Chaque semaine, Assas Legal Innovation part à la rencontre de professionnels afin d’échanger sur le thème de l’innovation en droit.
Pour cette nouvelle édition, Georges Lebauvy a rencontré Maître Olivier Iteanu, avocat au barreau de Paris.
Il fera partie des intervenants lors de notre conférence organisée jeudi 13 décembre sur la question de la patrimonialisation des données personnelles.
Pouvez-vous vous présenter, évoquer votre parcours professionnel et académique, ainsi que votre cabinet ?
Je m’appelle Olivier Iteanu. J’ai fait des études universitaires traditionnelles en droit. J’ai effectué un 3ème cycle en propriété industrielle puis, un peu plus tard, un second 3ème cycle en droit des activités spatiales et télécoms, alors que j’étais déjà avocat. En effet, le secteur des télécommunications était un monopole étatique et industriel, passé en marché privé en 1998, j’ai donc complété ma première formation, au milieu des années 90. Je suis devenu avocat en décembre 1988 et j’ai fondé le cabinet ITEANU en 1989.
Qu’est-ce qui vous a amené à vous diriger vers le secteur du numérique à cette époque ?
On ne parlait à l’époque pas de numérique, mais d’informatique. J’étais un utilisateur d’Apple II GS, je trouvais ça amusant. J’ai fait mes études universitaires de 3ème cycle entre 85 et 87. Or, il y avait à l’époque un grand débat sur la protection intellectuelle et le logiciel. Il s’agissait de savoir si le logiciel était protégé par le droit de la propriété intellectuelle, et si oui, si serait ce par le droit des brevets ou le droit d’auteur ?
La loi relative aux droits d’auteurs est passée le 3 juillet 1985, donc, quelque part, je suis « né » avec la propriété intellectuelle, avec les droits du logiciel.
C’est ce qui m’a aussi poussé à aller vers ce secteur, c’est l’effet générationnel, et ce, d’autant plus que ceux qui étaient dans le secteur du logiciel étaient de ma génération. À l’inverse il n’y avait pas beaucoup de professionnels installés qui étaient intéressés par la matière. C’est donc naturellement que je me suis dirigé alors vers ce qu’on appelait le droit de l’informatique et la propriété intellectuelle.
Comment intervenez-vous aujourd’hui auprès de vos clients ? Vos compétences sont-elles plus requises en contentieux ou en conseil ?
Aujourd’hui l’activité se concentre sur le droit du numérique et nous comptons quatre pôles au sein du cabinet. Tout d’abord, le pôle historique, c’est à dire la propriété intellectuelle, avec le droit du logiciel, le droit des bases de données, le droit des créations numériques. Il y a aussi le pôle qui nous occupe le plus en 2017/2018: le pôle, données personnelles, avec également la défense de la vie privée et de la e-réputation, la dernière thématique étant surtout du domaine du droit de la presse. Enfin, nous avons deux pôles concernant respectivement la cyber sécurité et le E-commerce. C’est le droit du numérique qui nous caractérise le mieux.
Notre activité pendant longtemps se partageait à moitié entre le contentieux et le conseil. En fait, la balance dépend de la situation économique. Lorsque la conjoncture économique est favorable, il y avait plus de conseil, à l’inverse lorsqu’elle est moins favorable, il y a plus de contentieux. Aujourd’hui le RGPD a amené une particularité, puisque l’on a 70% conseil en 2018.
Est-ce que les nouveaux droits accordés aux personnes, tel que le droit à l’oubli ou le droit de s’opposer à l’utilisation de nos données et droit sont de vraies avancées ?
Le droit de s’opposer au traitement n’est pas nouveau puisque déjà prévu par la Loi informatique et liberté de 1978. Le droit à l’oubli est nouveau dans la Loi et c’est un vrai droit, mais ce n’est que la légalisation d’une jurisprudence Google Spain de la CJUE (Google Spain, SL, Google Inc / Agencia Española de Protección de Dato). En revanche, le droit à la portabilité des données est un droit nouveau.
En fait, la personne concernée, celui qu’on appelait le fiché en 1978, c’est à dire le citoyen, le consommateur, l’étudiant, le salarié est au centre de cette réglementation. Les personnes physiques sont sans voix et ne sont pas très représentées au milieu d’intérêts colossaux, mettant au prise les responsables de traitement et les sous-traitants, entrés dans la réglementation, qui sont tous les prestataires techniques auxquels l’on va recourir. Tout est donc tourné vers la personne concernée, c’est à dire la personne physique, la natural person en anglais, terme plus pertinent, qui devient le data subject si elle est soumise au RGPD. Le cœur du RGPD est de redonner le contrôle de ces données aux personnes physiques.
Il est trop tôt aujourd’hui pour dire si le RGPD va répondre aux attentes et si ce sont de vraies avancées mais c’est notre dernière chance, car la technologie permet beaucoup, voire tout. Nous sommes connectés les uns aux autres via les réseaux numériques. L’enjeu est dans la finalité, est-ce que ces technologies, qui nous rendent des services formidables, vont nous asservir ou nous libérer ? Est-ce qu’elles vont mettre l’humain au centre de tout ou bien est-ce que l’on l’on sera un numéro, un consommateur sans droit ? C’est tout l’enjeu du RGPD.
J’attire l’attention sur le fait que le RGPD crée des nouveaux droits, mais aussi de nouveaux recours, puisque la personne concernée a la possibilité de poursuivre le responsable de traitement, le sous-traitant, c’est à dire le prestataire technique avec qui il n’est pas en contact, en responsabilité. C’est l’article 82 du Règlement (responsabilité solidaire entre les deux toute la chaine est responsable). Il y a également une action de groupe prévue dans la Loi CNIL3 dans l’article 43 ter. Il y a des sanctions administratives de la CNIL. Il y a enfin tout le volet pénal de la loi de 78 qui perdure avec le RGPD.
Enfin, le RGPD a un premier mérite déjà qui est, pendant deux ans, d’avoir hyper sensibilisé les gens à la protection des données personnelles. L’Europe est dans le vrai lorsqu’elle promulgue cette réglementation.
Il existe une conception différente selon les cultures juridiques de l’utilisation qui doit être faite de nos données personnelles.
En Europe on considère que l’on doit contrôler nos données . En revanche, aux Etats-Unis on a une vision plus marchande de l’utilisation des données.
Les GAFA et les entreprises chargées de traiter nos données personnelles ayant une conception plus patrimoniale des données, est-ce que le combat n’est pas déjà perdu pour le citoyen européen ordinaire dans la protection de ses données ?
C’est une thématique fondamentale, à savoir, est-on capable de défendre notre état de droit ou pas ? Nous avons des valeurs qui sont radicalement différentes de celles des américains, qui ont une vision marchande. En principe, une fois que l’on a vendu les données, on en a perdu le contrôle. Or, on considère en Europe qu’à partir du moment où il est question de nos données personnelles, il s’agit d’un attribut de notre personnalité qui n’est pas dans le commerce. La conséquence est logique : même si l’on a donné son consentement, la base légale « majeure » du RGPD mais qui n’est pas la seule (le contrat, la Loi etc. …), pour collecter des données, on peut décider dans la seconde de retirer ce consentement et donné le consentement doit être retiré. Il ne s’agit pas de concurrencer les autres puissances, l’actualité quotidienne donne raison à l’Union européenne : Facebook a perdu fin septembre 2018, 80 Millions de données, il ne s’est rien passé par la suite et ce n’est pas normal. Nous rencontrons aussi des problématiques liées à l’espionnage industriel et l’atteinte aux données personnelles peut potentiellement avoir pour conséquence une atteinte à la vie privée. Donc, ça pose de vrais problèmes et je ne vois pas d’autre moyens que la loi, pour limiter, pour réguler, mais pas interdire, afin de permettre que le business se fasse dans le respect des êtres humains.
C’est une question de volonté, ce qui nous a d’ailleurs manqué pendant 15 ans, en Europe en particulier. Le RGPD est un outil et c’est au citoyen, à travers des actions de groupes, notamment celle que j’ai lancée au travers de l’ISOC E-BASTILLE contre Facebook, mais aussi grâce aux actions individuelles, aux autorités de contrôles (CNIL) et aux autorités publiques, d’utiliser cet outil pour faire respecter nos valeurs.
Est-ce que l’on ne tend pas vers une disparition de notre particularisme européen du fait de la nécessité d’adaptation aux GAFA ?
Je ne sais pas s’il y a une particularité européenne. Il y’a une réglementation particulière. On a sûrement perdu la bataille des technologies et des usages vis-à-vis de la Chine et des USA, mais l’un et l’autre sont intéressés par une chose, les 500 Millions de consommateurs européens. Si on est souverain, on décide des conditions d’accès à ces 500 millions de consommateurs et des droits et garanties qu’on leurs donne, malheureusement on l’a oublié.
Est-ce que l’accentuation des contrôles et des régulations, notamment la présence d’un délégué à la protection des données ralentissent les entreprises ?
A terme, les mises en conformités se feront naturellement. Nous pouvons prendre comme parallèle, le droit, fiscal et comptable. Qui aujourd’hui, remettrait en cause le fait qu’une entreprise tienne des comptes conserve la documentation associée et désigne un commissaire au compte, lorsqu’un certain seuil est dépassé ? Personne, pas même une TPE. Ça paraît naturel. Il faut laisser le temps au temps, le RGPD va se mettre en place progressivement et les régulations paraîtront naturelles à tout le monde.
N’y a t-il pas à l’heure actuelle une contradiction entre la validation par le Conseil d’Etat du fichier TES et l’application du RGPD qui prévoie une meilleure protection des données personnelles ?
Il n’y a pas de contradiction car l’Etat français est soumis à la CNIL, comme n’importe qui, c’est pour cela que l’on a créé une autorité administrative indépendante. L’Etat français est soumis à la CNIL, il réalise ce type de traitement, mais il peut être contrôlé. Néanmoins, on a pu voir qu’à chaque fois que Facebook était attrait devant une autorité administrative française, le Facebook Etats-Unis a déclaré ne pas considérer que l’autorité était compétente à son égard. Ils ont d’ailleurs refusé, de se présenter en mai 2017 lors de leur dernière condamnation.
Est-ce qu’il y a des lacunes aujourd’hui dans le RGPD, qu’est-ce qu’un praticien du droit attend aujourd’hui des futures législations en matière de protection des données ?
Il y a forcément des lacunes. Mais on est dans un état d’esprit où le RGPD est en application. Il faut laisser le temps aux praticiens, aux juges, à la population, à la pratique, au terrain. Il faut laisser les textes vivres. On ne peut pas être en réforme permanente de la régulation. C’est une approche pragmatique. Il faut laisser vivre le RGPD, aussi imparfait soit-il. La jurisprudence joue son rôle. Elle va venir préciser les points à préciser. Elle va venir contredire la CNIL, ou confirmer la CNIL. Il faut que la doctrine et les tribunaux jouent aussi leur rôle. Enfin, il est prévu en 2020 un review de la régulation.
