25 mai 2018

Protection des données et guerre commerciale

La GDPR est là.

Si vous résidez quelque part sur le continent européen - voire même si vous résidez ailleurs - vous ne pouvez pas ne pas être au courant. Les courriers électroniques de notification de changement des conditions générales inondent toutes les boîtes aux lettres. Avec tambours et trompettes, la GDPR s'impose à tous et toutes.

règlementation,ue,justiceQu'est-ce que la GDPR? Le Règlement Général sur la protection des données, ou RGPD en français. Outre sa page Wikipédia, une vaste littérature a été rédigée sur le sujet, souvent dans l'urgence. Même le résumé a été écrit mille fois, mais mentionnons-le encore pour mémoire: la GDPR vise à changer la façon dont les entreprises gèrent les données de leurs clients, employés et utilisateurs. Le texte, long d'une centaine de pages, vise à instaurer des "droits" comme le droit à l'effacement, le droit au transfert de données, le droit au consentement explicite, le droit à une notification en cas de fuite de données et bien d'autres choses encore.

On peut discuter à l'infini de l'intérêt de la GDPR. Outre les bons sentiments qui ont, espérons-le, amené à son existence, aura-t-elle des conséquences positives? L'harmonisation des réglementations nationales est-elle une bonne idée? L'agitation qui saisit les entreprises en ce moment débouchera-t-elle sur une amélioration réelle du traitement des données utilisateurs, ou tout ceci ne sera qu'un énième coup d'épée dans l'eau?

La date du 25 mai 2018 est à marquer d'une pierre blanche, puisque c'est la date à partir de laquelle la GDPR entre en force. En coulisses, les entreprises ont eu du temps pour se préparer. Outre les tractations législatives, le texte fut publié le 4 mai 2016 dans le Journal officiel de l'Union européenne. Il entra en vigueur le vingtième jour suivant celui de sa publication, amenant un délai de deux ans pour l'alignement des entreprises face à la nouvelle norme (comprenant la transposition du règlement dans les législations nationales de chaque pays membre). Et nous y sommes finalement.

Le côté obscur de la GDPR

Comme souvent dans le domaine privé face aux changements législatifs, certaines sociétés ont été longues à la détente. Mais aujourd'hui, toutes sont prêtes autant qu'elles puissent l'être ; il en va de leur survie économique. La GDPR ne vient pas qu'avec une longue liste de "droits" à l'intention des consommateurs, mais aussi avec une énorme massue.

Une organisation reconnue coupable de manquements à la GDPR pourrait être ainsi amendée à hauteur de 4% de son chiffre d'affaire annuel mondial, ou 20 millions d'euros, selon la valeur la plus grande. Ce sont des montants absolument gigantesques.

Ces amendes - 20 millions d'euros minimum, je rappelle - peuvent instantanément tuer toute PME sur le continent pour un "crime" dont la létalité mérite franchement d'être discutée. Il est probablement moins pénalisant financièrement d'empoisonner ses clients. L'amende en pourcentage du chiffre d'affaire est quant à elle destinée aux grands groupes (les GAFAM comme on les appelle parfois pour Google, Apple, Facebook, Amazon et Microsoft). S'ils ont la puissance organisationnelle pour faire face à la GDPR, nul doute que le législateur européen a conçu son texte en se léchant les babines à l'idée "d'amender" un gros poisson et d'en retirer une véritable manne (la question de l'entité qui encaissera le montant de l'amende n'est d'ailleurs pas clairement définie dans le texte, ce qui augurera de jolies empoignades lorsqu'il y aura un magot à partager).

Pour faire simple, les Européens ont reproduit à travers l'Union Européenne exactement les mauvaises pratiques qu'ils reprochent continuellement aux Américains: des amendes aux montants confiscatoires associés à l'incertitude du droit. La GDPR n'offre en effet aucune garantie à travers le temps. Il suffit qu'une fuite de donnée survienne, et elles semblent inévitables sur une période suffisamment longue, pour que les autorités de surveillance décrètent que le règlement a été enfreint.

Même si toutes les mesures raisonnables sont prises, il sera toujours possible aux autorités de plaider que les choses n'ont pas été faites assez vite, ou assez bien, ou assez complètement, ou que la fuite de données trahit une carence coupable en amont. Les prétextes disponibles pour écarter toute défense sont virtuellement infinis, dégageant le chemin pour les amendes confiscatoires.

Impérialisme européen?

Les Européens ont poussé le vice (et l'hypocrisie) jusqu'à copier la fameuse extraterritorialité qu'ils reprochent aux Américains, comme les menaces de sanctions économiques américaines dans le dossier iranien. La GDPR s'impose à toute société faisant commerce en Union Européenne, ou stockant les données de citoyens membres de l'Union. La Suisse est donc naturellement touchée:

Il suffit que des marchandises ou services aient pour destinataire une personne dans l'UE. Les nouvelles règles seront donc directement applicables à de nombreuses entreprises suisses, y compris celles qui n'ont ni siège ni filiale dans un pays de l'UE.

Selon la faîtière des entreprises economiesuisse, les exportateurs suisses, les entreprises de vente par correspondance et les exploitants de plate-formes de commande en ligne sont notamment touchés. Toutes les firmes qui analysent le comportement des visiteurs d'un site ou d'une application de téléphone intelligent sont également concernées.

Même l'envoi d'une lettre d'informations entraîne souvent le passage par un prestataire à l'intérieur de l'UE, souligne economiesuisse. Un boulanger de village ou l'exploitant d'une petite boutique en ligne ou d'autres services sur la Toile peuvent ainsi déjà entrer dans la zone d'application du RGPD.


De par sa nature même, la GDPR tourne toute marge d'interprétation possible en sa faveur. On se doute bien que la Suisse aurait de toute façon adopté la GDPR avec l'enthousiasme servile dont elle est coutumière, mais la GDPR vise bien au-delà. Des sociétés asiatiques, africaines ou américaines, qui n'ont parfois pas le moindre lien commercial direct avec l'Union Européenne, se conforment à la règlementation juste au cas où. Il ne s'agit aucunement d'une démarche d'adhésion mais simplement de la peur, et de la contrainte distillée par des fournisseurs ou des clients qui sont plus directement soumis à la GDPR.

Jamais l'impérialisme législatif n'a mieux porté son nom.

Singularité ou galop d'essai?

La GDPR est lancée ce 25 mai. L'oiseau de proie prend son envol. Nul ne sait encore ce qu'il ramènera dans ses serres. Mais si la chasse est bonne, on peut s'attendre à ce que la GDPR soit suivie de nombreux avatars bâtis sur le même modèle: des règlementations communautaires forçant sur un prétexte ou un autre à adapter le comportement des entreprises dans le monde entier, avec à la clef des pénalités financières ahurissantes.

Je ne peux m'empêcher de penser que ceci n'augure rien de bon. Les risques d'escalade législatifs sont réels avec d'autres pays (comme la Chine) ou groupes de pays, et le risque de fermeture pure et simple de certains liens économiques l'est tout autant. Ni l'un ni l'autre ne bénéficieront au consommateur, et pourraient déboucher sur de véritables conflits - qu'on espère seulement commerciaux.

28 octobre 2014

Hélicoptères: Comment ruiner un secteur d'activité

Il suffit de peu de choses pour détruire des milliers d'emplois et provoquer des dégâts considérables. L'exemple du jour nous vient de l'Union Européenne, tuant l'ensemble du secteur hélicoptère aérien simplement à l'aide d'une nouvelle réglementation.

[La réglementation IR-OPS de l'Agence européenne de la sécurité aérienne (AESA)] interdit, pour le transport public, les survols en hélicoptères monomoteurs de zones habitées ne disposant pas d'aires de recueil immédiat. Seuls les hélicoptères équipés de deux moteurs "performants" pouvant assurer "des opérations en classe de performances 1" sont autorisés.


hélicoptère,rSont donc exclus d'office tous les monomoteurs "anciens", c'est-à-dire plus de 85 % des 450 appareils en service en France...

Le Figaro simplifie le problème à sa plus simple expression dans le titre de l'article qu'il dédie à ce sujet: la plupart des hélicoptères sont menacés d'être cloués au sol par Bruxelles. 85 sociétés sont en danger dans leur existence même.

Malgré la tournure de phrase la menace n'a rien d'hypothétique. La nouvelle réglementation entre pleinement en vigueur le 28 octobre, aujourd'hui même. Pour les entrepreneur la bureaucratie européenne est un bien plus grand danger que quelque fléau biblique.

Dominique Orbec, président de l'Union française de l'hélicoptère (UFH), le syndicat patronal de la filière, s'étrangle:

"Cette réglementation condamne une profession qui réalise 280 millions d'euros de chiffre d'affaires par an et emploie quelque 1800 personnes." (...)

La directive est "économiquement inacceptable et opérationnellement injustifiée", ajoute-t-il. L'utilisation d'un engin avec deux moteurs coûte deux fois plus cher à l'achat (5 millions d'euros au bas mot) et en exploitation (3000-3200 euros). "La facture carburant doublerait et le coût de la maintenance serait plus élevé", explique Dominique Orbec. "Nos clients sont-ils prêts à payer deux fois plus cher un service identique?", lance-t-il.


Eh oui, qui dit deux moteurs dit plus de consommation de carburant et aussi plus de pollution... Mais qu'en est-il de la sacro-sainte sécurité au nom de laquelle le secteur du transport par hélicoptère est condamné du jour au lendemain? M. Orbec n'a qu'à citer les chiffres: "En cinquante ans d'exploitation, il n'y a jamais eu d'accident d'hélicos monomoteurs à l'héliport de Paris." Sachant que les hélicoptères d'il y a un demi-siècle n'avaient pas grand-chose à voir avec ceux d'aujourd'hui.

La soudaine méfiance envers les hélicoptères monomoteurs est d'autant plus absurde qu'à l'inverse d'un avion, un hélicoptère peut atterrir en douceur en cas de panne de moteur en utilisant l'autorotation: utiliser la descente de l'engin pour redonner de la vitesse au rotor et ensuite effectuer un posé en douceur, d'autant plus simple qu'un hélicoptère n'a pas besoin d'une piste d'atterrissage. L'emploi de cette manœuvre fait d'ailleurs partie de la formation standard des pilotes. Si agir ainsi est évidemment stressant en cas de panne moteur cela n'a rien à voir avec les conséquences que subit un avion dans la même situation...

Le véritable danger en hélicoptère vient d'un contact du rotor avec un obstacle (câble à haute tension ou arbre) ou d'un problème mécanique au rotor de queue qui rendrait l'appareil ingouvernable. Mais dans ces circonstances deux turbines ne changeraient rien.

Notons que les avions monomoteurs, eux, pourront continuer à faire du transport public de passagers au-dessus des zones habitées. La nouvelle règlementation IR-OPS n'en parle pas.

Mais la fin de l'article résume toute l'absurdité bureaucratique incarnée, lorsque la parole est donnée à des fonctionnaires de la Direction Générale de l'Aviation Civile française:

"Nous constaterons les infractions et les notifierons aux compagnies. Nous leur laisserons quelques semaines pour prendre des actions correctives afin de se mettre en conformité avec le règlement. Il est clair et incontournable. On l'applique."


A, la belle aridité de fonctionnaires assurés de toucher leur paye à la fin du mois en collant des amendes! Mais il paraît que les exploitants avaient deux ans pour se préparer, nous dit-on, et même plus encore depuis le début des "discussions" (entre des fonctionnaires européens et des membres du lobby des constructeurs d'hélicoptères sans doute). La durée de vie commerciale d'un appareil se compte en dizaines de milliers d'heures, soit des décennies selon son utilisation...

Malheur aux patrons, comme d'habitude. Nous sommes en Europe.

Et la Suisse? Elle est concernée elle aussi, puisque liée à l'Europe en matière de sécurité aérienne. Pour l'instant elle a carrément refusé d'appliquer la directive, mais attendons que Doris Leuthard ne s'empare du dossier. Il sera intéressant de compter les morts, bien réels, dus à une pénurie d'hélicoptères de secours à la veille d'une saison d'hiver.