Alors que nos modes de communication explosent, la circulation des données est vertigineuse. Et si nos usages sont fluides, la confidentialité de nos échanges, de nos datas ou de notre production de connaissances est plus que jamais remise en cause. Même si le RGPD marque une évolution notable, sommes-nous véritablement protégés ?
Nous sommes dans l’illusion de la confidentialité et force est de constater que nous, européens, sommes aujourd’hui dans une situation de grande vulnérabilité. Alors que les 27 pays édictent des règles contraignantes pour le monde digital, des puissances comme les Etats-Unis peuvent s’affranchir de certaines des contraintes réglementaires européennes. Leur législation est conçue de telle sorte que le gouvernement peut capter les données stockées par leurs sociétés au mépris de notre souveraineté. Ainsi, des data hébergées dans une compagnie US, ici ou ailleurs, peuvent-être collectées par l’administration américaine si elle juge que l’intérêt supérieur de la nation est en jeu.
C’est le sens du Cloud Act et plus largement du Patriot Act qui légitiment toute intervention. Sollicitée par la CGE (Conférence des Grandes Ecoles), la CPU (Conférence des Présidents d’Université) et le réseau des DPO (Data Protection Officer), la CNIL (Commission Nationale de l’Informatique et des Libertés) a reconnu cette dépendance, sans donner de réponse précise, mais en recommandant à notre communauté de se prendre en main pour imaginer des solutions et en définitive, trouver une manière de s’affranchir des Etats-Unis qui, en 2021, peuvent enjamber à leur aise notre RGPD ! C’est stupéfiant, eut égard à la quantité d’informations qui transitent via ZOOM, TEAMS ou Google avec notre accord explicite (donné lors de la validation des Conditions Générales d’Utilisation). L’usage fait loi et masque la réalité, voire une dérive que le pragmatisme nous contraint d’accepter.
Pour faire face à ce challenge colossal, deux pistes. La première serait bien entendu que les USA de Joe Biden reviennent à un comportement raisonnable, moins autocentré qui pourrait se présenter sous la forme d’un Privacy Shield II, revisité selon les critères en accord avec le respect des données européennes. Le GO lors du dernier G7 pour une taxation mondiale des sociétés à hauteur de 15% marque sans doute une évolution notable. Comme, par ailleurs, l’intention de Biden de revenir à la table des discussions sur le climat.
L’autre piste consiste à agir et à élaborer une politique de protection digne de ce nom pour les données dites sensibles ou stratégiques. On peut imaginer l’hébergement par des data centers régionaux. Classifions nos données et hébergeons nos données à caractère personnel sur notre territoire.
Enfin, nous, grandes écoles et universités, avons certainement à davantage informer et former nos jeunes. Ils n’ont pas la même lecture de la data privée et appréhendent avec une certaine inconscience la privacy. A l’EM Normandie, comme dans d’autres écoles, dès la première année, ils suivent des sessions autour de l’utilisation de la donnée… même si l’exercice est compliqué tant l’offre d’outils EdTechs européens est faible et mal adaptée. Difficile de leur reprocher leur insouciance dans ce contexte de dépendance technologique nord-américain.
Enfin, n’oublions pas de nous protéger à tout moment en exigeant de nos partenaires une législation plus éthique. L’Europe doit être plus ferme et ne jamais céder avec des textes complexes, peu applicables et, au final, défavorables aux européens eux-mêmes. A ce sujet, la disparition du Privacy Shield en juillet 2020 au profit de clauses contractuelles types assez peu protectrices en définitive, est assez inquiétante.
Il n’est évidemment pas question de cesser de travailler avec les compagnies made in USA, mais de faire preuve de bon sens et de capacité d’indignation face au risque de pillage des données. Nous sommes convaincus que refuser des règles du jeu iniques poussera les acteurs du digital à agir dans le bon sens. Après tout c’est aussi leur intérêt d’aller vers une collaboration éthique et responsable. A nous de sanctionner leur impact comme nous le faisons pour la RSE, le développement durable ou l’écologie.