Oui il faut fiscaliser le business des données personnelles

cnil-LogoNous vous avions récemment parlé du rapport Colin et Collin. Ce dernier ouvrait les pistes d’une fiscalisation du business des données personnelles. J’avais, sans engager la rédaction de Reflets et par le biais de mon blog pris parti pour cette proposition qui me semblait fortà propos et particulièrement intelligente puisqu’elle a le bon gout de fiscaliser le nerf de la guerre et non des hypothétiques infrastructures qui font l’objet de cyber Gueguerres, par exemple entre Free et Youtube/Google ou encore Orange et Cogent.

Nouvel épisode aujourd’hui après qu’Arnaud de Montebourg ait proposé de contraindre les géant du Net à stocker les données personnelles collectées dans des infrastructures situées sur le territoire national avec la magistrale réponse de Laure de la Raudière sur le site ITEspresso.

Nous expliquions que le business des données personnelles se jouait en 5 étapes :

  • La collecte des données ;
  • Le traitement des données (processing) ;
  • L’utilisation des données (exploitation) ;
  • La durée de conservation des données (rétention) ;
  • L’éventuelle cession commerciale à des tiers.

Et oui… 5 étapes, 5 leviers fiscaux !

La réponse de la député d’Eure et Loire au ministre du redressement productif aurait pu inclure un nouveau volet dans la droite lignée du rapport Colin et Collin. La député de la Raudière propose de contraindre les éditeurs de services en ligne à stipuler dans quel pays les données personnelles collectées sont stockées. Et bien nous trouvons qu’elle ne va pas assez loin et chez Reflets, nous irions jusqu’à les contraindre à signaler de manière explicite à QUI ils cèdent ces données personnelles.

En France la cession de données personnelles est encadrée par la loi du 6 janvier 1978. Seul problème, la CNIL, l’institution en charge de faire respecter ce cadre légal n’a strictement aucun pouvoir sérieux. Elle ne peut par exemple pas verbaliser un contrevenant pris la main dans le pôt de confiture, ce qui rend son travail bien plus théorique que pratique. Non pas que la CNIL ne travaille pas, ni même qu’elle est incompétente, elle est surtout victime d’un cadre légal un peu léger (un manque de jurisprudences ?) et surtout, d’un manque flagrant de pouvoir.

Dans notre conception d’une application possible des préconnisations du rapport Colin & Collin, nous avons donc 5 leviers fiscaux qui pourraient intervenir en plus des leviers habituels (chiffre d’affaires, bénéfices etc…) : la collecte, le traitement, l’utilisation, la durée de conservation et la cession à des tiers.

Concernant le dernier levier, la cession à des tiers, celui ci est probablement celui que nous aurions l’envie de taxer le plus. Les données personnelles, sont par définition personnelles. Le hic, c’est que les conditions d’utilisation de nombreux services en ligne, notamment américains, font abandonner tout caractère personnel aux données envoyées par les utilisateurs. Et une fois ces données cédées, le droit de retrait devient encore plus compliqué à faire appliquer par les particuliers. Il faut bien comprendre que la cession des données personnelles, c’est la cerise sur le gâteau, et cette cerise, elle peut être particulièrement rentable. Surtout quand on prend en compte le fait que les données cédées, sont déjà rentabilisées par l’entreprise qui les a préalablement collectées et exploitées. Hors, cette cession échappe aujourd’hui à toute fiscalisation.

La tracabilité des données personnelles collectées, au même titre que la traçabilité alimentaire, ce n’est pas une fiction, nous pouvons nous en donner les moyens. Et si des entreprises comme Amesys ou Qosmos ne veulent pas voir leur feuille d’impôt exploser si on taxe la collecte de données personnelles (désolé mais celle ci elle nous fait vraiment rire à la rédaction), et bien qu’elles mettent plutôt en oeuvre leur technologie au service de la traçabilité des données personnelles au lieu de les mettre dans les mains d’un Kadhafi ou d’un Bachar al Assad… et non je n’accepterai pas de poste de directeur commercial chez vous messieurs :-).

Twitter Facebook Google Plus email


16 thoughts on “Oui il faut fiscaliser le business des données personnelles”

  1. Dans la théorie, tout ça est très bien, mais en pratique, j’aimerais bien voir ce que ça donne… Pour reprendre la chronologie de la réflexion:

    -« contraindre les géant du Net à stocker les données personnelles collectées dans des infrastructures situées sur le territoire national »
    => Bon là on est d’accord, c’était complètement démago de la part de Montebourg.

    -« stipuler dans quel pays les données personnelles collectées sont stockées »
    => Ca nous fera une belle jambe de savoir que « vos données personnelles sont stockées en Suède. Ou peut-être aux USA, ou alors non en fait c’est en Russie. En fait ça dépend de plein de trucs, et #touçacékompliké ».

    -« nous irions jusqu’à les contraindre à signaler de manière explicite à QUI ils cèdent ces données personnelles. »
    => Ca c’est intéressant. Enfin, c’est une belle déclaration de principe. Parce que comment tu va vérifier que l’éditeur te raconte pas des conneries?

    Qu’est-ce qui m’empêche de déclarer une structure prestataire hors de France, et d’annoncer qu’elle ne vend pas de la data, qu’elle la conserve pas, bref que c’est tout beau, tout propre et que ça brille, même si par derrière elle s’en prive pas?

    Façon Spanghero, les mecs pourront toujours dire #onsavépa #spanou… Et là c’est encore pire, parce qu’ils pourraient même être de bonne foi dans ce cas ^^

    -« 5 étapes, 5 leviers fiscaux »
    => Toutes ces étapes peuvent être délocalisés dans des pays qui n’imposeront pas notre réglementation. Même si un Amesys venait foutre son nez dans la collecte pour voir où les data partent, si demain je suis un géant du net et que j’héberge mon activité sur une plateforme mutualisée genre Cloudflare, comment faire pour séparer le bon grain de l’ivraie? Et qui va les contraindre à le faire pour notre bonne poire?

    L’idée, en soi est plutôt noble, parce que je trouve que le business des données personnelles est assez sale, mais le remède n’est-il pas pire que le mal?

    1. – »nous irions jusqu’à les contraindre à signaler de manière explicite à QUI ils cèdent ces données personnelles. »

      => […] Parce que comment tu va vérifier que l’éditeur te raconte pas des conneries?

      Sur ce point précis, il y a un vieux jeu instructif: ajouter des infos dans les données persos permettant d’identifier l’entrée des données sur le réseau afin d’en suivre la migration. Ça se fait bien en ajoutant, par exemple, des infos à l’adresse (mail ou physique), ou en changeant les prénoms…

      Ca doit pouvoir s’utiliser à grande échelle, en créant des personnes fictives et en prenant les gens la main dans le sac. « Monsieur, pouvez vous nous justifier la provenance de cette information? ».

      Ça ne me semble pas si irréalisable que ça (une bouffée d’optimisme délirant?)…

      1. Tu veux dire qu’on pourrait par exemple suivre « à la trace » des infos bidons, genre une adresse mail du style « dupond.cnil.iswatchingyou at machinmail.com », délivrée à une société en particulier, et du coup si on reçoit du spam à cette adresse, c’est que la société est véreuse?

        Parce que là j’ai pas tout compris, en tant qu’utilisateur final d’un service tu n’as qu’un seul point d’entrée :|

  2. Franchement, Bluetouff, si on nous filait les clefs de la CNIL avec quelques moyens pour faire le boulot qu’on attend d’elle, à nous deux on résorberait le déficit budgétaire de la France en quelques mois.

    #jdcjdr…

  3. Le jour où les dossiers médicaux des bras cassés de la CNIL se retrouvera sur le Net,peut-être que leurs protestations BCBG se transformeront en piaillements ?
    Parce que cela fait un moment que ça dure, les leaks …
    https://encrypted.google.com/webhp?hl=fr#hl=fr&sclient=psy-ab&q=dossiers+m%C3%A9dicaux+fuites&oq=dossiers+m%C3%A9dicaux+fuites&gs_l=hp.3…5485.5485.1.5766.1.1.0.0.0.0.67.67.1.1.0…0.0…1c..5.psy-ab.nmcOfu7kD2Q&pbx=1&fp=1&biw=1366&bih=591&bav=on.2,or.r_gc.r_pw.r_qf.&cad=b

    1. Et encore tu ne veux même pas savoir comment ces données sont stocké dans certain établissement. Il y a du gros dossier dans certain gros etablissement hospiallier de France. Mais bon ça … avant qu’on en entende parler.

  4. Avé.

    Au delà du très amusant papier de Blue, quelqu’un ici a une idée concernant ce point intéressant que soulève Laure de la Raudière?

    « La vraie question, Mademoiselle Montebourg, est de savoir pourquoi ces sociétés ne privilégient pas la France qui bénéficie pourtant d’un climat favorable, d’un approvisionnement en énergie fiable et bon marché, d’infrastructures télécoms ultra-performantes (incluant de nombreux câbles sous-marins qui atterrissent le long de nos cotes) et de sociétés aptes à construire ces « centrales de traitement de l’information » sur lesquelles reposent désormais toute notre économie et notre vie numérique. »

    1. Parce que la France à tout fait pour flinguer l’émergence ces jeunes pousses (à fort potentiel) du Net. Dans la tête de nos ‘elites’, ce n’est qu’avec des mastodontes nationaux qu’il est possible de devenir un acteur international : ces mou du bulbe ont jamais compris que Google et la plus part des autres gros du numériques sont nés dans un garage.
      Parce que la France a organisé une telle insécurité juridique, fiscale et réglementaire sous la pression des lobbies, des ayant droits et même des gros nationaux (il faut se rappeler l’époque FT).
      Parce que l’oligarchie française (comme bcp d’autre) craint ce nouveau média et tout ce qui en vient car il menace son pouvoir.
      Parce qu’en France dès que quelque chose marche, on veut immédiatement que ça crache du flouze et que finalement on comprend rien à l’économie numérique.

      Pour toutes ces raisons et plein d’autres, notre pays est devenu une terre brulée du numérique et on essaye maintenant de se refaire comme on peut sur le dos ce ceux qui ont ‘réussit’.
      Je ne porte vraiment pas Google, facebook, etc dans mon cœur, mais il se trouve qu’ils offrent un service qui est ce qu’il est et qu’apparemment les gens sont assez c.. insuffisamment formés et éduqué, pour y souscrire par milliers les yeux fermés.

      1. Merci Tricky, il y en a au moins un qui suit sur Reflets, Reflets que ma boulangère m’avait conseillé car elle avait entendu dire que c’était plein de gens super calés en tout, et modestes comme un Kitetoa :)

        Ca se tient je trouve tes axes explicatifs. Tu me diras, le côté désert tout autour de mastodontes entretenus par les fossiles suffisants et ignares que l’on sait, ça ne concerne pas que le numérique, c’est une culture et par suite une rente carrément.
        Bah, ça passera sous les coups de butoir de la société bien réelle et vivante et qui tend vers le contraire de ce modèle, et ça passera en craquant fort à mon avis vu que la tension accumulée en inertie est assez énorme.

        Voyons voir comment chez techtoc.tv Laure de la Raudière et/ou les autres intervenants répondent à sa vraie question posée au faux ministre…

        A+ Tricky, Change Is Around the Corner ;)

  5. yo

    Quand tu dis « Elle [la CNIL] ne peut par exemple pas verbaliser un contrevenant pris la main dans le pôt de confiture, ce qui rend son travail bien plus théorique que pratique.  »

    J’imagine que tu n’a pas voulu dire « la CNIL ne peut pas mettre d’amendes ». Mais je voudrais bien savoir ce que tu voulais exprimer du coup.

  6. Ouais, et par proxy ou vpn on taxe qui et quoi ? Et puis comment quantifier ? Et de combien la taxe ? Et puis le fait de donner ses données personnelles c’est un acte gratuit, on taxe la gratuité ? 10% de 0 = la bille a toto.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *