Transcription de l'épisode : "Raphaël Buchard, Les enjeux du RGPD et de la souveraineté des données personnelles"
Terry : Salut Raphaël, merci de me recevoir chez vous, chez Dipeeo. Aujourd'hui on va avoir un sujet pas directement en tech mais quand même on va voir pourquoi. On va parler de RGPD, de la protection des données personnelles dans un contexte français, contexte européen et international. Ce que ça représente que les données personnelles quand on parle d'applications numériques. et donc on va essayer de structurer un peu l'échange en deux grosses parties donc la première c'est comment en tant que boîte qui fait des produits numériques je fais pour être rgpd compliant tu vas aussi nous expliquer ce que ça veut dire que la rgpd et puis dans un second temps de voir un peu les enjeux de la souveraineté des données, donc on entend beaucoup parler du fait qu'on utilise beaucoup de plateformes américaines pour héberger des données qui pourraient être hébergées sur le sol européen, donc il y a aussi tout un sujet à ce niveau-là. Donc l'idée c'est un peu de diviser l'épisode sur ces deux parties, donc premier, la RGPD, et deuxième, la souveraineté des données à l'échelle européenne. Et avant d'aller dans tout ce détail, je te propose de te présenter et puis de nous présenter Dipeeo.
Raphaël : Merci beaucoup. Effectivement, ravi de faire ce petit podcast. Alors, Raphaël Buchard, moi, dans une ancienne vie, j'ai été avocat pendant plusieurs années dans le domaine de l'IT, du RGPD, un peu de propriété intellectuelle. Et puis, j'ai décidé de faire ma vie, de voler de mes propres ailes, donc il y a deux ans, en cofondant avec deux autres personnes, le CTO Grégoire et le DAF, on va dire, RH François, que tu connais. et moi pour monter DPO, l'objectif étant de un peu révolutionner, alors évidemment on a toujours l'impression de ne pas être très humble en disant ça tu sais, mais la réalité c'est qu'en faisant du RGPD j'avais quand même l'impression en cabinet qu'il y avait un problème, qu'on faisait pas forcément les choses comme il fallait, peut-être pas assez opérationnel aussi. Donc j'ai démissionné pour co-créer cette structure et l'objectif de DPO c'est donc de simplifier l'avis de toutes les structures. Sur le sujet RGPD, on devient le DPO externalisé d'une structure. Alors il faut savoir que le DPO, on en parlera tout à l'heure, c'est le délégué à la protection des données, c'est qui globalement ? C'est le chef d'orchestre de la structure. Sur le sujet RGPD, et on parlera tout à l'heure vraiment justement sur la conformité, on aura l'occasion de parler des vraiment points intéressants sur le côté DPO qui est en train de changer, ce métier est en train de changer. Et donc nous, on accompagne toutes ces structures de A à Z sur la conformité. On a aujourd'hui à peu près 200 structures, 200 clients de toute taille, beaucoup dans le numérique. Et écoute, on est assez ravis.
Terry : Super, très clair. Donc là, on a deux gros acronymes sur lesquels je pense qu'on peut passer un peu de temps. Donc le premier, c'est RGPD et qui est directement lié avec DPO pour Data Protection Officer, ça c'est, on va dire, qu'est-ce que ça veut dire en anglais, mais je vais te laisser expliquer plus en détail. Donc déjà la RGPD, l'acronyme, parce que là, de tête, si c'est règlement pour la protection, règlement général pour la protection des données personnelles.
Raphaël : C'est exactement ça. Non, non, bravo, bravo, c'est exactement ça, mais tu as fait une petite erreur que font tout le monde, donc t'inquiète pas, c'est que tu as dit la RGPD. Et pourquoi t'as fait ça ? C'est normal, tout le monde pense que c'est la réglementation sur la protection des données. En fait, c'est le RGPD. Donc c'est le règlement, comme tu l'as très bien dit après. Et pourquoi c'est le règlement ? Parce qu'en fait... Alors, je fais deux secondes du droit pur, vous m'en excusez tous. En fait, le RGPD, c'est une loi européenne. Et concrètement, ce qu'il faut comprendre, c'est qu'un règlement, c'est une loi fédérale. Alors, ça ne plaît pas à beaucoup de gens, parce qu'il y a beaucoup de gens qui ne veulent pas que l'Union européenne soit une fédération. La réalité, c'est qu'un règlement, c'est une loi qui s'applique pareil en France comme en Bulgarie. Donc c'est une loi fédérale. Et en fait, le RRGPD, c'est ça. L'objectif a été d'harmoniser toutes les règles en termes de protection des données au sein de toute l'Union Européenne et de la considérer quasiment comme un état avec des frontières. Et ça, on en parlera tout à l'heure par rapport à la protection. Tu parlais par exemple du souverainisme, c'est typiquement lié à ça. Vraiment, le RRGPD, il prend l'Union Européenne comme un pays avec des frontières distinctes. Il y a l'Union Européenne et le reste. Donc ça c'est le règlement européen général pour la protection des données. Et après un DPO, effectivement c'est un Data Protection Officer, c'est le délégué à la protection des données en français. Et comme je le disais, l'objectif c'est d'être le chef d'orchestre de la conformité. Mais en fait, ce qui est intéressant c'est, tu vois, quand j'étais avocat, on se limitait à, on va dire, ce qui est à la surface, c'est-à-dire la politique de confidentialité, ce qui parle un peu à tout le monde, politique confidentialité, politique cookies, mais en fait des choses qui n'apportent pas de plus-value au client et justement c'est ça que je me rendais compte c'est qu'il y avait un problème en termes comme je disais d'opérationnel on n'était pas opérationnel et en fait ce que nous on fait c'est qu'on automatise Tout ce qui est automatisable, donc toutes ces choses-là, les politiques de confidentialité, les registres, tout ça, on n'en a plus qu'un bouton, c'est fait. Et comme ça, on peut s'intéresser à ce qui est important pour le client. Et ce qui est important pour le client, c'est après, je te laisserai de toute façon faire la transition, mais c'est vraiment la transition toute faite sur comment je me mets en conformité, qu'est-ce qui est important. En fait, ce qui est important et la plus-value, elle n'est pas dans une politique de confidentialité, elle est ailleurs.
Terry : Quand tu dis politique de confidentialité, c'est les textes que tu vas retrouver sur les plateformes qui sont rédigés sur des templates. Donc l'idée vraiment de ce que vous faites chez DPO, c'est toutes ces tâches que je qualifie à faible valeur ajoutée, vous les automatisez pour concentrer l'intelligence humaine sur les tâches à haute valeur ajoutée qui sont toutes les spécificités propres à chaque entreprise et en fonction de chaque typologie, de comment la donnée transite au sein de l'organisation, etc.
Raphaël : C'est exactement ça.
Terry : Et très clair du coup, et donc par rapport à l'enjeu autour de la donnée, et pour comprendre aussi pourquoi c'est quelque chose dont on entend de plus en plus parler, cette réglementation...
Raphaël : Tu peux dire cette réglementation, tu peux.
Terry : Oui, c'est le règlement. C'est ça. C'est passé du coup, c'était en quelle année qu'il y a eu...
Raphaël : Alors, il est vraiment entré en application en 2018, d'accord ? Il faut savoir que ce qui est intéressant, c'est que tout le monde a découvert que la protection des données est apparue en 2018. Pas du tout. En fait, le RGPD a renforcé tout ce qui existait, notamment les sanctions. C'est pour ça que maintenant, on en parle beaucoup. Mais il faut savoir que la protection des données, la France a été précurseur dans le domaine. La France a été le premier pays en 1978, en fait, à créer la loi Informatique et Libertés et la CNIL. Et donc, ça a fait des petits, avec après une directive, alors je reparle deux secondes sur le droit, la directive, bah c'est pas comme un règlement, c'est des grandes lignes, donc après chaque pays a un peu ses différences. Donc on dit grande ligne, tu vas faire plutôt ça, plutôt ça, mais après t'as le droit de faire une loi qui va modifier un peu des choses. Donc c'était pas forcément harmonisé. Donc en 95, une directive au niveau européen, où chaque pays, dans les grandes lignes, on disait par exemple, toi tu vas avoir ton autorité, comme la CNIL, donc la CNIL anglaise à l'époque, la CNIL allemande, la CNIL espagnole, etc. D'accord ? Et voilà quoi. Donc c'est ça la différence.
Terry : Ok, donc ce n'est pas en soi nouveau, ce qui est nouveau c'est l'homogénéisation au niveau européen.
Raphaël : Il y a même d'ailleurs, si je peux rajouter un truc qui est très très très amusant, c'est l'aspect prospection commerciale. Beaucoup de gens maintenant, alors la prospection commerciale maintenant effectivement il y a ce sujet, vous n'avez pas l'optime, vous n'avez pas la case à cocher, vous n'avez pas le droit et compagnie, c'est scandaleux, RGPD. En fait ça ne vient pas du tout du RGPD, ça existe depuis 2002, pour le coup c'est une directive et c'est toujours une directive. Le RGPD juste il ne fait que renforcer les sanctions. Et en fait, comme les sanctions ont explosé, les gens se sont dit, maintenant, il faut respecter le RGPD. En fait, la protection des données, ça fait 40 ans que ça existe. Et juste pour te dire une micro-anecdote personnelle, c'est que moi, quand j'étais en M2 de droit à la fac, on me disait, qu'est-ce que tu fais ? Je dis, je fais un M2 en Nouvelle Techno. C'est qu'est-ce qu'il y a Nouvelle Techno ? Je dis, il y a la propriété intellectuelle. On me disait, oui, évidemment, c'est génial, et tout, droit d'auteur et tout. Je disais nouvelle tech, internet, logiciel, ouais c'est génial c'est l'avenir. Et je disais il y a aussi données perso. Et on me disait, oh mais attends j'ai rien à cacher moi, qu'est-ce que c'est que cet intérêt ? Et ça c'était il y a dix ans, mais aujourd'hui plus personne nous dit ça, au contraire c'est plutôt l'inverse, on nous dit la protection des données. C'est le truc, c'est le truc qui explose parce que les mentalités ont changé. Je pense qu'on s'en rend tous compte avec ce qui se passe. Il y a beaucoup de choses au niveau géopolitique. Ce qui se passe en Chine, on fait du profilage pour donner des notes aux personnes. Ils leur ont enlevé des droits, leur ont donné en fonction de leur avis politique et compagnie Cambridge Analytica. Tous ces sujets qu'il y a eu, en fait, c'est qu'un usage de la donnée.
Terry : Pour ceux qui sont peut-être moins familiers avec ce qu'ils appellent le crédit social qu'ils ont mis en place, c'est clairement l'utilisation de la donnée. C'est Big Brother, c'est 1984 de George Orwell, c'est exactement ça mais mis en application. Alors on pourrait toujours dire oui mais nous on est en démocratie c'est vrai en revanche on a de plus en plus de produits notamment là le sujet en ce moment c'est autour de TikTok qui est interdit pour les membres du parlement européen si je dis pas de bêtises et de même pour ceux du gouvernement américain. parce qu'ils se rendent compte que TikTok utilise la donnée qu'il collecte et qu'il envoie au gouvernement chinois. Là, c'est plus des risques d'intelligence économique, mais il y a toujours aussi ce risque-là. Et l'autre sujet dont tu parlais avec Cambridge Analytica, c'était une société qui n'existe plus, mais qui a fait scandale pendant les élections américaines, mais qui existait déjà avant et qui, concrètement, ce qu'elle faisait, cette société, c'est qu'elle Elles faisaient de l'influence à grande échelle à partir uniquement quasiment que de la donnée informatique, notamment via Facebook. Et avant même qu'il sorte ce scandale autour de la campagne américaine, ils avaient fait des choses dans des pays où il y a beaucoup moins de démocratie pour faire passer certains gouvernements, notamment en lançant des mouvements de masse. Là-dessus, il y a un reportage qui s'appelle The Great Hack, qui est assez intéressant pour les personnes qui seraient intéressées à creuser le sujet. Donc concrètement, pour aller droit dans le sujet RGPD, aujourd'hui je suis une boîte SaaS tech. Je me dis, globalement, je pense que j'utilise pas trop de données sur mes utilisateurs. Je demande au plus l'email mais c'est... Est-ce que finalement, vu que je demande pas le nom, le prénom, le numéro de téléphone, est-ce que j'ai besoin vraiment de me prendre la tête avec ces sujets-là ? Franchement je suis hyper early stage.
Raphaël : Alors évidemment ça arrive qu'on nous dise « ah non, je ne traite pas du tout de données ». Tout le monde traite des données déjà. Et il faut savoir une chose qui est très vraie, c'est respecter le RGPD, c'est respecter ses clients, mais aussi respecter ses salariés, c'est aussi un enjeu salarié. On en parlera peut-être un tout petit peu après parce que ce n'est pas ce qui t'intéresse le plus à ce stade, mais il faut savoir que les plaintes NIL, 30% des plaintes NIL, c'est des plaintes salariées. C'est quand même important de le savoir. Mais pour revenir sur le sujet pur d'une structure digitale, vous êtes une structure digitale, vous êtes à 2000% RGPD, que les choses soient claires, et en fait ça sert à rien de vous faire peur, le problème c'est pas l'acnyl, l'acnyl évidemment qu'elle peut arriver, si vous faites n'importe quoi elle finira par arriver, mais déjà si vous êtes en B2B, parce qu'il y a B2B, B2C, ce n'est pas forcément le même impact. En B2B, si vous commencez à grossir, et on le voit sur nos 200 clients, je pense qu'il y en a une centaine, ils sont venus chez nous parce qu'ils commençaient à devenir gros, au bout d'un an et demi, deux ans, trois ans, quatre ans d'existence, ils commencent à aller vers des grands comptes, voire même du moyen compte maintenant. Avant, ce n'était que du grand compte, ce n'est même plus le cas. Aujourd'hui, on vous dit « Ok, t'es confirmé en GPD ? » « Je ne sais Audit. Audit. Et puis voir, ah bon tu ne sais pas ? Eh bien, je vais aller voir un concurrent qui lui sait. Donc, je te perds le client. Donc, c'est hyper insidieux en plus parce que moi, on me demande tous les jours, encore aujourd'hui, on me demande, un client me dit, je veux choisir, je veux mettre en place telle ou telle fonctionnalité, j'ai besoin d'un prestat externe, j'en ai trois, je prends lequel ? Bah écoute, il y en a un sur trois qui était bien, qui s'est parfaitement répondu aux questions, qui avait tout ce qu'il fallait en termes, en tout cas du moins en apparence. tu vas prendre lui. Les autres, no way parce qu'il y a un risque réel pour la boîte en termes de compliance. Donc en fait, il y a deux risques pour une boîte digitale. Risque numéro un, c'est un risque business, c'est le plus fort. Et nous, je te dis, on le sent vraiment. Il y a vraiment un effet de boule de neige où aujourd'hui, au bout d'un moment, si tu veux continuer à grossir, si tu n'es pas RGPD Compliance, tu es mort. Mais vraiment, nous les clients, 50% de nos clients, c'est ça. Tu ne vendras plus. Ça, c'est le premier point. Et il faut savoir que nous, on a même des clients qui existent depuis 10 ans qui nous disent « je n'ai jamais reçu d'audit RGPD et là, c'est le quatrième de l'année ». Et nous, tu vois ça arriver, par exemple, on envoie un questionnaire à des boîtes connues, des startups qui cartonnent et tout, et qui sont là, mais nous, nos RGPD, bien sûr, puis en fait ils s'en fichent complètement, ils ont l'impression qu'ils sont au-dessus de ça. Pas de bol, avant peut-être ça marchait, là on reçoit l'audit, on voit qu'ils se moquent complètement du monde. Ben, hop, no way, tu vois, le client… En fait, c'est pour ça que je dis que le DPO, sa fonction change. Il devient chef d'orchestre, mais vraiment à un niveau presque product owner. Ça te parle un peu parce que… Ou du moins, en tout cas, il est vraiment dans le produit, dans le design, puisqu'il va te dire, ok, non seulement toi, tu dois faire ça, ça, ça, en fonction de ce que tu vas faire, tu peux activer ou désactiver des développements. Et donc, il y a peut-être des développements que tu ne feras pas, ou peut-être des développements auxquels tu n'avais pas pensé que tu feras, et c'est le DPO qui va te le dire. Et il y a aussi surtout l'aspect sous-traitant par exemple. Non lui tu vas pas le prendre, tu vas prendre lui.
Terry : Ouais effectivement donc tous les partenaires parce que tu peux avoir un risque si toi tu fais très bien les choses mais que tu as des partenaires qui eux ne les font pas bien après c'est toi qui peut être mis aussi en porte à faux du fait... Oui.
Raphaël : Parce que comme je te le disais, effectivement j'ai pas fini là-dessus, c'est que, parce que je suis parti en volet lyrique, je suis désolé, c'est que tu as donc ce volet risque business, mais tu as quand même un risque CNIL qui existe réellement. Et ce risque CNIL, il vient en fait en fonction de, plutôt, si tu fais un peu n'importe quoi avec les end-users, B2B, B2C, peu importe, il suffit de 4 personnes énervées, et elles ont certainement le droit si jamais le RGPD n'est pas respecté, porter plainte à la CNIL, c'est hyper simple. Au bout de la quatrième, cinquième fois par exemple, où on te dit que tu fais mal la prospection, tu es sûr de recevoir une lettre de mise en demeure de la CNIL. D'accord ? Ok. Voilà, sûr. Donc en fait, tu as vraiment ces deux pans. Et imaginons, tu contrôles un prestataire technique, il n'est pas bon, tu le sais, tu le prends quand même, il a un problème, que ce soit un problème de sécurité, un problème de je ne sais quoi, tu n'as rien fait, tu es mort. Il y a des boîtes qui ont disparu parce qu'elles faisaient n'importe quoi avec leur JPD et qui marchaient plutôt bien.
Terry : Est-ce que tu peux donner des exemples, pas de boîte bien sûr, mais des exemples de problématiques RGPD qu'on retrouve ? Il y a la problématique évidente, mais tu as déjà fait un échange là-dessus que j'avais écouté sur recommandation de François au sujet de Google Analytics 3 versus 4 sur un podcast autour du marketing. Donc peut-être des exemples un peu connect à ça et pas juste Google Analytics, mais peut-être d'autres choses que tu retrouves.
Raphaël : Alors concrètement de toute façon, nous comment on voit les choses de manière GPD, après tout le monde peut faire comme il veut, peu importe, mais pour moi il y a d'abord la conformité, on va dire qu'en tout cas c'est une entreprise digitale donc il y a un produit digital, il y a la conformité du produit d'abord. Donc il faut faire la conformité de ce produit et ça c'est vérifier si tout est conformé. C'est pour ça que je te disais que ça, ça va activer ou désactiver des devs typiquement et donc ça c'est des devs impliqués dans la roadmap. des développeurs. Vraiment tu t'intègres dans cette roadmap, ça c'est la première chose. Après il y a la conformité de la structure et là tout le monde sait bien, là c'est ce qu'ils parlent le plus parce que ça va être le fameux bandeau cookies, ça va être la prospection commerciale. Comment j'ai le droit de faire de la prospection commerciale ? comment je peux l'optimiser, quelles sont mes limites, comment je peux faire en sorte que ce soit le plus efficient possible. Et en fait il y a des règles, et quand tu connais les règles, tu peux adapter, ça ne veut pas dire que tu fais mal les choses, au contraire, tu les fais bien, ça te permet quand tu connais bien les règles, d'améliorer ton rendement et c'est vrai que nous on voit par exemple des structures, beaucoup de structures qui n'osaient pas faire de prospection commerciale parce qu'elles avaient peur de ne pas respecter les règles. Donc il y a notamment ça, la prospection, il y a l'aspect RH dont je te parlais, qui est très fort, l'aspect sécurité, donc c'est assez global, c'est assez général.
Terry : Sur l'aspect employés en interne du coup et collaborateurs c'est vrai que c'est un point on n'a pas tendance à y penser au prime abord on se dit tout de suite RGPD effectivement utilisation de la donnée pour profiler un peu chaque user de manière hyper spécifique à aller faire la prospection de manière hyper spécifique. on pense un peu moins effectivement aux procédures. Moi j'ai un peu découvert ça indirectement aussi quand j'avais fait un épisode précédent avec une boîte qui s'appelle Swellow qui fait du marketing automation qui est française et qui travaille avec le gouvernement français et donc ils ont, pour répondre à l'appel d'offres auxquels ils avaient répondu, ils ont dû être compliant du coup au niveau RGPD évidemment. Et ce qu'ils m'expliquaient c'est qu'ils avaient aussi tout un travail à faire en interne sur notamment former les collaborateurs pour éviter par exemple si quelqu'un essaye de récupérer un compte qui lui appartient pas, ce genre de choses. Donc ils avaient plein plein de techniques évidemment qui... qu'il n'a pas dévoilé au micro. Mais du coup, c'est ce sujet-là, un peu, si tu pouvais un peu élaborer autour des problématiques que tu as avec les salariés, justement, et la RGPD.
Raphaël : En fait, sur les salariés, tu as pareil deux volets. Tu as le volet, on va dire, salariés qui utilisent la data client. Et il y a salariés qui, dans le cadre de ces missions, en tant que salariés, ce volet RH. Ce qui intéresse d'abord le plus, je pense, c'est d'abord le volet données des clients. Et là, il y a un véritable enjeu parce que, en fait, tu as d'abord l'obligation de sensibiliser tes équipes. Évidemment, tu ne deviendras pas expert à GPD en deux secondes. Moi, j'ai été avocat pendant plusieurs années. J'ai envie de dire, encore heureux pour moi, que ce n'est pas si facile de devenir expert à GPD. On ne devient pas médecin en deux heures. C'est pareil. Par contre, tu as l'obligation effectivement de sensibiliser tes équipes sur des points clés en termes de sécurité. Je vais donner un exemple typique. Nous, des choses qu'on voit souvent. J'ai une clé USB, on va me dire ah bah moi toutes les données clients, en fait je la mets sur une clé USB et je pars avec parce que c'est le plus sécurisé. Pire truc. C'est le pire truc, je vais faire du télétravail dans un bar, c'est déjà arrivé, c'est pour ça que je lis ça, j'oublie la clé USB, bim, violation de données. Il suffit qu'en plus il y ait des données de santé dedans ou je ne sais quoi. Catastrophe ultime. Donc c'est ce genre de choses en fait très pratique. Ah non, tu vas pas utiliser une USB. Donc en fait, il faut sensibiliser les équipes sur ce genre de choses. Donc oui, il y a clairement ce volet-là pour garantir au maximum une sécurité de la data parce qu'effectivement, il y a beaucoup de problèmes qui viennent d'un manque de sensibilisation. Je vais te donner un exemple typique. Alors là, c'est quand j'étais avocat. C'est pas depuis que je suis député. Quand j'étais avocat, on a une société qui était venue. Alors les pauvres, c'était terrible. Il se trouve que l'un des salariés avait cliqué sur un lien phishing. Ce lien phishing a crypté l'un des serveurs, enfin les serveurs je crois, parce qu'ils n'avaient pas bien sécurisé le lien avec les serveurs, il fallait sa protection. Donc tous les serveurs étaient cryptés, ils perdaient 6 millions par jour. Donc les mecs ont demandé 4 millions en bitcoin.
Terry : Un ransomware et ils n'ont pas eu d'autres solutions du coup que payer ?
Raphaël : Il payait 6 millions par jour, donc t'imagines bien qu'au bout de 4 jours, il préférait payer 4 millions.
Terry : La vache, ouais.
Raphaël : C'est pas terrible. Donc tout ça pour te dire que ça, c'est uniquement parce que le salarié n'avait pas été sensibilisé sur le fait que tu reçois un mail qui est un peu louche, t'appuies pas sur la piégeante. Et j'en ai reçu un hier, deux mails comme ça.
Terry : Donc ce sujet, effectivement, salarié, il est à deux niveaux quand tu dois travailler sur... D'ailleurs, tu parlais du coup de sensibiliser les salariés. Est-ce qu'il y a des niveaux de... des niveaux, ouais, des niveaux tout court de RGPD ? Est-ce que tu peux être niveau 1, niveau 2, niveau 3 ?
Raphaël : Alors, oui, d'un certain côté, c'est-à-dire qu'il est clair que, par exemple, une personne qui n'est très peu amenée à traiter de la donnée, elle a évidemment beaucoup moins de risques, donc on va beaucoup moins la sensibiliser. Par contre, la personne, la data analyst, la prospection commerciale, RH, elle a besoin d'être hyper sensibilisée. Donc là, elle aura un niveau de sensibilisation qui est plus fort, d'habilitation, en fait, qui est plus fort. Finalement, ça devient un peu ça.
Terry : Mais tu as des critères objectifs qui sont écrits noir sur blanc par rapport à ces niveaux d'habilitation ou c'est plutôt après au bon jugement de l'entreprise de se dire mon data scientist qui utilise la donnée pour traquer les prospects on va passer plus de temps à sensibiliser sur les sujets RGPD que le responsable comptable qui fait les fiches de paye.
Raphaël : Mais les fiches de paye, il aura besoin d'être sensibilisé. Ouais, c'est un mot. Là, je te taquine. Écoute, ça dépend. Tu peux avoir des sortes de procédures. Ça se fait beaucoup des procédures de deux pages où on va décrire ce genre de choses. Moi, je suis pas du tout fan de ce genre de choses. Je trouve que ça apporte rien. C'est un peu du bullshit. C'est souvent très compliqué à mettre en place. Je préfère me concentrer sur d'autres choses. Après, là, c'est plutôt un avis personnel. Il y en a plein, je pense, qui, en m'entendant, sauteraient au plafond. Comment ça, machin ? ça c'est un avis personnel, je trouve que mettre sur papier ce genre de choses n'apporte pas grand chose. La réalité c'est que je traite de la data de clients et mon activité c'est traiter de la data de clients, je dois obligatoirement être sensibilisé, point final.
Terry : Ok, très clair. Et donc au niveau des étapes, si tu prends un cas typique que vous avez d'entreprise vers lesquelles vous apportez vos services du coup de DPO externalisés, comment est-ce que vous procédez pour réussir du coup à les amener à être compliant on va dire ? On va faire un schéma très typique on va dire, une petite boîte à cinq personnes qui construit un produit SaaS B2B, donc ils savent très bien qu'ils vont aller chercher des clients qui eux seront audite et qui leur demanderont des audits. Ils sont tout petits donc ils n'ont quand même pas énormément de capitaux et ils sont focus ils sont totalement centrés sur construire le produit qu'ils veulent vendre à ces entreprises, le produit SaaS. Comment toi tu les accompagnes, enfin comment vous les accompagnez avec DPO pour gérer ces problématiques ?
Raphaël : Alors, je pourrais pas tout te dire, parce qu'il y a un petit secret de famille. Ça marche. Mais concrètement, on va dire, de manière en tout cas générale, si tu m'en veux pas, mais comme on est les seuls à faire comme ça pour l'instant, je préfère garder un peu le secret. Mais de manière générale, concrètement, d'abord, il faut savoir ce que fait la structure. En fait, tu lui poses des questions pour savoir concrètement ce qu'elle fait, comment ça marche sur son outil notamment. Ton outil, Par exemple, qu'est-ce qu'on va lui poser comme question ? Typiquement, est-ce que tu fais des newsletters ? Oui. Ok, c'est qui qui t'en prête ça ? Donc en fait, on a un certain nombre de questions assez ciblées qui permettent d'avoir 95% des réponses. du client, et donc ça après, nous comme je l'ai dit, on a un outil qui permet d'automatiser une grande partie de toutes ces choses-là, donc comme ça on n'a pas grand-chose à faire. Hormis, nous après on fait des revérifications, on vérifie si tout est clean, s'il n'y a pas des questions complémentaires, s'il n'y a pas des choses supplémentaires qui seraient peut-être cachées derrière toutes ces réponses. Ensuite, nous on fait toute la documentation dont on a parlé tout à l'heure qui n'a pas beaucoup de valeur jetée. Et là où ça a de la valeur ajoutée, c'est que nous on fait une analyse de tous les outils, comme je l'ai dit, de A à Z, après on fait toutes les recos avec il faut faire ce dev, il faut faire ce dev, il faut faire ce dev, il faut faire ce dev, ou alors il faut enlever ce dev, ou alors il faut... Et en fait les clients suivent la roadmap, comme on l'a défini, et après nous on suit cette roadmap, mais ça c'est l'aspect purement conformité, et après l'aspect DPO pur. Parce qu'il y a vraiment deux temps. La conformité ça peut prendre du temps, un dev ça peut prendre du temps. Alors que le DPO tu peux avoir une question tout de suite. Donc en fait en plus, nous on est accessible tout le temps, nous le principe c'est accessible, et je pense que c'est ça l'une des grandes différences aussi par rapport à tous les autres acteurs, c'est que nous c'est du full. C'est-à-dire qu'il n'y a pas d'encadrement. Beaucoup de DPO disent, ok je te fais tel forfait par exemple, imaginons, mais en fait c'est hyper encadré, dès que tu sors tu dois payer. En fait en faisant ça ta boîte elle n'est jamais conforme, parce qu'en fait ils n'osent jamais le faire. Évidemment. Nous, comme on a automatisé une grande partie, on peut se permettre de le faire, et le faire de bonne qualité. Ce qui fait qu'en réalité, tu as une question, tu me la poses. Au contraire, tu la poses. T'as un nouvel outil, c'est pas grave, tu reviens sur l'autre outil, tu réponds, et hop. Et comme ça, ça nous permet de faire très facilement une conformité de très haute qualité. Alors évidemment, je me vends, mais c'est une réalité. Je pense qu'on fait quelque chose de très très très forte qualité. C'est vrai que je viens d'un gros cabinet d'affaires, on est de loin à ce niveau là, mais en plus à un niveau de rapidité, de profondeur qui est quand même assez fort.
Terry : Hyper intéressant et donc je retiens bien les deux aspects donc le premier qui est très on va dire une partie où tu demandes donc à l'entreprise de lister un peu tout ce qu'ils font, tout ce qu'ils utilisent de répondre à ces questions pour pouvoir avoir cette idée de cette cette photo de quel est leur état aujourd'hui en termes de conformité, et puis en parallèle de ça, avoir ton équipe de juristes qui sont là tous les jours pour pouvoir répondre aux questions qui viennent au fil de l'heure.
Raphaël : Tout à fait, il faut savoir ce qui est particulier chez nous, il faut leur rendre hommage, tout le monde dit ça quand ils sont aux Oscars ou ce genre de choses, mais c'est une réalité, c'est que nous ce qui est particulier c'est qu'on est une vraie société tech. C'est ça qui est un peu ambivalent chez nous, un peu particulier, et que les gens ont du mal à comprendre. Nous, on a tout un pôle dev produits, avec des devs, avec notre CTO et compagnie, qui développent notre plateforme au fur et à mesure, et en fait, qui permet d'améliorer à chaque fois l'expérience client, mais aussi l'expérience du juriste, afin de lui faire gagner, de faire gagner aux deux le plus de temps possible. Donc nous, en fait, c'est vrai que sur, on est à peu près, on doit être 17. Sur 17, on a essentiellement des sizes, finalement. et après on a moitié-moitié dev juriste.
Terry : Oui, donc en termes de plateforme, il y a aussi une plateforme pour vos clients entreprises, une plateforme en interne pour aussi aider...
Raphaël : Tout à fait, et même pour aider les clients. Et en fait, là, c'est vrai que, pareil, ça, je suis désolé, je ne peux pas te dire encore le petit teaser, mais on a plusieurs nouvelles fonctionnalités parce qu'on apprend aussi au fur et à mesure et on apprend de nos clients voir quelles sont les nouvelles features qu'ils veulent dans la plateforme. Et là, on a toute la roadmap sur la prochaine année pour pouvoir avoir des features assez cool. qu'on a déjà en plus challengé par rapport à nos clients, à beaucoup de nos clients. Donc on sait que c'est quelque chose qui leur parle énormément et c'est assez intéressant parce qu'effectivement nous l'objectif c'est de fournir l'écosystème RGPD aux clients.
Terry : Top, très clair. Du coup, avant de basculer sur le parti souveraineté de la donnée européenne, est-ce que tu aurais, si tu devais lister, remonter trois sujets lors des audits de conformité qui reviennent assez fréquemment, notamment quand tu fais le listing, par exemple, des outils que les entreprises peuvent utiliser, les boîtes tech, notamment, enfin les boîtes tech, oui. Quelles sont les Arlésiennes qui reviennent ?
Raphaël : Tu as raison, il y en a un. Alors tu m'en demandes trois, j'en vois déjà deux, si tu ne m'en veux pas. Il y en a certainement d'autres, mais j'en vois deux essentielles et il y en a une qui fera le lien avec la transition. La première, c'est tout ce qui est durée de conservation. En fait, la réalité, c'est que je suis un outil digital, je collecte de la data dans un formulaire de contact, dans n'importe quoi. La réalité, c'est qu'en fait, la donnée, beaucoup de gens oublient qu'ils ne peuvent pas la garder toute la vie. même si tu ne l'utilises pas, tu ne peux pas la garder toute la vie. Et donc en fait, il faut savoir comment et sous quelle manière, en combien de temps je peux la garder, comment je vais faire pour la conserver, comment je vais faire pour éventuellement, notamment ça peut amener du dev d'ailleurs, comment je peux faire pour limiter la casse en termes de perte parce que ça peut faire de la perte par certains cas donc il y a vraiment ce sujet là et quand toi t'es sous-traitant notamment on a beaucoup de sous-traitants en fait tu dois respecter les règles prévues par le client et donc on a beaucoup de questions sur ces questions de réconciliation ce qui est normal parce que ton client il n'y a pas envie que tu fasses n'importe quoi avec ces données, c'est logique. Premier point. Deuxième point donc qui va faire vraiment la transition c'est où sont hébergées vos données.
Terry : Ok très bien parfait mais Tu me donnes la transition donc c'est très bien. Donc maintenant le sujet de la souveraineté des données européennes ou pas. Donc moi je vais te donner un peu mon ressenti, mon opinion par rapport à ce que j'ai pu lire à droite à gauche et les sujets autour de ça. Donc le premier gros point que je vois quand on parle de souveraineté des données, Je me suis un peu documenté et il y a quelque chose qu'on appelle le Cloud Act aux Etats-Unis, qui est la suite de ce qui s'appelle le Patriot Act. Le Patriot Act, c'est le fait que toute transaction qui est faite en dollars, c'est-à-dire dans beaucoup de marchés internationaux les transactions sont faites en dollars, du fait du Patriot Act, les États-Unis se réservent le droit de pouvoir poursuivre en justice des entreprises qui feraient des transactions en dollars, dans leur monnaie, même si c'est hors du territoire américain. C'est leur moyen, eux, d'utiliser le droit de manière extraterritoriale pour pouvoir, derrière, indirectement aussi, faire une guerre économique à d'autres pays. Il y a des sujets, notamment avec des boîtes françaises autour de ça, qui ont fait qui ont fait quatre écoles, notamment avec Alstom il y a quelques années. Et le Cloud Act, c'est un peu la lignée du Patriot Act, en tout cas c'est mon interprétation, mais pour les boîtes technologiques. Et donc, la compréhension que j'ai du Cloud Act, c'est qu'en gros, si tes données passent, et ce n'est même pas son stocket, mais transitent à un moment donné par des serveurs de boîtes américaines, par une entreprise américaine, et bien du coup, de la même manière que sur le Patriot Act, Si les États-Unis veulent poursuivre en justice selon le droit américain, ils pourraient faire référence à ce Cloud Act pour s'attaquer en justice. La question que je me pose autour du Cloud Act et de la souveraineté des données, c'est qu'aujourd'hui la majeure partie des services qu'on utilise sont des services américains. sans même parler de là où la donnée est stockée, on passe par des boîtes américaines. Donc ma compréhension que j'en ai c'est que du fait qu'on passe par une boîte américaine, que ce soit sur des serveurs qui sont en zone Europe, parce qu'on voit souvent ça notamment avec Amazon, on a zone Europe, mais c'est Amazon. Amazon c'est une entreprise américaine. Et la question que je me pose c'est du coup à partir du moment où on passe par une boîte américaine, zone Europe ou pas zone Europe, est-ce qu'on rentre en fait dans le cadre du Cloud Act ? Et si c'est pas le cas, à quel niveau de protection on a par rapport à ça ? Et juste pour finir, je suis un peu long là-dessus, mais sur ce sujet de la souveraineté de la donnée européenne, on a des agences européennes qui ont un peu conscience de cette problématique, mais qui, du fait de la maturité des services américains comparé aux services européens, continuent à utiliser notamment du Microsoft, notamment sur le cloud, les sujets Microsoft Azure, du Microsoft Teams, Et ce qu'ils font en général, ces agences européennes, c'est qu'ils vont dire, on préfère, enfin c'est pas on préfère, c'est que nous, on peut utiliser ces services à partir du moment où vous nous assurez que vous utilisez les services en région européenne. Donc, on est sur le territoire européen. Mais moi, quand j'entends ça, je me pose toujours la question, est-ce que c'est pas en fait se voiler la face ? Parce qu'en réalité, quand tu regardes plus en détail, j'ai l'impression que ce Cloud Act, Il va bien au-delà juste de dire est-ce que la donnée est physiquement sur le sol européen. En fait, ma compréhension c'est, est-ce que c'est une entreprise américaine qui manipule cette donnée ou pas. Mais je te laisse du coup...
Raphaël : Tout à fait. Juste une micro-précision sur le CloudAt. Je ne suis pas un expert de droit américain. mais c'est vraiment arrivé après le 11 septembre. Donc c'est aussi une loi liée au renseignement, d'accord ? Donc c'est pas que économique, c'était initialement d'abord un renseignement, et l'objectif effectivement, en fait ce qui pose problème, c'est qu'il pourrait, en théorie, avoir accès aux données de n'importe quelle personne effectivement dont les données sont transites sur les serveurs, sans même l'aval d'un juge pour obtenir les données.
Terry : Oui c'est ça, tu fais bien de le préciser, ça a été apporté effectivement après le 11 septembre, et tu fais bien de préciser le contexte d'application, c'est qu'en fait effectivement tu seras même pas au courant que tes données ont été utilisées.
Raphaël : En fait la seule bémol où je ne sais pas, c'est qu'il y a peut-être un juge là-bas, franchement je suis pas un spécialiste du droit américain, Néanmoins, il n'y a pas vraiment de contrôle, c'est l'un des problèmes, et notamment pour nous qui ne sommes pas américains. Alors qu'en France, ce n'est pas du tout comme ça que ça se passe. Moi, tu vois, j'ai travaillé juste pour expliquer un peu le sujet. Là, ce n'est pas du RGPD pur, c'est plus de l'IT, mais il m'est arrivé de faire des actions en justice pour le compte, quand j'étais avocat, pour le compte de structures ou pour le compte de personnes qui avaient, par exemple, fait l'objet de harcèlement de tout genre via Internet. Pour avoir accès rien qu'à l'adresse IP, je ne te parle même pas donc au nom-prénom, tu es obligé, ce qui est normal, d'aller devant le juge qui va, oui ou pas, te donner la possibilité d'imposer à Google de fournir les données. D'accord ? Donc nous, on voit bien qu'il y a un contrôle quand même judiciaire qui est quand même fort pour préserver les données des personnes. Et en fait, ce qui pose problème, c'est que ce qu'il faut avoir conscience, c'est que le RGPD, par principe... Justement, je te disais tout à l'heure qu'il voit l'Union Européenne comme un pays. Parce qu'effectivement, au sein de l'Union Européenne, les données, elles sont aussi bien protégées en France comme en Hongrie, comme en Bulgarie. Même la Hongrie, malgré tout, malgré tous ses problèmes, en fait, finalement, elle a les mêmes niveaux de protection en termes de données. Donc, ce qu'on considère, c'est que la donnée ne peut pas sortir de l'Union Européenne. C'est interdit. C'est le principe. Mais il y a des exceptions. Déjà, donc c'est important de connaître un peu le concept, ce concept-là. Il y a quelques pays déjà, on considère qu'ils ont le même niveau de sécurité. C'est évidemment toujours des démocraties, on va pas se mentir. Il n'y en a pas beaucoup. Il y a par exemple en partie le Canada, il peut y avoir Israël, il y a l'Argentine, il y a le Japon. Il n'y en a pas beaucoup. Il va y en avoir 10 à peu près, on va tout casser. ceux-là en fait il y a eu un accord entre l'Union Européenne, entre la Commission Européenne et l'équivalent de ce pays pour se dire ok on a fait un on a fait quelque chose ensemble pour dire ok ce qui s'est passé avec les Etats-Unis en fait c'est ça qui est intéressant c'est que parce qu'effectivement tous ceux dont je parle et après je vais aller sur la souveraineté je te rassure mais c'est important d'avoir tout ce contexte pour bien comprendre parce qu'en fait ce qui se passe c'est que les Etats-Unis ne sont pas considérés comme ayant un niveau de protection suffisant c'est quand même amusant c'est vrai qu'on ne s'y attend pas tu vois C'est-à-dire que les États-Unis sont au même niveau au sens du RGPD que, je ne sais pas quel pays, je veux vexer personne donc je ne vais pas dire grand-chose, mais je ne sais pas. En tout cas, ils ne sont pas au niveau de la Chine, bien sûr, mais ils ne sont pas considérés non plus comme ayant un niveau de protection exceptionnel. Donc c'est interdit par principe, sauf si tu as certains accords. Et en fait avant il y avait un accord, il y avait un équivalent d'accord, donc de décision dont je te parle, qui permettait de transférer des données. Et en fait cet accord a été cassé, de par la Cour de justice européenne, c'est-à-dire une cour supranationale, qui a dit non en fait l'accord que vous avez fait Commission européenne avec les Etats-Unis n'est pas conforme, parce qu'en fait les Etats-Unis ont le cloud act normalement. Et donc en fait, tu as beau écrire, parce que c'est vrai qu'un contrat c'est un bout de papier, tu vas donner un contrat en disant « ben oui, je m'engage à baptiser des données ». Ok, super, mais en fait si tu ne mets pas les mesures pour le faire, la réalité, je donnais cet exemple ce matin à une de mes employées, c'est si demain tu envoies ça, tu conclues un contrat avec une entreprise de Corée du Nord, bon, tu as un contrat, mais bon voilà, on est d'accord à la Corée du Nord, si elle lui dit « ben je veux les données », bon. On comprend tout de suite un peu la logique. Évidemment l'Est-Unis n'est pas la colline d'or, on est tous d'accord. Et donc en fait, évidemment qu'il y a un problème de souveraineté, mais il y a un problème de souveraineté non seulement économique, tu l'as dit, même en termes de citoyenneté démocratique, mais de toute façon il y a un problème, il y a un problème, alors là c'est même plus du RGPD, mais il y a un problème de puissance économique, de toute façon de puissance géopolitique, à partir du moment où tu es complètement dépendant technologiquement d'une structure, il y a un vrai sujet. Et donc le RGPD, il essaye de changer ça. Mais effectivement on a un retard technologique très fort. Comme il y a un retard technologique, tu ne peux pas tout interdire. Comme tu l'as dit, on a énormément d'outils américains. Maintenant qu'on a dit ça, qu'est-ce qui se passe concrètement ? En fait, il y a beaucoup de structures américaines qui l'ont très bien compris et qui ont compris que leur business ne fonctionnerait que s'ils faisaient en sorte que les données des Européens étaient protégées. Donc en fait, déjà, il faut qu'on distingue deux choses, le stockage des données et le transit. Il y a beaucoup de gens qui me disent, ah non, mais mes données, elles sont stockées en France. Ça ne veut pas dire qu'elles ne transitent pas vers les États-Unis. Et ça c'est quelque chose, c'est-à-dire qu'en fait typiquement je vais avoir, et Google Analytics c'est ça, c'est Google Analytics, ok il peut y avoir peut-être des serveurs Google Cloud Platform en Europe, ok. Sauf qu'en fait le moteur, c'est-à-dire que j'ai le coffre, j'ai une voiture, le coffre il est en Europe, mais le moteur il n'est pas en Europe, il est aux Etats-Unis. Donc en fait pour que ça marche, ça transite forcément vers les Etats-Unis. Et il y a plein d'outils comme ça. Donc en fait ce qui se passe de manière générale, s'ils font bien les choses, et c'est ce que font quand même globalement les gros, c'est qu'ils vont tout crypter, et même eux n'ont pas la clé de cryptage. Donc en fait, si on leur demande les données, notamment le gouvernement américain, ils vont faire ok, tiens, prends mes données cryptées. La réalité, alors c'est ce qu'on m'a expliqué un jour, un analyste cybersécurité m'a dit, ils pourront toujours finir par le craquer, mais ça va être quand même très compliqué. Donc en fait, c'est ok, prends-le si tu veux, mais ça va être quand même une grosse galère. Et donc la réalité, c'est qu'ils vont le faire uniquement s'il a un véritable intérêt très fort, et il va quand même prendre beaucoup de temps. Mais donc il y a des mesures très fortes qui sont prises par les prestataires américains. Je crois que c'est, si je ne me trompe pas, si je ne dis pas de bêtises, que Microsoft, ils se sont bagarrés. Je ne sais plus si c'est Microsoft ou Amazon, mais ils ont été en contentieux avec le gouvernement américain pendant des années pour empêcher ça. Bon, ils ont fini par perdre, mais donc ils ont fait, ok, de toute façon, on va vous mettre le plus de bâtons dans les roues possible. C'est-à-dire qu'en fait, ce qui est amusant, c'est que ça n'empêche pas, ça n'enlève pas le problème de souveraineté numérique, de souveraineté numérique. Néanmoins, il y a beaucoup de gens qui pensent que parce que c'est américain, c'est pas bien. Et nous, on a plein plein plein de gens qui nous disent ça. Non, américain, pas possible. En fait, la réalité, c'est pas ça. S'ils prennent toutes les mesures, souvent les américains, c'est finalement peut-être les meilleurs sur la protection des données en termes de transfert cross-frontière. C'est pas du tout les pires, d'accord ? Après, ça dépend des outils, bien sûr. Il y en a des moins bien. Mais en tout cas, dès que c'est un sérieux, franchement, ils font les choses bien. Et c'est vrai qu'il y a cette vision de « ah non non ça va être terrible » et compagnie. Néanmoins, oui il y a un vrai problème, oui il y a besoin que tout soit rapatrié en Europe, il y a besoin que les moteurs des outils soient rapatriés en Europe ou qu'on ait des alternatives qui arrivent en Europe. Il y en a de plus en plus mais c'est vrai que c'est compliqué. Moi, je ne suis pas du tout anti outil américain, je veux dire, j'adorerais qu'il y ait des outils comme Google ou Apex en Europe, mais pour le coup, ce n'est pas le cas. Donc, ça n'empêche pas que c'est quand même des outils exceptionnels et qui permettent à des structures qui n'ont pas d'argent de pouvoir lancer des business. Donc, c'est pour ça que c'est ça qui… En fait, il faut distinguer… Là, pour le coup, on est presque dans un jeu politique. C'est-à-dire qu'il y a le droit et le droit dit, oui, par principe, tu n'as pas le droit, mais si tu prends les mesures, tu as le droit. Donc, finalement, tu as le droit. Oui, c'est… Finalement, tu as le droit sous condition. C'est-à-dire que tout le monde dit que le principe c'est interdiction. En fait, moi je dis non, le principe c'est l'autorisation sous condition.
Terry : Intéressant, ouais. Donc c'est vrai que la nuance, t'as bien fait de rappeler l'aspect transit, parce que même effectivement si tout est complémentaire, tu penses que tes données sont in fine chez toi, mais t'as pas réalisé qu'en fait t'as beaucoup de metadata, voire toute la donnée qui part en fait pour être processée aux Etats-Unis, donc in fine en fait ça revient en même, c'est pas parce que tu la stocke à posteriori chez toi que du coup elle tombe pas sous les gis du cloud act. Par contre bon on va un peu avancer parce que moi c'est un sujet, ce sujet de la souveraineté des données, je fais le parallèle avec le nucléaire. Quand on a développé le programme nucléaire français, Il y a des sujets où à l'époque on s'est dit en fait sur certains sujets ça appartient à la souveraineté de la nation et on peut pas prendre de risque de dépendre d'autres pays même amis pour développer ces activités là. Et donc on a fait en sorte d'être totalement autonome indépendant et de pas dépendre d'autres pays, même alliés. Là, aujourd'hui, dans le cas de la tech, mais je ne parle pas des... Effectivement, quand tu es une startup, une scale-up sur des sujets qui ne sont pas trop touchy au niveau de la donnée, ce n'est pas la même chose que si tu veux mettre en place un système au niveau, par exemple, de l'assurance maladie en France, dont tu vas avoir la donnée de tous les citoyens français stockés sur du cloud. Là, la question se pose vraiment pour moi, de passer par des prestataires américains. Même si, comme tu l'expliques, d'un point de vue juridique, ça va être carré. Parce que, in fine, même si on vit dans des états de droit, on a la chance de vivre dans des états de droit, pour autant, si à un moment ça se tend un peu, même économiquement, l'état de droit, il pourrait de temps en temps être un peu oublié, et en fait, le bout de papier que t'as signé, la donnée, si elle est restée, ils peuvent la réouvrir. Donc c'est ce juste milieu effectivement que...
Raphaël : Mais tout à fait, c'est compliqué à trouver. Et tu vois, l'autre jour, j'ai vu que le responsable d'OVH, enfin le créateur d'OVH, il veut racheter Qwant. Et je me suis dit, tiens c'est intéressant, ce mec est malin. Parce qu'en fait il veut reproduire, je pense, je ne le connais pas, le Google à la française. C'est-à-dire qu'en fait, il a le OVH, il a les serveurs, il va prendre compte, peut-être que demain il va prendre Dailymotion, j'en sais rien, et en fait reproduire ces services-là. Et je pense qu'il a raison, il y a une ouverture énorme. Et moi je suis entièrement d'accord avec toi, s'il y a les alternatives, il faut. Pour te rassurer juste sur un point, alors ce n'est pas si évident.
Terry : Ce.
Raphaël : Qui est sûr, c'est par exemple que tu parlais du DataFHub, c'est-à-dire le Microsoft Azure qui a été choisi pour mettre en place toutes les données de santé françaises. Et effectivement, la CNIL a mis un avis pas très favorable parce que c'était américain. Et là-dessus, moi, je me pose des questions sur lesquelles je n'ai pas les réponses aujourd'hui. Je m'explique. C'est qu'en fait, il faut distinguer quand il y a justement le moteur et le coffre. Si moi je prends Google, par exemple nous pour DPO, le moteur est en Europe. Je prends AWS ou Azure France. En fait, là pour le coup, tout reste en Europe. Je ne suis pas sûr, mais le risque potentiel peut exister. Je ne suis pas sûr que AWS France, qui est une entité distincte de AWS US, puisse fournir les données. Ça ne veut pas dire qu'effectivement, si les États-Unis deviennent une dictature demain ou je ne sais quoi, qu'il n'y aurait pas de problèmes. Mais en l'état, ce sont deux structures différentes. Et moi, c'est vrai que, encore une fois, quand j'avais été avocat, on avait eu un sujet un peu similaire sur Facebook, où en fait, on avait voulu demander des données à Facebook, mais Facebook qui n'était pas Facebook, ni France, ni Irlande, donc pas Europe, un Facebook ailleurs. Et ils ont dit, écoutez, les cocos, en fait, vous n'avez pas de juridiction sur moi.
Terry : Et donc là ?
Raphaël : Donc là, ce que je veux dire, c'est qu'encore une fois, il y a une différence entre le papier, comme tu l'as dit. Et voilà, on ne sait jamais ce qui peut se passer. Mais c'est vrai que tu as un WS France, un WS Irlande. Là, pour le coup, les moteurs ne sont pas là-bas. Il n'y a rien qui transite. Je ne suis pas sûr. Après, pour le coup, là, on arrive sur des domaines droit international pur que je maîtrise peut-être un peu moins. Il y a peut-être une notion que je ne connais pas, mais j'ai du mal à voir comment À moins que AWS US dise à AWS France, bon écoute là on est un peu dans la mouise, il faut que tu nous donnes des données, mais normalement ils n'ont pas vraiment cette possibilité à le faire.
Terry : Ok, c'est intéressant de voir. Alors moi, je ne suis pas convaincu parce que je pense toujours dans le pire des cas. Et je pense surtout que ce sont des sujets ultra stratégiques, en fait. Mais de la même manière que, par exemple, les câbles sous-marins, c'est aussi des sujets hyper stratégiques. Mais c'est là-dessus que je te rejoins.
Raphaël : C'est-à-dire que je ne te dis pas que c'est bien ou pas bien. C'est qu'en fait, aujourd'hui, il y a un état de fait qu'il faut faire avec. Il faut aussi rassurer un peu les gens sur le fait que les données ne sont pas non plus utilisées n'importe comment, c'est une grande croyance. Après, oui, il faut clairement tendre vers des outils en Europe, c'est indéniable. Moi, ce qui me dérange le plus, c'est effectivement plutôt certains outils. qui, d'ailleurs tu l'as très bien dit tout à l'heure, maintenant les ministères n'en peuvent plus utiliser du TikTok, du machin. Là carrément qu'on peut utiliser de tels outils où là ça va vers des dictatures et compagnie, oui là moi je trouve que, parce qu'effectivement je pense qu'ils s'en nettoient un peu les pieds le RGPD là-bas et ça c'est vraiment problématique. Juste un point, il faut savoir que le RGPD c'est extraterritorial aussi. C'est pour ça qu'une boîte américaine qui veut viser en Europe mais qui n'a pas de siège en Europe doit respecter le RGPD.
Terry : D'Accord ça c'est intéressant j'avais pas le point bon est ce qu'on a des cas des cas de jurisprudence sur lesquels.
Raphaël : Ça a été appliqué je veux pas te dire de bêtises mais il me semble parce que je veux pas te dire de bêtises mais il me semble que alors oui c'est arrivé ça c'est sûr j'ai une structure là il y en a un Il y en a une pour laquelle j'ai le nom, mais je préfère pas le dire parce que j'ai peur de dire une bêtise. Il y en a une pour laquelle j'ai pas le nom, mais je suis sûr qu'elle s'est fait embêter. Il y avait une structure américaine qui n'a pas de siège, et effectivement, ils faisaient un peu n'importe quoi avec les datas. C'était pas très longtemps, peut-être six mois, et ils se sont fait clairement taper sur les doigts par la CNIL française. Et en fait, il faut savoir qu'au bout d'un moment, ces structures, elles n'ont pas le choix de mettre les pieds vraiment avec un bureau en Europe. Donc à partir du moment où elles le mettent, si elles ont fait n'importe quoi avec, elles commencent à... elles vont être la cible numéro un et puis elles vont se faire taper dessus. Donc si ça marche quand même vraiment.
Terry : Ok, donc très intéressant et du coup pour transitionner vers la valeur économique au delà, donc on comprend bien l'intérêt de la donner si c'est effectivement dans des dictatures, tu veux éviter d'être traqué, d'être suivi comme on peut l'avoir dans la dystopie type Big Brother, enfin de George Orwell. Mais d'un point de vue économique aussi c'est une vraie arme et ça c'est quelque chose, je fais quoi à ce que tu disais en tout début d'échange quand tu parlais de la donnée à l'époque où tu étais encore étudiant en droit et les gens te disaient mais moi j'ai rien à cacher. Et ça, tu disais, je l'entends moins maintenant dans des milieux qui sont moins, on va dire, aguerris, même aux boîtes tech. Moi, je continue à l'entendre et ça m'agace à chaque fois que je l'entends parce que ayant travaillé et travaillant dans des boîtes tech et ayant travaillé dans des boîtes B2C très orientées, justement, utilisation de la donnée à des fins marketing, etc. J'ai vu ce qu'on peut faire avec la donnée et non, tu t'en fiches pas. Non, c'est pas... si on te dit la valeur pécuniaire que cette donnée a là versus ce qu'on te donne en retour peut-être que tu vas te poser deux fois la question si bah oui je m'en fiche de savoir qu'ils écoutent, qu'ils sachent que j'écoute de la musique le matin sous la douche quoi. Donc comment toi, quelle est ta vision sur la valeur économique de la donnée ?
Raphaël : Alors t'as entièrement raison et d'ailleurs Ce qui est intéressant, c'est qu'en fait, sur le volet qui est lié en fait à la valeur économique de la donnée, c'est la question de la propriété de la donnée. Finalement, c'est une question de droit. Et ce qui est assez amusant, c'est qu'on me pose souvent la question, ouais mais la donnée, enfin beaucoup de gens pensent que leur donnée leur appartient. Je suis désolé de vous le dire, mais c'est pas vrai. Je vous donne un exemple, moi, mon nom-prénom, effectivement, si mon nom-prénom m'appartenait, il ne pourrait pas transiter par des cookies partout, même si j'ai donné mon accord et alors, en fait, ce que j'ai donné mon accord pour que ça aille dans tous les sens et compagnie, malgré le RGPD, en réalité, si votre nom-prénom était une propriété, des gens pourraient pas utiliser votre nom pour faire des podcasts, pour faire des... Donc là, la donnée, elle vous appartient pas, d'accord ? Elle peut être confidentielle, vous avez évidemment le droit de ne pas tout donner, mais en fait, ça c'est une première chose. Parce qu'en fait, la propriété de la donnée pure, elle n'existe pas. On peut pas être propriétaire d'une donnée, en tout cas en France. On peut être propriétaire d'une base de données. C'est pas pareil. C'est-à-dire que je produis une base de données, j'ai mis de l'argent et du coût humain pour produire une base de données, c'est cette base de données qui a de la valeur. C'est ça qui est intéressant déjà. C'est vraiment la base de données qui a de la valeur et pas la donnée en tant que telle. Et après, justement, ce que tu dis est très juste. Le RGPD, ce qui a fait mal à beaucoup de structures, c'est que le RGPD, beaucoup de gens pensent que ça interdit. Non, ça interdit pas, mais ça encadre. Et donc en fait, quand on fait n'importe quoi avec la data pour essayer d'améliorer la valeur de la data dans tous les sens, comme le faisait d'ailleurs Cambridge Analytica dont on a parlé tout à l'heure, c'est sûr que quand on encadre, on perd de la valeur. Ça ne veut pas dire que ça n'en crée pas pour d'autres. Parce qu'en fait finalement, le RGPD, à partir du moment où c'est respecté, on a le droit de faire des choses. Et en fait ça permet même, et nous ce qu'on constate avec nos clients, c'est qu'en fait en les accompagnant bien pour qu'ils fassent bien les choses, la valeur de la donnée est plus précise, elle a plus de valeur, elle va être plus fiable, et donc en réalité elle va avoir plus de valeur.
Terry : Ouais donc là dessus c'est vrai que j'aime bien la nuance que tu apportes parce que on pourrait se dire avec mon propos en introduction de en gros c'est les méchants, les méchants de boîte ça ceux qui utilisent la data pour nous vendre plus de trucs versus nous les pauvres bêta qui acceptons de payer de rien payer parce qu'on se rend pas compte de la valeur que ça mais en réalité c'est du fait de l'encadrement qui est apporté, ça permet au contraire de continuer à utiliser la donnée mais de manière moins far-west, plus contrôlée et ça me vient en tête là en en parlant, c'est au début du coup de la mise en place de la RGPD, il y a le site Allociné qui avait je trouve fait de manière assez bien leur politique d'acceptation ou non d'autorisation des cookies. Parce que quand t'arrives sur leur site, ils t'expliquent que leur mode de revenu est publicitaire, ils ont besoin des cookies pour pouvoir continuer à vivre de ces revenus-là, et que si tu refuses, c'est ok. Par contre, il faut que tu payes un abonnement, je crois que c'est 2€, j'ai pas les chiffres exacts en tête, mais de mémoire c'était 2€. Et donc c'était très, je trouvais ça très didactique et tu vois de cette manière j'étais même encore plus en confiance pour dire bah oui j'accepte parce que de toute façon je comprends qu'ils ont bien pris conscience du sujet et je suis pour là dans ce cas spécifique autorisé à l'utilisation de ma navigation internet pour pouvoir bénéficier de mes trailers en VO.
Raphaël : J'aime beaucoup que tu dis ça parce que c'est exactement ce que je dis à nos clients, c'est qu'en fait effectivement beaucoup de gens pensent qu'en cachant les choses ça va mieux se passer, pas du tout. Aujourd'hui par exemple quand tu parlais des cookies c'est un excellent exemple, nous effectivement on est aussi des PO d'un grand groupe de presse donc ça nous parle beaucoup. Et en fait il y a deux types de... Aujourd'hui on est arrivé dans un cookies, alors on accompagne aussi un bandeau cookies, et qui m'a dit quelque chose que j'ai trouvé très intéressant. Il m'a parlé du cookie... du cookie... alors quel est le terme qu'il m'a utilisé ? C'était pas le cookie énervé ou quelque chose comme ça. En fait on est arrivé dans le principe du cookie énervé, parce qu'effectivement en fait à force de soit tout le temps nous le demander, soit de donner aucune information, en fait on dit non par principe. Par contre, si c'est transparent et qu'en fait on explique bien les choses, la contrepartie, ce qui va se passer, en fait les gens ne sont pas forcément fermés. C'est juste que les gens ne savent pas trop ce qui va se passer. Et il y a un autre exemple qui me fait penser, ça j'essaie de l'expliquer aux clients, c'est par exemple quand il y a la case à cocher pour envoyer des données à des partenaires. Le truc qui se passe souvent, c'est envoyer à des partenaires, point. En fait, tu peux avoir, moi j'avais eu, quand j'étais avocat, j'avais vu certaines choses, mais c'est fou. C'était t'envoyer à un truc, enfin je ne sais pas, imaginons, Pour le coup, c'était un diocèse. Il récoltait un diocèse à côté de la donnée, il l'envoyait, mais à des groupes de presse qui n'avaient strictement rien à voir, par exemple.
Terry : Oui, là-dessus, ça me fait juste penser sur ce mode de check. Donc là, on voyait des partenaires points. En gros, c'est l'opacité totale. Mais il y a aussi ce qu'on appelle dans le design d'expérience utilisateur, les dark patterns, donc des patterns de design, en fait, où tu vas designer ta page web pour pousser la personne à cliquer sur quelque chose sans qu'elle ait les consciences de ce qu'elle est en train de faire.
Raphaël : Exactement, et en fait ça ne fait que énerver les gens. Et il faut savoir que notamment les prospections, c'est un des premiers canals de plainte CNIL, parce qu'évidemment tu es énervé, tu as passé une mauvaise journée, tu reçois ton email de prospection, tu n'es pas content et tu portes plainte à la CNIL. Donc ça c'est quand même une réalité et donc oui j'aime bien ce que tu as dit sur le cookie wall parce que c'est exactement ça. Et je te disais sur les partenaires, si demain on me dit donner à mes partenaires et finalement je regarde la liste, j'ai la liste qui doit normalement être le gaineur, mais je donne la liste des partenaires et finalement je peux même les choisir, il y en a qui m'intéressent et finalement je vais le faire.
Terry : C'est cet aspect de transparence. De toute façon, le cadre juridique, il a un intérêt aussi pour ça. Ce n'est pas juste pour taper sur les doigts. C'est pour dire qu'on est dans des pays où il y a des lois. On a la chance de vivre dans des pays. En tout cas, moi, je considère ça comme une chance. On n'est plus au Far West. Donc oui, on met des lois, mais ce n'est pas pour casser l'innovation. Ce n'est pas pour casser l'économie. C'est juste pour encadrer les choses, pour continuer à vivre dans des pays dans lesquels on se sent safe à tous les niveaux.
Raphaël : Je partage à 200% ce que je ressens. Il y a beaucoup de gens qui me disent que le RGPD sert à rien. Et il y a beaucoup de gens qui ont dit ça. Mais en fait, c'est juste qu'ils ne se rendent pas compte de l'utilité que ça a au quotidien et de la transformation que ça a fait, mais d'une manière positive. Effectivement, c'est plutôt des belles valeurs. Et le RGPD ne peut exister que dans des sociétés démocratiques, en réalité. Et on le voit bien, encore une fois, on parle de la Chine. La Chine s'est fait une sorte de RGPD, sauf qu'elle n'est pas applicable pour l'État, pour le gouvernement. Évidemment, ça change tout. Donc il y a vraiment ce côté... Alors déjà, le RGPD, si ça sert. Le RGPD, ça a vraiment modifié les règles. Les trois quarts des structures, ce qu'on constate, c'est qu'elles veulent respecter les règles. Elles en comprennent bien les enjeux. Il y en a quelques-uns qui ont du mal, mais quand on leur explique, ils font « ah en fait c'est pas si mal ». Donc les mentalités changent, je pense que dans dix ans il n'y aura même plus de sujet.
Terry : Hyper intéressant. Donc déjà merci pour tous ces partages, c'était un épisode qui sort un peu du cadre mais ça me plaît bien, on a bien creusé le sujet. Donc avant d'aller vers mes deux questions de fin, mes deux questions de type, dont j'ai oublié de t'en parler en off donc j'espère que je te prendrai pas trop au dépourvu, est-ce qu'il y a un sujet ou un point que tu voudrais éclaircir ou qu'on n'a pas abordé durant notre échange ?
Raphaël : Non, je pense qu'on a parlé de pas mal de choses et écoute, non, c'était intéressant. Je pense qu'on a survolé les points très intéressants et clés du RGPD qui vont, je pense et j'espère intéresser tous nos auditeurs.
Terry : Ok super donc pour mes deux questions donc la première c'est est-ce que tu as une conviction forte ou en général tu es en désaccord avec tes pairs quand tu en parles donc quelque chose d'assez clivant sur lequel toi tu as des positions fortes et puis ça t'arrive régulièrement de trouver des gens qui sont complètement à l'opposé de cette conviction.
Raphaël : Alors, les gens ne me voient pas mais j'ai un grand sourire parce que... Oui, tous les jours. Mais je ne peux pas te dire lesquels.
Terry : Ah tu ne veux pas dire lesquels ?
Raphaël : Non parce que sinon je vais me faire des ennemis. Mais clairement il y a beaucoup... Ce qui est intéressant dans le RGPD, Donc c'est du droit, mais c'est un peu de la pâte à modeler aussi, c'est-à-dire que tu peux le tirer dans un sens, dans l'autre, il y a beaucoup d'interprétations, il y a beaucoup de logique aussi, et donc évidemment on n'a pas forcément tous la même logique, on n'a pas tous les mêmes valeurs d'ailleurs aussi, et donc ça forcément influence l'interprétation. Il y a aussi des DPO qui ne sont... alors là je vais clairement me faire des ennemis, mais je le fais comme je le dis quand même. Il y a beaucoup d'EPO qui ne sont pas juristes. Je ne sais pas comment on peut faire pour faire du RGPD si on n'est pas juriste, parce qu'il y a beaucoup de questions qui sont du droit, et que tu ne peux comprendre que si tu as été formé à comprendre le message sous-jacent qu'il peut y avoir, les logiques, etc. Si tu le sais pas, tu te plantes. Et donc en fait, oui, ça arrive souvent, parce qu'il y a beaucoup de DPO qui ne sont pas juristes, alors de moins en moins. Justement, il y a un grand mouvement où c'est de moins en moins vrai. Mais ça veut pas dire que c'est forcément des mauvais DPO, mais il leur manque, je pense, la bas de grande pour pouvoir répondre à certaines questions. Et ce qui fait que oui, ça m'arrive fréquemment d'être en désaccord. Surtout que nous, comme je t'ai dit, on fait quand même les choses très différemment des autres. Donc oui, fréquemment. Mais je suis vraiment désolé de ne pas pouvoir te dire.
Terry : T'as répondu quand même, puisque tu me dis qu'une des convictions, c'est le fait que pour toi, pour être DPO, ce qui fait sens comme ça, même si je ne connais pas les arcanes du métier, mais de devoir être juriste pour faire un métier de juriste, ça me semble assez cohérent. Mais comme tu le dis, il y a des gens qui vont être en désaccord avec toi sur sur ce point en particulier ?
Raphaël : Oui, en fait le RGPD c'est un texte de 100 articles de droit dans lequel il y a 4 articles sur la sécurité à peu près. Et donc beaucoup de gens pensent que c'est de la sécurité pure. Clairement, moi que les choses soient claires, je ne connais rien en sécurité, je ne suis pas assez pur en sécurité, c'est totalement un autre métier. Et s'il y a besoin de faire de la sécurité, évidemment on va amener vers quelqu'un de spécialiste. Mais tout le reste, c'est du droit.
Terry : Ok. Très clair. Très clair. Et du coup, la dernière question, c'est des recommandations de ressources, de lectures pour les personnes qui voudraient creuser un peu plus le sujet. Moi, je vais donner une première qui est de vous contacter du coup d'IPO au travers de votre site. Je ne sais pas s'il y a d'autres canaux sur lesquels vous aimez être contacté, donc si c'est le cas, je te laisse les préciser. Et nous donner un peu, toi, tes ressources. Ça peut être directement dans le dur du sujet du rgpd mais ça peut aussi être des choses toi qui t'inspire des lectures récentes au quotidien c'est pas obligatoirement ça pas besoin d'être ultra spécifique c'est aussi toi comment tu te nourris.
Raphaël : Intellectuellement au delà de... Sur la publicité de DPO Oui, alors effectivement si vous êtes intéressé, vous pouvez effectivement aller sur le site et il y a toutes les informations pour prendre rendez-vous avec nous et en fait vous prendre rendez-vous avec notre super équipe commerciale qui fait un travail super. Il y a ça ou sinon vous pouvez nous contacter directement via contact at dipeo.com sans problème ou alors moi, moi c'est Raphaël à dipeo.com sans problème. sur les sources. Écoute, alors là, pour le coup, je vais faire plutôt la promo, d'abord la promo d'une amie qui a écrit un livre dans le domaine et qui a été avocate dans le même cabinet que moi, qui s'appelle Léa Parabano, et qui a écrit un super bouquin assez pratique sur le sujet de leur JPD. Donc ça, ça peut être intéressant pour ceux qui veulent... C'est très juridique, bien sûr, mais c'est quand même très intéressant pour ceux qui, notamment, qui font du droit et qui voudraient une source Yassar. Sur le sujet RGPD, il y a une autre chose que j'aime beaucoup suivre, il y a le directeur juridique d'une association qui s'appelle NEUB, non of your business, en fait l'association qui a été créée par celui qui a fait tomber justement le... je te parlais tout à l'heure d'un mécanisme de transfert de données qu'il pouvait y avoir avec les Etats-Unis qui a été cassé par la CGE. En fait, elle a été cassée deux fois. Il y a eu un premier, cassé une fois par une personne qui avait porté plainte auprès des autorités et après de la Cour de justice. Et après, les États-Unis et l'Europe ont refait un deuxième et ça a été recassé. Et donc là, tout le monde a peur qu'ils recassent le troisième, mais il aura bien raison. Et en fait le directeur juridique, moi je le suis sur LinkedIn, très intéressant. Il sort des choses vraiment d'un peu de partout. Il a une position, en tout cas moi, que je trouve assez justement vertueuse. Donc il y a ça. Et après, à titre personnel, j'essaye, je m'astreins à lire beaucoup la presse et un peu de tout bord. Je pense que j'ai pris ce réflexe parce que quand j'étais étudiant, je travaillais en presse les samedis et dimanches, donc il fallait s'occuper. Et donc je disais, j'essayais de lire un peu tous bords, voilà, de Libé à Le Figaro, comme ça on a tous les bords, et finalement je trouve que c'est peut-être le meilleur moyen pour se rendre compte que, enfin pour avoir un avis assez, moins communautariste en tout cas, parce que justement pour revenir deux secondes sur la data, j'ai quand même découvert il n'y a pas si longtemps que ça, que notamment les algorithmes des réseaux sociaux, utilisent nos données pour savoir exactement ce qu'on pense globalement et pour nous mettre encore plus dans un carcon pour qu'on soit encore plus dans ce qu'on pense et ce qui fait qu'on est de moins en moins tolérant.
Terry : Du coup, juste pour compléter, je le fais pas d'habitude, mais vu que tu le mentionnes, là-dessus, il y a un documentaire qui s'appelle... Peut-être que tu l'as vu sur Netflix, au sujet exactement de ce que tu viens de dire, et évidemment, j'ai pas le nom qui me...
Raphaël : Ah non, désolé, j'ai plus Netflix.
Terry : Je le mettrai dans les notes de l'épisode mais c'est un documentaire qui explique globalement, enfin exactement ce que tu viens de dire, les faits d'entonnoir et derrière d'extrême polarisation en fait de différentes communautés alors même que dans le monde physique ces gens des fois ils habitent juste à côté, ils sont voisins physiquement.
Raphaël : Ils peuvent parler sans problème en fait, c'est ça qui est fou aussi en réalité. Donc après c'est pas toujours facile mais j'essaie de prendre le temps pour lire un peu tout ça.
Terry : Top, super, merci Raphaël.
Raphaël : Merci à toi, merci beaucoup.