Lors de chaque session plénière au Parlement européen à Strasbourg, Romain L’Hostis suit les débats du Parlement européen qui réunit les 705 députés européens des 27 pays de l’Union. Le 13 juin, il reçoit la députée européenne française Anne-Sophie Pelletier du groupe de la Gauche au Parlement européen, sur l'état actuel de la législation européenne sur les services numériques en Europe, et la gestion des données personnelles des Européens.
Je voudrais lancer une alerte aux gens : aujourd'hui les données personnelles sont devenues l’or noir des entreprises.
Depuis fin 2022 des règles inédites sont en vigueur sur toute le territoire de l'Union Européenne pour réguler le marché des services numériques et dans le même temps garantir un niveau élevé de protection des droits fondamentaux des utilisateurs. Est-ce que vous pouvez nous rappeler les grands piliers de ces nouvelles règles ? Comment s’y retrouver parmi ces sigles comme le DSA, le DMA ou le RGPD ?
Alors le RGPD c'est quelque chose qui existe depuis très longtemps déjà et normalement quand vous allez sur un site le RGPD vous vous protège au niveau des données personnelles. Pour autant aujourd'hui clairement et je le dis ici et maintenant, le RGPD a des trous dans la raquette. Ca ne fonctionne plus, parce que de toute façon les gens arrivent à détourner la loi. Vous devez avoir une personne référente RGPD dans chaque entreprise. Comment elle fait ? Ce n’est pas possible, pour moi ça reste une utopie. C'est une base de réglementation mais dans les faits ça fonctionne pas, ça ne fonctionne pas du tout. Donc l'Europe, ou plutôt l’Union et la Commission, s’est dit “c'est bien on va réglementer les plateforme on va réglementer les GAFAM”, on va essayer de faire quelque chose parce que le RGPD on se rend bien compte que ce n’est pas suffisant. Donc arrivent le DSA (Digital Services Act) et le DMA (Digital Market Act). Puisqu'on parle plus de données personnelles, effectivement le DSA va permettre à ce que les données personnelles soient un peu plus protégées. Et je voudrais lancer une alerte aux gens : aujourd'hui des données personnelles sont devenu l’or noir des entreprises. Tout le monde veut de vos données personnelles. Et je mets aussi une alerte par exemple sur Tik Tok, sur les données personnelles que vous mettez sur Tik Tok, ce que vous mettez sur Facebook, vos données personnelles sont complètement engrangées par ces plateformes et elles ne vous appartiennent plus. Et en plus vous avez donné votre consentement pour qu’ils les utilisent. Donc les données personnelles c’est extrêmement important, ça reste votre vie privée. Donc vraiment il faut mettre une alerte sur les jeunes, sur les ados sur Tik Tok, sur Facebook on va parler de Twitter j'imagine aussi mais je mets vraiment une alerte parce que derrière, on se rend pas compte de ce que ces gens en font, mais ça peut permettre beaucoup de choses.
Quelle est la menace ici ? Est-ce que ces données sont revendues à des concurrents étrangers ?
Déjà, les données personnelles sont utilisées pour envoyer de la publicité ciblée. Première chose, je pense que tout le monde en a déjà vu en faisant une recherche sur internet que bizarrement vous allez sur Facebook ou sur autre chose derrière, vous avez des publicités “tiens vous êtes allé regarder ça vous avez on a pensé à voir ça pour vous”. Bon déjà ça c'est la première chose. La deuxième chose, elles peuvent nourrir les algorithmes des banques par exemple. Je lance juste des alertes : les algorithmes des banques mangent vos données personnelles tout ça est revendu. Et ce qui est important c'est que je pense qu'il faut aussi protéger les plus vulnérables, notamment les mineurs. Donc l'Union européenne s'est dit on va commencer à réglementer un peu tout ça. Ce sont des textes importants pour moi c'est une première base, mais ça n’est pas suffisant parce que par exemple ce qu'on a réussi à avoir dans le Digital Service Act, concernant les données personnelles, c’est que la publicité ciblée sur les enfants puisse être interdite. C'est une première chose mais le reste pas du tout.
Comment identifier qu’il s’agit d’un enfant qui vient de faire une recherche Google ou qui a utilisé un service numérique ?
Alors le problème aussi c’est que pour l’âge on n’est pas sûr. Mais quand vous regardez par exemple les jeux vidéos en ligne, quand ce sont des jeux pour enfants, les données personnelles des enfants sont récupérées, ce qui permet après aux entreprises de jeux vidéo de faire des statistiques, et de pouvoir adapter les choses. Et ça donne des gamins addictifs. Parce que on va mettre des lootbox etc. Et personne n'en parle jamais, mais les données personnelles des enfants dans les jeux vidéos qui sont captées c'est extrêmement important.
Et donc désormais ce sera interdit ?
Normalement ce sera interdit. Mais soyons honnêtes, je ne dis pas que ça ne sert à rien cette réglementation, mais ça sera quand même très en surface. Et comme on parle de données personnelles, aujourd’hui toutes nos données personnelles, notamment je pense aux Health Data Hub, sur les données personnelles de santé. La soignante que je suis, dit depuis le début “attention vos données personnelles de santé doivent être sacralisées”. Ca s’appelle le secret médical, ça porte un nom. Aujourd’hui faut quand même savoir que toutes nos données personnelles de santé sont détenues par Microsoft. Alors quand on me parle de données personnelles d’autre part, d’autre chose. ça peut être des petites choses que vous faîtes tous les jours. Vous acceptez les cookies sur un site, et hop ! On va vous piquer vos données personnelles. Mais des fois certains sites disent “si vous n’autorisez pas les cookies, vous ne pouvez pas aller sur le site”, donc ça vous limite sur votre internet. Donc il y a vraiment tout un équilibre à trouver pour que les gens puissent continuer à aller sur le net et qu’ils soient protégés, et ces deux réglementations permettent en tout cas une base, pour réglementer la captation des données personnelles qui, je le répète, si cette interview et si les gens peuvent se rappeler d’une chose : les données personnelles sont le nouvel or noir des entreprises.
L’objectif via ces nouvelles règles européennes, c’est aussi de mieux se protéger contre les géants américains du numérique ?
Mieux se protéger oui. Contre les géants américains du numérique, je l’espère. Mais ce que j’aurais aimé pour aller plus loin, c’est qu’on ait un véritable cloud européen. Vous voyez, la politique c’est de l’anticipation. Et là j’ai vraiment l’impression que toutes les politiques que l’on fait, même actuellement, sont dans la réaction de choses qui se sont passées, pas dans l’anticipation de choses qui peuvent se passer. C’est un peu comme si on fermait la porte de l’écurie une fois que le cheval est parti. On est toujours en réaction, jamais dans l’anticipation. Et je pense qu’aujourd’hui le progrès va tellement vite, tout va tellement vite. Les enfants ne sont pas assez protégés. Donc je pense que ces textes sont les bienvenus, pour autant… Le train commence à partir sur la réglementation, mais il faudra aller plus loin car de toute façon il y aura des détournements de réglementation. C’est évident.
Dans ces services numériques qui dépendent aussi de technologies étrangères ou d’entreprises étrangères, comment faire respecter ces nouvelles règles européennes à des entreprises qui ne sont pas européennes ?
Alors, il y a quand même dans ces textes une gradation des sanctions. Je ne sais pas si vous avez vu, récemment il y a une petite passe d’armes entre Elon Musk et Thierry Breton. Puisque Elon Musk a dit qu’il ne voulait plus avoir de modération sur Twitter. Et, clairement la règle européenne du DSA dit qu’il faut une modération. Et Twitter a un siège en Europe, donc il est obligé de respecter la règle européenne. Si vous voulez ce texte va par gradation, ce qui veut dire qu’au départ vous aurez des remises à l’ordre, on va vous rappeler la règle, après vous allez avoir 6% de votre chiffre d'affaires mondial qui va être capté, après vous pouvez carrément être radié du marché européen. C’est très ambitieux, mais j’ai peur que ce soit utopique. Comment voulez-vous dire à une entreprise privée d’arrêter d’avoir ces pratiques là ? C’est toute la difficulté de mettre au pas des entreprises privées, et ça s’est vu aussi sur d’autres sujets : Apple et Samsung avec le chargeur universel. Même si l’ambition est intéressante et je pense qu’il faut le faire, mais dire qu’on va vous couper du marché européen, c’est utopique.
Récemment , la plateforme Tik Tok s’est vue interdire d’usage pour les fonctionnaires européens et même pour de nombreux gouvernements en Europe. Est-ce justement à cause de cette insuffisance des règles ?
Normalement, nous aussi, députés européens, on a reçu un message disant qu’on n’a pas le droit d’utiliser Tik Tok au Parlement européen. Bon. J’ai des collègues qui continuent, et qui s’en cachent pas. Personnellement, je n’ai pas Tik Tok et je ne risque pas de l’avoir, parce que je n’en veut pas. Tik Tok c’est l’arbre qui cache la forêt : pourquoi on interdit Tik Tok mais on n’interdit pas Facebook, ou Microsoft ?
Justement, à Facebook on dit “vous allez respecter les nouvelles règles européennes”. A Tik Tok ce n’est pas ça, c’est “on interdit Tik Tok”. Pourquoi cette différence de stratégie ?
Parce que je pense qu’au niveau des données personnelles, Tik Tok est un de ceux qui captent le plus. Tik Tok est chinois, et l’Europe n’est pas pro-Chine. Moi non plus, ça tombe bien. Microsoft ça dérange pas, mais Tik Tok ça dérange. Il y a une espèce de traitement différent sur les deux. Alors que pour moi, c’est le même danger sur les deux. Tik Tok, Facebook, Twitter, Microsoft, Amazon et les autres, c’est le même danger partout.
Si on reste sur ce deux poids, deux mesures, pourquoi interdire seulement Tik Tok aux fonctionnaires ou aux députés ? Tik Tok serait donc dangereux pour les eurodéputés mais pas pour les consommateurs ? Pourquoi ne pas l’interdire à l’ensemble de la population européenne ?
Parce qu’ils n’ont pas le droit. Si vous censurez Tik Tok, pourquoi vous censurez pas Facebook, Twitter, ou les contenus haineux sur Twitter. Pourquoi vous acceptez qu’Elon Musk ne veuille plus faire de modération sur les contenus sexistes, haineux, homophobes tout ça ? Où est-ce qu’on fixe la limite ? Le problème c’est qu’on met en place des réglementations et qu’on sait très bien qu’il faut trouver un deux poids deux mesures. Et comme je vous le disais, ces entreprises ont toujours un temps d’avance.
Un autre point que le DSA et DMA doivent mettre en place c’est de permettre aux autorités d’accéder plus facilement aux données et algorithmes des entreprises des entreprises. N’y a-t-il pas là un risque que cela devienne un outil de contrôle de la population par les Etats ?
Sur le contrôle de la population, ils n’ont pas besoin de ça en plus. Prenez l’exemple des caméras de surveillance pour les Jeux Olympiques de Paris 2024. Sous le sceau de la sécurité, il va y avoir de la surveillance partout. Pour moi, ça existe déjà, donc ça ne changera pas. Je suis très claire, ça ne changera pas les choses. [...] C’est déjà grave. Prenons un exemple très concret : une personne qui a eu un cancer, et qui veut faire un prêt à une banque. Mais en fait toute votre mutuelle, votre assurance maladie savent ce que vous avez eu. Et c’est pas compliqué du tout de récupérer vos données de santé, puis de vous refuser un prêt par un algorithme. Vous avez un accident de voiture, votre assurance elle le sait. Vous redemandez pour autant une autre assurance, il est fort probable que cette assurance vous dise malgré tout “attention vous avez déjà eu un accident”. Et tout ça, ce sont des algorithmes. Aujourd’hui quand vous voulez faire un prêt, on vous demande déjà de demander votre offre de prêt en ligne. C’est un algorithme qui est derrière, pas un humain. Avant, votre banquier vous le connaissiez, vous alliez le voir. Il savait ce que vous aviez comme salaire. Maintenant on vous dit de le faire en ligne, et si vous le faites en ligne, dans ce cas on aura un rendez-vous.
Donc finalement, au vu de tout ce qu’on a dit, nos données ne nous appartiennent en aucun cas selon vous ?
Non. Et c’est pour ça que je le répète, je lance l’alerte vraiment et pourtant c’est assez triste car c’est depuis le début de mon mandat que je lance des alertes comme ça. ça ne prend pas dans la population. J’ai parfois l’impression que les citoyens ne s’y intéressent pas : ne donnez pas vos données personnelles. Toute photo mise sur Facebook ne vous appartient plus, tout ce que vous allez mettre sur Tik Tok, sur Twitter ne vous appartient plus. Faites attention à vos données personnelles, parce que aujourd’hui peut-être une ado ou un ado de 16 ans va faire quelque chose sur Twitter, sur Instagram ou autre chose. Mais ça se retrouve dans 20 ans. Faites attention à vos données privées. Ne donnez pas vos données personnelles. Et c’est toute la difficulté, car ce sont des réseaux sociaux. Donc ça permet de entre guillemets, se sociabiliser par le numérique ou de trouver des copains. Mes enfants utilisent ça, donc je le vois bien. Pour autant, attention aux données personnelles.
Mais alors que faudrait-il faire pour reprendre le contrôle sur nos données personnelles ?
Un cloud européen. C’est à dire que toutes nos données personnelles, plutôt que de partir dans les Etats tiers, comme les Etats-Unis, ça se fait plutôt en France, ou dans un Etat-membre de l’UE. Un cloud européen, c’est-à-dire qui respecte les règles européennes. Et vos données personnelles elles ne sont plus dispachées à tout le monde, vendues à tout le monde, données à tout le monde comme ça. Parce que ça engendre des milliards derrière. Une souveraineté numérique européenne.
Mais ça n’empêchera pas nos données d’être revendues au sein de l’Europe ?
Au sein de l’Europe, c’est peut-être moins embêtant qu’en Chine ou aux Etats-Unis ou on sait pas où ailleurs. Il me semble en tout cas qu'on a quand même quelques règles en Europe, que d’autres pays n’ont pas. Je pense quand même qu’en Europe, même si on a quelques Etats-membres qui ne respectent pas les législations européennes clairement, notamment dans les libertés fondamentales et les Etats de droit, je pense quand même qu’en Europe nous sommes un peu plus protégés qu’aux Etats-Unis ou en Chine. Donc si tout ça reste circonscrit à l’Union européenne, je pense qu’on est nettement plus protégés. On sera bien obligés de se référer à nos règles, sinon à quoi bon en faire ?
Pour prendre un exemple de ce qu’on pourrait faire en Europe, que pensez-vous de la nouvelle loi adoptée le 9 juin 2023 en France pour mieux lutter contre les dérives des influenceurs, notamment vis à vis de la jeunesse ?
Vous savez quoi, j’applaudis rarement le gouvernement, mais là j’applaudis des deux mains. Parce que le monde des influenceurs aujourd’hui, ce sont majoritairement des jeunes femmes, qui ont des promesses de sable comme on dit chez moi, et qu’on va retrouver soit anorexique, soit à acheter des pilules pour maigrir ou quoi, alors qu’elle est déjà toute jolie comme elle est. Franchement j’applaudis des deux mains. C’est un pan un peu caché, mais il existe aussi d’autres influenceurs sur le bien être, le développement personnel etc. On a des tas de gens qui viennent se greffer là dessus en contact avec des gens qui ne vont pas bien. Et on est dans un exemple de dérive et pour moi, d’abus de faiblesse. Clairement. Donc j’applaudis des deux mains. Car il fallait qu’il y ait une réglementation en Europe, pour que ces gens travaillent désormais de façon éthique. [...]
Donc vous êtes plutôt optimiste quant à l’évolution de la situation en Europe en matière de services numériques ?
Je pense. Déjà si on faisait revenir ces influenceurs en France, car ils ne payent pas leurs impôts en France. Cette loi je pense que c’est une bonne chose car je pense que c’est protéger notamment les jeunes filles et les jeunes garçons. A un moment, tout ce qui est interdit hors ligne doit être interdit en ligne. Il y a eu le scandale des formations, le scandale des pilules qui font maigrir. A un moment donné, ça s’appelle la protection des consommateurs.
Entretien réalisé par Romain L'Hostis.