Les données, un enjeu majeur pour notre souveraineté

A l’occasion de la réunion plénière annuelle de SUP DPO, l’organisme qui regroupe les délégués à la protection des données personnelles des établissements de l’enseignement supérieur et de la recherche, je suis intervenu, vendredi 11 décembre, en visioconférence lors de la table ronde intitulée « protection des données, un enjeu majeur de souveraineté » aux côtés de Jean-Pierre Finance, membre du Conseil Scientifique de l’Office parlementaire d’évaluation des choix scientifiques et technologiques et représentant permanent de la Conférence des Présidents d’Université et de Institut de Recherche Pour le Développement auprès de l’Union Européenne à Bruxelles et de Stéphanie Combe, chef de projet Health Data Hub. 

Le réseau SupDPO (ex-SupCIL) rassemble les délegués à la protection des données (DPO) des établissements d’enseignement supérieur et de recherche. Il vise à favoriser les échanges et les partages d’expérience entre les DPO du réseau, participer aux actions menées dans le cadre des partenariats avec la Commission nationale de l’informatique et des libertés (CNIL) et contribuer à une meilleure diffusion de la culture « Informatique et Libertés »​ vis-à-vis de tous les acteurs de l’enseignement supérieur (étudiants, enseignants-chercheurs, personnels administratifs).

Cette table-ronde a été l’occasion pour ma part de revenir sur les enjeux et perspectives au niveau national et européen de la protection des données.

Si l’Europe a su se doter avec le règlement général de protection des données personnelles d’un cadre unique de protection de nos droits et libertés, nous savons aujourd’hui que les données représentent aussi un enjeu majeur pour notre souveraineté.

 

▶︎ Les données représentent un enjeu décisif de souveraineté.

👉🏻 En effet, elles peuvent être transférées à l’étranger dans des pays où nos standards de protection ne sont pas respectés.

Les décisions Schrems I et II rendues par la Cour de Justice de l’Union ont très récemment précisé le cadre juridique applicable aux transferts de données personnelles vers les pays tiers, en l’occurrence les États-Unis.

La Cour a, en effet, invalidé successivement les deux décisions de la Commission, le Safe Harbor et le Privacy Shield, en estimant que le degré de protection assuré aux États-Unis était insuffisant et a préféré annuler la base légale permettant d’y transférer nos données.

👉🏻 Si la question des données est essentielle, c’est surtout parce que la capacité à exploiter des données est devenu un enjeu économique majeur pour notre souveraineté.

La crédibilité technologique et la compétitivité de nos entreprises dépend aujourd’hui de l’exploitation massive de données qui sont collectées, agrégées et traitées par des algorithmes.  Elles permettent aux acteurs économiques de probabiliser, voire d’orienter le comportement des consommateurs et des clients, mais aussi de prendre des parts face à leurs concurrents.

Malgré l’importance du marché européen, les entreprises européennes sont pour l’instant sous représentées par rapport à leurs concurrents étrangers. Les tentatives de développement de programmes de soutien, français ou européens, peinent encore à convaincre car ils rivalisent mal avec leurs concurrents américains et asiatiques.

Notons tout de même, l’existence de moteurs de recherche européens ou les avancées faites en matière de « souveraineté des données » avec le projet de cloud souverain. Il faut néanmoins aller plus loin pour protéger nos données et, se faisant, notre souveraineté.

▶︎ Nous devons protéger nos données à l’échelle européenne si nous voulons construire une « Europe puissance » capable de rivaliser à l’international tout en conservant son autonomie stratégique.

👉🏻 Nous devons tout d’abord anticiper les risques de transferts de nos données à l’étranger

Le Comité européen de protection des données personnelles, qui réunit les CNIL européennes, a très récemment rendu un avis sur le niveau de protection à assurer en cas de transferts de données personnelles hors du territoire de l’Union européenne.

Il s’agit d’une part de fixer à court terme le niveau de protection des données que les contrats entre importateurs et exportateurs de données devront respecter et d’autre part à long terme de définir le contenu de la future décision de la Commission qui remplacera le Privacy Shield.

Ainsi, le CEPD recommande d’interdire les transferts de données personnelles hors du territoire de l’Union européenne lorsque ces données ne sont pas rendues illisibles par des moyens techniques comme le chiffrement ou la pseudonymisation.

Si ces recommandations représentent une avancée importante dans le sens d’une plus grande protection de nos données, elles sont très contraignantes pour les entreprises ce qui risque d’entamer leur croissance. En effet, une plus grande protection de nos données ne doit pas entamer notre compétitivité.

👉🏻 Nous devons ensuite nous assurer que les entreprises européennes disposent de tous les moyens pour traiter massivement des données afin de renforcer leur compétitivité

Nous pouvons encourager plus largement l’ouverture des données publiques et privées pour nourrir les algorithmes et ainsi soutenir l’effort d’innovation du secteur privé [2]. 

Nous pouvons aussi alimenter la R&D en augmentant la part du financement privé.

Nous devons dans tous les cas et dans une logique de partenariat à l’échelle de l’Union atteindre un leadership mondial sur l’intelligence artificielle.

Cela exige d’enclencher tous les leviers de « croissance par l’innovation » en facilitant les transferts de compétences et en favorisant la diffusion de la technologie. Ce n’est qu’à ces conditions que nous réussirons à protéger nos données tout en recouvrant notre souveraineté.

 

[1] https://2020.stateofeuropeantech.com

[2] Mon collège Eric Bothorel rendra bientôt publiques les conclusions de la mission qu’il conduit sur la politique publique de la donnée.