Bonjour, Maître. Merci de m'accorder du temps pour cette interview sur la sécurité des données et le RGPD. Est-ce que vous pouvez nous présenter le cabinet Iteanu ? Bonjour, Sylvain. Je m'appelle Alexandra Iteanu. Je suis avocate au sein du cabinet Iteanu Avocats et responsable du pôle Data et RGPD depuis maintenant presque cinq ans. On a un cabinet en matière de niche spécialisée dans les nouvelles technologies depuis plus de 20 ans. Et dans ce cadre-là, on accompagne les entreprises et surtout leurs besoins IT, du contrat cybersécurité, données personnelles, mais également marque, e-commerce et e-réputation. Très bien, et vous intervenez chez un de nos clients, Marketo, c'est pour ça qu'on s'est connus. Le RGPD est entré en vigueur en mai 2018. Est-ce que vous pouvez nous rappeler en quoi ça a changé la vie des entreprises et des citoyens ? Alors, le RGPD est entré en application le 25 mai 2018, effectivement. Ce qu'il faut déjà noter, c'est qu'avant son entrée en vigueur, il y avait déjà une directive qui était appliquée et une loi nationale française qui s'appelle la Loi informatique et libertés, qui date du 6 janvier 1978. C'est une des plus anciennes lois sur la protection des données personnelles qui existent en Europe. Donc, en réalité, le RGPD, les grands principes du RGPD existaient déjà avant le RGPD. C'est quelque chose qu'il faut rappeler parce que l'on a tendance parfois à l'oublier. Ce que ça a changé, c'est que c'est un texte d'application directe, c'est-à-dire qu'il n'y a pas besoin de voies de transposition. Et c'est un texte qui s'applique de manière uniforme en Europe et à toute entreprise qui cible des citoyens européens, donc à des entreprises du e-commerce qui sont, par exemple, aux États-Unis, en Chine, etc. À partir du moment où des produits et services sont vendus à des citoyens européens, ces entreprises se trouvent sous la coupe du RGPD. D'accord. Effectivement, depuis quatre ans... tous mes clients ont entrepris une démarche pour être conformes au RGPD, qui s'est souvent traduite par la mise en place de formulaires de recueil du consentement et généralement par la création d'un grand formulaire de gestion de préférences de communication. J'ai quand même vu quelques procédures contentieuses déclenchées, plutôt côté B2C, j'ai l'impression. Est-ce qu'il y a eu des amendes retentissantes récemment ou pas ? Alors, justement, ce qui a changé avec le RGPD, c'est que, aujourd'hui, il a énormément augmenté les plafonds des amendes autorisées. Il faut savoir que ça va jusqu'à 4 % du chiffre d'affaires d'une entreprise ou 20 millions d'euros. Donc, ce sont des chiffres assez gros. On peut penser dernièrement à la condamnation de Google à plusieurs millions d'euros de la CNIL. Il faut savoir que la CNIL, depuis l'entrée en vigueur du RGPD, les sanctions n'ont fait qu'augmenter, les prix des amendes également et c'est ce qui fait beaucoup de bruit. Et c'est ce qui aide, on va dire, un peu à forcer les entreprises à se mettre en conformité assez rapidement. Oui, effectivement. Donc, ça s'applique aussi aux entreprises américaines, par exemple, Adobe ou Marketo qui opèrent en Europe, ou une entreprise chinoise qui opère en Europe et bien sûr aux entreprises européennes. J'imagine que ça n'existe pas les entreprises européennes qui ne vendraient pas sur le marché européen. - Il y a peu de chance. - Ce serait dommage, en tout cas. On est concernés. Qu'est-ce que ça couvre, très, très brièvement, en résumé ? Qu'est-ce que couvre le RGPD ? Alors, le RGPD couvre tout traitement, toute manipulation… C'est plus large que manipulation, parce qu'en traitement, ça peut être une simple consultation de données. Il couvre tout traitement de données à caractère personnel. À partir du moment où vous êtes en présence de données à caractère personnel, que l'on peut définir comme toute information qui va permettre d'identifier une personne physique de manière directe ou indirecte, dans ce cas-là, vous rentrez dans le champ d'application du RGPD. Donc, on se rend compte que le RGPD s'applique en réalité à de nombreuses situations, beaucoup plus que ce qu'on peut penser, parce qu'une donnée personnelle, c'est une information qui vous identifie directement, mais aussi indirectement. Donc, on va penser à une plaque d'immatriculation, à une adresse IP par exemple, dans le cas du marketing, ou à plein d'informations sur des visiteurs de sites qui sont en réalité des données personnelles parce qu'elles permettent d'identifier ces personnes. D'accord. Nous, dans le cas plutôt du B2B, puisque que l'on est plutôt dans ce cas-là, les adresses IP qu'on collecte, assez souvent, c'est les adresses IP des entreprises qui viennent chez nous. Donc, derrière cet aspect, il y a de nombreuses personnes. Bien sûr. Mais on va quand même considérer que cette IP, elle suffit à parfois identifier une personne ? S'il est possible d'identifier une personne en particulier, oui. Mais c'est ce qui est assez complexe avec le RGPD, parce que la définition de donnée personnelle, en elle-même, est assez contextuelle. C'est exactement ce que vous venez de dire. Ça va dépendre, au final, du contexte. Si derrière une adresse IP, il y a une société, ça ne sera pas considéré comme une donnée personnelle. Si derrière une adresse IP, il y a une personne physique, par contre, ça sera considéré comme une donnée personnelle. Tout est une question de contexte. Donc, si j'ai une adresse IP, l'adresse IP du cabinet Iteanu, par exemple, dans lequel vous êtes plusieurs, mais qu'en plus j'ai un parcours digital qui me permet de voir que la personne a vu telle page, telle page, là, ça commence à se resserrer. Complètement. Si vous faites ce qu'on appelle du croisement ou de la combinaison de données, deux données qui ne sont pas des données personnelles, croisées ou combinées, peuvent donner effectivement une donnée personnelle. D'accord. Alors, moi ce que j'avais noté sur ma petite fiche concernant le cadre du RGPD, vous allez me dire si je dis des bêtises ou pas, on doit obtenir un consentement clair et loyal sur le traitement des données personnelles. On doit pouvoir gérer un droit à l'oubli. C'est-à-dire que je dois pouvoir dire à une entreprise : oubliez-moi. Ça doit vraiment marcher. On doit être informé en cas de piratage et de violation des données. Mon fils est dans les jeux vidéo, je vois souvent ça. C'est souvent les Nintendo, Sony et autres qui se font pirater leur grosse base pour ensuite aller proposer d'autres jeux aux joueurs. Limitation des finalités. Donc on doit définir ce que c'est qu'une finalité et ça, en marketing, ce n'est pas totalement évident. Et il y a une notion de sécurité : on doit protéger les données qu'on collecte. Alors, oui, vous avez listé quelques-unes des mesures du RGPD. En réalité, il y en a énormément et elles sont, on va dire, applicables au cas par cas. Vous avez parlé de consentement. Il faut savoir que dans le RGPD, il y a d'autres bases légales qui vont vous permettre, par exemple, de traiter des données personnelles sans avoir recours au consentement de la personne. Par exemple, si vous avez un contrat avec cette personne, vous n'avez pas besoin de son consentement, ou alors si vous avez ce qu'on appelle un intérêt légitime. Donc, le RGPD est quand même assez large pour s'appliquer à un nombre de cas assez divers et les mesures du RGPD seront applicables au cas par cas. Après, vous avez parlé du droit à l'oubli. Il est vrai que le RGPD va lister un certain nombre de droits qui sont accordés aux personnes concernées, c'est les articles 15 et suivants du RGPD. Donc, il y a effectivement le droit à l'oubli qu'on appelle aussi le droit à l'effacement. Mais il y a aussi ce qu'on appelle le droit d'opposition ou le droit d'accès, le droit de limiter le traitement. Donc, il y a toute une série de droits que le RGPD accorde et qui sont listés aux articles 15 et suivants. Ensuite, vous avez parlé des mesures de sécurité. C'est vrai que c'est un point qui est très important dans le RGPD, c'est l'article 32 qui définit le fait que le responsable d'un traitement doit, au cas par cas encore une fois, et selon les risques inhérents à son traitement, mettre en place des mesures de sécurité qu'on appelle adaptées. Donc ça va dépendre effectivement du traitement, etc. Et en cas de violation de données à caractère personnel, comme vous l'avez dit vous-même, il faut le notifier à la CNIL, par exemple, sous les 72 heures et également aux personnes concernées lorsque cela peut présenter un risque pour leurs droits et libertés. Il y a toute une série de recommandations, de mesures qui sont dans le RGPD, qui vont s'appliquer selon le contexte et selon votre traitement en réalité. Oui. OK. Si on revient sur les données personnelles, vous avez bien défini ce que c'était, si j'essaie d'appliquer ça à ce qu'on fait, nous, en marketing, l'objectif assez souvent des directions marketing B2B, c'est d'obtenir, un, des emails pour identifier les personnes qui viennent sur le site. Ensuite, collecter quelques informations supplémentaires assez vite : le nom, le prénom, la société. En croisant ça avec un parcours digital, on va essayer de définir les préférences de la personne pour pouvoir lui proposer des flux d'éducation sur les sujets qui l'intéressent dans l'entreprise. Mais ce que je comprends, c'est qu'on ne doit collecter des données que si on envisage de s'en servir. Effectivement, c'est un principe qu'on appelle le principe de data minimisation en RGPD. C'est le principe qui dit que l'on ne peut collecter déjà que pour une finalité qui a été préétablie. Vous ne pouvez pas collecter des données en vous disant : "Je verrai ce que j'en ferai plus tard." Il faut prédéfinir une finalité. Et il ne faut pas collecter des données plus que ce qui est nécessaire et strictement nécessaire à votre traitement. C'est ce que le RGPD impose effectivement. Au début de ma carrière, je voyais souvent la date de naissance dans les formulaires ou "est-ce que vous aimez le golf ?" Il y avait souvent des choses comme ça. À moins qu'on offre à ses clients des séjours de golf, ce sont des choses qu'on ne fait plus aujourd'hui. Petite précision : il faut savoir que vous avez la possibilité dans un formulaire, ça, c'est aussi une recommandation de la CNIL, de mettre une petite étoile pour définir quelles sont les informations qu'il faut obligatoirement renseigner et celles qui vont être secondaires. Donc ça, c'est une chose qu'il est possible de mettre en place. Effectivement. Dans nos formulaires Marketo, on définit les champs obligatoires et ceux qui sont facultatifs. Combien de temps est-ce qu'on a le droit de garder ces données, ces données marketing assez souvent ? Alors, évidemment, si la donnée est utilisée, que la personne vient vers nous régulièrement ou que c'est un client avec un contrat, on imagine bien que là, on va la garder tant que la personne va rester chez nous. Mais on a souvent des gens qui viennent une première fois sur nos sites, téléchargent un livre blanc ou une infographie et puis ensuite disparaissent et ne reviennent plus. Qu'est-ce que nous dit le RGPD ou la CNIL sur le délai de conservation de ces données ? Alors le RGPD, il faut savoir qu'il ne donne aucune durée fixe de conservation. La seule chose que dit le RGPD, c'est que vous ne devez conserver vos données que le temps strictement nécessaire à la réalisation de votre finalité. Donc, encore une fois, c'est du cas par cas. C'est à vous de juger et de justifier les durées de conservation. Ce qui est important, c'est que vous devez avoir en interne ce qu'on appelle un registre des activités de traitement. C'est une documentation qui est obligatoire et dans lequel vous devez consigner les différentes finalités que vous avez, mais aussi les différentes catégories de données et les durées de conservation qui sont liées à ces catégories de données. Donc, en fonction des données que vous allez conserver et de la finalité qui est liée à ces données, vous allez conserver ces données plus ou moins longtemps. Il faut savoir que la CNIL aussi donne des recommandations avec des durées fixes. Par exemple, pour les données clients, vous pouvez les conserver en base jusqu'à trois ans après la fin de la gestion commerciale. Ça, c'est une recommandation de la CNIL. Et assez souvent pour les prospects, donc les gens qui ne sont pas passés côté client, moi, j'ai plutôt en tête deux ans. Oui, la CNIL dit aussi trois ans pour les prospects à compter du dernier contact avec le prospect. Mais voilà, ça reste des recommandations. Ce n'est pas la loi. Il vaut mieux en réalité mettre des durées plus courtes. C'est mieux évidemment. Ou vous avez également le droit de mettre des durées plus longues, mais dans ce cas-là, il faut le justifier. Oui, c'est vrai que réengager quelqu'un qui n'a eu aucune interaction avec nous pendant deux ans, marketingmant parlant, c'est un peu suicidaire. Pour Marketo, c'est une bonne pratique, on a un petit programme qui détecte le dernier contact de la personne vis-à-vis de nous, quel type de contact ça a été, ce qui permet deux ans après ou 18 mois ou 12 mois après de proposer sa suppression. Et pour les cookies ? Pour une catégorie de données un peu particulière. Oui, il faut différencier plusieurs styles de cookies. Il y a les cookies qui sont nécessaires au fonctionnement du site, ceux-là notamment n'ont pas besoin d'avoir l'accord du consentement du visiteur. Et puis il y a les cookies qui sont, par exemple, des outils d'analyse, de statistiques, etc. Et dans ce cas-là, la CNIL oblige à obtenir le consentement spécifique — j'insiste sur ça — pour chacun de ces cookies. Vous n'avez pas le droit d'avoir un consentement général pour l'ensemble de ces cookies. Il faut vraiment porter l'information aux visiteurs, lui dire : "Voilà la liste de cookies que j'ai. Voilà la finalité." Et il faut que le visiteur puisse consentir ou non à chacun de ces cookies. Pour la durée de conservation de ces cookies, la CNIL recommande 13 mois maximum. Mais il faut évidemment essayer de réduire cette durée au maximum. Sur les petits bandeaux de cookies qu'on voit, qui sont... généralisés et assez intrusifs assez souvent, on ne peut pas juste avoir "accepter" ou "tout refuser" ? Normalement, ça renvoie à ce qu'on appelle aujourd'hui un gestionnaire de cookies avec différentes finalités et la possibilité de consentir ou non à chacun de ces cookies. D'accord. Pour vraiment en avoir testé pas mal, assez souvent, ce qu'on a ce sont des blocs. On a les cookies obligatoires, on a les cookies marketing, on a les cookies fonctionnels et on peut… Jouer sur les… Parce qu'en vrai, je pense que personne n'a envie d'accepter cookie par cookie avant de rentrer sur… Oui, il faut au moins leur donner la possibilité de le faire. Mais on est d'accord que ce n'est pas la chose la plus pratique. OK, d'accord. Donc effectivement sur Marketo, on est plutôt côté marketing, on n’est pas du tout… On ne peut pas prétendre que Marketo est une solution obligatoire pour que le site fonctionne. Les cookies des gens qui passent sur le site, mais qui ne sont pas connus, ils sont gardés 90 jours et au bout de 90 jours, c'est supprimé. On est dans les temps. Parlons un peu de sécurité des données. Qu'est-ce qu'on est censé faire en termes de sécurité ? Alors, encore une fois, le RGPD reste très vague sur ces questions et il dit de manière assez large dans son article 32 : le responsable de traitement doit prendre les mesures, en fonction du traitement, des risques inhérents à ce traitement. Il n'y a pas vraiment de mesure de sécurité imposée par le RGPD. Le RGPD va donner des exemples de mesures. Il parle notamment de chiffrement, de pseudonymisation, de système qui va permettre de tester le système pour s'assurer qu'il n'y a pas de failles, etc., sans vraiment donner d'obligation stricte sur une mesure en particulier. Ce qui est sûr, c'est qu'il faut mettre des mesures de sécurité en place. Plus vous en mettez, mieux c'est et plus vous montrez que vous avez cherché à mesurer les risques et à mettre des mesures de sécurité appropriées, mieux c'est pour le responsable de ce traitement. D'accord. Donc, nous, côté Marketo, on peut positionner des paramètres de sécurité notamment pour la gestion des log in, le renouvellement des mots de passe et ainsi de suite, qui permettent de réduire les risques. La bonne pratique, c'est de limiter le nombre de personnes qui ont accès à la partie administration, puisque là effectivement, on peut gérer tout, on peut tout exporter. Donc, je pense que c'est la mesure la plus importante. Et puis former les utilisateurs — ça, je le vois de moins en moins — à ne pas exporter les données dans un fichier Excel et ensuite les envoyer à l'agence par email. Oui, bien sûr. C'est le pire qu'on puisse faire. Donc, pas de transfert de données personnelles par email. Non. On évite de transférer des données, mais si on doit les transférer, on le fait avec des systèmes sécurisés. Il y a deux droits qui sont assez compliqués à mettre en place au marketing et on se pose souvent des questions, c'est le droit à l'effacement et le droit à l'information. Est-ce que vous pouvez nous parler un peu plus précisément de ces deux droits ? Oui, ce sont des droits qui sont bien prévus par le RGPD. Donc, toute personne concernée a le droit de demander au responsable de traitement de procéder à l'effacement de ses données. Le responsable de traitement doit répondre à cette demande dans le délai d'un mois. Et effectivement, vous avez l'obligation de répondre à cette demande. Si vous ne le faites pas, la personne peut porter plainte à la CNIL, normalement, et vous vous exposez à des sanctions qu'on a évoquées tout à l'heure. L'effacement, ce n'est pas seulement masquer d'un traitement les données personnelles de la personne, c'est vraiment l'effacement. Donc un droit à l'oubli, comme on appelle ça. Il ne faut pas pouvoir retrouver les données dans le système du responsable de traitement. Et le second droit dont vous parliez, excusez-moi, c'était le… Le droit à l'information. Le droit à l'information, ça aussi, c'est un droit qui est souvent difficile à mettre en place. Et pourtant, c'est un des droits les plus importants et la CNIL insiste énormément sur ça. C'est qu'avant tout traitement, vous devez porter à l'information des personnes concernées un certain nombre d'informations qui sont listées par le RGPD, à l'article 13 du RGPD, qui liste toutes les informations que vous devez porter à la connaissance de la personne concernée avant de commencer un traitement ou de collecter ses données. C'est notamment quel est le nom du responsable de traitement, quelle est la finalité du traitement, quelle sera la durée de conservation de ses données. Il faut rappeler à la personne concernée l'intégralité de ses droits, donc elle a un droit à l'effacement, à l'oubli, à l'accès, etc. Mais également qu'elle a le droit de porter plainte auprès de la CNIL. Il y a toute une série de mentions, d'informations, à faire figurer qui est propre à chaque traitement et qu'il est très important de mettre en avant avant de collecter les données personnelles. D'accord. Mais une fois qu'on a collecté… C'est vrai que je n'avais pas en tête cette interprétation de ce droit-là. Pour moi, c'était : "Montrez-moi les informations que vous avez en base sur moi." Ça, ça s'appelle le droit d'accès. Le droit d'accès, d'accord. Ce droit d'accès, effectivement, quand vous êtes la personne concernée, vous avez le droit de demander au responsable de traitement d'accéder à l'intégralité des informations que ce responsable détient sur vous. Et le responsable de traitement a, encore une fois, un mois pour répondre à votre demande. Et on est d'accord, c'est dans tous les systèmes, ce n'est pas juste le système marketing ? Non, bien sûr. C'est un beau projet informatique transverse pour aller réussir à rapidement choper tout ça. Ce n'est pas évident. Le RGPD ne dit pas, par contre, comment la personne doit effectuer sa demande. C'est-à-dire que, là, on est libre de… ça peut être sur avoir un bouton sur le centre de préférences, on peut demander à envoyer un courrier avec copie de la pièce d'identité et puis je ne sais pas quoi… Complètement. La forme est libre. D'accord. OK. Je montrerai, après cette vidéo, quelques exemples de centres de préférences pour illustrer comment on peut mettre en pratique les différents consentements, les différents droits sur nos préférences. Je ne vais pas prendre de votre temps pour ça. Je propose qu'on passe sur quelque chose qui a défrayé un peu la chronique récemment, les arrêts. Je crois que sont les Pays-Bas qui ont commencé, puis ensuite la CNIL, concernant Google Analytics, et ça fait un peu... réfléchir... mes clients. Qu'est-ce qu'il en est de Google Analytics aujourd'hui ? Alors, il faut savoir que ce n'est pas une décision qui est très surprenante, en tout cas pas dans le monde des données personnelles. Parce qu'il faut savoir que depuis juillet 2020, il y a ce qu'on appelle une invalidation, par la Cour de justice de l'Union européenne, du Privacy Shield, qui était l'accord qui permettait d'envoyer aux États-Unis des données à caractère personnel depuis l'Europe. Et cet accord-là, de Privacy Shield, rendait ces transferts vers les États-Unis légaux. Le Privacy Shield a été invalidé à partir de juillet 2020. Et depuis cette invalidation, on sait que tout transfert vers les États-Unis doit être assorti de garanties et qu'il faut un formalisme supplémentaire, et que le Privacy Shield n'existe plus. Donc, en réalité, cette décision de la CNIL qui condamne une société qui utilise Google Analytics, on s'y attendait. Pourquoi ? Parce que Google est une entreprise américaine et que, en utilisant ses services, elle collecte des données de citoyens européens qu'elle va transférer vers les États-Unis. Et c'est en fait ce transfert vers les États-Unis que condamne la CNIL aujourd'hui. D'accord. Est-ce que c'est le fait que les serveurs Google sont aux États-Unis ou c'est le fait que Google est Américain ? Alors, dans la décision de la CNIL, c'est le fait que les serveurs Google sont aux États-Unis. Mais en réalité, le problème serait le même même si les serveurs étaient en France, puisqu'on sait qu'aujourd'hui la législation américaine, et notamment le Cloud Act, permet à toute autorité de contrôle des enquêtes américain d'avoir accès à des données personnelles d'une entité américaine, même si ces serveurs ne sont pas aux États-Unis. Donc, même si les serveurs de Google ne sont pas aux États-Unis demain, le problème persiste tant qu'il n'y a pas de Privacy Shield équivalent ou de changement de la législation américaine en réalité. C'est-à-dire que n'importe quel éditeur de logiciels américains tombe sous ce coup-là, en fait ? Complètement. Tous les éditeurs américains sont aujourd'hui à risque. D'accord. Qu'est-ce qu'on peut légitimement espérer ? Est-ce que c'est une solution qui peut se solutionner ou on est à risque ? Alors, il y a un nouveau Privacy Shield, entre guillemets, qui est censé être adopté, peut-être dans les semaines ou mois qui suivent. En tout cas, on en parle. C'est ce qui permettrait de rendre tous ces transferts vers les États-Unis de nouveau licites et qui permettrait de soulager tout le monde et d'avoir recours à des prestataires américains. À ce jour, aujourd'hui, ce qu'on recommande, en réalité, c'est de placer des prestataires plutôt européens, voire français lorsque c'est possible. Ouais, parce que malheureusement dans les départements ventes et marketing, il y a quand même beaucoup d'éditeurs américains. - S'il faut tout changer, c'est... - C'est compliqué. - On est d'accord. - ...c'est compliqué, voilà. Le discours de ces éditeurs, c'est souvent de nous dire, notamment Marketo : "Ne vous inquiétez pas, on a mis des serveurs aux Pays-Bas, en Allemagne, donc tout va bien." Néanmoins, bon, on sait très bien que, généralement, c'est assez compliqué. On ne peut pas changer les contrats Adobe par exemple, on est obligé d'accepter les contrats tels quels. Et il y a souvent des conflits entre les clients français qui aimeraient appliquer leurs règles de sécurité versus un Adobe qui dit : "Le contrat est comme ça pour tout le monde. Si ça ne vous plaît pas, allez voir ailleurs." Oui, c'est le problème de ces gros prestataires américains qui proposent ce qu'on appelle des contrats d'adhésion, c'est-à-dire des contrats qui ne sont pas négociables et qui posent souvent des difficultés à leurs clients. Donc, je comprends que c'est quand même à risque, tant qu'on n'a pas une nouvelle négociation au niveau européen. De ce que je comprends le Privacy Shield, c'est un accord qui permettait de garantir que les données qui étaient envoyées aux États-Unis n'allaient pas être regardées par la CIA, la NSA. Ça ne permettait pas de garantir ça, mais ça rendait en tout cas licites les traitements. D'accord. Ça ne protégeait pas plus les données, mais ça rendait licite, en tout cas, le transfert. Aujourd'hui, on va dire que c'est officiel que ce genre de transferts ne répond plus aux exigences du RGPD. OK, mais a priori, on est quand même alliés dans le monde d'aujourd'hui. On est du côté des États-Unis et l'Europe… Ce serait la Russie ce serait différent. On est quand même du côté des Alliés. J'imagine qu'on doit pouvoir trouver un... trouver un arrangement. C'est ce que tout le monde espère en tout cas. OK. Une question un peu plus ouverte pour finir, Maître. Évidemment, les GAFA utilisent nos données et pour eux, c'est une vraie mine d'or parce que ça permet de... de personnaliser à outrance, de personnaliser vraiment fort les publicités et de revendre ces données à d'autres tiers qui ensuite à leur main. De la même façon que le RGPD était un peu une réaction à ça, est-ce que… J'imagine un monde, un jour, où moi, Sylvain, j'aurai complètement la maîtrise de mes données. Et moi, Sylvain, je pourrais éventuellement décider à qui exactement je donne mes données et comment je les monétise éventuellement. Est-ce que vous imaginez qu'on pourrait aller vers un monde comme ça ? Alors, c'est une vraie question. La monétisation de la donnée personnelle, c'est une vraie question, mais il faut savoir qu'aujourd'hui ce n'est pas le cas. C'est un droit qui est très personnel et qu'on ne peut même pas exercer, nous, en tant qu'avocats pour nos clients, c'est vraiment ce qu'on appelle un droit personnel, les données personnelles. Et le fait de monétiser ces données personnelles, ça enlèverait, d'une certaine manière, certains droits à des personnes physiques qui seraient prêtes à vendre leurs données, à perdre une certaine manière le contrôle sur ces données-là. Quand on voit aujourd'hui la qualité des consentements, qui est presque équivalente à zéro, on peut se demander : est-ce que ça sera fait de manière complètement lucide par des personnes physiques ? Est-ce qu'il ne faut pas un peu les protéger malgré elles en ne permettant pas de monétiser la donnée ? C'est un peu la question que je me pose, moi, aujourd'hui en tout cas. Au niveau individu et donc consommateur, plutôt des industries B2C, je comprends parce que je ne suis rien par rapport à une grosse marque. Par contre, si on est dans un cadre B2B, si je regarde notamment l'évolution des systèmes CRM ; il y a 20 ans, on installait des machines. Ensuite, le cloud est arrivé. On installe plus des machines, par contre, on continue à développer des systèmes. Maintenant, on a des CRM qui sont quasiment prêts à l'emploi une fois qu'on paye la licence. Et pour moi, l'étape d'après, c'est qu'on ait les CRM déjà alimentés en données. Et quand je vois qu'un outil contient quasiment l'ensemble des données, sous réserve que les données de LinkedIn soient exactes. C'est une grosse hypothèse. Mais je me dis, moi, entreprise, je pourrais décider de vendre les données B2B de ma société et de mes employés, avec leur nom, leur poste, leur téléphone, leur email. Et en échange, ça alimenterait mon CRM automatiquement avec les données des autres. Et ce serait un énorme pas dans la qualité des données qu'on aurait parce que par exemple, moi, patron de Merlin, je maîtriserais en fait les données que je donne et les données que je reçois. Et je pourrais même être récompensé pour ça. Donc, pour moi, c'est vraiment la prochaine étape que j'attends parce que ça fait 20 ans que je remplis des bases de données alors que je vois que tous mes clients sont identiques, font la même chose, alors que les données, on les met naturellement dans un outil, dans son Microsoft Teams, dans tous les systèmes. Je ne comprends pas pourquoi on ne les partage pas aujourd'hui. C'est dans ce sens-là que je voyais le futur. OK, mais ce serait complètement contraire au RGPD et ce qu'on disait sur une finalité définie. Moi, je vous fais une réponse d'avocate. Je suis désolée, mais j'ai mon biais, on va dire. Je pense qu'il y a des gens qui réfléchissent chez Microsoft aujourd'hui. Je comprends qu'on se pose la question. Surtout qu'on a les outils, la technique et on se dit : "Pourquoi pas ?" Je comprends. Je trouve ça bien. Je me fais un peu peut-être l'avocat du diable, mais je trouve ça bien, justement, qu'il y ait des textes qui protègent un peu aussi pour contrebalancer la technique qui évolue très vite. Et c'est très bien. Pour justement essayer peut-être un peu de nuancer et d'apporter des garde-fous autour de toute cette technique. OK. Écoutez, je pense qu'on a fait un bon tour de l'état actuel du système. Merci beaucoup pour votre temps, Maître. Et à une prochaine fois. Merci beaucoup à vous.