Me France Charruyer : « De la même façon qu’il y a des énergies propres, il faut des données propres »

Associée fondatrice en charge du pôle IT, IP et Data Protection au sein du cabinet Altu, l’avocate France Charruyer accompagne ses clients dans l’exploitation, la valorisation et la défense de leurs actifs immatériels dont notamment leurs bases de données.

Alors que la crise sanitaire a grandement impacté notre usage des nouvelles technologies, comment est réglementée et gérée l’utilisation des données aujourd’hui ?

La crise sanitaire a mis en lumière notre dépendance au numérique, et donc de facto aux technologies étrangères. Effectivement, aujourd’hui cette gestion de la data est également un sujet de souveraineté et elle est abandonnée à des acteurs extérieurs dans des pays tiers, ce qui n’est une bonne chose, aussi compétents qu'ils soient. Cela dépasse le cadre éthique car c’est aussi une opportunité immense pour le futur : ce n’est pas de l’or noir, mais du terreau pour implanter de nouveaux services. Or, nos entreprises et collectivités françaises et européennes sont dépendantes de plateformes contrôlées par des acteurs externes, le plus souvent situés aux États-Unis.

Une chose est de ne pas pouvoir s’affranchir totalement des GAFAM, une autre est de trouver un encadrement légal qui les contraigne, à l’instar du RGPD, à respecter nos valeurs européennes, afin de rechercher un équilibre entre libertés, usage et protection. Il faut par ailleurs mobiliser tous les acteurs au niveau local afin de proposer des alternatives de qualité et renforcer notre marché intérieur par la stimulation de la commande.

Cette « domination » et guerre de souveraineté est donc intimement liée aux GAFAM ?

Le constat c’est qu’il y a un écart majeur d’investissement. A titre d’exemple, selon une étude, en 2018 les plus grands entreprises américaines dans la « tech » ont réalisé 134 milliards d’euros d’investissements, contre 27 milliards investis par leurs homologues européens.

Ce n’est pas une guerre qu’il faut, mais des partenariats responsables, et l’État doit donner un exemple. A cet égard, plusieurs gradés de l’armée, regroupés au sein du Cercle de la réflexion interarmées, viennent de s’insurger contre le projet OTAN 2030, qui met au pas les alliés européens derrière les États-Unis, en vue de la lutte qui s’annonce avec la Chine pour l’hégémonie mondiale.

Et comment mettre en place cette indépendance ? Quels outils les structures gouvernementales et européennes doivent-elles utiliser ?

Ce qu’il manque, c'est un marché intérieur avec une commande publique forte : l'état doit jouer son rôle et faire confiance à nos entreprises. Il faut qu'il y ait une logique de data localisation, et pour ça il faut former à ces changements numériques. Nous sommes capables de proposer une alternative. Avec le RPGD, nous avons imposé un régime de protection au sein de l'UE, comme le Digital Services Act à venir, afin de ramener un l'équilibre entre liberté, usage et protection.

L’incident d’OVH et son incendie dévastateur, ayant impacté de nombreuses entreprises et leurs données, nous rappellent que le Cloud n’est pas une panacée et qu’au nom du progrès nous avons délaissé une sous-couche indispensable : la matérialité des ordinateurs et la sécurité des infrastructures.

Pour être souverain, il faut repenser les données en termes de propriété et de bon sens : qui détient la donnée, qui la stocke, dans quelles conditions et pourquoi ? Quel est mon statut contractuel ? Quelle est ma responsabilité en tant que prestataire de service, client ou partenaire. Est c’est précisément le rôle que nous jouons en tant que conseils et/ou DPO (data protection officer).

Quel rôle peuvent jouer les entreprises ?

Les entreprises sont responsables des données qu’elles traitent, et elles doivent donc comprendre le RPGD pour en saisir les opportunités en termes de valorisation de leurs bases de données. Il est donc essentiel d'avoir une stratégie juridique, opérationnelle et technique sur la donnée. A titre personnel, je milite depuis des années avec l’association Data Ring et l’Université Paris Dauphine pour la mise en place d’un Pass DATA qui tient compte de la nécessité d’implémenter la réglementation de manière responsable. De la même façon qu’il y a des énergies propres, il faut des données propres. Notre rôle en tant qu’avocats et de DPO, modestement, est d’aider les entreprises à monter dans le train de la data et d’accrocher tous les wagons.

Propos recueillis par Thomas Alidières