Sarah Medjek : Re-bonjour et merci d’être là avec nous.
Je pense que la soirée a duré jusqu’à très tard, c’est d’autant plus appréciable de vous voir. Merci beaucoup aussi à nos intervenantes qui ont accepté d’être là pour cet échange autour des données et citoyens.
Peut-être, avant de rentrer dans le vif du sujet, je vais vous demander quelque chose. Je voudrais que vous me montriez vos smartphones, s’il vous plaît. Est-ce que vous voulez bien les déverrouiller, s’ils ne le sont pas, les passer à la personne qui est à côté de vous et on laisse les smartphones circuler pendant le temps de la table ronde. Non ? Vous n’êtes pas d’accord ! Ça m’étonne, franchement, je pensais que vous alliez tous dire OK.
Je pense qu’on l’aura tous compris, on a tous des informations, des données qu’on veut garder privées, du coup, c’est toujours sensible quand il s’agit de parler de données personnelles.
Si vous avez assisté à la journée d’hier, et même là, Quentin vient de nous le rappeler, aujourd’hui, on vit dans un monde où les données sont une véritable ressource. Hier, on a entendu des expressions comme « les données, c’est le pétrole, c’est un diamant brut, etc. » En fait, l’arrivée des IA génératives n’a fait qu’empirer les choses. Aujourd’hui, les données sont aspirées massivement. Je ne sais pas si vous connaissez Matthias De Bièvre, vous irez chercher sur Linkedin, j’écoutais un talk où il expliquait avoir lu une interview de Elon Musk qui déclarait qu’aujourd’hui les IA se sont entraînées sur toutes les données disponibles publiques du monde, donc, tout a été déjà scrappé, utilisé. On voit donc effectivement que cet enjeu autour des données, dont on parle depuis une dizaine, une quinzaine d’années, est toujours d’actualité. Du coup, face à ça, on se demande, en tant que citoyen, ce qu’on peut faire. Comment peut-on se protéger ? Et puis, peut-être au-delà, y a-t-il un autre rôle que les citoyens pourraient jouer, autour, justement, de l’exploitation, de l’utilisation des données, notamment des données personnelles.
Pour en parler, on a aujourd’hui avec nous trois expertes : Claire Levallois-Barth, qui est professeure à l’Institut Mines Télécom et coordinatrice de la Chaire Valeurs et Politiques des Informations Personnelles, Constance Nebulla, conseillère de la ville d’Angers, vice-présidente de la région Pays de la Loire et présidente d’OpenDataFrance [1], et Valérie Peugeot, qui est professeure à Sciences Po, ex-chercheuse à Orange Labs et également, jusqu’à très récemment, commissaire à la CNIL.
Première question pour vous, Claire : quand on parle de protection des données, on pense immédiatement au cadre juridique et c’est vrai que ces dernières années pas mal de choses ont été faites, notamment au niveau européen. Est-ce que vous pouvez nous dresser, on va dire, un portrait rapide des quelques règlements phares autour, justement, de cette question de la protection des données ?
Claire Levallois-Barth : C’est très compliqué comme question puisqu’il y a beaucoup de règlements au niveau européen, j’en ai sélectionné cinq, ce n’est déjà pas mal, avec quelques mots-clés, pour ne pas être trop longue, j’ai donc pris quelques notes et je vais essayer de me tenir à ce que j’ai prévu.
Premier règlement, on le connaît tous, le Règlement général sur la protection des données [2], le RGPD, entré en vigueur en mai 2018, donc principalement un droit d’accès à nos données personnelles pour savoir si des entreprises les détiennent, le droit de faire rectifier, ça ne va pas très loin jusqu’à présent, et un droit à la portabilité des données : je peux demander à une entreprise de me remettre dans un format électronique mes données pour les envoyer à une autre entreprise. Ce droit-là n’est pas trop actionné, à ma connaissance, même pas du tout, tu confirmes.
La mesure phare du RGPD, on la voit tous, c’est le consentement donc consent, consent, consent. Je ne suis pas non plus sûre que ça soit très efficace, parce qu’on en a assez et on clique, on clique.
Ça, c’est vraiment le texte de base et des textes sont venus donner des choses un petit peu plus actionnables pour mettre en pratique ces droits-là.
On a deux textes qui s’appellent Digital Markets Act, DMA, Digital Services Act, DSA, qui vont réglementer.
D’abord le DMA [3], le règlement sur les marchés numériques, les contrôleurs d’accès. Donc les moteurs de recherche, les réseaux sociaux, vont avoir un certain nombre d’obligations qu’ils vont venir mettre en œuvre, en pratique. Apple, Amazon, Meta, Microsoft, même Booking qui a été désigné contrôleur d’accès, vont avoir de nouvelles obligations, ils doivent notamment me fournir, je cite, « une solution conviviale pour donner et retirer facilement mon consentement », donc quelque chose de beaucoup plus pratique, une obligation qu’on ne trouve pas dans le RGPD au niveau pratique. Je dois donc donner mon consentement pour un certain nombre de choses, par exemple, pour qu’ils puissent croiser mes données qui proviennent des différents services que j’ai utilisés par exemple chez Google, et je dois aussi avoir, je cite toujours, « un accès effectif et immédiat à mes données pour exercer ce fameux droit à la portabilité des données » et le DMA précise gratuitement, parce que ce n’est pas forcément gratuit dans tous les cas. Quelques exemples, il y en a d’autres.
Pour les DSA [4], le Digital Services Act, le règlement sur les services numériques, dont les principales règles sont en fait obligatoires, c’est récent, février 2024, il y a seulement un an. L’idée, c’est d’encadrer les activités des plateformes en ligne et des hébergeurs. Autant c’étaient les très grandes plateformes sur le DMA, là c’est l’ensemble des plateformes en ligne et des hébergeurs qui vont avoir différentes obligations en fonction de leur position dominante, ou pas, sur le marché. Quelques exemples ici : une fonctionnalité doit me permettre de configurer les paramètres des systèmes de recommandation quand ils vont m’envoyer des recommandations. Donc transparence, savoir comment ils le font, et action de ma part sur les systèmes de recommandation. Je dois aussi pouvoir signaler facilement les contenus illégaux, je peux donc être proactive, et puis un système de traitement des réclamations facile d’accès. Alors après, effectivement, est-ce qu’ils vont le faire ou pas ? Comment vont-ils le faire ? C’est le travail de la Commission européenne, après, d’aller vérifier que tout ça est bien mis en œuvre.
J’ai deux autres règlements qui, eux, vont plutôt tourner autour des données : faciliter le fait que je puisse actionner, faire quelques actions sur mes données. Il ne faut pas se leurrer, on est dans le cadre du marché européen, de la libre circulation des données. L’objectif sous-jacent derrière, ce n’est pas forcément uniquement mettre le consommateur – je parle bien de consommateur et pas d’utilisateur – au centre, mais c’est aussi de faire circuler ces données-là, parce que c’est un véritable marché de la donnée, que ce soit les données personnelles ou les données non personnelles.
On a le DGA [5], Data Governance Act, je vais insister sur une mesure phare, mais Valérie nous détaillera et donnera son avis tout à l’heure, ça s’appelle l’altruisme des données ou data altruism. Là, je peux être proactive en tant qu’individu, les entreprises peuvent aussi agir sur leurs données, mais, en tant qu’individu, je vais donner mon consentement pour envoyer mes données à une entreprise spécialisée, un organisme qui s’appelle l’organisme altruiste des données, et je vais lui dire : j’autorise à utiliser mes données personnelles gratuitement pour tel, tel et tel objectif, donc un objectif d’intérêt général – lutte contre le cancer, lutte contre le changement climatique, recherche scientifique. Et là j’autorise, gratuitement, donc j’actionne mes données, je les porte, c’est une autre forme de portabilité quelque part, en sélectionnant qui pourra utiliser mes données et comment.
Le dernier, c’est le Data Act [6], je ne sais pas si vous en avez entendu parler. Il va être applicable à partir de septembre 2025. Il s’occupe principalement des données d’IoT [Internet des objets], des données que je génère, que je contribue à générer, en utilisant, par exemple, ma montre connectée ou mon véhicule connecté. Je peux avoir mes données personnelles, qui sont directement relatives à ma personne, je simplifie la définition, avec mon droit à la portabilité du RGPD. Là, même si elles ne sont pas personnelles en tant que telles, en tout cas, si j’ai contribué à les générer, je dois pouvoir les récupérer et de même, les transférer à une autre entreprise. Il y a certaines conditions, c’est très encadré, mais c’est un nouveau droit.
Voilà un petit peu, rapidement, quelques points d’éclairage que je voulais vous donner.
Sarah Medjek : Merci beaucoup. Du coup, on voit effectivement qu’il y a beaucoup de choses. Concrètement, en tant que citoyen, comment fait-on pour activer tout ça, pour s’emparer de ces réglementations et faire valoir ses droits ?
Claire Levallois-Barth : Là, on vient de voir que c’est très compliqué. Déjà, il faut connaître ses droits et on voit que ce n’est pas dans un seul texte. Ensuite, il faut aller sur une plateforme, une autre plateforme, c’est tout un travail d’éducation et de temps à passer, ce qui n’est vraiment pas évident.
Alors, il y a un autre règlement, le sixième et dernier règlement, promis, c’est le règlement e-IDAS [7]. Lui va s’occuper de mon identité numérique et il va avoir une mesure phare qui s’appelle le portefeuille européen d’identité numérique [8], concrètement, c’est France Identité. Qui, parmi vous, utilise France Identité ? Voilà !
Ce règlement va obliger France identité à fournir un certain nombre de fonctionnalités normalement, si l’État français est à l’heure, en décembre 2026. En plus des fonctionnalités que j’ai en ce moment dans France identité – on peut déjà actionner certaines choses, on peut déjà générer des attestations électroniques d’attribut et ne les envoyer qu’à la personne à laquelle on veut vraiment les envoyer –, dans le portefeuille européen d’identité, je vais avoir mon identité qui va être sécurisée, mon nom, mon prénom vont être sécurisés ; plus besoin de faire un scan de ma carte d’identité et de l’envoyer par mail. L’idée, c’est de lutter contre l’usurpation d’identité et le vol de mes données. J’ai mon identité et là, c’est la même chose que tout à l’heure, l’idée, c’est que je puisse récupérer toutes les données qui sont rattachées à mon identité. Je devrais donc pouvoir amener toutes mes informations personnelles dans mon portefeuille. Là, la démarche est inverse : au lieu d’aller sur chaque plateforme actionner mes droits, je vais avoir un tableau de bord dans ce portefeuille européen d’identité numérique qui va me donner tous les logs, toutes les entreprises avec lesquelles j’ai communiqué va être centralisé dans ce portefeuille. Donc je vais pouvoir, c’est une obligation, exercer mon droit à la portabilité directement à partir de France Identité et des tableaux de bord que France Identité va me fournir. France Identité va aussi devoir me fournir une fonction pour que je puisse effacer facilement mes données. Et, super, que je puisse signaler facilement à la CNIL qu’il y a un problème sur mes données personnelles. Après, il faudra que la CNIL suive, c’est une autre question.
Donc, là, on voit que ça bouge. Un truc bien : je devrais avoir, dans France Identité, la possibilité de générer des pseudonymes, pas Claire Levallois-Barth, que je choisis librement, c’est dans le texte, librement, et je peux en générer plusieurs. Donc, juridiquement, je ne suis obligée de donner mon nom et mon prénom, mes véritables données d’identité, que quand il y a une obligation légale ou quand je signe un contrat ; par exemple, pour l’ouverture d’un compte bancaire en ligne, évidemment que je ne vais pas utiliser un pseudo.
La dernière chose que je voudrais dire, parce qu’il ne faut pas être trop longue. Je vous ai dit que je vais avoir mes données rattachées à mon identité sous forme de justificatifs, donc mon permis conduire, donc ma carte vitale, tout cela arrive ; si je suis un travailleur étranger, mon autorisation de travailleur détaché. Plein de choses.
Je devrais aussi pouvoir aller chercher les données qui m’intéressent dans l’attestation et reconstruire, générer une nouvelle attestation uniquement avec les données que j’ai choisies pour l’envoyer uniquement à la personne que j’ai choisie. Et, cerise sur le gâteau, et là, en tant que chercheurs, nous y veillons parce qu’on est dans les large tests pilot qui sont en train de tester les premiers cas d’usage, ça s’appelle du zero-knowledge proof et il y a d’autres technologies qui doivent permettre, en fait, de donner une preuve avec le minimum d’informations : je veux aller acheter de l’alcool dans certains pays, plus/moins de 18 ans ? Oui/non ? Aucune autre donnée n’est transmise. J’ai donc vraiment, normalement, un contrôle sur mes données.
Je vous ai dit que c’est un règlement européen, je n’aurai donc pas que France Identité. Chaque État membre est obligé de générer un portefeuille avec ces fonctions-là pour fin 2026, un ou plusieurs portefeuilles, et, en plus, je dois pouvoir utiliser mon portefeuille à travers les frontières, ce sont des normes d’interopérabilité des portefeuilles, a minima pour les services publics. Par exemple, je me fais faire une prescription médicale par mon médecin français, je vais en vacances en Italie, je vais dans une pharmacie italienne, je présente ma prescription médicale avec le minimum de données.
Toutes ces nouvelles fonctionnalités, c’est, pour moi, une véritable avancée. C’est vraiment l’approche de remettre l’utilisateur au centre et vraiment actionner sur mes données.
Sarah Medjek : Parfait. Merci beaucoup. On voit effectivement qu’il y a énormément de choses.
Valérie, on voit que le cadre juridique est quand même assez fourni. Quels sont les autres moyens qui permettent aux citoyens de se protéger ?
Valérie Peugeot : D’abord, merci Sarah pour l’introduction et merci pour l’invitation à Clever Cloud.
Avant de voir comment les citoyens peuvent se protéger, je voudrais revenir sur pourquoi ils doivent se protéger ou pourquoi on a besoin de les protéger. Deux raisons.
D’abord la première, qui est, je pense, connue de tout le monde dans cette salle, c’est qu’on est dans le capitalisme numérique, un capitalisme très particulier, qui n’a pas grand-chose à voir avec le capitalisme industriel qu’on a connu et qui, du fait des spécificités des technologies numériques que vous connaissez bien – effet réseau, winner takes all, etc. –, est un capitalisme qui tend vers l’hyper-concentration, le monopole systématique. Ce monopole systématique a des conséquences, évidemment, pour le consommateur, puisqu’il se retrouve enfermé dans des services sans alternatives possibles vers lesquelles migrer, alternatives qui seraient tout simplement de meilleure qualité ou qui seraient plus protectrices de ses données, mais ça a aussi des conséquences en tant que citoyen, d’où le titre de la table ronde. Je pense qu’on a sous-estimé à quel point ça a des conséquences en tant que citoyen. On le voit aujourd’hui avec ce qui se passe outre-Atlantique, dans un pays qui est censé être la plus grande démocratie du monde. On voit bien que la concentration de données entre les mains de quelques acteurs, notamment d’un acteur que je n’ai pas besoin de citer, vous voyez très bien à qui je pense, peut avoir des conséquences très graves sur l’état des sociétés, conduisant à de la polarisation, conduisant à de la fragmentation, conduisant à des dérives démocratiques. Vous avez peut-être vu, hier ou avant-hier, qu’une bande d’ingénieurs, de 19 à 24 ans est rentrée dans les services de l’État, la bande des boys de Musk, et qui est en train d’accéder à toutes les données des Américains, alors que, normalement, c’étaient des bases de données auxquelles on accédait par accréditation, avec des personnes triées sur le volet, etc. On a donc vraiment un enjeu démocratique, aujourd’hui, quand je dis démocratique, c’est au sens fort, qui vient se rajouter aux enjeux qu’on connaissait déjà de protection de la vie privée et de liberté du consommateur.
La réponse : pour moi, il faut marcher sur trois pieds.
Le premier, c’est celui que Claire vient d’évoquer, et bravo pour la récapitulation aussi rapide de tous ces textes. N’oublions pas que dans un monde où il y a une telle asymétrie de pouvoir entre le consommateur-citoyen et les GAFAM, les Baidu, Tencent, etc., que c’est d’abord à l’État, quand il est démocratique – et je crois que nous sommes encore, en Europe, en pays démocratiques, heureusement – de nous protéger. Je voudrais qu’on arrête de surcharger de responsabilités le citoyen, donc, d’abord à l’État nous protéger. Et effectivement, dans les règlements qui viennent de vous être présentés, on a des débuts, des premiers leviers qui vont permettre à la puissance publique de protéger le citoyen.
Je vais reprendre très rapidement quelques éléments qui ont été cités par Claire.
Ce que je note de particulièrement intéressant dans ces textes, c’est le début d’interopérabilité qui existe dans le DMA, qui est tout petit, parce que c’est l’interopérabilité uniquement sur les IM [Instant Messaging]. Ça veut dire que, demain, je pourrais être sur Signal et dialoguer avec quelqu’un qui est sur WhatsApp, alors qu’aujourd’hui je me bats pour faire migrer ma famille vers Signal [9]. Pourquoi vers Signal ? J’imagine, dans la salle, que vous le savez : c’est une fondation à but non lucratif qui utilise du logiciel libre, avec une gouvernance ouverte, et non pas un X entre les mains d’un maniaque. Oui, je suis gentille, j’essaye de ne pas trop m’emporter. Je pense que sur les IM l’interopérabilité c’est un début, c’est une avancée qui est très intéressante, mais on aurait besoin de l’étendre au-delà des IM, vers les réseaux sociaux, les médias sociaux, de manière à ce que je puisse être sur Mastodon et dialoguer avec quelqu’un qui est sur Facebook.
Deuxième point très important, qui a été mentionné par Claire, c’est la portabilité. Portabilité qui était effectivement déjà dans le RGPD, mais très peu actionnée. Là, on en remet deux couches, si je puis dire, avec le DMA et avec le Data Act, mais on a besoin d’aller jusqu’au bout de la logique. C’est-à-dire que, pour l’instant, ça reste des principes très théoriques. Il faut qu’on puisse les décliner de façon opérationnelle, de manière à ce que l’expérience utilisateur soit parfaite, c’est-à-dire que je puisse aller chez mon nouveau média social et, en deux clics, dire « va chercher mes contacts, va chercher mes contenus, etc., et rapatrie-les chez toi. » Aujourd’hui, on ne sait pas comment ça va se décliner. On sait très bien que le design du service numérique est un point d’atterrissage très concret qui conditionne nos libertés numériques.
Ça, c’est pour le premier pied qui est la réglementation.
Le deuxième consiste à faire monter des alternatives. J’ai commencé à en mentionner, j’ai parlé de Signal, j’ai parlé de Mastodon [10], je pense qu’ici, dans cette salle, tout le monde connaît, je n’ai pas besoin d’insister là-dessus, mais on voit que le diable peut être dans les détails. Vous prenez Bluesky, en ce moment, énormément de monde quitte X pour aller vers Bluesky, Bluesky est une entreprise qui est encore sur un format juridique classique, donc elle peut faire l’objet d’une OPA, d’un rachat. Il faut penser des statuts juridiques en s’inspirant de l’économie sociale et solidaire, type coopérative, fonds de dotation, etc., pour rendre autonomes ces entreprises et qu’elles ne puissent pas être attaquées. Il faut donc des initiatives solides avec des modèles économiques alternatifs de ceux qu’on connaît dans l’économie numérique dominante aujourd’hui.
Le troisième pied ce sont évidemment les citoyens eux-mêmes et ça passe par une culture numérique. Aujourd’hui, pas mal d’efforts ont été faits pour aider les gens à s’approprier un certain nombre d’usages, c’est très bien. Mais, au-delà des usages, on a besoin que les individus disposent d’une culture minimale sur l’écosystème numérique, sur son fonctionnement, de manière à ce qu’ils puissent comprendre en quoi choisir un service numérique devient aujourd’hui un acte politique. En fait, ce n’est pas choisir un bidon de lessive contre un autre, c’est vraiment un choix qui a des conséquences sur nos vies et qui a des conséquences sur nos sociétés.
Sarah Medjek : Merci beaucoup. Donc, quels sont peut-être des leviers pour que les citoyens puissent avoir véritablement un pouvoir d’agir, un pouvoir d’action au-delà de la protection ? Est-ce qu’un autre rôle est possible ? Par exemple, Claire évoquait tout à l’heure le data altruisme, est-ce que c’est une piste ?
Valérie Peugeot : J’ai un regard un peu critique sur le data altruisme, je ne vous le cache pas. D’abord, je n’aime pas l’expression, je trouve que ça a un côté « mes bonnes œuvres, je donne trois euros à la sortie de l’église ou dans la rue et de la même manière, je donne mes données. » Bon ! Pensons au-delà de la sémantique, mais, pour autant, la sémantique dit beaucoup de choses, ce n’est pas un hasard si ce terme-là a été choisi. Par ailleurs, je n’y crois pas, je ne crois absolument pas que ce qui a été implémenté avec ce texte va fonctionner. J’ai encore interrogé la CNIL très récemment pour savoir si le data altruisme se développait – puisque c’est la CNIL qui est en charge de la mise en œuvre du data altruisme – et il ne se passe rien, c’est encéphalogramme plat. Et pour cause ! Pour une entreprise, partager des données ça a un coût, évidemment, il faut les nettoyer, il faut les anonymiser, etc. Qu’est-ce qui va motiver une entreprise à contribuer au data altruisme ?
Il existe une autre notion, qui est aujourd’hui dans la loi pour une République numérique [11], dans la loi française, qui s’appelle les données d’intérêt général, que je trouve beaucoup plus intéressante. Les données d’intérêt général, qu’est-ce que c’est ? Déjà, le terme est intéressant : intérêt général plutôt qu’altruisme, ça dit beaucoup de choses. C’est le fait qu’une collectivité territoriale par exemple, plus généralement une puissance publique, c’est le cas d’une DSP, d’une délégation de service public, puisse récupérer les données qui sont collectées par l’opérateur ; elle puisse les récupérer pour son propre usage et elle puisse, le cas échéant, si elle le souhaite, les mettre en open data. C’est super intéressant parce que ça permet au commanditaire d’avoir une visibilité sur ce qui est fait avec ses données et ça évite que le prestataire enferme ces données.
Je pense qu’on aurait pu aller beaucoup plus loin dans le texte européen en s’inspirant des données d’intérêt général. Je ne dis pas qu’il fallait faire du copier-coller, mais s’inspirer de cette philosophie.
On a quelque chose qui commence à aller dans cette direction dans le Data Act. La puissance publique peut en quelque sorte « réquisitionner » – c’est moi qui emploie ce terme, il n’apparaît pas comme ça dans le texte – les données d’un acteur privé dans des situations extrêmes, comme une pandémie au hasard, une catastrophe naturelle, etc. À ce moment-là – et c’est là où le diable est dans les détails, il y a des talons d’Achille dans le texte –, si et seulement si les données ne sont pas accessibles sur le marché, la puissance publique peut exiger l’accès à ces données. Je pense que cette possibilité est essentielle, non pas pour le citoyen individuellement mais, pour répondre à ta question, Sarah, pour les citoyens collectivement. Nous devons penser collectif sur cette question-là.
Je regrette, parce qu’il y a eu un lobbying intense, que les cas de réquisition – encore une fois, le terme est un peu violent –, les cas où la puissance publique puisse accéder à ces données soient aussi limitatifs. J’ai le souvenir de choses qui se sont passées pendant la pandémie Covid-19 : mon employeur refusait de partager les données de mobilité avec les autorités publiques gratuitement. Il voulait les faire payer alors que ces données de mobilité, pour pouvoir comprendre comment la pandémie se répand, comment elle circule, étaient absolument essentielles. Pour moi, cela ne devrait pas être possible, on ne devrait pas avoir à payer pour pouvoir veiller à cet intérêt collectif à partir des données. Par ailleurs, la puissance publique devrait pouvoir accéder à ces données dans des situations moins extrêmes.
Sarah Medjek : Merci beaucoup.
Constance, un peu la même question. On voit qu’il y a un cadre juridique, qu’il y a d’autres dispositifs, comme le data altruisme. Est-ce qu’il y a aussi d’autres outils que le citoyen peut activer, en tout cas auxquels il peut prendre part pour jouer un rôle plus actif ?
Constance Nebulla : Bonjour à tous. Bonjour Messieurs… Dames. Je crois que c’est la première fois que je fais une table ronde où il y a plus de femmes sur scène que dans le public ! Et bon anniversaire Clever Cloud.
Merci pour l’invitation, pour les questions.
Par avance, j’ai une casquette, j’ai un point de vue moins technique, moins professionnel, qui est un point de vue d’élue. Ça fait un peu plus de dix ans que je suis élue sur les sujets numériques, je vais donc avoir le point de vue des collectivités locales et les retours qui sont parfois très éloignés de tout ce qui se passe, je dirais en haut, à l’échelle européenne, dans les réglementations, etc., et sur la « concrétisation », entre guillemets, sur le terrain.
Beaucoup de choses ont été dites sur lesquelles j’ai envie de revenir.
La première, c’est déjà le fait de qualifier et d’avoir une définition claire de ce que sont les données. Ce n’est que depuis le Data Act que l’on a enfin une définition européenne de ce qu’est la donnée, de ce que sont les données. Si vous demandez au grand public, dans la rue, « c’est quoi une donnée ? », personne ne va vous dire « c’est ce que je mets sur les réseaux sociaux, c’est ce que je partage sur mon smartphone. » Les gens ne savent pas. La réalité, c’est qu’ils ne savent pas. Le problème vient aussi du manque de pédagogie et du fait que ce ne soit pas quelque chose qui soit ancré en termes de culture, une culture de la donnée. C’est un truc d’experts, c’est un truc qu’on partage dans cette salle, mais qui ne touche pas les citoyens aujourd’hui. Maintenant, on a une définition européenne de ce que c’est la donnée, de ce que sont les données.
On a parlé de data altruisme. On peut effectivement être plus ou moins en faveur de ça, mais ce qui compte tout de même, ce qui m’a intéressée, c’est cette notion de marché de la donnée. Je ne trouve pas que ce soit un gros mot, au contraire, qui dit marché, dit effectivement consommateurs, mais qui dit consommateurs, dit à la fois régulation mais aussi protection. À partir du moment où on a un marché, on a forcément la partie qui régule, qui protège et qui encadre. Quand on n’a pas de réglementation, on n’encadre rien et, du coup, c’est la porte ouverte à toutes les fenêtres.
C’étaient les petits mots que je voulais évoquer par rapport à ça.
Sur la loi pour une République numérique que vous avez évoquée, qui part de plein de bonnes intentions, mais très concrètement, plein de choses qui ont été votées en 2016, avec la loi pour une République numérique, ne sont toujours pas en place aujourd’hui en 2025. Par exemple, sur les données d’intérêt général, il y a énormément de décrets d’application qui ne sont jamais parus. C’est quelque chose qu’on ne connaît pas, que le public ne connaît pas, ce qui fait, tout simplement, que ce n’est pas mis en place.
Il y a aussi une différence, là je fais un peu plus de politique, entre les annonces, l’affichage, et la réalité effective. C’est aussi pour cela qu’on se retrouve à faire une table ronde sur données et citoyens en 2025, alors que ça fait dix ans qu’on parle de tous ces sujets. Je veux aussi remettre les choses dans ce sens-là.
Maintenant, plus concrètement dans une collectivité, vous avez vu que j’ai aussi la casquette OpenDataFrance, typiquement, je prends l’exemple de l’ouverture des données. Depuis la loi pour une République numérique, les collectivités territoriales de plus de 3500 habitants ont l’obligation d’ouvrir leurs données. On est en 2025, 16 % des collectivités de plus de 3500 habitants ouvrent leurs données. Pourquoi ? Parce qu’en fait personne ne le sait, que ça n’a pas été accompagné et surtout, on n’arrive pas à valoriser la plus-value de l’ouverture des données. Dans les citoyens, je mets les élus. On a un manque critique de pédagogie, de sensibilisation pour faire comprendre que la donnée est un outil d’aide à la décision publique, donc à l’action publique.
Dans un contexte où, quand on est élu, on a éventuellement de plus en plus d’habitants dans sa ville – en tout cas, c’est le cas à Angers, puisque c’est la première ville de France où il fait bon vivre –, on a de moins en moins d’argent – contraintes budgétaires –, on a les défis écologiques. On doit donc pouvoir s’appuyer, en tant qu’élus, sur tous les outils technologiques et numériques qui sont permis pour pouvoir être plus efficaces et plus efficients et la donnée en fait partie. C’est vraiment mon cheval de bataille : comment faire comprendre à des élus, à des services donc, bien entendu, pour l’habitant, de l’intérêt de l’utilisation de la donnée dans la manière de piloter les politiques publiques. Ça veut dire qu’on dépasse le cadre de l’open data.
Comme vous avez fait une introduction sur l’IA, ça amène au sujet suivant qui, peut-être, va interpeller en ce moment, c’est qu’il n’y a pas d’IA sans data et tous les maires qui, éventuellement, veulent surfer sur une vague un peu tendance « oh !, il y a ChatGPT, c’est super populaire, faisons du marketing, mettons de l’IA dans notre collectivité », c’est bullshit, je le dis entre nous. Si, en amont, vous n’avez pas traité vos données, analysé, créé un service dédié, qu’il n’y a pas des référents data dans les directions métiers, que vous n’avez pas instauré un minimum de gouvernance, le reste, c’est pour la façade, c’est pour la communication. Le biais de l’IA, qui est un peu populaire en ce moment, permet de faire comprendre que c’est peut-être le temps de monter en maturité et en gamme au niveau de la gestion de la donnée.
Quelques exemples très concrets. À Angers, on a mis en place une stratégie métropolitaine de la donnée [12] et, pour cela, on a associé un groupe d’habitants, 200, qui se sont mobilisés pour écrire cette stratégie. C’est un an de travail. C’est une stratégie qui est à la fois politique, mais c’est aussi une méthodologie pour les agents, pour monter en maturité dans l’administration, dans les services publics. En gros, qu’est-ce que ça veut dire ? Ça veut dire que, maintenant, on a un cadre de gouvernance, on a une doctrine. Au lieu que ce soit comme avant, on avait de la donnée, on n’avait pas de cadre, aujourd’hui, on en a un. Je différencie cadre et réglementation, mais au moins, disons que maintenant c’est bordé. Au même titre qu’on a une stratégie pour l’alimentation, une stratégie pour l’eau, une stratégie pour l’énergie, il faut une stratégie pour la donnée. Pour cela, on a associé le Conseil du développement et le Conseil Local du Numérique [13] que j’évoquerai peut-être après. On s’est rendu compte que c’est un sujet qui intéressait les gens. Si on prend le temps de faire de la pédagogie, d’expliquer à quoi ça sert, en fait l’usage de la donnée et pas la donnée pour la donnée, ou l’open data pour l’open data, l’usage, à quoi ça sert, eh bien on arrive à capter le grand public.
Sarah Medjek : Merci beaucoup.
Valérie a effectivement évoqué tout à l’heure le rôle de l’acteur public. Plus spécifiquement, les collectivités territoriales, on en parlait hier, sont le maillon vers lequel les citoyens ressentent encore de la confiance, notamment sur des sujets liés aux données. Quelles sont les actions que les collectivités territoriales peuvent mettre en place et, finalement, quel portage politique peut-il y avoir à ce niveau-là ?
Constance Nebulla : Déjà le portage politique, on ne va pas se mentir, est très peu existant, au niveau local comme au niveau national. Ça fait 11 ans que je suis sur ces sujets-là et je croise toujours les mêmes élus. Il n’y a pas énormément de turnover dans les élus impliqués sur les sujets numériques, que ce soit au niveau municipal, départemental, régional ou au niveau national. Et on le voit bien au niveau national, la place de la question de la donnée, des sujets numériques, est complètement disséminée un peu partout, il n’y a pas de vraie gouvernance nationale. J’ai vu madame Chappaz il y a dix jours, je lui ai dit « tant qu’on a pas de gouvernance des données, on pourra faire tous les sommets de l’IA qu’on veut ! » Qui, pendant le Sommet de l’IA [14], parle de la gestion de la donnée, de son interopérabilité, de son partage, de sa gouvernance, etc. ? Ce n’est pas du tout au rendez-vous. Je lui ai dit droit dans les yeux « si vous voulez capter vraiment sur l’IA, au lieu de faire des annonces un peu waouh ! type on va sensibiliser les scolaires à l’IA, sensibilisez-les à l’e-réputation, à ce qu’ils mettent en ligne, au cyber-harcèlement. » Tout cela, c’est de la donnée et c’est cela qui va alimenter l’IA. » Bref ! Tout cela que pour dire qu’au niveau national, la prise en compte politique n’est quand même pas dingue. Je vais rester polie, très polie.
Au niveau local, en fait, aujourd’hui, on est en mode débrouille. Si on a des élus impliqués sur ces sujets-là, on arrive à créer des choses. Je vais vous citer au moins une initiative. Dans ce mandat, j’ai voulu créer une nouvelle instance citoyenne à Angers dédiée aux questions numériques, ça s’appelle le Conseil Local du Numérique. Je me suis inspirée du Conseil national du numérique [15], on a donc créé une instance locale où on s’est dit : on va proposer à des gens qui ne sont pas des techniciens, qui ne sont pas des experts – et pas ceux que j’appelle des citoyens professionnels, c’est-à-dire ceux qu’on voit dans toutes les réunions de quartier, à tous les événements, etc.– , donc à des vrais gens, de s’exprimer sur les politiques publiques numériques ; ça peut être sur l’application de la ville, ça peut être sur la démondialisation, la simplification, l’inclusion numérique, etc. On fait passer la délibération au conseil municipal, etc. Angers ce sont dix quartiers, on s’est dit « on va mettre 40 personnes, quatre par quartier, mixité, etc. » Et le maire me dit « si tu as 40 personnes la première année, ce sera déjà pas mal. » On a eu 185 candidatures, il a donc fallu faire venir un huissier, faire un tirage au sort, etc. La deuxième année, on a eu plus de 150 candidatures et là on est sur le troisième mandat. Le résultat, c’est quoi ? C’est que les gens veulent absolument s’impliquer alors qu’ils n’y connaissent parfois rien du tout. Mais comme sur n’importe quel sujet, les gens ont un avis, même s’ils ne sont pas experts, parce que ça les concerne dans leur vie du quotidien : on parle de service public et d’action publique.
La première année et la deuxième année, on leur a demandé d’exprimer eux-mêmes les thèmes sur lesquels ils voulaient travailler. La première année, on a eu plutôt des choses liées à la simplification, l’inclusion, etc. ; la deuxième année on a eu l’IA, la data, le numérique responsable. Ce sont d’autres personnes et là encore, pour la troisième année, encore d’autres personnes. On les a fait travailler sur la stratégie métropolitaine de la donnée. Ça veut dire qu’on a fait toute une soirée, trois heures, une fresque de la donnée. Ils ont tous appris énormément et après, ce sont des relais, bien entendu, de cette question-là.
Cette année, on va travailler sur l’IA de la même manière qu’on l’a fait sur la donnée, il fallait commencer par la donnée, on va avoir un cadre, une stratégie métropolitaine de l’IA. Il fallait d’abord commencer par la donnée. Donc, là, on va les impliquer. Ils sont hyper-contents. Ça sort du débat « pour ou contre ChatGPT, il faut l’interdire dans l’administration ». Il faut vraiment sortir de tout ça.
Cette initiative fonctionne très bien. Nous sommes deux, en France, à avoir ce type d’instance, Angers et Rennes. Il y a pas d’élus ici ! J’invite les personnes impliquées éventuellement à venir habiter à Angers et s’y impliquer soit à faire passer le message.
Après, il y a des sujets, il faut être honnête, qui n’intéressent pas les gens et on ne va pas les forcer. Je prends un deuxième exemple. Quand on parle de territoire intelligent, de jumeau numérique, de données géographiques, de capteurs, etc., et qu’on dit « oh, là, là, est-ce que, dans le cadre de la smart city, vous avez fait des débats citoyens, vous avez intégré les habitants, etc. ? ». La vérité, c’est qu’on a essayé, mais, en fait, on s’en fout qu’on appelle ça smart city, territoire intelligent ou autre. Le but, c’est que le service public soit rendu, que ça fonctionne et que ça respecte effectivement le parcours des usagers en ville, etc. Je me fiche de savoir si ce que je fais c’est territoire intelligent ou pas territoire intelligent, c’est du bon sens par rapport à la gestion sur l’eau, les déchets, la biodiversité, etc.
Encore une fois, il ne faut pas non plus tomber dans le cliché inverse, c’est-à-dire pratiquement obliger tout le monde à être des experts de la donnée, ce ne sera jamais le cas, mais toujours rester sur l’usage et la question du service public – forcément, j’ai ma casquette d’élue – pour faire comprendre l’intérêt. Pour moi, tant qu’on n’arrêtera pas de parler des outils – typiquement ChatGPT, MidJouney ou autre –, quand on parlera des usages plutôt que des outils, là on intéressera les gens.
Sarah Medjek : Merci beaucoup, Mesdames, pour ces éclairages très riches.
Si je comprends bien, aujourd’hui la protection des données est un véritable enjeu, et ça l’est depuis 10 ans, ou même plus, ça l’est depuis 15 ans. J’ai l’impression que beaucoup de choses sont théoriques, un cadre juridique très fourni, mais on a un peu de mal à passer à une partie beaucoup plus concrète, finalement faire atterrir tous ces textes. Donc, tout se joue à l’échelle locale où il y a beaucoup plus d’accompagnement et peut-être de pédagogie à apporter.
Valérie Peugeot : Oui, c’est le rôle, évidemment, des collectivités territoriales, de la puissance publique en général. Mais, je peux en témoigner, c’est aussi le rôle des autorités administratives indépendantes, comme la CNIL et d’autres ; elles ont aussi un rôle très concret à jouer dans l’atterrissage de ces textes. C’est-à-dire rendre ces textes consommables, compréhensibles et accompagner les acteurs à la fois dans l’appropriation qu’ils en font, dans une appropriation qui ne soit pas incompatible avec l’innovation. Pour l’avoir vécu de l’intérieur pendant plus de huit ans à la CNIL, c’est tout à fait possible, quoi qu’on en dise. Vous entendrez des discours horribles sur la CNIL qui empêche l’innovation, etc. En vérité, bien sûr, la CNIL porte un volet répressif avec des sanctions et on en a besoin mais il est sur-médiatisé par rapport au reste. En effet,le gros du travail des services de la CNIL, en permanence, consiste à écouter les acteurs et à construire des déclinaisons opérationnelles des textes, à les accompagner dans l’appropriation des textes, de manière à rendre possible leurs innovations technologiques. C’est possible, ça se fait au quotidien, et c’est vraiment ça qu’il faut penser aujourd’hui.
Constance Nebulla : Pour cela, il faudrait « passer commande » à la CNIL, entre guillemets.
Valérie Peugeot : Mais la porte est ouverte.
Constance Nebulla : Je parle d’en haut. Aujourd’hui, on a une multitude d’instances, mais, encore une fois, tant qu’il y a pas une politique, je dirais plus générale, soit européenne, soit française, et qu’on donne les moyens à la CNIL de faire ce pour quoi elle est censée agir. Je veux bien la CNIL, mais, en tant qu’élue locale, je n’ai jamais croisé la CNIL.
Valérie Peugeot : Un texte spécifique a été coconstruit avec les acteurs territoriaux pour la déclinaison spécifique du RGPD ; il a été coconstruit il y a déjà plusieurs années et, régulièrement, il y a des accords passés avec l’association des maires de France et autres instances représentatives de collectivités territoriales. Après, je vous rejoins complètement sur le fait que les moyens de la CNIL sont ce qu’ils sont, c’est à dire limités [au regard de la diversité des enjeux à porter, accompagnement, contrôles, sanctions, Note de l’intervenante], donc ils sont en permanence débordés. Et quand je dis que la porte est ouverte, c’est que n’importe quelle entreprise ou institution peut aller vers le service qui s’appelle le service de l’accompagnement à la conformité, son nom est clair, pour demander une aide quand elle est devant un obstacle juridique. Lorsque le DPO [data protection officer], la personne à l’intérieur de l’organisation qui est censée aider sur ces aspects juridiques, se heurte à une question qu’elle n’est pas capable de résoudre, elle peut consulter la CNIL. Mais c’est vrai, là je suis complètement d’accord, que les moyens ne sont pas à la hauteur des enjeux. Et aujourd’hui, il y a tout un débat autour de l’IA. La CNIL travaille depuis des années sur les questions d’intelligence artificielle, elle n’a pas attendu l’IA Act [16], un autre texte qu’on n’a pas eu l’occasion d’évoquer, pour réguler les algorithmes en général et l’IA en particulier, mais le gouvernement français n’a toujours pas décidé qui serait l’autorité nationale en charge de la déclinaison de l’ IA Act. Pourquoi ? Parce que certains ministères, que je ne citerai pas, s’opposent à ce que ce soit la CNIL, au nom soi-disant de l’innovation. Et je pense que ça va être absolument terrible pour vous tous, pour les acteurs qui sont sur le terrain, parce que vous aurez affaire à une multiplicité de guichets, d’instances, soi-disant au nom de l’innovation, alors qu’il faudrait qu’il y ait un guichet unique qui puisse vous accompagner dans cette appropriation de ces nouveaux enjeux réglementaires et opérationnels.
Claire Levallois-Barth : On voit ici qu’on a une multiplication exponentielle des réglementations au niveau européen, qui sont transposées au niveau français, par des actes d’exécution au niveau européen, par des décrets qui ne sont pas pris. En fait, un des problèmes, c’est l’inflation législative. L’IA Act, je ne sais plus, ce sont 168 pages ; e-IDAS, vient modifier un autre règlement. C’est impossible ! Même nous, chercheurs et enseignants, académiques, universitaires, on n’en peut plus de tous ces textes. Il est impossible de suivre. On ne sait plus comment faire cours, on ne sait plus par quel bout prendre le truc. Il faut quand même revoir la production même du droit. Si on ne le fait pas, c’est peine perdue, c’est une goutte d’eau dans un océan, donc il faut la revoir, mais dans le bon sens, pas pour aller dans l’innovation à tout-va, etc. Il y a vraiment une réflexion sur la fabrication de la norme juridique à avoir, parce qu’en plus les entreprises ne savent pas comment appliquer cette norme, même celles qui font tout pour savoir comment l’appliquer, elles ne savent pas. Les textes et les déclinaisons n’existent pas ! Il y a une demande des entreprises, à commencer sur l’IA Act : « Dites-nous ce qu’on doit faire, on va le faire ! » On a quand même un gros problème.
Valérie Peugeot : Il faut voir le temps que ça a pris pour le RGPD, c’est-à-dire qu’il y a un temps d’atterrissage du texte. Il a été adopté en 2016, entré en vigueur en 2018. Pour avoir rejoint la CNIL à ce moment-là, en 2016, j’ai vu le temps d’atterrissage, c’est-à-dire toutes les consultations qui ont été mises en place pour décliner un texte qui est un texte très générique. On ne peut pas tout mettre dans le texte, sinon on serait dans l’inflation législative ; il faut ensuite le décliner, notamment avec des outils de droit souple, comme des référentiels, secteur par secteur, de manière à ce qu’il soit, c’est ce que je disais tout à l’heure, compréhensible, mobilisable, opérationnel pour les acteurs sur le terrain.
Constance Nebulla : Je ne suis pas juriste, mais je vais me permettre d’avoir un point de vue qui est beaucoup plus simple, qui est vraiment la réalité de la déclinaison ou des pseudos déclinaisons juridiques au local. Par exemple, sur le RGPD, une mention indique qu’il faut que toutes les collectivités, administrations publiques, aient un référent protection des données, avec un référent CNIL, etc. Il doit aussi tenir des tableaux spécifiques de données et surtout, permettre aux individus de réclamer à la collectivité de lui rétrocéder toutes les données qui le concernent, il a le droit de demander « je veux que vous supprimiez complètement toutes les données que vous avez sur moi, hop !, vous me les envoyez et basta, vous ne les avez plus. » En dix ans, on a eu deux demandes !
Je veux bien faire du droit, je veux bien faire des règles, je veux bien faire des réglementations, je veux bien faire des normes, je veux bien faire des trucs, mais la réalité ! Soit ça n’intéresse pas, soit ce n’est pas connu, soit ce n’est pas utile, soit on pourrait peut-être mettre l’énergie ailleurs. Pardon ! Encore une fois, on est là très éloignés du citoyen et du grand public, pour le coup. C’est simplement un avis là-dessus. Et après, par exemple sur l’IA, vient d’être annoncée une nouvelle organisation, un Institut de régulation sur l’IA [17]. J’adore ! Nous sommes les derniers dans la course de l’IA, mais on a un Institut sur la régulation, c’est génial !
Valérie Peugeot : Sans équipe et sans argent !
Constance Nebulla : Voilà ! Mais, encore une fois, c’est super pour le marketing, etc. Pardon, tout cela est une question politique. Encore une fois, c’est une question de gouvernance. L’échelle européenne est la bonne parce que le numérique n’a pas de frontières, néanmoins, le problème de l’Europe, c’est que ça passe son temps à réguler. C’est un autre avis !
Au niveau français, il faut déjà qu’on évite de sur-transposer par rapport à l’Europe, il faut qu’on évite de doublonner, Il faut qu’on simplifie au maximum mais surtout, il faut un portage politique, il faut une gouvernance. Je prends l’exemple de la cybersécurité. J’ai été auditionnée au Sénat mardi dans le cadre de la directive NIS 2 [18], qui est donc sur la cybersécurité, une autre directive européenne qui va concerner notamment les collectivités, et j’ai indiqué au Sénat que seules 24 % des équipes informatiques sur 500 décideurs étaient au courant de NIS 2, c’est entré en vigueur là et c’est leur métier.
On a, de toute façon, un immense gap entre le droit, les annonces et ce qui se passe factuellement sur le terrain.
Sarah Medjek : Merci beaucoup, Mesdames, pour cet échange passionné. Je vois qu’il y a encore plein de défis à relever. On essaiera de suivre tout ça.
Merci et merci à vous d’avoir participé.
[Applaudissements]