Bonjour, Cecilia, nous sommes très heureux de vous interviewer pour notre SÉRIE LIMITÉE.
Votre parcours dans le secteur de la protection des données est impressionnant. Cela éveille notre curiosité : comment en vient-on à se consacrer et se spécialiser dans ce domaine ?
Je suis arrivé à la protection des données par hasard, car au début j’étais avocate en fusions et acquisitions. En 1997, la spécialisation dans la protection des données n’existait pas dans le cabinet pour lequel je travaillais. J’ai eu à m’occuper d’un dossier de télémédecine qui impliquait des transferts de données de patients entre une clinique espagnole et des oncologues américains. La question était complexe et demandait beaucoup de recherches que j’ai dû faire en mode autodidacte, car il n’y avait ni livres, ni professeurs, ni experts. Afin de rentabiliser cet effort, le cabinet m’a ensuite confié des questions de protection des données sur des sujets aussi variés que la lutte contre le blanchiment d’argent et le financement du terrorisme, la titularisation de la dette, la vente parallèle de médicaments par les industries pharmaceutiques, la cession de crédit, la création de bio-banques ou encore la lutte des héritiers contre la diffusion télévisée post-mortem des interviews faites à une princesse. J’ai fini par créer et diriger cette pratique au sein du cabinet et dans son réseau latino-américain et par partager mes connaissances au niveau académique.
Nous sommes tous immergés, en tant que consommateurs et utilisateurs intensifs des nouvelles technologies, dans la problématique de la protection des données. Pensez-vous que nous sommes conscients de ce qui se cache derrière cette activité ?
Nous sommes passés de l’ignorance à la peur et peu nombreux sont ceux qui ont essayé de surmonter ces deux écueils en s’informant. La numérisation de la société et de l’économie est un processus dans lequel on se retrouve sans rien y connaître. Les avancées scientifiques liées à la technologie ont généré différentes modalités d’utilisation et, comme pour toutes les activités humaines, il y en a eu de fantastiques et des désastreuses. Les évolutions en la matière sont en cours. Il est important de faire l’effort de comprendre le monde dans lequel nous vivons et celui que nous laisserons en héritage à nos enfants, non par peur mais par sens critique.
Quels sont les principaux défis que pose la protection des données du point de vue des entreprises ou des organisations ?
Les organisations ont aujourd’hui clairement conscience de l’impact des normes qui réglementent les données personnelles. Il est peu fréquent qu’une organisation d’une certaine taille dans le secteur privé n’ait pas mis en place de programme de protection des données. En revanche, et à quelques exceptions près, le secteur public a encore un long chemin à parcourir à ce propos.
La protection des données est aussi un business qui a contribué à créer des emplois à valeur ajoutée : elle a permis la création de nouveaux et intéressants métiers liés à l’exploitation des données personnelles, avec des profils très divers tant dans le secteur privé que public. Malheureusement, un autre « réseau » a également été créé permettant à des individus et des organisations sans scrupules d’exploiter la peur des sanctions et des atteintes à la réputation.
La protection des données est devenue une matière très technique, complexe et peu intuitive. La plupart du temps, sa mise en œuvre est coûteuse et son interprétation ne se caractérise pas par sa sécurité juridique ou son caractère innovant. Son interprétation a été à de nombreuses reprises poussée à l’extrême en oubliant que – comme pour tous les droits fondamentaux – la protection des données personnelles n’est pas un droit absolu.
Une politique de protection des données complète et infaillible est-elle possible et réaliste ? Quelles seraient les conditions requises ?
Aucune création humaine n’est infaillible ! Et les politiques de protection des données sont une création humaine au même titre que la législation qui impose leur contenu. Tout aussi humaine que la paresse de lire de la part de ceux qui sont censés le faire.
De nombreuses organisations ont des politiques de protection des données qui traitent des aspects requis par la loi. Cependant, la loi impose des normes qui ne sont pas toujours du plus grand intérêt pour le citoyen auquel elles sont -en principe- destinées. D’autre part, l’interprétation de ces exigences légales, soit à l’extrême soit à la convenance de chaque cas, s’est révélée être une science pour le moins incertaine.
Il est évident que rédiger des «politiques de confidentialité» n’est pas le seul moyen (ni le plus approprié) de transposer des questions intéressantes et pertinentes à notre prise de décision ou de générer de la confiance dans les pratiques des organisations. Tant qu’il s’agit d’une obligation légale, elle doit être respectée. Cependant, on peut compléter par d’autres moyens pour simplifier la transparence, axés sur d’autres aspects clés qui intéressent l’utilisateur, explorer des formats alternatifs au texte et fournir des informations plus précises au moment le plus utile, c’est-à-dire en fonction du contexte. Pour que cela fonctionne, ces formes innovantes de transparence ou autres doivent être mises en avant.
La législation suit-elle le rythme de diffusion et circulation des données ?
Bien que la législation sur la protection des données en Europe n’ait pas « l’ancienneté » des codes civils, on ne peut pas non plus dire qu’il s’agisse d’une législation nouvelle. Ses principes sont restés essentiellement valables depuis plusieurs décennies en dépit du fait que la vitesse et l’ampleur de création, transformation et circulation des données personnelles aient été une constante. La difficulté, à mon avis, est plutôt liée aux excès dans l’interprétation. Il ne faut pas ignorer le reste du système judiciaire mais se battre pour qu’il évolue avec une rigueur scientifique.
Que savent les pirates informatiques que les entreprises qui tentent de se défendre contre eux ne savent pas ?
On dit toujours qu’il s’agit d’une course sans fin, pas seulement par rapport aux hackers mais aussi par rapport à d’autres acteurs malveillants plus modernes, comme les scrapers qui, contrairement aux hackers, n’exploitent pas une vulnérabilité de sécurité mais imitent de façon automatique le comportement humain d’usage légitime.
Quant aux hackers, ils semblent avoir l’opportunité, le temps et parfois le financement, pour identifier et exploiter les vulnérabilités. Et, dans la plupart des cas, la plus grande vulnérabilité réside chez les employés ou sous-traitants qui ont accès ou traitent des données personnelles sous le contrôle ou la responsabilité d’entreprises ou d’administrations publiques.
Dans quelle mesure l’utilisateur moyen facilite-t ’il le «travail» de ceux qui profitent des lacunes qui existent dans tout système d’information ?
Si le manquement est sciemment permis, cet utilisateur en sa qualité d’employé ou de sous-traitant d’une organisation peut engager sa responsabilité civile, sociale et pénale. Pour l’organisation qui l’ a embauché, ce manquement peut signifier une responsabilité administrative et civile avec des conséquences importantes en termes de sanctions et d’atteinte à la réputation qu’elle ne pourra malheureusement pas réclamer à l’employé ou l’entrepreneur responsable en dernier ressort.
Au-delà des failles de sécurité, l’utilisateur peut également être le complice nécessaire pour faciliter les tâches de scraping lorsqu’il autorise les scrapers à l’expoiter pour installer des API sur un système d’information ciblé.
Les utilisateurs n’ont généralement pas vraiment idée de ce que les entreprises font de leurs données, ni de ce à quoi elles consentent lorsqu’elles cliquent sur «J’accepte». En même temps, ces mêmes utilisateurs disposent de multiples droits prévus par la législation, qu’ils n’exercent pas ou ne savent pas exercer. Qu’est-ce qui ne fonctionne pas ?
À mon avis, il y a plusieurs facteurs. Sans aucun doute, les écosystèmes de données sont complexes et les organisations ont du mal à trouver l’équilibre entre le niveau de détail et la «compréhensibilité» des explications. D’autre part, il est fréquent que les utilisateurs ne lisent (ou ne regardent ni n’écoutent lors de l’utilisation de vidéos) les contrats ni les politiques de confidentialité : nous sommes responsables de nos propres actions et « ne pas avoir lu » ne peut être une excuse juridiquement valable pour ne pas savoir. Il est vrai que nous ne pouvons pas ignorer que l’une des raisons (mais pas la seule) pour lesquelles la lecture n’est pas attrayante est que les législateurs et les régulateurs n’ont pas réussi à concevoir et à faire respecter les informations à fournir dans les politiques de confidentialité ou de gestion des cookies. Enfin, il y a eu un marketing désastreux du RGPD, payé par les actions de nombreux régulateurs en la matière, faisant croire à tort au public que la protection des données est synonyme de consentement dans tous les cas.
Des conditions juridiques compréhensibles seraient une partie de la solution. Est-il vrai que l’intelligence artificielle peut être utile pour résumer et simplifier des textes juridiques lourds et pour la plupart incompréhensibles pour l’utilisateur moyen ?
Il se peut que l’intelligence artificielle fasse un bon résumé. Mais, comme je l’ai déjà dit, la question ne se réduit pas à savoir si le texte est court ou contient un niveau de lexique abordable. Si l’on examine les dernières décisions des législateurs en matière de transparence, leurs exigences quant au niveau de détail sont contradictoires avec la production de textes courts et faciles à comprendre.
Pensez-vous que les entreprises «abusent» de la confiance que les utilisateurs accordent en fournissant leurs données ?
Il est inexact de généraliser. Il y a évidemment un peu de cela, mais dans mon expérience professionnelle, le point de départ pour les entreprises est de se conformer aux exigences réglementaires. Lorsque cela devient impossible (car onéreux ou techniquement irréalisable) ou que les exigences n’ont pas de sens, ils prennent les meilleures décisions possibles compte tenu de leurs ressources, de leur gestion des risques et de leur bon sens. C’est pourquoi il est si important qu’ils aient de bons professionnels de la protection des données privées pour travailler ensemble afin d’atteindre un bon retour sur investissement dans la protection des données et d’ identifier la relation entre l’exigence en question et l’objectif ultime de ce règlement, qui n’est autre que d’aider à protéger la dignité des individus.
Intuitivement, nous savons que la protection des données, et toutes les politiques et mesures qui y sont associées, sont pour notre bien. Mais comment convaincre un sceptique ?
Chacun a une perception propre vis-à-vis de la protection des données et des motivations particulières quant au comment et au pourquoi du partage de ses données personnelles. Pour apporter des éléments à la réflexion des utilisateurs sceptiques, je peux essayer de partager avec eux mes motivations personnelles car elles ont trait à la protection des données et aux mesures que je prends à cet égard. Ce qui m’inquiète le plus à propos de mes données personnelles et de celles de ma famille, c’est l’impact potentiel sur notre sécurité physique et leur exposition aux yeux d’états non démocratiques.
Dans un sens positif, il est tout aussi important pour moi que mes données puissent faciliter une recherche scientifique de qualité (quand on est en bonne santé, on ne comprend pas qu’ on est « le patient de demain») et je valorise la personnalisation dans certains services qui requiert logiquement la construction d’un profil dynamique.
De même, je partagerais certaines des mesures de routine que je prends habituellement par rapport à mon empreinte numérique, ce qui inclut la prise de décisions conscientes lorsque je fournis ou non des données personnelles, ce qui dépend beaucoup de l’identité de l’entité avec laquelle je suis en relation et des fins d’utilisation qu’ils me communiquent, ainsi que dans l’activation et le contrôle périodique des paramètres de confidentialité et de sécurité.
A ce stade du développement des technologies de l’information, y a-t-il moyen de croire que notre identité et nos données sont bien protégées et utilisées aux fins garanties par leurs dépositaires ?
La formulation de la question révèle la défiance qui existe à cet égard, fruit du manque de culture « data » tant du point de vue « éducatif » que dans les comportements passés de nombreuses organisations publiques et privées. Malheureusement, cette perte de confiance était et continue d’être alimentée par le sensationnalisme et la recherche constante de drames dans de nombreux médias. En ce qui me concerne, j’étudie et j’essaie de me forger une opinion en m’intéressant à la source : je passe en revue les politiques en la matière et s’il existe des paramètres de confidentialité et de sécurité pour agir en conséquence.
Vous avez certainement lu «1984». Sommes-nous loin ou près ?
Je l’ai lu quand j’étais adolescente et à nouveau à la trentaine. Nous étions proches et nous le sommes toujours : les démocraties sont fragiles et nous devons exiger à nos gouvernants et à nous-mêmes le respect de l’État de droit et des institutions, la séparation des pouvoirs sans oublier de revisiter l’histoire en permanence.
Selon vous, quels sont les problèmes les plus inquiétants dans la société d’aujourd’hui ?
Je suis préoccupé par la fatigue vitale ou le pessimisme qui mine la capacité de construire et de maintenir une vision ambitieuse et non résignée de notre avenir. Je suis préoccupé par l’abandon de la culture de l’effort, l’endoctrinement « éveillé » et la difficulté de maintenir des dialogues respectueux.
Passons maintenant à certains aspects personnels, si cela vous convient.
Lorsque vous ne travaillez pas sur ces activités apparemment complexes, à quoi consacrez-vous votre temps ?
Je profiter de ma famille, de mes amis et de mes passe-temps et… je suis les blogs de deux de mes collègues du LFM.
Quelles personnes, actuelles ou passées, sont pour vous une référence, un modèle, ou un objet d’admiration ?
Ma mère, ma belle-mère et ma grand-mère, pour leur génie intellectuel, leur sensibilité artistique et leurs manières exquises.
Dites-nous trois objectifs que vous aimeriez atteindre à moyen terme.
En supposant que je conserve la santé et mon travail, réussir l’éducation de mes filles, trouver le temps de danser et avoir suffisamment d’énergie pour continuer à apprendre.
En tant qu’ancienne élève du LFM, quel message souhaitez-vous faire passer à vos anciens camarades ou à la communauté éducative du Lycée en général ?
Plus le temps passe, plus j’apprécie la formation que j’ai reçue au LFM. Je suis reconnaissante du privilège d’avoir profité du système éducatif français, qui nous a transmis l’importance de la rigueur scientifique, nous a appris à aimer la lecture et le développement d’un esprit critique et à être ouvert d’esprit et tolérant. C’est toujours mon école préférée !
Y a-t-il quelque chose que vous voudriez ajouter dans cette interview ?
Merci beaucoup de m’y avoir invitée !
Merci beaucoup pour votre temps et pour avoir partagé ces impressions avec nos lecteurs.