À force d’enchevêtrement réglementaire, l’Europe s’expose à une perte de vitesse, notamment sur l’IA. Fort de vingt ans d’expérience dans le secteur public, Yann Padova, l’avocat associé spécialisé en data du cabinet américain Wilson Sonsini présente les pistes d’un cadre réglementaire innovant et protecteur en matière de données.

 Décideurs. Quel cadre de gestion des données boosterait la compétitivité des entreprises ?

Yann Padova. Ma pratique d’avocat m’amène à intervenir auprès de deux types d’entreprises très différentes. D’abord des start-up, qui offrent des services innovants pour lesquels les positions des régulateurs sont encore floues, et de grandes entreprises, y compris publiques, qui développent des stratégies digitales, particulièrement poussées et intensives en matière de données.

Dans les deux cas, des situations peuvent se présenter où un besoin d’expérimentation et d’échanges avec le régulateur devient nécessaire. Comment l’organiser ? Peut-on expérimenter des traitements, dont l’intérêt peut être réel, non seulement pour l’entreprise qui les développe, comme dans les domaines de la cybersécurité ou de la maintenance prédictive des équipements, mais aussi pour d’autres acteurs, alors même que leur conformité initiale semble incertaine ? 

Organiser et accepter l’expérimentation, du point de vue du droit constitutionnel et du droit public français, présente certaines difficultés, puisqu’une expérimentation risque d’être considérée comme une rupture d’égalité devant la loi. À l’époque où j’exerçais les fonctions de secrétaire général de la Cnil, on pouvait, de temps en temps, autoriser des expérimentations. Aujourd’hui, ce régime d’autorisation a disparu. Sans y revenir, il faudrait pouvoir s’accorder, dans certains cas précis, à définir par le législateur et le régulateur, que le droit d’expérimenter et de déroger temporairement à une règle relève du bon sens.

"Cela m’a amené à proposer le “Sandbox”, dans le cadre duquel la portée de certaines régulations peut être modulée de façon temporaire"

Compte tenu de votre expérience à différents postes clés, auprès de la commission des lois de l’Assemblée nationale, à la Cnil, ou encore à l’ICO (la "CNIL anglaise"), quelles perspectives pourraient ouvrir ce type d’expérimentation sur les données ?

L’absence de dérogation temporaire aux règles nous prive de certains traitements de données dont la société pourrait bénéficier. Car ce n’est pas la donnée qui est rare en Europe. Elle est plutôt abondante. Ce sont les usages qui peuvent être parfois trop limités. Des scénarios de réutilisation ultérieure des données, pas nécessairement prévus au moment de leur collecte initiale, peuvent ouvrir des perspectives majeures, notamment en médecine préventive, dans la lutte contre les discriminations, l’insertion au travail, l’accidentologie, l’éducation, mais aussi dans le domaine du marketing, notamment. Il existe un certain nombre de tensions entre les principes traditionnels de protection des données, comme ceux de finalité, de conservation limitée dans le temps, de minimisation et d’exactitude d’une part, et les modalités et possibilités offertes par l’analyse des données, notamment via l’IA d’autre part. 

Auprès de l’ICO où j’ai travaillé pendant 3 ans, mon rôle de strategic advisor consistait à tenter de réconcilier l’innovation avec la protection des données. Cela m’a amené à proposer la création d’un lieu d’expérimentation, le "Sandbox", ou bac à sable, dans le cadre duquel la portée de certaines régulations peut être modulée de façon temporaire. Cette idée est désormais reprise dans le règlement sur l’IA, mais demeure, malheureusement, absente au sein du RGPD.

Quelles mesures permettraient d’assurer les meilleures conditions d’expérimentation ?

La première serait d’établir un cadre de confiance pour l’expérimentation. Or, cette question fait aussi intervenir des facteurs culturels et pas seulement juridiques. Ce cadre dépendra notamment de la nature de la relation des entreprises avec le régulateur et le degré de confiance que celles-ci lui accordent. Dans de nombreux pays dits "latins", l’approche consiste à appliquer le principe "pour vivre heureux, vivons cachés". L’administration et le régulateur sont souvent perçus comme des acteurs de contrôle et de sanction, plutôt que comme des partenaires de confiance avec lesquels construire une solution. 

La deuxième est de s’assurer que ces expérimentations font l’objet de vraies évaluations indépendantes, menées par des entités qui ne sont pas liées au commanditaire. Cela fait trop souvent défaut. En France, l’expérimentation, notamment dans le secteur public régalien (la police, les impôts), procède toujours de la même façon : un décret crée le traitement à titre "expérimental" et prévoit son évaluation avant sa pérennisation éventuelle. Une fois celui-ci mis en œuvre, l’évaluation est rarement réalisée, ou ne l’est que par l’administration à l’origine de l’expérimentation, ce qui représente un biais évident. Pour autant, le traitement est pérennisé. Il faut être conscient qu’aujourd’hui encore les "champions" de l’expérimentation sont les pouvoirs régaliens qui s’affranchissent bien souvent de toute évaluation indépendante. C’est une faiblesse systémique du régime administratif français.

"Une porte dérobée en informatique l’est pour tout le monde, autant pour les autorités légitimes que pour les organisations malveillantes et criminelles"

En matière de gestion des données, quel point de vigilance souhaitez-vous souligner ?
En ce moment, des débats animent le Parlement français sur la possibilité d’installer des portes dérobées dans les messageries privées. Ses promoteurs mettent en avant les terroristes, les pédophiles…Chacun d’entre nous est bien évidemment d’accord pour lutter contre ces criminels. Mais il faut être conscient qu’une porte dérobée en informatique l’est pour tout le monde, donc autant pour les autorités légitimes que pour les organisations malveillantes et criminelles. Face à ces échanges, je songe souvent à une citation de Roger Frey, qui fut ministre de l’Intérieur sous de Gaulle, puis membre du Conseil constitutionnel et qui déclarait : "L’administration a toujours dans ses cartons d’innombrables textes de circonstance qui, en fait, ne servent à rien et dont l’adoption serait lourde de dangers. Il n’y a pas un mois où l’on ne propose à un ministre de l’Intérieur un texte limitant la liberté au motif qu’il faciliterait l’action de la police."

Dans ces moments, il est bon de se rappeler que l’État détient le monopole de la violence légitime et que les atteintes les plus graves aux libertés individuelles ont toujours été, dans l’histoire, commises par des États. Je reste très attaché à ce point de vue très libéral et garde une grande réticence vis-à-vis de projets étatiques organisant un vaste partage de données, y compris celles de santé, tant entre administrations nationales qu’entre États membres de l’UE. Tout spécialement dans un contexte de crise, il ne faut pas avoir une confiance aveugle dans la robustesse et la vertu des administrations. 

"Jusqu’à quel degré laisse-t-on la surveillance étatique se développer ?"

Sur un sujet de surveillance, j’ai plaidé devant la Cour de justice de l’Union européenne contre l’État français dans l’affaire "la quadrature du net". À mon sens, c’est là que réside le véritable risque pour nos libertés. Sommes-nous suffisamment vigilants ? Jusqu’à quel degré laisse-t-on la surveillance étatique se développer ? Comme l’aurait affirmé l’un des pères fondateurs des États-Unis, Benjamin Franklin : "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux". Souvenons-nous-en.

Propos recueillis par Alexandra Bui