorydryk), membre assidu du GDPRBookClub.

Pouvez-vous nous présenter le concept du Book Club ?

Suzanne : L’idée vient de Gianfranco Cecconi, un data scientist installé à Londres. Dans un article, il explique avoir lancé un Book Club sur le RGPD et encourage à reproduire l’initiative. Dans mon travail et ma vie associative, j’œuvre à être une interface entre des juristes, la société civile et le milieu politique, à porter la voix des individus qui sont inquiets sur les problématiques de la protection des données personnelles. Je sais que lire la loi peut être ardu, voire effrayant, mais c’est un formidable outil d’empowerment. J’ai immédiatement adhéré à l’idée : le Book Club offre un cadre neutre, accueillant, où il est possible de lire à notre rythme le règlement et d’en discuter avec d’autres participants. Il donne des outils de compréhension pour toute personne intéressée par la protection des données personnelles.

Sous la recommandation d’un ami, nous avons décidé de nous rassembler au café Carpe Diem, à Châtelet. On a choisi une date, on a relayé l’info sur les réseaux sociaux et depuis on s’y rassemble environ une fois par mois, en début de semaine.

Comment se déroule une séance de lecture ?

Benoît : En général, on lit les articles au fur et à mesure et suite à la lecture, les débats démarrent. On cherche des exemples, des contres exemples. C’est là où il est très intéressant d’avoir des participants qui viennent de tous les horizons, il y a des juristes mais aussi des techniciens, des gens qui travaillent dans le social, dans la politique, des graphistes… Ils arrivent avec leurs expériences, les cas dans lesquels ils se sont retrouvés à travailler sur de la donnée, les cas dans lesquels ils se sont retrouvés à être eux-mêmes dans des bases de données. Ce sont des situations qu’ils peuvent essayer d’appliquer au texte et cela crée des approches très variées.

 

A-t-il été facile de lire le RGPD ?

S: Nous n’avons toujours pas fini et je dois avouer que je ne pensais pas que cela durerait aussi longtemps ! Les premières séances finissaient vers minuit, on débattait beaucoup, c’était intéressant mais c’était trop long. Maintenant nous sommes mieux rodés, les séances sont plus courtes et mieux organisées.

B : Ce n’est pas évident de lire des textes juridiques, mais il y a un plaisir certain à mettre des exemples sur des cas de lois. Il nous est déjà arrivé de débattre pendant 45 minutes sur certains articles. Il y a des fois où la lecture est claire, d’autre où elle est plus ardue, par exemple quand une phrase fait 6 lignes sans point… Mais je n’ai jamais ressenti qu’il y avait une tentative de perdre le lecteur en mettant des termes et des notions compliquées, le vocabulaire est même plutôt compréhensible.

S : Par ailleurs, les participants sont curieux, ils ont envie d’apprendre. Être confronté à des terminologies nouvelles ne leur fait pas peur.

Il faut savoir que le RGPD est divisé en 2 parties : d’un côté il y a les considérants, qui correspondent à l’esprit de la loi et de l’autre, il y a les articles. Au début, j’ai trouvé que pour animer la lecture, il était plus intéressant de commencer par lire les considérants, qui créent une vue globale, puis d’expliquer ensuite les articles vers lesquels ils se dirigent. Puis, les articles devenant plus précis, on a inversé l’ordre de lecture : d’abord les articles, puis si on a besoin d’éclaircissements, on lit les considérants. De séances en séances, on suit les articles dans l’ordre. Mon travail consiste à rechercher en avance les considérants qui permettront d’éclairer les articles vus pendant une séance. Les pages de la séance sont ensuite mises sur mon site.

Qu’est-ce qui vous a marqué pendant la lecture du texte ?

B : J’ai appris qu’après le décès d’une personne, les données peuvent être réutilisées par n’importe qui, pour un objectif que l’on ne connaît pas. Ça veut dire qu’un individu peut être très regardant toute sa vie sur la façon dont ses données vont être utilisées, pour finalement être dans l’incapacité de faire une fois décédé.

S : Il faut quand même qu’ils aient pu collecter les données de façon légale à un moment. La définition de données à caractère personnel concerne « toute information qui permet l’identification de manière directe ou indirecte d’une personne physique ». Donc si ce n’est plus une personne physique, ce n’est plus une donnée à caractère personnel et toutes les règles du texte ne s’appliquent pas. La question des droits de succession se pose et la loi pour une République numérique de 2016 a commencé à entrevoir des possibilités intéressantes, mais ce n’est pas quelque chose prévu par le RGPD, c’est propre à la France.

Quelles sont les grandes avancées du RGPD ?

S : Le texte est globalement la reprise de la loi Informatique et Libertés, votée en 1978. 80% des obligations existaient déjà. Il y a des avancées, notamment sur le fait que les entreprises s’en inquiète : « il faut qu’on soit conforme, il faut que l’on respecte le droit » c’est pour cela d’ailleurs que l’on a reçu des tonnes et des tonnes de mises à jour de politique de confidentialité. Dire que ce texte impose trop d’obligations est donc faux : si une entreprise n’est pas capable de se mettre en conformité sans trop de difficultés, c’est qu’elle ne devait pas vraiment respecter la loi avant.

B : Maintenant les entreprises ont l’obligation de gérer leurs données au fur et à mesure de leur usage. C’est à elles de s’adapter aux règles de sécurité minimales, aux types de données, alors qu’à la base, l’idée principale était qu’il fallait juste faire une déclaration à la CNIL et ne plus s’en occuper. Il y a un vrai retournement de la responsabilité. Par ailleurs un des gros impacts psychologiques du RGPD aujourd’hui est lié à l’amende pouvant atteindre 4% du chiffre d’affaires mondial d’une entreprise ou 20 millions d’euros, c’est un gros changement.

A votre avis, quels vont être les challenges à relever pour bien accompagner le RGPD ?

S : Tout changement doit être opéré via de l’éducation et de la pédagogie. Il faudrait lancer d’autres Book Clubs. Dire aux gens « saisissez-vous du texte, allez- y, lancez votre GDPRBookClub ». Une fois qu’on a les connaissances, on peut soit faire de l’action, soit faire du lobby citoyen (auprès des responsables, des entreprises…).

Au début de ma thèse je me suis posée beaucoup de question sur le rôle de l’État vis-à-vis de l’individu, je me demandais s’il ne fallait pas imposer plus de protections, d’interdictions, de principes. J’en suis venue à la conclusion qu’il faut avant tout donner aux gens les armes pour qu’ils puissent faire leurs propres choix.
C’est d’ailleurs tout le but de la protection des données et de la protection de la vie privée : permettre le libre développement de la personne, permettre à la personne de devenir qui elle doit être, sans qu’elle ne subisse de biais extérieurs. C’est pour cela qu’il y a de nombreux débat sur Parcours Sup qui n’a toujours pas dévoilé l’intégralité de son fonctionnement. (NDLR : le 15 juin dernier, l’association Droits des lycéens a fait parvenir un communiqué de presse demandant au ministère de l’Enseignement supérieur d’accentuer son effort de transparence concernant le système)

B : Le règlement donne les outils suffisants pour qu’un groupe de citoyens le prenne en main, puisse attaquer une entreprise qui fait des traitements illégitimes et la fasse condamner. Il faut un lanceur d’alerte, comme l’observatoire du RGPD (@obs_rgpd), pour que quelqu’un se rende compte qu’il y a un problème quelque part. Par exemple, pour expliquer le prélèvement à la source, le site des impôts a incrusté sur son site une vidéo obligatoire. La vidéo est hébergée par YouTube. En faisant ça le service des impôts a livré à Google l’ensemble des adresses IPs des gens qui venaient déclarer leurs impôts. Ce qui est aberrant car cela donne tout un tas d’informations, notamment sur le comportement des citoyens : ceux qui paient tout de suite, ceux qui paient au dernier moment, à quel moment… Des informations que Google (propriétaire de YouTube) enregistre tranquillement dans ses bases de données et utilisera certainement un jour.

S : En réalité, d’après le règlement, Google n’a pas le droit d’en faire grand-chose. Mais c’est un super indicateur cet exemple, car le public s’est senti concerné.

Par ailleurs, il va falloir faire attention aux effets secondaires qu’il va y avoir derrière la qualification de traitements de données personnelles. Car on peut voir des données à caractère personnel partout et cela peut avoir un impact négatif en termes de circulation de l’information. On va restreindre la possibilité de s’exprimer librement. Il y a donc un double enjeu.

Quel impact cela va avoir par rapport au GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ? Pensez-vous qu’il va y avoir une sécurité suffisante ?

B : J’ai l’impression qu’il y a un effort qui est fait par ces acteurs, qu’ils montrent patte blanche. Mais ce n’est pas suffisamment clair, il y a tout un tas d’éléments à améliorer. Par exemple, Max Schremps et la Quadrature du Net ont lancé des actions afin d’utiliser le RGPD pour faire améliorer les conditions d’utilisation des données personnelles.
Mais finalement les GAFAM ne sont que la partie émergée de l’iceberg, il y a énormément d’entreprises qui font du traitement de données à caractères personnel et qui se disent que ça va aller, que ce n’est pas important. Par exemple on peut penser à Criteo ou Teemo. C’est aussi sur ces acteurs là qu’il faut se pencher.


Quelles sont vos ambitions pour la suite ?

S : On aimerait que le concept du Book Club se diffuse, à ma connaissance il n’y en pas encore d’autres d’ouverts en France (NDLR : à ce sujet, il est possible de faire une veille sur #GDPRBookClub sur Twitter). Aujourd’hui, on espère que d’autres personnes auront envie de lancer des clubs de lecture dans leur ville. On est prêt à les épauler dans le lancement. Il serait aussi intéressant de lancer des Book Club sur d’autres textes de loi.

On a des ambitions plus politiques également, notamment à travers la création d’un GDPR Fight Club. Cela fait à peu près 40 ans que la plupart des obligations du RGPD existent, mais peu étaient respectées. On veut éviter que cela se poursuive.
On voudrait faire quelque chose sur le modèle de l’association “Ouvre Boite” qui travaille sur l’ouverture des documents administratifs. Ils ont un wiki, un forum, toutes leurs procédures sont transparentes et n’importe quel individu qui souhaiterait avoir accès à des documents administratifs peut les mobiliser, reprendre leur processus et leurs modèles de lettres. On voudrait donner des outils similaires pour la protection des données personnelles. Imaginons par exemple qu’un individu soit fâché avec les agences immobilières qui demandent beaucoup trop de documents personnels. On voudrait mettre à disposition un mail type qui puisse être envoyé à l’agence, expliquer qu’en cas de silence, on peut aller faire une réclamation à la CNIL ou faire une action devant un juge.
L’objectif n’est pas de finir au tribunal, mais d’intervenir en amont, de donner la possibilité aux gens de réagir, d’avoir des outils techniques, des modèles de documents, de pousser les entreprises à s’intéresser à ces questions. Être plus dans une logique du mieux-disant que dans du contentieux.

Pour le moment ce n’est encore qu’une idée, il faut encore que l’on réunisse des participants, que l’on écrive les principaux documents…

Pour finir quels conseils vous donneriez à quelqu’un qui souhaite monter un Book Club sur le RGPD?

S : il faut un lieu sympa, trouver des gens intéressants, communiquer sur les réseaux, préparer les lectures et c’est parti !


LES RESSOURCES

 

LES ACTEURS CITES