1
00:00:09,500 --> 00:00:28,000
[Générique] L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni au x libertés individuelles ou publiques.

2
00:00:29,100 --> 00:00:38,200
[Aeris] Bonjour et bienvenue dans le septième épisode de RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée. Bonjour Benjamin.

3
00:00:38,200 --> 00:00:46,100
[Benjamin] Bonjour Aeris, alors aujourd'hui on va vous raconter une petite histoire, une petite histoire autrichienne, l'histoire de Max Schrems.

4
00:00:46,100 --> 00:00:48,600
[Benjamin] au pays de Facebook.

5
00:00:54,000 --> 00:00:57,450
[Benjamin] Alors notre histoire commence en 2012.

6
00:00:57,950 --> 00:01:03,150
[Benjamin] Et donc c'est l'histoire du petit Max Schrems que Aeris va nous raconter ce soir.

7
00:01:03,150 --> 00:01:16,600
[Aeris] Donc Max Schrems est un petit étudiant à l'époque qui a 25 ans, qui milite pas mal dans le milieu de la vie privée, qui est aussi actif, pas sur le RGPD, puisque du coup 2012 il n'y avait pas encore le RGPD, mais il y avait les directives vie privacie, il y avait les directives 95.

8
00:01:17,100 --> 00:01:20,350
[Aeris] existait, qui sont des textes à peu près équivalents à...

9
00:01:20,350 --> 00:01:23,325
[Benjamin] dont on avait parlé dans le tout premier épisode de RdGP

10
00:01:23,325 --> 00:01:28,800
[Aeris] C'est ça, sur l'historique en fait, c'est vraiment des textes qui sont quasiment équivalents aux...

11
00:01:29,000 --> 00:01:29,775
[Benjamin] RGPD

12
00:01:29,775 --> 00:01:38,250
[Aeris] RGPD et pas RdGP. Et du coup, lui ce qu'il voulait c'était surtout la publicité ciblée. Il avait déjà plusieurs plaintes contre Facebook à l'époque.

13
00:01:38,300 --> 00:01:43,250
[Aeris] pour des problèmes de publicité ciblée où Facebook est trop intrusif sur les données des gens.

14
00:01:43,250 --> 00:01:53,850
[Benjamin] Je vois. En fait il en avait marre que tout le monde ait à subir les publicités ultra ciblées de Facebook. Et donc il installait un bloqueur de pub et c'est la fin de notre histoire.

15
00:01:53,850 --> 00:02:06,800
[Aeris] Ah bah si c'était ça, ça aurait été facile pour eux, mais non, malheureusement il s'est un peu plus accroché que ça. Et donc il a essayé d'aller avec plusieurs plaintes devant les autorités de protection des données autrichiennes. Et au bout d'un moment en fait il s'est rendu compte qu'il avait une arme atomique dans les mains.

16
00:02:06,800 --> 00:02:12,700
[Aeris] puisque Facebook est bien entendu américain, donc les données partaient...

17
00:02:12,700 --> 00:02:37,900
[Aeris] aux états unis. Ces données à lui partaient aux états unis. Donc il avait bien effectivement une copie, Facebook lui avait livré une palette de documents quand il avait demandé l'intégralité de ces données. Ça lui arrivait en carton entier tellement les Facebook avaient donné sur lui et il s'est rendu compte que tout ça partait aux états unis. Et c'est là en fait la loi européenne avait été, il y avait un traité d'adéquation entre l'Europe et les états unis qui s'appelle...

18
00:02:39,450 --> 00:02:49,050
[Aeris] qui a un accord qui a été dégocié entre entre les États-Unis et l'Europe et qui dit que les États-Unis sont un pays compatible avec le RGPD.

19
00:02:49,050 --> 00:03:00,200
[Benjamin] D'accord, donc en fait si je comprends bien, on a le RGPD qui, au début de notre histoire, n'existait pas encore mais existait quand même sous la forme de la directive 95. Donc l'ancêtre du RGPD, c'est ce qu'on avait vu.

20
00:03:00,200 --> 00:03:05,600
[Benjamin] à l'épisode 1. En gros ça voulait dire que chaque pays devait appliquer à sa source mais...

21
00:03:06,400 --> 00:03:08,600
[Benjamin] À l'arrivée ça revenait au même.

22
00:03:09,300 --> 00:03:17,250
[Benjamin] Lui, il en a marre de la pub Facebook, donc il se dit, euh, bon bah je vais pas mettre de bloqueur de pub, ça serait trop facile, et puis l'épisode durerait trois minutes.

23
00:03:17,750 --> 00:03:20,950
[Benjamin] Du coup je vais m'attaquer au problème à la source.

24
00:03:21,550 --> 00:03:29,600
[Benjamin] les Médonais partent aux Etats-Unis, sauf que pas de pot, il se trouve qu'il y a un accord transatlantique entre l'Europe et les Etats-Unis qui s'appelait le Safe Harbor.

25
00:03:34,850 --> 00:03:37,900
[Benjamin] de citoyens européens aux États-Unis.

26
00:03:38,000 --> 00:03:43,325
[Benjamin] et du coup, il a perdu et là l'histoire s'arrête vraiment.

27
00:03:43,325 --> 00:03:49,150
[Aeris] Et ben non, parce que du coup il y a un article, un décret américain, qui est le FISA 702.

28
00:03:49,150 --> 00:03:59,100
[Aeris] qui est arrivé suite aux attentats du 11 septembre où les états unis ont eu un peu les mêmes réactions que ce que nous on a quand on a des attentats sur notre sol, décident de faire des lois scélérates de surveillance et en particulier.

29
00:03:59,350 --> 00:04:19,500
[Aeris] Bah ouais, on appelle un chat un chat. Et en fait le FISA 702 dit qu'en particulier les européens, enfin tous les non-américains n'ont quasiment aucun droit, ou n'ont aucun droit tout court, et le gouvernement américain est en droit de demander à n'importe quelle entreprise américaine toutes les données qu'ils ont sur une personne non-américaine.

30
00:04:20,000 --> 00:04:25,075
[Aeris] dans des buts de surveillance, protection, etc. pour se défendre contre les attentats.

31
00:04:25,075 --> 00:04:31,250
[Benjamin] Oui, donc en fait, il est en train de chercher, il cherche comment interdire la pub Facebook.

32
00:04:31,250 --> 00:05:00,975
[Benjamin] Il voit qu'il n'y arrive pas, il se dit mes données sont parties aux Etats-Unis, c'est sûrement pas normal, manque de pot, il y a le safe harbor qui dit si si c'est tout à fait normal. Il continue à fouiller, il tombe donc sur le FISA 702 qui date de 2008, qui suite aux attentats du 11 septembre permet aux Etats-Unis de demander n'importe quelle donnée d'un citoyen non américain qui serait hébergé par une entreprise américaine. Mais bon comme il y a le safe harbor qui a validé qu'on avait le droit, ben c'est qu'il n'y avait pas de problème et du coup,

33
00:05:00,975 --> 00:05:19,725
[Aeris] Et ben non, parce que c'est ce que lui a dit les... Certaines APD, les autorités de protection de données ou Facebook ont dit mais non, il y a le safe far board donc il n'y a pas de problème en fait, la commission européenne, parce que c'est la commission européenne qui signe ces accords d'adéquation avec le gouvernement américain de notre côté. Et donc tout le monde dit ben non, en fait, il y a ce truc là, il y a ce safe far board qui existe, donc ce que tu dis, c'est n'importe quoi.

34
00:05:19,725 --> 00:05:20,900
[Benjamin] Ok donc c'est n'importe quoi.

35
00:05:20,900 --> 00:05:46,700
[Aeris] et ben Max Schrems lui il trouve que c'est pas n'importe quoi et donc il fait remonter l'information en disant j'ai un problème jusqu'à la CJUE, donc la Cour de Justice de l'Union Européenne, qui est la plus haute juridiction européenne de notre côté, et en lui posant la question bonjour à la CJUE 1 en fait, il y a tout le monde qui me dit que je suis un con, que j'ai pas raison, et donc il y a le Safe Airboard, il y a FISA 702, il y a le RGPD ou e-Privacy ou Directive 95 à l'époque.

36
00:05:46,750 --> 00:05:54,850
[Aeris] qui dit que c'est pas possible d'avoir ce droit côté constitution américaine de tout pouvoir sur les données européennes.

37
00:05:54,850 --> 00:05:57,125
[Aeris] Et donc du coup, bah, c'est pas légal.

38
00:05:57,125 --> 00:06:10,500
[Benjamin] Donc lui ce qu'il dit c'est que le FISA 702, donc loi américaine qui permet aux entreprises, enfin qui permet à l'état américain de demander à une entreprise américaine toute donnée sur un citoyen européen entre autres, enfin non américain.

39
00:06:10,500 --> 00:06:25,250
[Benjamin] lui ce qu'il dit c'est que ce FISA 702 n'est pas compatible avec le RGPD ou son ancêtre, la directive 95. Et donc il demande à la CJUE parce qu'évidemment les APD et Facebook disent qu'il n'y a pas de problème, qu'il y a le safe harbor.

40
00:06:25,750 --> 00:06:30,775
[Benjamin] qui dit que c'est bon et donc il demande à la CJUE qui lui dit que c'est bon et là l'histoire s'arrête.

41
00:06:30,775 --> 00:06:56,475
[Aeris] Et ben non, toujours pas, parce que la CJUE dit, ben voilà, on est en 2015, donc il a fallu déjà trois ans pour arriver là, et la CJUE dit, bah effectivement, le FISA 702 n'est pas compatible avec la législation européenne. Donc la CJUE lui dit, bah effectivement, il y a un problème avec FISA 702, cette loi n'est pas compatible avec le règlement européen, et donc le CIFARBOR n'est pas légal, et n'existe pas depuis qu'il a été signé.

42
00:06:56,475 --> 00:07:00,600
[Benjamin] Donc le SafeArbore est invalidé à la date où la CJUE le dit.

43
00:07:00,600 --> 00:07:17,000
[Aeris] Voilà, même avant, puisque en théorie c'est rétroactif, en vrai ça n'a pas été appliqué bien entendu, mais en vrai c'est rétroactif, c'est-à-dire que cet accord d'adéquation n'a réellement pas existé au sens juridique du terme. Alors après que ce soit rétroactif ou pas, ça n'a pas vraiment changé grand-chose, parce que... On ne peut pas revenir dans le temps.

44
00:07:17,000 --> 00:07:18,700
[Benjamin] Parce qu'on peut pas revenir dans le temps, donc de toute façon...

45
00:07:18,800 --> 00:07:35,200
[Aeris] Voilà, donc ça changeait pas grand chose en vrai. Mais il a réussi à annuler l'accord d'adéquation Europe-États-Unis. Et le côté marrant, c'est que du coup, il n'a pas non seulement annulé l'accord d'adéquation, mais il a fait reconnaître par la CJUE...

46
00:07:35,200 --> 00:07:36,750
[Aeris] que FISA 702.

47
00:07:36,750 --> 00:07:41,050
[Aeris] n'était pas compatible avec la législation américaine et la législation européenne.

48
00:07:41,400 --> 00:07:47,750
[Aeris] Et donc du coup, il n'y avait aucun autre accord d'adéquation de possible, puisque le FISA 702...

49
00:07:48,250 --> 00:07:49,600
[Aeris] existait toujours en fait et qu'il avait...

50
00:07:49,600 --> 00:07:56,650
[Aeris] Il avait sorti, il avait exhibé un contre-exemple en fait qui faisait que les accords d'adéquation Europe-États-Unis n'étaient pas possibles.

51
00:07:56,650 --> 00:08:03,900
[Benjamin] Donc en fait, si je résume, on a Max Schrems, donc citoyen autrichien d'une vingtaine d'années, qu'on a marre de voir de la pub sur Facebook.

52
00:08:06,100 --> 00:08:10,300
[Benjamin] je vais mettre fin à cette situation-là, qui commence à fouiller, qui se rend compte que...

53
00:08:10,800 --> 00:08:13,900
[Benjamin] C'est donné par tous les Etats-Unis dans le cadre du Safe Harbor.

54
00:08:14,400 --> 00:08:18,400
[Benjamin] mais que le Safe Harbor, donc l'accord transatlantique...

55
00:08:20,150 --> 00:08:26,000
[Benjamin] est illégale à cause de la directive américaine FISA 702 ?

56
00:08:26,550 --> 00:08:30,150
[Benjamin] il fait annuler le safe-arboard de manière même rétroactive.

57
00:08:30,650 --> 00:08:36,700
[Benjamin] ce qui fait qu'on ne peut plus héberger de données de citoyens européens aux États-Unis.

58
00:08:36,850 --> 00:08:37,550
[Aeris] Voilà.

59
00:08:37,900 --> 00:08:39,875
[Benjamin] Il fallait pas le faire chier, Max Schrems.

60
00:08:39,875 --> 00:08:48,900
[Aeris] Ah non, clairement pas, ouais. Et donc on s'est retrouvé à la sortie de là, où le tout usage de technologie américaine qui allait traiter des données à caractère personnel était illégal en Europe.

61
00:08:48,900 --> 00:08:54,450
[Benjamin] Et donc, c'est depuis cette date-là qu'on n'utilise plus de service américain ou en Europe.

62
00:08:54,450 --> 00:09:10,050
[Aeris] Ah oui, si seulement ça avait été le cas. Bien entendu, Facebook, les APD, même toutes les autres entreprises ont dit mais c'est quoi ce bordel en fait ? C'est pas possible, c'est juste... Ils se réveillent dans un cauchemar en fait. Et donc il y a un espèce de déni qui se met en place.

63
00:09:10,300 --> 00:09:17,800
[Aeris] Et la Commission européenne en particulier reprend le flambeau en se disant bon bah le... le safe harbor ok il a été invalidé, bah on va en refaire un.

64
00:09:17,900 --> 00:09:23,250
[Aeris] Donc il reprenne le texte quasiment identique, il change juste 2,3 mots, réordonne 2 paragraphes.

65
00:09:23,300 --> 00:09:25,500
[Aeris] Ça donne le Privacy Shield.

66
00:09:26,050 --> 00:09:32,800
[Aeris] Et donc il l'aurait pu bien en disant bah voilà, il y a un accord d'adéquation donc vous pouvez retransmettre à nouveau vos données entre les Europe et les Etats-Unis.

67
00:09:33,550 --> 00:09:39,800
[Benjamin] Comme le Cypherboard a été invalidé par la CJUE à cause du petit Max Schrems qu'il fallait pas emmerder

68
00:09:40,300 --> 00:09:43,400
[Benjamin] et ben tout le monde se dit c'est pas grave on va le réemballer

69
00:09:43,900 --> 00:09:46,200
[Benjamin] On appelle ça Privacy Shield.

70
00:09:46,750 --> 00:09:54,050
[Benjamin] Le privacy shield en gros il dit que des citoyens européens peuvent stocker leurs données sur des serveurs d'entreprises américaines.

71
00:09:54,800 --> 00:09:59,850
[Benjamin] Max Schrems du coup il est bien dégoûté et il s'est mis à planter des poireaux et depuis tout va bien.

72
00:09:59,850 --> 00:10:14,050
[Aeris] Et bah non, parce que du coup la CJUE lui avait bien dit que FISA 702 était incompatible avec tout accord d'adéquation donc lui qu'est-ce qu'il fait ? Bah c'est qu'il se retrouve avec un accord d'adéquation qu'il pense tout aussi illégal et donc il retourne devant la CJUE et ça donne forcément l'arrêt Schrems II en 2020.

73
00:10:14,150 --> 00:10:18,950
[Aeris] qui dit que bah non en fait le Privacy Shield c'est un copier-coller du Safe Harbor donc vous allez arrêter vos blagues

74
00:10:18,950 --> 00:10:35,450
[Aeris] On annule ça comme d'habitude rétroactivement, donc il n'y a toujours pas eu d'accord d'adéquation depuis 2008 et l'arrivée de FISA 702. Et puis Max Schrems gagne une deuxième fois avec l'arrêt Schrems 2 qui dit exactement la même chose et on est en 2020.

75
00:10:35,950 --> 00:10:37,725
[Aeris] Et bien entendu ça va pas s'arrêter là !

76
00:10:37,725 --> 00:10:39,100
[Benjamin] Alors attends, parce que donc...

77
00:10:39,600 --> 00:10:42,700
[Benjamin] Quand on parle de l'arrêt Schrems I et de l'arrêt Schrems II,

78
00:10:43,200 --> 00:10:45,950
[Benjamin] En fait, c'est la même chose.

79
00:10:46,350 --> 00:11:00,350
[Benjamin] C'est juste que ça s'est passé à quelques années d'écart, mais concrètement c'est les mêmes mécanismes, c'est toujours un citoyen. C'est un citoyen en fait, Max Reims, c'est pas un élu, c'est juste un citoyen.

80
00:11:00,800 --> 00:11:04,050
[Benjamin] C'est un citoyen donc avec des petites connaissances juridiques a priori ?

81
00:11:04,050 --> 00:11:05,150
[Aeris] Bah il est quand même avocat hein maintenant.

82
00:11:05,150 --> 00:11:09,325
[Benjamin] Bon, mais quand il a commencé, il était même pas encore avocat.

83
00:11:09,325 --> 00:11:12,825
[Aeris] Non, il devait être juriste, il devait sortir d'école, il avait 25 ans.

84
00:11:12,825 --> 00:11:18,750
[Benjamin] Donc c'est un citoyen lambda qui s'est dit non non ça c'est pas possible, il y a un problème d'adéquation entre les accords

85
00:11:19,350 --> 00:11:23,800
[Benjamin] entre l'Europe et les États-Unis et la réglementation américaine.

86
00:11:24,300 --> 00:11:29,750
[Benjamin] Une première fois Schrems 1, il gagne. Une deuxième fois Schrems 2, il regagne.

87
00:11:30,250 --> 00:11:35,775
[Benjamin] Et donc là, c'est fini du coup, c'est game over.

88
00:11:35,775 --> 00:11:51,300
[Aeris] Alors c'est pas game over, parce que forcément que ça s'est pas bien passé non plus. La Commission européenne n'a pas l'air d'avoir compris le message. La CJUE a été très claire dans son arrêt Schrems 2, parce que la CJUE commence aussi à en avoir marre. Donc il a écrit clairement dans son arrêt Schrems 2 en disant si la Commission européenne nous refait le coup...

89
00:11:51,800 --> 00:11:55,800
[Aeris] Ça va barder. Et forcément, la Commission européenne a refait le coup.

90
00:11:55,800 --> 00:12:19,775
[Aeris] Et ouais, parce que du coup ils ont repris le texte. C'est un jour sans fin. Ah mais c'est exactement ça. En fait ils ont repris le texte. Donc entre 2020 et 2023, il y a eu un espèce de no man's land. C'est à dire qu'il n'y avait pas d'accord d'adéquation qui existait, mais les autorités de protection des données n'ont pas voulu bouger parce que c'était trop l'enfer. Donc la Commission européenne a préparé un texte pendant trois ans, qui en gros était encore un copier-coller du safe harbor et du privacy shield.

91
00:12:19,775 --> 00:12:20,725
[Benjamin] et qui s'appelle...

92
00:12:20,725 --> 00:12:22,800
[Aeris] qui s'appelle le DPF de Data Privacy Framework.

93
00:12:23,050 --> 00:12:32,200
[Aeris] Ils ont changé un petit truc quand même, ils ont rajouté un petit tribunal pour qu'un citoyen européen puisse demander à la justice américaine Est-ce que quelqu'un aurait accédé à mes données ?

94
00:12:32,250 --> 00:12:38,950
[Aeris] et en gros, c'est marqué dans la loi, noir sur blanc, ce tribunal ne peut répondre qu'on ne sait pas, on ne peut pas vous dire...

95
00:12:38,950 --> 00:12:41,050
[Aeris] On a été vérifié mais...

96
00:12:41,050 --> 00:12:41,950
[Benjamin] mais on peut demander.

97
00:12:41,950 --> 00:12:43,300
[Aeris] On peut demander mais voilà.

98
00:12:43,300 --> 00:12:49,000
[Benjamin] peut pas avoir d'abonnes mais on peut demander avant on pouvait même pas demander et alors donc le dpf le data privacy framework

99
00:12:49,050 --> 00:13:13,925
[Benjamin] c'est un corps à un accord transatlantique entre l'Europe et les Etats-Unis. Donc tout le monde s'est mis autour de la table en disant non mais il faut qu'on puisse travailler ensemble, on va pas couper l'internet en deux parce que en fait, on a peut-être dû préciser, mais le risque à la fin c'est ça, c'est de couper internet en deux. C'est-à-dire que les câbles sous-marins entre l'Europe et les Etats-Unis, on a pu qu'aller revendre au prix du cuivre parce qu'ils servent plus à rien.

100
00:13:13,925 --> 00:13:26,550
[Aeris] Et puis toutes les dépendances avec les entreprises américaines, Microsoft, Google, Facebook, LinkedIn, enfin n'importe quelle boîte américaine, le matériel américain, parce que vos routers que vous avez dans les data centers, les Cisco et autres, c'est aussi des technologies américaines. Donc en gros, il y a...

101
00:13:26,550 --> 00:13:31,250
[Aeris] 99% de la dure numérique européenne qui disparaît instantanément.

102
00:13:31,250 --> 00:13:40,475
[Benjamin] L'impact potentiel est énorme et en fait quand je dis potentiel c'est un abus de langage puisque on n'est pas dans la potentialité là, ça a été jugé par la CJUE.

103
00:13:40,475 --> 00:13:56,200
[Aeris] Oui, mais tout le monde s'en fout. Et tout le monde s'en fout vraiment complètement. Les autorités de protection des données, en particulier en France, typiquement refusaient de sanctionner au moins les trois ans, puisque pendant trois ans, de 2020 à 2023, il n'y avait pas d'accord d'adéquation. Les entreprises continuaient à envoyer des données en Amérique.

104
00:13:56,200 --> 00:14:08,725
[Aeris] et les autorités de protection des données qu'on prenait les plaintes en disant oui bah c'est pas grave il y a la commission européenne qui bosse un peu sur le sujet donc on va attendre et au bout de trois ans quand on a eu le DPF bah ils ont tout clôturé en disant voyez maintenant il y a un accord d'adéquation donc on a à quoi poigner

105
00:14:08,725 --> 00:14:10,550
[Benjamin] il est le même sauf que maintenant on a le droit de demander.

106
00:14:11,100 --> 00:14:16,700
[Benjamin] On peut pas avoir de réponse mais on a le droit de demander. Et donc, est-ce qu'on peut s'attendre à un Schrems III ?

107
00:14:16,900 --> 00:14:31,550
[Aeris] Alors il faut s'attendre à un Schrems III parce que c'est là où ça devient vraiment n'importe quoi. Quand la Commission européenne a négocié les accords du DPF, elle a dû faire un peu de la consultation des autres autorités européennes.

108
00:14:31,550 --> 00:14:54,550
[Aeris] Donc il y a plusieurs... En gros c'est un peu comme notre Assemblée nationale, parlement, etc. On demande l'accord et l'avis des différentes instances. Donc elle a demandé l'avis à la commission Libé, qui est une commission européenne qui est en charge justement des libertés et des protections individuelles. La commission Libé lui a dit mais t'es malade en fait, ce truc là c'est juste repomper du DPF, enfin du privacy shields et faire bordre donc juste...

109
00:14:56,100 --> 00:15:13,500
[Aeris] On sait que c'est déjà... ça va pas tenir encore par la CJUE. Le Parlement européen est aussi consulté. Le Parlement européen voit la décision de l'Ibé et dit bah on est complètement d'accord en fait. Ils votent même un texte officiel en disant ne signez pas ce truc là, c'est juste la même chose qui va vous attendre dans plusieurs années.

110
00:15:13,500 --> 00:15:24,200
[Aeris] Le comité européen de la protection des données est aussi consulté et donne un avis extrêmement critique sur le sujet en disant mais en fait vous avez rien changé dans le texte donc du coup on voit pas pourquoi on pourrait aller sur ce sujet là

111
00:15:24,200 --> 00:15:30,550
[Aeris] Schrems 2, enfin Schrems est du coup aussi consulté et il a fondé depuis le temps une association qui s'appelle NOYB.

112
00:15:30,550 --> 00:15:33,825
[Aeris] Donc il consulte NOYB en disant...

113
00:15:33,825 --> 00:15:35,350
[Benjamin] NOYB comment t'écris ça ?

114
00:15:39,800 --> 00:15:41,300
[Benjamin] None Of Your Business

115
00:15:43,150 --> 00:15:46,300
[Benjamin] Je fais encore le candide, je fais semblant de pas savoir, en fait je sais.

116
00:15:54,650 --> 00:16:05,500
[Aeris] Et du coup en fait NOYB dit pareil, bah en fait c'est le même texte, on comprend pas en fait pourquoi vous venez de nous voir, vous devriez être assez grand, surtout que la CJUE vous a bien dit d'arrêter votre bordel, donc là le truc est juste pas légal.

117
00:16:05,550 --> 00:16:09,850
[Aeris] Et nous on voit les trois décisions, donc ça c'était l'été 2023.

118
00:16:10,000 --> 00:16:15,800
[Aeris] Et puis là on voit la commission européenne qui dit, on a consulté tout le monde, il y a personne qui est d'accord avec nous, mais nous on a quand même signé le texte.

119
00:16:15,950 --> 00:16:20,750
[Aeris] Et donc le texte est en application depuis... De mémoire, c'est juillet 2023.

120
00:16:20,750 --> 00:16:23,200
[Benjamin] Donc là en fait...

121
00:16:23,700 --> 00:16:24,750
[Benjamin] on a le droit

122
00:16:25,250 --> 00:16:32,350
[Benjamin] de stocker des données de citoyens européens aux États-Unis dans le cadre du DPF, du Data Privacy Framework.

123
00:16:32,850 --> 00:16:42,425
[Benjamin] jusqu'à le prochain arrêt Schrems III qui probablement nous ramènera au point de départ et un jour supplémentaire la marmotte tout ça.

124
00:16:42,425 --> 00:16:52,250
[Aeris] Alors c'est un peu plus compliqué que ça parce que même le RGPD avait déjà prévu le coup, en fait, et c'est pas parce qu'il y a un accord d'adéquation que c'est un blanc-saint d'autorisation d'export de données.

125
00:16:52,300 --> 00:17:15,600
[Aeris] C'est déjà... l'accord d'adéquation n'est qu'une des principes à appliquer. C'est nécessaire mais pas supplisant. En particulier, il faut aussi intérêt légitime, base légale, information, etc. Et la plupart du temps, ce n'est pas respecté. Si on fait de la publicité ciblée, ça n'est pas... Vous n'avez pas de base légale, vous avez plein de choses qui déconnent. Et donc du coup, c'est pas parce qu'il y a un DPF que vous avez le droit de le faire.

126
00:17:15,600 --> 00:17:21,650
[Aeris] Il y a aussi, la CJUE a été très claire, c'est que les responsables de traitement ou les DPO...

127
00:17:22,150 --> 00:17:24,650
[Aeris] doivent étudier l'accord d'adéquation et...

128
00:17:25,150 --> 00:17:27,450
[Aeris] potentiellement se poser des questions aussi sur le sujet.

129
00:17:27,450 --> 00:17:39,950
[Aeris] en disant est-ce que c'est vraiment légal, est-ce qu'on n'est pas en train de juste fermer les yeux et de prendre un peu les jambes pour des cons ? Et donc les pas du tout, les DPO et les responsables de traitement devraient aussi se poser des questions.

130
00:17:40,100 --> 00:18:01,900
[Aeris] Les autorités de protection des données ont même été averties aussi officiellement par les arrêts Schrems II en disant si vous êtes saisies de plaintes sur le DPF, vous devez remettre en cause le DPF lui-même pour bien vous assurer que les exports de données sont légitimes ou pas. Donc en gros, c'est pas parce qu'il y a un DPF que les traitements devraient avoir lieu. Mais effectivement tout le monde ferme les yeux parce que les intérêts sont trop gros.

131
00:18:02,000 --> 00:18:08,000
[Benjamin] D'accord, mais il y a quand même un truc que je trouve incroyable dans cette histoire, c'est que donc Max Schrems, qui est un citoyen autrichien...

132
00:18:08,000 --> 00:18:14,650
[Benjamin] d'une vingtaine d'années, tout seul vient mettre le grain de sable dans l'économie mondiale.

133
00:18:15,150 --> 00:18:17,300
[Benjamin] entre l'Europe et les États-Unis.

134
00:18:17,300 --> 00:18:22,725
[Benjamin] et aujourd'hui il est tout seul, enfin il est tout seul à s'attaquer à ces problèmes là ?

135
00:18:22,725 --> 00:18:28,800
[Aeris] Alors non, déjà il est pas tout seul parce que ben justement après le Schrems 1 il avait monté NOYB donc c'était 2013 de mémoire.

136
00:18:28,800 --> 00:18:46,150
[Aeris] Donc il a une association maintenant où ils sont très efficaces sur ce genre de sujets. C'est lui derrière mais qui a aussi passé la main et donc du coup il y a une vraie équipe qui s'est montée. En France aussi il y a eu plusieurs tentatives de faire invalider le DPF. Donc il y a eu Philippe Latombe qui est un député.

137
00:18:46,150 --> 00:18:48,950
[Aeris] assez connu justement dans le monde du numérique, il s'est dit...

138
00:18:48,950 --> 00:18:49,775
[Benjamin] de Vendée

139
00:18:49,775 --> 00:19:00,200
[Aeris] De Vendée, tout à fait. Qui s'est dit, bah en fait, il y a le DPF qui m'embête un peu. Il a profité donc le Health Data Hub qui est le gros centre de données de santé.

140
00:19:00,700 --> 00:19:02,675
[Benjamin] Ouais ouais, on a beaucoup entendu parler en France, ouais.

141
00:19:02,675 --> 00:19:06,450
[Aeris] dont on a pas mal parlé et en fait qui a été confié à Microsoft et donc du coup lui il a été voir le conseil d'état.

142
00:19:07,000 --> 00:19:08,350
[Aeris] français en disant barbe.

143
00:19:08,850 --> 00:19:11,850
[Aeris] DPF, il y a un problème en fait, il faudra peut-être l'invalider.

144
00:19:12,350 --> 00:19:17,400
[Aeris] Le Conseil d'État a malheureusement refusé le référé, donc ce qu'on appelle un référé, c'est-à-dire de décider en urgence.

145
00:19:17,400 --> 00:19:21,950
[Aeris] parce qu'il a considéré qu'il n'y avait pas de risque en fait, il n'y avait pas de risque.

146
00:19:23,650 --> 00:19:29,750
[Benjamin] Ok, donc en fait dans le cadre du Health Data Hub qui disait on va mettre toutes nos données de santé chez Microsoft, donc aux Etats-Unis.

147
00:19:30,250 --> 00:19:33,350
[Benjamin] Philippe Latombe, député...

148
00:19:33,900 --> 00:19:38,050
[Benjamin] français a saisi le Conseil d'État en disant stop, il faut arrêter tout de suite.

149
00:19:38,100 --> 00:19:43,425
[Aeris] C'est ça. En disant il y a urgence et du coup... Mais il a pas eu de gain de cause sur le tout de suite donc il faudra attendre la suite.

150
00:19:43,425 --> 00:19:44,650
[Benjamin] Est-ce qu'il a eu gain de cause sur le plus tard ?

151
00:19:44,650 --> 00:19:58,450
[Aeris] Le plus tard ce sera dans plusieurs années, puisque les temps juridiques sont toujours des temps longs. Donc du coup il faudra attendre. Son recours en référé n'est pas passé, mais il y a le recours tout court qui peut encore passer. Donc on attendra d'avoir la décision du Conseil d'État.

152
00:19:58,450 --> 00:20:04,000
[Benjamin] Ok, mais le temps long, par exemple, Max Schrems, c'était du référé ou c'était la procédure normale ?

153
00:20:04,000 --> 00:20:11,850
[Aeris] Non non, c'était de la procédure normale, la preuve, c'est que ça a pris plusieurs années. Je crois que c'était 2012-2015 pour Schrems 1, et 2016-2020 pour Schrems 2.

154
00:20:12,350 --> 00:20:17,125
[Aeris] Donc on parle plutôt en 4, 5, 6, 10 ans des fois pour ce genre de processus.

155
00:20:17,125 --> 00:20:25,100
[Benjamin] Ok, concrètement parce que on voit bien autour de nous que Outlook, que Gmail, que...

156
00:20:27,100 --> 00:20:33,100
[Benjamin] que tous les services US que tout le monde utilise, ils n'ont pas été coupés pendant ces périodes là. Donc en fait...

157
00:20:33,550 --> 00:20:36,150
[Benjamin] Il y a une inertie, on a dit, des APD.

158
00:20:36,650 --> 00:20:43,600
[Benjamin] et puis des fournisseurs de services, qui joue aussi sur le fait que la justice prend son temps.

159
00:20:44,100 --> 00:20:52,825
[Benjamin] et que tout le monde se dit non on va attendre de voir ce que dit la justice et quand la justice dit non mais en fait c'est n'importe quoi on dit non mais on va lui redemander pour être sûr

160
00:20:52,825 --> 00:20:56,475
[Aeris] C'est ça, en changeant juste une virgule, c'est pas le même texte, on vous promet. Et on repasse.

161
00:20:56,475 --> 00:20:59,825
[Benjamin] du coup on remet une pièce dans la machine et c'est reparti pour 4-5 ans.

162
00:20:59,825 --> 00:21:27,450
[Aeris] Mais c'est des processus qui sont malheureusement très connus, puisque que ce soit Schrems II, on a eu le même problème avec l'IAB, le TCF, où il y a 3, 4, 5 et 6 décisions d'APD, CJUE, on vient devant les APD, ça traîne énormément en longueur. On a aussi pas mal de boîtes en France qui sont connues pour faire ça. On a les APD qui ne sont pas non plus très actives, puisqu'on a par exemple sur le DPF, il y a des autorités de protection des données, je pense à la Norvège de mémoire, Norvège, Finlande, surtout les pays comme ça du nord.

163
00:21:27,450 --> 00:21:40,050
[Aeris] qu'on décidait, bah il y a le DPF, il n'est pas légal, donc j'interdis directement les traitements. EDPF, qui est la CNIL au niveau du Parlement européen, leur a interdit d'utiliser Microsoft Office 365.

164
00:21:40,050 --> 00:21:43,375
[Aeris] il y a eu pas mal de décisions comme ça qui sont tombées.

165
00:21:43,375 --> 00:21:46,325
[Benjamin] D'accord mais par exemple en Norvège ça veut dire que personne n'utilise Outlook ou Gmail ?

166
00:21:46,325 --> 00:21:51,950
[Aeris] Bah après, c'est entre l'interdiction et l'application, il y a toujours un monde, mais ils ont quand même une APD qui vient taper, ils ont interdit par exemple.

167
00:21:51,950 --> 00:21:53,150
[Benjamin] Dans la théorie tu peux pas.

168
00:21:53,150 --> 00:21:55,150
[Aeris] Dans la théorie tu peux pas, y a quand même eu des condamnations par exemple.

169
00:21:55,150 --> 00:21:56,275
[Benjamin] Dans la pratique tout le monde s'en fout.

170
00:21:56,275 --> 00:22:14,725
[Aeris] Je sais pas dans d'autres pays comment ça marche mais typiquement Cloudflare a été interdit, Mailchimp a été interdit, Microsoft 365 a été interdit, ils ont dû faire des développements spécifiques pour avoir le droit de se déployer, je crois que c'était en Finlande. Enfin il y a quand même des APD qui se bougent sur le sujet.

171
00:22:14,725 --> 00:22:18,775
[Benjamin] Mais si Cloudflare est interdit, tu as énormément de sites qui ne sont plus accessibles.

172
00:22:18,775 --> 00:22:22,625
[Aeris] Bah ils ont dû changer en fait, ils ont dû changer de fournisseur, les trucs bah...

173
00:22:22,625 --> 00:22:25,950
[Benjamin] Ah mais c'est des sites norvégiens du coup.

174
00:22:25,950 --> 00:22:39,650
[Aeris] Oui, ça doit être des signes norvégiens, après ça dépend vraiment pays par pays. Typiquement en France, la CNIL ne fait absolument rien sur le sujet. La CNIL a même... elle-même est déjà... s'est déjà autocondamnée trois fois pour avoir utilisé des systèmes américains en dehors de tout accord adéquation, mais ça pose de problèmes à personne.

175
00:22:40,150 --> 00:22:45,000
[Benjamin] C'est à dire que derrière, il y a le pragmatisme et la réalité économique de faut bien qu'on bosse.

176
00:22:45,000 --> 00:22:51,350
[Aeris] Bah en fait, c'est là où ça devient intéressant et qu'on peut faire un peu plus de la géopolitique plutôt que du RGPD pur et dur.

177
00:22:51,350 --> 00:22:59,600
[Aeris] C'est que Schrems 2 est un énorme argument pour interdire les États-Unis pour des raisons de protection de la vie privée, etc.

178
00:22:59,600 --> 00:23:13,350
[Aeris] Et ce qui se cache aussi derrière aujourd'hui, c'est le problème de souveraineté en Europe. C'est qu'effectivement on peut pas... Aujourd'hui on peut difficilement se passer des États-Unis sur tout ce qui est numérique et etc. Mais c'est un vrai problème en dehors de la vie privée.

179
00:23:13,850 --> 00:23:34,550
[Aeris] Aujourd'hui on a Trump qui a malheureusement arrivé au pouvoir la semaine dernière. On ne sait pas de quoi va être fait demain aux États-Unis. On a vu aussi par exemple quand il y a eu le rachat de Broadcom par VMware, ou l'inverse, je ne sais plus. Mais en tout cas les hausses de prix ont été flagrantes et les startups françaises sont arrivés en pleurs à la Commission européenne en disant « S'il vous plaît, sauvez-nous parce que là... »

180
00:23:34,550 --> 00:23:36,850
[Aeris] en fait, ça va nous tuer.

181
00:23:37,350 --> 00:23:49,050
[Aeris] Et on a un vrai vrai problème d'indépendance et que demain, si les États-Unis se fâchent ou font n'importe quoi, ce qui risque d'être plutôt le cas vu les ministères qui sont en train de se monter aux États-Unis...

182
00:23:49,100 --> 00:23:51,525
[Aeris] ça peut devenir le grand n'importe quoi en Europe aussi.

183
00:23:51,525 --> 00:23:58,850
[Benjamin] C'est à dire qu'on a un problème de souveraineté et de souveraineté numérique, on en a déjà parlé. On a...

184
00:23:58,850 --> 00:24:07,100
[Benjamin] rapidement évoqué il y a deux semaines comment est-ce que le logiciel libre pouvait être une piste d'émancipation par rapport à ça

185
00:24:07,150 --> 00:24:14,050
[Benjamin] Là ce que tu es en train de dire c'est que le RGPD, alors on peut en penser ce qu'on veut.

186
00:24:14,500 --> 00:24:21,325
[Benjamin] Mais le RGPD c'est aussi un moyen politique de se protéger de l'hégémonie américaine ?

187
00:24:21,325 --> 00:24:38,550
[Aeris] C'est ça, c'est que ça permettrait aussi de faire... Là, ça a permis, en tout cas, de faire prendre conscience, au niveau juridique, des problèmes de souveraineté que ça pose. Aujourd'hui, tout le monde s'arqueboute sur... Bah oui, mais il faut continuer à faire le business, etc. Et ça rejoint un peu le premier épisode qu'on dit aussi sur les vagues climatiques et les changements climatiques, etc. C'est pas qu'une question de RGPD.

188
00:24:39,050 --> 00:24:45,700
[Aeris] c'est que vous allez avoir... vous allez vous prendre de plein fouet potentiellement un problème géopolitique.

189
00:24:45,700 --> 00:24:48,100
[Benjamin] C'est ce dont on parlait avec Benjamin Sonntag.

190
00:24:48,100 --> 00:24:58,350
[Aeris] C'est ça. C'est que là avec Trump, on ne sait pas du tout ce qu'ils vont pouvoir faire. On a eu le problème avec la Russie aussi où il a fallu se couper leur infrastructure en deux semaines d'autant parce qu'il y avait des embargo et des décisions juridiques.

191
00:24:58,350 --> 00:25:02,750
[Aeris] fort qui empêchait tout usage de la Russie.

192
00:25:02,750 --> 00:25:06,250
[Aeris] on pourrait imaginer la même chose que ce soit dans un sens ou dans l'autre, c'est-à-dire...

193
00:25:06,750 --> 00:25:14,800
[Aeris] soit Trump qui décide de faire du protectionnisme et que du coup tous les prix avec les américains vont s'envoler et les entreprises européennes vont être pris à la gorge.

194
00:25:14,800 --> 00:25:19,100
[Benjamin] Le protectionnisme en général c'est dans l'autre sens, c'est les taxes qu'on les met à l'entrée pas à la sortie.

195
00:25:19,100 --> 00:25:23,200
[Aeris] Bah oui, mais après, ça pourrait marcher, enfin, s'ils veulent... On sait pas, en fait, comment ils vont.

196
00:25:23,200 --> 00:25:33,250
[Benjamin] C'est à dire que s'ils mettent des taxes à la sortie, ils vont perdre des clients, ça va pas forcément faire leurs affaires. Mais globalement, on voit bien le principe qu'on est dans un monde...

197
00:25:33,800 --> 00:25:38,350
[Benjamin] mondialisé où on dépend énormément les uns des autres.

198
00:25:38,900 --> 00:25:45,550
[Benjamin] et que tous les outils de souveraineté qui sont à notre disposition sont bons à prendre et que le RGPD...

199
00:25:46,950 --> 00:25:51,575
[Aeris] C'est ça, on va dire que c'est une bonne excuse. Ça peut être une bonne excuse en fait.

200
00:25:51,575 --> 00:25:54,000
[Benjamin] Vos données personnelles, on s'en fout, ce qu'on veut c'est se protéger finalement.

201
00:25:54,000 --> 00:26:00,950
[Aeris] C'est se protéger, c'est ça, et arriver à changer de... Et aujourd'hui, malgré Schrems I, malgré Schrems I, malgré certainement Schrems III qui se profile...

202
00:26:00,950 --> 00:26:09,550
[Aeris] personne ne réagit, c'est-à-dire qu'on ne monte pas dans d'infrastructures souveraines, alors que ce soit françaises, européennes ou dans d'autres pays plus respectueux.

203
00:26:09,650 --> 00:26:21,100
[Aeris] mais en tout cas on est extrêmement dépendant des américains et le jour où on va devoir se fâcher avec eux ça va être très compliqué et on a vu ce que ça a donné avec l'Allemagne et la Russie. L'Allemagne était très dépendante du gaz russe et a refusé du coup...

204
00:26:21,600 --> 00:26:36,075
[Aeris] des sanctions russes et fait vraiment de la géopolitique à cause de sa dépendance. Et on risque de se retrouver dans le même état le jour où il faudra se fâcher avec les États-Unis. Et s'il faut imposer des sanctions avec l'ONU ou d'autres, ça risque d'être compliqué.

205
00:26:36,075 --> 00:26:40,050
[Benjamin] C'est sûr que s'il faut interdire tous les GAFAM, puisque les GAFAM ils sont tous américains...

206
00:26:41,550 --> 00:26:44,600
[Benjamin] Ça va être compliqué d'aller bosser le lundi matin.

207
00:26:44,850 --> 00:26:52,350
[Aeris] Oui mais après on parle pas que des GAFAM, on parle aussi... Ça a été soulevé par les analyses de risque des APD norvégiennes de mémoire.

208
00:26:53,050 --> 00:27:17,450
[Aeris] c'est vos routers. Le matériel n'est pas fabriqué en Europe. Soit c'est chinois, soit c'est américain. On a très peu de routers européens. La plupart des logiciels que vous utilisez, les infrastructures, même le développement du carnel Linux, du noyau Linux, repose énormément sur les contributions américaines, sur les financements américains. Même le Firefox aujourd'hui, c'est le grand débat, c'est financé par du Google.

209
00:27:17,450 --> 00:27:32,900
[Aeris] Et donc c'est des dépendances monstrueuses dans tous les écosystèmes. Et malheureusement en Europe aujourd'hui il n'y a aucune prise de conscience sur le sujet. Et malgré que Schrems 1 date déjà de 2015, on en est à plus de 10 ans, on n'a aucune initiative européenne pour prendre le relais en cas de problème.

210
00:27:32,900 --> 00:27:49,550
[Benjamin] Ce qu'on comprend bien c'est que ces arrêts Schrems 1 et Schrems 2 déjà ils sont des copiers collés, ils sont à l'identique et ils montrent surtout qu'on est tétanisé à l'idée de prendre des décisions qui permettraient d'avancer les choses parce que là concrètement on gagne du temps mais on prend aucune décision

211
00:27:49,550 --> 00:27:55,200
[Benjamin] qui change la situation, on refait la même chose en espérant que le résultat soit différent alors que...

212
00:27:55,700 --> 00:27:59,850
[Benjamin] a priori, si on fait exactement la même chose dans la même condition, il va se passer exactement la même chose.

213
00:28:00,350 --> 00:28:21,450
[Benjamin] Donc au final, il faudrait assouplir le RGPD pour avancer parce qu'il y a un moment où on peut être pour le RGPD contre ou en avoir juste rien à faire, mais on peut pas se dire qu'on va arrêter de bosser complètement et qu'on va couper Internet en deux. Donc si on veut vraiment avoir une attitude constructive...

214
00:28:22,000 --> 00:28:27,100
[Benjamin] C'est quoi la solution ? C'est d'assouplir le RGPD ? C'est de le supprimer complètement ?

215
00:28:27,100 --> 00:28:29,050
[Aeris] Pour moi le RGPD est un texte qui est...

216
00:28:29,050 --> 00:28:35,250
[Benjamin] C'est de dire aux américains, remballez votre visa 702 et puis trouvons autre chose.

217
00:28:35,250 --> 00:28:55,600
[Aeris] En fait le RGPD est relativement souple, c'est un texte qui est extrêmement adaptatif, vous pouvez le lire un peu dans tous les sens, et je pense qu'il y a des portes ouvertes pour autoriser quand même les traitements vers les États-Unis. Aujourd'hui ce qui bloque beaucoup c'est par exemple la notion de proportionnalité et de probabilité qui n'existent pas en fait dans les exports internationaux.

218
00:28:55,650 --> 00:28:59,600
[Aeris] autant si vous faites du franco-français ou du franco-européen.

219
00:29:00,100 --> 00:29:03,000
[Aeris] vous avez le droit de faire ce qu'on appelle les analyses de risque en disant bon bah...

220
00:29:03,500 --> 00:29:13,850
[Aeris] Il y a 0,01% de chance qu'une intrusion sur les données arrive par un système étranger, donc je ne vais pas en tenir compte parce que c'est très peu probable.

221
00:29:13,850 --> 00:29:14,700
[Benjamin] J'ai mesuré mon risque.

222
00:29:14,700 --> 00:29:31,800
[Aeris] Je vais mesurer mon risque alors que ce système n'est pas du tout possible avec les Américains. Et si on prend l'exemple du Health Data Hub, la probabilité qu'il y ait une agence de renseignement américaine, surtout par des processus légaux, parce que rappelons-le que ce n'est pas le Far West de leur côté, c'est encadré par un juge, c'est juste que nous en tant qu'Européens, on n'a pas le droit d'avoir accès à la procédure.

223
00:29:32,300 --> 00:29:52,275
[Aeris] Mais quand un juge américain a décidé d'aller extraire des données d'un européen par le Health Data Hub, il est, sans me tromper, je pense dire que le risque est nul. Puisque même Amazon de toute façon ou Microsoft ne connaîtra pas où s'en stocker les données sous les formats que ça a, et donc ils n'iront pas faire des saisies, or donnez-moi les 200 terrains qui sont sur le Health Data Hub.

224
00:29:52,275 --> 00:30:02,200
[Benjamin] Toi ce que tu dis c'est que le Health Data Hub, c'est les données de santé de tous les français, ça va se retrouver sur des disques durs de Microsoft parmi des milliers de teraoctets de données.

225
00:30:02,200 --> 00:30:07,100
[Benjamin] sous des formats qui sont connus a priori que par la France.

226
00:30:07,250 --> 00:30:08,050
[Aeris] Oui.

227
00:30:08,050 --> 00:30:14,700
[Benjamin] et que pour qu'un juge se dise « ah tiens je vais ordonner qu'on aille extraire des données dans ce fatra-là pour en faire ».

228
00:30:15,100 --> 00:30:16,250
[Aeris] On sait pas quoi.

229
00:30:16,750 --> 00:30:25,600
[Benjamin] Ben en fait non ça c'est de la science fiction paranoïaque mais ça n'arrivera pas. Donc le risque il est nul ou quasi nul.

230
00:30:26,150 --> 00:30:28,050
[Benjamin] Et du coup...

231
00:30:28,550 --> 00:30:31,875
[Benjamin] Toi ce que tu dis c'est que ça sert à rien de l'interdire.

232
00:30:31,875 --> 00:30:53,300
[Aeris] Bah c'est ça, disons pas, encadrons, faisons pas n'importe quoi quand même, effectivement, ça empêche pas de mettre du chiffrement là où on peut pour empêcher les accès, là où on peut vraiment les empêcher, vraiment rendre le truc réellement nul. Ça empêche pas d'avoir des bons contrats avec Amazon sur le sujet, ça empêche pas d'essayer de faire changer FISA 702 en disant on aimerait quand même avoir des droits d'accès côté américain.

233
00:30:53,800 --> 00:30:56,475
[Benjamin] au moins avoir le droit de poser la question.

234
00:30:56,475 --> 00:30:58,900
[Aeris] Voilà, au moins d'avoir... et d'avoir la réponse.

235
00:30:58,900 --> 00:30:59,925
[Benjamin] Ah mais comme t'y vas là...

236
00:30:59,925 --> 00:31:14,250
[Aeris] Et voilà, je pense qu'à moyen, le RGPD est suffisamment flexible pour pouvoir aller dans ce genre de réflexion. Et de l'autre côté, c'est aussi bâtissons notre infrastructure européenne, ne dépendant plus des américains, mettons de l'argent sur la table, faisons des appels d'offres...

237
00:31:14,250 --> 00:31:24,650
[Aeris] les américains fonctionnent énormément par la commande publique pour faire leur infrastructure, faisons pareil en Europe et montons des data centers, montons des services de services.

238
00:31:25,100 --> 00:31:30,200
[Aeris] pour faire concurrence avec les américains et ne plus avoir la dépendance à terme avec eux directement.

239
00:31:30,200 --> 00:31:38,200
[Benjamin] Oui, c'est à dire qu'on sait très bien que les États-Unis, sûrement le plus grand pays capitaliste du monde, en fait...

240
00:31:38,700 --> 00:31:41,700
[Benjamin] Toutes les avancées majeures, elles ont été financées par le public.

241
00:31:41,700 --> 00:31:47,700
[Aeris] Oui c'est ça. La plupart c'est le département de militaires américains qui finance la plus grosse partie.

242
00:31:47,700 --> 00:31:59,200
[Benjamin] et qu'en France le financement public est tout petit comparé à ce qu'il y a aux Etats-Unis et que c'est pas étonnant qu'ils aient des infrastructures démesurées là où nous on galère un petit peu.

243
00:31:59,200 --> 00:32:16,150
[Aeris] Voilà, mais du coup je pense qu'il y a les deux côtés à jouer. En fait, le RGPD est suffisamment flexible pour qu'on puisse avancer là-dessus et arriver à faire des exports vers les États-Unis. Rappelons aussi, et ça je l'ai déjà souligné aussi pas mal de fois en ligne, c'est qu'on est en train de reprocher aux Américains de faire des choses que nous, on fait très bien à notre propre population. Typiquement, moi j'ai eu le cas...

244
00:32:16,150 --> 00:32:17,050
[Benjamin] Non, ça je peux pas te croire.

245
00:32:17,050 --> 00:32:40,775
[Aeris] Moi j'ai eu le cas, je l'ai vécu, que des agents de renseignement français ont débarqué dans un data center, sont repartis avec mes données, saisis des disques durs sous le bras et quand on demande l'accès au dossier on vous répond que non vous n'aurez pas accès au dossier. Donc droit de la défense complètement bafoué, aucun accès à la procédure, pas le droit de se défendre devant un juge, le juge qui refuse tout accès au dossier. Donc en fait pourquoi est-ce qu'on autorise en France des choses qu'on a interdites aux Etats-Unis ?

246
00:32:40,775 --> 00:32:43,950
[Benjamin] Ouais. Donc ce que tu dis c'est la pouille...

247
00:32:44,450 --> 00:32:57,650
[Benjamin] Ce que tu dis c'est la paille dans son oeil, la poutre dans celle du voisin ou le contraire. FISA 702 ça permet à un juge américain d'aller extraire des données et nous...

248
00:32:59,750 --> 00:33:03,300
[Benjamin] on ne sait pas, on n'a pas accès à la procédure et on comprend que ce soit...

249
00:33:03,800 --> 00:33:08,400
[Benjamin] un tantinet irritant voire scandaleux.

250
00:33:08,900 --> 00:33:12,250
[Benjamin] Mais en fait en France, c'est déjà le cas, c'est-à-dire qu'en France...

251
00:33:12,750 --> 00:33:15,700
[Benjamin] suite aux lois antiterroristes.

252
00:33:16,200 --> 00:33:35,700
[Aeris] Ou même, c'est même pour le coup, c'est complètement illégal, on n'est même plus dans des encadres juridiques encadrés, etc. C'est des juges qui se réveillent un matin, qui signent des demandes de réquisition qui sont juste lunaires, qui font aucun contrôle de ce qu'ils signent, des saisies. C'est une anomalie, mais pour le coup ça existe réellement en France, et c'est presque entériné par les décisions du gouvernement, etc.

253
00:33:36,200 --> 00:33:42,550
[Aeris] qui ne font pas grand chose pour encadrer ça. On pense aussi aux écoutes illégales, ou en tout cas très peu encadrées avec...

254
00:33:42,550 --> 00:33:49,350
[Benjamin] Mais si c'est légal, c'est une anomalie, c'est illégal. Là, quand on parle de FISA 702, on parle d'un cadre légal.

255
00:33:49,350 --> 00:33:55,050
[Aeris] Oui, mais on pourrait parler aussi de la CNCTR en France, qui est la Commission nationale des contrôles de...

256
00:33:55,550 --> 00:34:14,150
[Aeris] On pourrait parler aussi de la CNCTR en France qui est un organisme qui est chargé en théorie d'encadrer les écoutes téléphoniques et autres à la demande de notes blanches du gouvernement mais qui si on leur pose la question ne peut aucun répondre ça existe ou ça n'existe pas. C'est la commission nationale de contrôle des techniques de renseignement.

257
00:34:14,150 --> 00:34:31,800
[Aeris] Et si vous leur posez la question est-ce que j'ai été surveillé, bah la seule chose qui peut vous répondre c'est on sait pas ou on peut pas vous répondre et vous aurez jamais la réponse. Pareil j'ai fait des demandes d'accès pour avoir mes dossiers de renseignement etc. On te répond bah non, un agent de la CNIL a été voir mais on peut pas vous répondre si si quelqu'un est concerné ou pas.

258
00:34:31,900 --> 00:34:34,425
[Aeris] Donc on a à peu près les mêmes problèmes en France.

259
00:34:34,425 --> 00:34:46,850
[Benjamin] Et donc encore une fois, le RGPD il a bon dos, on a beau être protégé, mais dans la pratique il y a des abus où on l'est pas et...

260
00:34:47,350 --> 00:34:50,100
[Benjamin] et mettre en péril ou en tout cas...

261
00:34:50,550 --> 00:34:53,250
[Benjamin] s'attaquer à l'internet mondial.

262
00:34:53,800 --> 00:34:55,900
[Benjamin] pour ce prétexte là.

263
00:34:56,500 --> 00:34:58,300
[Benjamin] ça te semble un petit peu fallacieux.

264
00:34:58,300 --> 00:35:11,750
[Aeris] assez fallacieux mais en même temps c'est intéressant puisque ça soulève le problème de la souveraineté, c'est-à-dire que le problème de la vie privée pour moi est un vrai faux problème ou un faux vrai problème, fonction dans quel sens on le regarde. Et je pense qu'on pourrait avoir des postures un peu moins violentes sur le sujet.

265
00:35:11,750 --> 00:35:31,700
[Aeris] mais en agissant comme beaucoup et de constater que les GAFAM typiquement les usages qu'ils font des données est lamentable et devrait être condamné et devrait être interdite beaucoup plus violemment. Les technologies souveraines en Europe devraient être construites et il y a vraiment un entre-deux à trouver, des évolutions à faire des deux côtés. Et aujourd'hui on est dans un...

266
00:35:32,200 --> 00:35:33,650
[Aeris] blocage complet, c'est que...

267
00:35:33,650 --> 00:35:34,875
[Benjamin] Ouais, un espèce de marasme.

268
00:35:34,875 --> 00:35:38,175
[Aeris] On est dans un marasme et que ça avance ni dans un sujet ni dans l'autre.

269
00:35:38,175 --> 00:35:48,550
[Benjamin] Alors on peut dire que finalement le RGPD c'est un peu le poil à gratter qui nous oblige à nous réveiller et d'ailleurs on peut se poser on peut se poser la question c'est si il n'y avait pas eu le RGPD et s'il n'y avait pas eu Max Schrems

270
00:35:48,550 --> 00:35:55,700
[Benjamin] on serait toujours au Safe Harbor et puis ça serait OpenBar quoi.

271
00:35:56,250 --> 00:36:02,250
[Benjamin] Et ça serait open bar, et puis en termes de souveraineté numérique, on se poserait à peine la question.

272
00:36:02,750 --> 00:36:12,500
[Benjamin] Donc ça a quand même la vertu de nous obliger à nous mettre face à nos responsabilités et à nous poser les bonnes questions et à remettre un peu en cause ce qui...

273
00:36:13,000 --> 00:36:14,650
[Benjamin] paraît plus confortable.

274
00:36:14,650 --> 00:36:31,050
[Aeris] Oui bah aujourd'hui c'est vraiment ça, aujourd'hui le vrai problème c'est ça, c'est le confort en fait, et le business malheureusement c'est ça qui est le nerf de la guerre aujourd'hui. Mais le business ne veut pas se remettre en cause parce que les décisions à prendre qui sont pourtant évidentes ne veulent pas être prises pour des raisons marketing, économique...

275
00:36:31,200 --> 00:36:58,125
[Aeris] voire même sociale, puisqu'on est d'accord que si jamais on devait se passer des États-Unis demain, ça risquerait de piquer un petit peu en termes d'emploi et autres en Europe. Donc faut pas se cacher, mais comme on disait avec Benjamin Sontag, malheureusement ça va pas être le seul problème qu'on va avoir à résoudre d'ici dix ans, et la plupart des décisions qu'on va avoir à prendre, contraintes et forcées pour le coup parce qu'on discute beaucoup moins avec l'écologie qu'avec le gouvernement américain, de toute façon ça va être des décisions qu'il faudra prendre à terme.

276
00:36:58,125 --> 00:37:05,100
[Benjamin] Oui, oui, on a eu quelques exemples en particulier en Espagne de ce que c'est que l'écologie punitive...

277
00:37:05,750 --> 00:37:07,450
[Benjamin] Quand on a rien foutu.

278
00:37:07,450 --> 00:37:16,950
[Aeris] Voilà. Et aujourd'hui ça va être là le vrai sujet, plus que le RGPD, ça va être la prise de conscience à avoir, comment on se réorganise notre société, comment on monte nos business autour de ça.

279
00:37:16,950 --> 00:37:27,750
[Aeris] comment on se prend en main en fait pour régler les problèmes et ça passe aussi par des profondes restructurations sociétales sur comment on vit avec un boulot ou pas de boulot

280
00:37:28,250 --> 00:37:33,400
[Aeris] Et donc ça soulève plein d'autres questions derrière que Schrems, pour le coup, ne réglera pas tout seul devant la CGU.

281
00:37:34,000 --> 00:37:41,125
[Benjamin] Et donc tout ça à la base c'est parce que un autrichien de 25 ans en avait marre de la pub Facebook.

282
00:37:41,125 --> 00:37:46,650
[Aeris] Oui. Ça part de loin, hein. Ça donne aussi les implications du RGPD en général, hein. C'est un texte qui est...

283
00:37:47,150 --> 00:37:53,125
[Aeris] extrêmement vastes, extrêmement touffues, en même temps très compactes, mais qui touchent à vraiment tous les domaines de la société.

284
00:37:53,125 --> 00:37:56,250
[Benjamin] Oui, c'est un... ah tu peux le dire, tu le trouves beau.

285
00:37:56,250 --> 00:38:06,050
[Aeris] Ah bah je le trouve vraiment beau et c'est vrai qu'on a des décisions qui sont prises même par la CJUE elle-même qui... On s'attendait pas à ça en fait, on s'attend pas à ce que le RGPD qui est un texte...

286
00:38:06,050 --> 00:38:18,600
[Aeris] surtout en France, issue depuis 1978, règle des problèmes de publicité ciblée en ligne, de réseau social, de transidentité, de surveillance dans la voie publique. C'est vraiment un texte qui couvre un domaine extrêmement vaste.

287
00:38:19,100 --> 00:38:26,150
[Aeris] et que si on l'applique en fait ça revient à dire ben soyez juste pas un connard, comportez-vous en humain...

288
00:38:26,700 --> 00:38:32,125
[Aeris] correctement, qui se comporte correctement en société et tout ira bien, le RGPD devient naturel dans des cas comme ça.

289
00:38:32,125 --> 00:38:35,400
[Benjamin] Eh bien merci Aeris, je pense qu'on a fait le tour.

290
00:38:35,550 --> 00:38:36,700
[Aeris] Je pense aussi.

291
00:38:36,850 --> 00:39:05,300
[Benjamin] Bon ben voilà, c'était l'histoire du petit Max Schrems qui en a marre de la publicité Facebook. Vous avez écouté le septième épisode de RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée. N'oubliez pas que vous pouvez écouter cet épisode sur les plateformes de podcast 2.0. Vous retrouverez toutes les applications de podcast 2.0 sur newpodcastapps.com. Ce podcast est hébergé par Castopod, plateforme open source libre et gratuite d'hébergement de

292
00:39:05,800 --> 00:39:18,350
[Benjamin] Le podcast est disponible sur Mastodon. Vous pouvez interagir directement depuis Mastodon en repartageant l'épisode, en le likant ou en le commentant et n'hésitez surtout pas à nous envoyer toutes vos questions.

293
00:39:18,400 --> 00:39:20,150
[Benjamin] Merci Aeris.

294
00:39:20,750 --> 00:39:22,325
[Benjamin] Et à la semaine prochaine !

295
00:39:22,325 --> 00:39:23,300
[Aeris] Bonne semaine à tous !