Etienne Drouard (Hogan Lovells) "Les propositions de Thierry Breton sont peu compatibles avec la directive eprivacy"
L'avocat spécialisé en droit du numérique revient sur le projet de marché unique de la donnée présenté par la Commission européenne. Et souligne une schizophrénie par rapport aux règlements en matière de protection des données personnelles.
JDN. La Commission européenne vient de dévoiler, par l'intermédiaire de Thierry Breton, son plan de bataille pour une souveraineté numérique dans le secteur des données. Il est notamment question d'un nouveau cadre réglementaire, pour inciter au partage des données dites industrielles. Qu'est-ce que cela vous inspire ?
Etienne Drouard. Il s'agit d'un sujet dont les Etats-membres n'osaient pas discuter avec les entreprises, il fallait donc que l'Union européenne s'en occupe. La vraie question maintenant, c'est de savoir comment se juxtaposera ce plan avec le règlement existant, le RGPD, et celui à venir, eprivacy, qui protègent les données personnelles. Car on parle de deux approches complètement antagonistes (l'interdiction du partage des données versus le partage des données), qui risquent bien de porter, dans de nombreux cas, sur les mêmes données. On a, d'une part, Thierry Breton dont le plan vise à faciliter l'accès des entreprises aux données industrielles pour créer des champions du numérique. De l'autre, un cadre réglementaire qui consiste à préserver autant que possible la vie privée des utilisateurs et l'exploitation qui est faite de leurs données.
En quoi la juxtaposition de ces deux visions risque-t-elle d'introduire une certaine schizophrénie ?
Tout simplement parce qu'une même donnée numérique pourra être considérée comme une donnée personnelle ou industrielle, selon que l'on se positionne du point de vue de l'utilisateur ou de l'entreprise. Prenons l'exemple d'une donnée de localisation. C'est, selon la directive eprivacy, une donnée personnelle qu'une entreprise ne peut traiter que si elle est strictement nécessaire pour faire circuler un flux d'information, avec l'accord de l'utilisateur concerné. Cette même donnée, si on la considère du point de vue du terminal auquel elle est associée, est également une donnée industrielle. Les arbitrages à réaliser seront nombreux. Le trajet renseigné par un utilisateur au sein de son terminal pour se rendre à une destination peut tout aussi bien être considéré comme une donnée personnelle que comme une donnée industrielle…
Qui déciderait sous quel champ tombe un même fait numérique, et qui l'appliquerait ?
Le problème, c'est que Thierry Breton ne nous le dit pas, pas plus qu'il ne dit comment ses propositions s'articuleront avec les règlements sur les données personnelles. On est pour l'instant dans les intentions générales, mais il va falloir faire des arbitrages.
"La volonté de la Commission européenne de créer des champions numériques va vite se heurter à l'existence du droit de la concurrence"
La volonté de la Commission européenne de créer des champions numériques va vite se heurter à l'existence du droit de la concurrence dont Thierry Breton nous dit, en préambule de son rapport, qu'il est précisément responsable de la non-émergence de champions européens. Si l'on veut une révolution doctrinale, il va falloir changer les règles en la matière et accepter de revoir certains concepts juridiques comme l'abus de position dominante, en la présence duquel il sera impossible de créer un géant européen.
La Commission a également présenté un livre blanc sur l'IA dans lequel elle propose que les systèmes d'intelligence artificielle à haut risque soient certifiés, testés et contrôlés, comme le sont les voitures, les cosmétiques et les jouets…
"Que la Commission européenne veuille faire émerger une grande puissance de calcul c'est son rôle, qu'elle veuille regarder sous le capot des autres, ça l'est moins"
Mettre de l'éthique dans l'IA, ce n'est pas neuf. Vouloir y apporter de la transparence, ça le sera si les déclarations d'intention deviennent des textes contraignants. Mais j'ai l'impression que, sous couvert de protéger des libertés individuelles, on veut faire peser des contraintes régaliennes sur les producteurs d'algorithmes.
Que la Commission européenne veuille faire émerger une grande puissance européenne de calcul, c'est son rôle, qu'elle veuille regarder sous le capot des autres, ça l'est moins. D'autant qu'elle reste plutôt floue sur la notion d'IA à haut risque. Est-ce que la santé des personnes est un haut risque au même titre que le développement d'une smart city, d'une centrale électrique ou d'une voiture autonome ? A ce stade, on n'en sait rien.
La Commission européenne parle d'un investissement de 4 à 6 milliards d'euros. Cela vous semble-t-il suffisant pour rattraper le retard sur les États-Unis et la Chine, grands gagnants pour l'instant de l'ère du numérique ?
On dit souvent qu'un programme non chiffré n'est pas un programme… Difficile de dire si le montant est suffisant. Tout dépendra de son usage. Est-ce qu'il s'agit de saupoudrer cette somme auprès de différents acteurs via des fonds de soutien à l'innovation numérique ou plutôt de créer une véritable infrastructure européenne d'hébergement ? Et puis, quel sera l'intérêt de cette infrastructure si elle ne bénéficie pas du carburant pour la faire tourner, c'est-à-dire de données en masse ?
Quelle sera la suite de ce livre blanc ?
Toute ces propositions sur le marché unique de la data et l'IA sont soumises à consultation durant les trois prochains mois. Dans le même temps, le règlement eprivacy sera, lui aussi, discuté. Il faudra donc faire le point en juin. Si la priorité va au plan proposé par Thierry Breton, je ne donne pas cher d'eprivacy. Car même si eprivacy était adopté, il faudrait revoir ce texte au moment d'établir le cadre réglementaire proposé par Thierry Breton pour que les deux soient cohérents.