À la tête de Riaktr (connue jusqu’en février sous le nom de Real Impact Analytics), scale-up belge active dans le big data à destination des entreprises notamment du monde des télécoms, Sébastien Deletaille, son cofondateur, revient sur l’entrée en vigueur prochaine du Règlement général sur la protection des données (RGPD).

À la tête de Riaktr (connue jusqu’en février sous le nom de Real Impact Analytics), scale-up belge active dans le big data à destination des entreprises notamment du monde des télécoms, Sébastien Deletaille, son cofondateur, revient sur l’entrée en vigueur prochaine du Règlement général sur la protection des données (RGPD).

"A plus long terme, ce changement régulatoire de taille finira par profiter aux citoyens du Vieux Continent dans leur ensemble." Sebastien Deletaille CEO de Riaktr

Pour lui, à court terme, il est clair qu’il y aura en Europe une certaine forme d’expectative des PME, en l’attente de plus de clarté tant sur ce qui est réellement sanctionné en cas de faute que sur la manière dont il convient d’anonymiser les data par exemple. Par contre, à plus long terme, ce changement régulatoire de taille finira par profiter aux citoyens du Vieux Continent dans leur ensemble. Quitte à ralentir quelque peu l’innovation pendant un temps face aux géants chinois et américains. Un prix à payer pour redonner confiance après les scandales à répétition.

Le 25 mai se rapproche. Êtes-vous prêt?

Notre chance, c’est que nous avons des contrats où la relation avec les opérateurs télécoms pour lesquels nous travaillons est très très forte. Ce qui amène à ce que nous soyons considérés comme une entité faisant partie de l’enveloppe de l’opérateur. À ce titre, s’il respecte le règlement, nous le respectons aussi. C’est à lui de faire l’essentiel des démarches auprès de ses clients. Une grande différence pour nous alors que pour de nombreux acteurs, le RGPD a été une expérience d’avocats, pas forcément joyeuse ni ambitieuse.

CV express CV express Né en 1984, il étudie à la Solvay Brussels School avant de passer par la consultance chez McKinsey. En 2009, il cofonde Real Impact Analytics, devenue Riaktr en février, dont il est le CEO. En 2015, il est sélectionné parmi les "Innovators under 35" du MIT. En 2016, sa boîte est sacrée "Entreprise prometteuse", année où il lève 12 millions d’euros auprès de Fortino, Endeit et de Gimv.

De nombreux acteurs qui, dans le cas de start-ups, ont pu avoir du mal à se mettre en conformité. Quand ils l’ont fait…

La taille influence effectivement et la compréhension du dossier et l’aisance à adresser ce nouveau règlement. Quantité de gens dans de petites structures se tournent vers moi parce qu’ils ne comprennent pas forcément les tenants et aboutissants, mais en même temps, sans vouloir porter de jugement sur la manière dont l’Autorité de protection des données (APD) fera son travail, je ne pense pas qu’il y ait grand-monde qui s’embêtera à attaquer un fleuriste en justice parce qu’il a envoyé un e-mail sans consentement de ses clients. Après tout, cela ne sera pas très très grave. Par ailleurs, pour ce qui est des entreprises de taille moyenne comme la nôtre, quasiment toutes ont fait appel à un consultant pour leur donner la liste des recommandations, puis elles ont signé et c’était fini. Les grandes boîtes d’audit avaient toutes une offre à quelques milliers d’euros à cet effet. Par contre, du côté des grandes structures, cela a amené à d’énormes chantiers. Outre les obligations de communication et de mise en ordre des bases de données clients, des équipes de gestion de dix voire quinze personnes ont dû être mises en place, travaillant parfois pendant deux ans autour de questions de gouvernance des données, réalisant des cartographies exhaustives de leur traitement, changeant l’ensemble de leurs contrats pour l’ensemble de leurs fournisseurs pour être en conformité… Bref, cela a amené à un important investissement régulatoire, illustrant l’ampleur de la réforme.

À terme, ne risque-t-on pas avec ce règlement de brider l’innovation en Europe face à des pays plus libres?

C’est un risque, mais il convient de prêter attention à deux horizons de temps. À court terme, il est clair qu’il faudra du temps pour que la mesure porte ses fruits. Par ailleurs, sur le long terme, le RGPD peut avoir un impact positif parce qu’il a permis à toute une série d’organisations de donner la priorité au nettoyage de leurs données qui représentent un avantage concurrentiel. En fait, ce règlement a eu le mérite de mettre tout en haut de l’agenda leur gestion en la matière, permettant de quelque peu rattraper le retard qui peut exister face aux Etats-Unis ou à la Chine par exemple, deux pays qui sont beaucoup plus animés par la data.

Vous êtes souvent en contact avec d’autres acteurs de l’industrie technologique, que vous disent-ils?

"Les Gafa sont ceux qui font le plus attention à nos données." Sebastien Deletaille CEO de Riaktr

Pour les professionnels du métier, il reste énormément de flou dans cette législation, notamment en matière d’anonymisation des données lors de leur traitement. On en parle beaucoup dans le RGPD, mais sans spécifier de quelle manière: à l’entrée, dans le traitement ou à la sortie. En fonction d’où l’on place le curseur, on pourra moins faire avec les données car cela joue sur les tendances que l’on peut observer, de même que sur la cohérence et les analyses sur le long terme… Quant à notre division Data for Good qui a travaillé à combattre Ebola en Afrique de l’Ouest, si l’on avait dû appliquer le RGPD avec une anonymisation à l’entrée, je n’aurais pas été en mesure d’aider Unicef à établir des zones de quarantaine.

Quel est le risque in fine de cette réalité?

Je pense qu’à cause de cela, de même que du flou autour des sanctions qui planent, un certain nombre d’entreprises risquent d’être plus modestes avec ce qu’elles font de la data. C’est un très gros frein à l’innovation à court terme. Les gens vont attendre de voir comment les choses évoluent. Alors que pour une start-up cela n’aura peut-être pas autant d’impact, car c’est plutôt habituel pour ce type de structure d’être à la limite du règlement, non pas qu’elle le recherche activement, mais bien qu’il s’agisse pour elle d’une manière d’innover. Mais pour les autres, de manière plus générale, l’on va voir à l’avenir tout un tas de procès qui montreront peu à peu les contradictions de la loi et son manque de clarté. Et là, je suis curieux de voir les arbitrages et la jurisprudence qui sera établie.

Quid des relations de sous-traitance, les grandes entreprises devant désormais y regarder à deux fois avant de choisir leurs partenaires?

Les start-ups seront très certainement affectées. En effet, les grandes structures ne donneront peut-être plus aussi facilement accès à leurs données, ce qui rendra moins aisées les collaborations. Là aussi, l’on est dans pour l’heure dans une situation de "wait and see".

Que pensez-vous, avec du recul, de ce changement de taille? Bonne mesure?

Dans l’ensemble, je pense qu’il faut la saluer. L’ambition derrière ce nouveau règlement est noble et a permis, dans le même temps, de mettre à jour le cadre régulatoire par rapport à la réalité des données telles qu’elles sont au XXIe siècle. Aussi, il pourra permettre de redonner confiance au citoyen par rapport à ce qui est fait avec ses données personnelles, a contrario de ce qui est fait dans des pays où les normes sont bien plus laxistes. En résumé, je suis fier qu’en Europe, l’on ait opté pour une approche bien plus proche du consommateur.

Faut-il y voir l’effet des Gafa (Google, Apple, Facebook et Amazon, NDLR), dont la récente affaire dite Cambridge Analytica a une nouvelle fois mis en avant l’importance avec le siphonnage des données de quelque 87 millions de personnes dont 61.000 en Belgique?

Si cela a été motivé par cela, c’est une mauvaise raison. Ce serait dommage de s’être basé sur de la jalousie pour ne créer qu’une contre-mesure… Surtout que les Gafa sont ceux qui font le plus attention à nos données. Facebook fait partie, avec les Amazon et autres Google, des acteurs qui les traitent le mieux.

Ce qui n’a pourtant pas empêché Cambridge Analytica…

Il faut arrêter avec cela. Cambridge Analytica a fraudé le but initial de l’analyse prévue des données. Il n’y a pas lieu d’argumenter face à des criminels. Ils vont être poursuivis pour cela.

Quid du problème d’image?

Quand des crises comme celle-là sont autant médiatisées, cela traîne souvent dans la conscience collective et on commence à faire des raccourcis. Mais il est important de bien dire que le RGPD n’aurait rien changé. De même que dès qu’il sera entré en vigueur, cela n’implique pas que des affaires similaires ne se produiront plus. Par contre, ce genre d’histoire s’accompagne, à mon sens, d’un risque majeur: l’on voit actuellement se généraliser de façon assez claire une tendance anti-technologique, soutenue par des séries télé comme Black Mirror (qui met en avant dans chacun des épisodes une technologie dont la logique est poussée à l’extrême afin d’en montrer les dangers potentiels, NDLR), comme quoi cela va bouffer des jobs, que les acteurs du marché vendent les données des consommateurs… Ce genre de discours gagne du terrain et c’est très alarmant. On est en train de faire le procès d’une transformation profonde de notre société en mélangeant tout et n’importe quoi. Mon souhait avec l’entrée en vigueur du RGPD est que les citoyens voient que le cadre régulatoire évolue, en devenant assez protecteur, et que donc le monde de la technologie n’est pas forcément néfaste. La technologie est un moyen qui, quand la finalité est bonne, présente un incroyable facteur d’impact.