Intervention de Daniel le Métayer

Monsieur Gibert, vous avez bâti une société sur l'éthique et la protection des données. Quelle est aujourd'hui, pour une entreprise, la valeur ajoutée de la vie privée – sans doute variable selon le secteur d'activité et le degré de contact de l'entreprise avec le public ? Si cette valeur ajoutée n'existe pas encore, la sentez-vous venir ? Sinon, comment la susciter ?

Monsieur Tabaka, vous dites vouloir accorder aux utilisateurs le contrôle sur leurs données. Or il s'agit d'un des sujets sur lesquels le groupe de travail Article 29 vous a fait des reproches ; le pack de conformité qu'il a récemment publié vous interpelle sur la transparence, le contrôle et la durée de conservation des données. Comment y répondez-vous ? Mettez-vous en oeuvre certaines de ses recommandations ? La loyauté de votre algorithme de classement des pages fait également débat. Une façon de prouver votre bonne foi serait d'accepter qu'une autorité indépendante – par exemple la CNIL – audite régulièrement cet algorithme en constante évolution pour s'assurer qu'il traite les différents acteurs de manière égale. Êtes-vous prêts à entrer dans ce jeu de la responsabilité ? Sinon pourquoi ?

Monsieur Bellanger, le chiffrement constitue une mesure technique nécessaire qu'il faut davantage employer, mais non la solution ultime à tous les problèmes. Vous semblez avoir entremêlé deux aspects : le chiffrement et l'anonymisation. En effet, on rencontre de moins en moins une alternative – pouvoir ou non accéder à une donnée –, et de plus en plus des situations où l'on peut accéder à des données agrégées, simplifiées et regroupées, comme vous l'avez suggéré en filigrane dans votre exemple de la fréquentation du musée. Mais plus que de trois niveaux précis que vous avez distingués – données anonymes, données couvertes pas des pseudonymes ou des profils et données identifiant pleinement une personne –, il s'agit d'un continuum de données plus ou moins susceptibles d'identifier l'individu. Les autorités de protection ont travaillé sur cette question : le groupe Article 29 a récemment publié un guide qui définit les règles du jeu, précisant ce qu'est un bon algorithme d'anonymisation et dans quel cas on peut considérer qu'un jeu de données est réellement anonyme. Cette mesure me semble aller dans le sens de vos préconisations.