Le RGPD : bras armé de la protection des données personnelles ?

Le RGPD : bras armé de la protection des données personnelles ?

Depuis quelques années, les données sont de plus en plus exploitées par les entreprises. Tout un marché s’est même créé sur la récupération, le traitement, la qualification et l’exploitation de ces données, marché porté par le développement du Big Data (c’est-à-dire l’ensemble des données existantes sur le web, que l’on pourrait traduire par données massives). Il s’agit d’un concept légèrement abstrait sur le plan formel mais d’une utilité capitale pour les entreprises traitant massivement des données en tout genres. Aujourd’hui, de nombreuses entreprises ont un business model basé sur les données personnelles des utilisateurs de leurs services. Ces services sont le plus souvent gratuits, mais si un service est gratuit, c’est que l’utilisateur est le véritable produit. Au départ, peu de personnes étaient conscientes de cet état de fait, ce qui a permis à de grandes entreprises de récupérer un nombre incroyable de données sans aucune modération, et surtout sans le consentement explicite des utilisateurs de leurs services. Facebook par exemple, est souvent considéré par les utilisateurs comme un espace public numérique et l’exploitation de leurs données par l’entreprise est souvent mal comprise par les utilisateurs privés alors qu’elle est parfaitement acceptée par les professionnels du marketing.

C’est sur cette protection de l’utilisateur que la Commission Européenne a travaillé pour développer un corps de textes qui prendrait en compte à la fois les nécessaires besoins pour les entreprises d’investir de manière pertinente l’espace numérique dans ce marché mondialisé et concurrentiel qu’est le Big Data mais aussi les conséquences sur à la fois les modèles sociaux et la vie privée des utilisateurs. L’éthique reste un des axes de travail le plus discuté actuellement sur les problématiques de données personnelles.

Cela soulève une question : en quoi le RGPD est-il le résultat des pratiques discutables concernant les données personnelles de certains grands acteurs du numérique ?

 

Fin de la vie privée : volonté des GAFA ?

Il faut comprendre dans un premier temps que la vie privée, telle que nous la concevons et la protégeons est un frein au développement pour les grandes entreprises spécialistes de la donnée et ne va pas dans leur sens. C’est dans ce sens que l’on peut interpréter la citation de Vint Cerf, aujourd’hui chef évangéliste chez Google et considéré comme l’un des pères d’internet : “la vie privée pourrait en réalité être une anomalie” (https://tempsreel.nouvelobs.com/rue89/rue89-internet/20131121.RUE0356/la-vie-privee-une-anomalie-google-de-plus-en-plus-flippant.html). En effet le but des GAFA (Google, Apple, Facebook, Amazon) est de connaître son client, obtenir ses données personnelles et les revendre en proposant aux entreprises de faire matcher tel ou tel produit avec les bons clients. Cette exploitation du “ Digital Labor” des internautes fait partie intégrante de leur business model.

Le fait que des services comme Google ou Facebook proposent des services gratuits à leurs utilisateurs nous fait parfois oublier un principe simple : “si c’est gratuit, c’est que vous êtes le produit”.

Somme toute, la vie privée est la mère nourricière de ces géants du web. Pourquoi s’en priver ?

 

Snowden et l’éveil des consciences

En juin 2013, Edward Snowden, ancien consultant de la CIA et membre de la National Security Agency (NSA), révélait que le gouvernement des Etats-Unis avait collecté auprès de 9 géants américains des nouvelles technologies des informations à caractère personnel au sujet de personnes vivant hors des Etats-Unis, notamment dans le cadre d’un programme de surveillance électronique appelé PRISM.

Le fait que les données personnelles soient revendues et utilisées par les GAFA est désormais un fait connu du grand public. Bien que marqué par le cas Snowden, le marketing continue de mettre en place des pratiques plus que discutables sur le plan de l’éthique. Ces derniers mois ont notamment été marqués par la prolifération des techniques de Growth Hacking.

 

Prolifération du Growth Hacking

Revenons sur la définition du Growth Hacking :

Le growth hacking est un ensemble de procédés marketing utilisés par les entreprises du web et qui vise la recherche rapide de la croissance, à tout prix, avec peu de moyens.” Cette nouvelle technique marketing est de plus en plus plébiscitée par les startups du web.

En voici une pratique des plus courantes :

Une entreprise X dispose d’un formulaire d’inscription à sa newsletter.

La pratique régulière voudrait que son adresse mail soit enregistrée après que l’utilisateur ait appuyé sur le bouton “Envoi”.

Au lieu de cela, la technique de growth hack va passer outre la confirmation de l’utilisateur et va enregistrer son mail au fur et à mesure qu’il le tape, sauvegardant ainsi son mail sans son consentement.

“Pratique !”, nous direz-vous.

Et c’est là qu’intervient toute la problématique du Growth Hack :

D’un côté, cette pratique est extrêmement utile pour la société X afin d’obtenir des informations sur son client de manière bien plus rapide et efficace. De l’autre, l’entreprise X s’assoit sur les enjeux moraux que soulève cette pratique et rejoint la définition même : une croissance à TOUT PRIX ! Il est maintenant essentiel pour les entreprises de comprendre que ce genre de pratiques soulève de nombreux enjeux moraux envers ses utilisateurs et que le marketing se doit de prendre en compte les libertés individuelles.

Nous avons cité les GAFA, les start-ups mais il est également important de parler des entreprises dans le traitement et la sous-traitance des données. En effet celles-ci ont également une responsabilité dans le traitement de leur data, que ce soit lorsque l’entreprise traite ses données en interne ou lorsque celle-ci les sous-traite chez un prestataire externe.

 

Rôle du gouvernement : focus sur le rôle de la CNIL

Et le gouvernement dans tout ça ? C’est la question que l’on pourrait se poser après avoir lu les quelques lignes d’au-dessus.

 La CNIL (Commision Nationale de l’Informatique et Libertés) est une autorité administrative indépendante en charge de la surveillance à ce que l’informatique ne prenne pas le pas sur les libertés, aux droits, à l’identité humaine ou à la vie privée. Vous pensez donc bien que ce genre de pratiques n’est pas passé inaperçu aux yeux de la CNIL. C’est pourquoi elle annonce la mise en place du plan RGPD.

Ainsi, le 25 mai 2018 entrera en vigueur le RGPD et les grands principes qui la composent. Ces grands principes sont au nombre de cinq :

  • la licéité de la collecte et la loyauté
  • la finalité
  • la minimisation
  • la limite de conservation
  • la sécurisation.

 

Des principes pour nous protéger

Au travers de ces principes, le but de ce nouveau règlement est de responsabiliser et sensibiliser davantage les entreprises. Conséquemment, par la licéité, les modalités de collecte de l’information doivent être revues et les entreprises devront expliciter pourquoi elles recueillent chaque donnée, ce qu’elles vont en faire et en quoi elles sont légitimes et pertinentes pour l’entreprise. De là, les données collectées devront être minimisées, c’est à dire qu’il y aura une proportionnalité d’usage entre les données récupérées et l’utilisation qui en sera faite, afin d’éviter toute surexploitation de la donnée, suivi par une limitation de conservation des données dans le temps, limitation qui devra être communiquée explicitement aux utilisateurs. L’ensemble de ces grands principes fera l’objet d’une vérification via une potentielle grille de validation afin de sécuriser leur application et prévenir tout manquement.

 

 Nos nouveaux droits

À la suite de ces grands principes, on décèle un certain nombre de nouveaux droits pour les citoyens européens. Le premier de ceux-ci est la transparence : l’entreprise responsable du traitement des données collectées aura pour obligation de fournir aux personnes concernées “une information concise, transparente, intelligible dans une forme aisément accessible avec un langage clair”. Le second est un droit à la portabilité des données qui dit que si un client demande au responsable de traitement des données l’accès à ses données personnelles, il devra les lui fournir s’il s’agit de données à caractères personnel, de données fournies par la personne, dans la mesure où ces données ne doivent pas porter atteinte aux droits et libertés d’autres personnes.

 

 Quel impact pour les GAFA ?

Ce RGPD, si important pour l’Union Européenne dans l’avancée de la protection de la donnée a été imaginé pour deux choses : limiter les dangers que peuvent avoir les traitement abusifs de nos données personnelles et harmoniser la politique de traitement des données au sein des pays membres. Inévitablement, lorsque l’on parle de traitement massif de données, on pense immédiatement aux géants qui composent les GAFA : Google, Amazon, Facebook et Apple. Ces entreprises possèdent un tel nombre de données sur nous que l’on se prend parfois à nous dire qu’elles en savent plus sur nous que nous n’en savons sur nous même, et pour cause : non contentes de savoir où nous sommes, ce que nous faisons, ce que nous consommons, elle s’en souviennent indéfiniment. En un sens, le RGPD fait alors barrière contre cette omniscience en instaurant une péremption des données en Europe, mais y a-t-il un champ d’action plus large sur lequel l’Europe devrait se pencher ?

Selon Audrey Chabal, journaliste à Forbes, le RGPD risque au contraire de favoriser les GAFA. Ce fait s’explique très simplement par la technique : pour les quatre géants américains, l’ère des cookies (auxquels s’attaque le RGPD) est révolu car une nouvelle technologie a vu le jour : l’ID. Cet ID permet en effet, sans utiliser de cookies de reconnaître un utilisateur, qu’il utilise son ordinateur, son smartphone ou sa tablette. Ainsi là où les GAFA ont changé de méthode de collecte et de traitement de données, les plus petites structures encore dépendantes des cookies vont prendre un retard considérable, tant technologiquement que dans leur manière de comprendre les data et les usages qui y sont liés.

 

 La loi e-privacy, bonne nouvelle pour les cookies haters

Dans le prolongement du RGPD et du matraquage des utilisateurs de cookies, une loi faisant son apparition au même moment est la nouvelle loi ePrivacy qui va donner beaucoup de mal aux publicitaires, médias et stratégies d’A/B testing qui reposent tous les trois exclusivement sur la récolte de données via les cookies. Ainsi seront privilégiés tous les acteurs qui ont recours à des systèmes d’identification dès l’entrée du site et qui n’ont pas besoin de cookies puisqu’ils utilisent des systèmes de tracking au sein même du site.

 

 S’adapter au RGPD

En ce cas, même si la situation paraît désespérée pour la majorité des acteurs, n’existe-t-il pas des solutions pour se prémunir contre d’éventuelles sanctions ? La CNIL propose 6 étapes à suivre pour bien négocier le virage qu’implique le RGPD :

  1. Désigner un pilote sera vital pour une entreprise : qu’il soit en interne ou un prestataire, il faudra un chef d’orchestre pour gérer et surveiller le respect du nouveau règlement. Pour cela, l’Union Européenne oblige les entreprise traitant des données d’avoir recours à un DPO (Data Protection Officer) qui sera l’organe assurant, facilitant et contrôlant le respect des règles du texte communautaire dans l’entité où il officie. Il aura une mission de conseil et de veille, de contrôle du respect du règlement et d’analyse de l’impact des données.
  2. Cartographier : il s’agit simplement de tenir un registre des traitements de données effectués, afin de mesurer correctement l’impact qu’a le RGPD sur l’entreprise.
  3. Prioriser les actions à mener : être le plus conforme possible avec le règlement (en gardant à l’esprit que le risque 0 n’existe pas)
  4. Gérer les risques : en cas de détection de données sensibles, il vous est conseillé d’effectuer une analyse d’impact sur la protection des données
  5. Organiser : mettre en place des processus en interne assurant le bon traitement des données
  6. Documenter : prouver la conformité au règlement est fortement conseillé. L’actualisation de l’ensemble des documents traitant de données sensibles devra être rigoureuse.

 

Au travers de ces étapes, la CNIL guide les entreprises vers leur responsabilisation afin qu’elles ne se sentent pas lésées au regard de leurs pratiques. Toutefois, ces conseils ne sont valables que pour les entreprises dont le business model ne repose pas sur une exploitation douteuse de nos données : des entreprises comme Teemo ou Criteo, dont les activités sont en complète contradiction risquent une simple et soudaine sortie de route du marché de l’UE. On notera que ces entreprises, et notamment Teemo, intéressent fortement bon nombre d’entreprises outre-Atlantique, grâce à leur technologies de tracking et de croisement de données extrêmement performantes.

 

Le RGPD a donc, de manière indiscutable, l’objectif de protéger les citoyens européens de la mainmise sur leur données par des entreprises peu scrupuleuses. C’est en tout cas ce que nous pourrions croire s’il n’y avait pas de forts conflits d’intérêts entre les premières entreprises visées par ce Règlement, à savoir les GAFA et l’Europe. Aujourd’hui, les GAFA ont largement recours à la défiscalisation, et c’est un sujet d’importance en Europe. Prenons pour exemple le célèbre cas Apple :  grâce au bas taux d’imposition dont bénéficie le géant en Irlande, il en résulte qu’en dehors des Etats-Unis, Apple ne verse que 3,8% de ses bénéfices en terme d’impôts. Ainsi cet technique de défiscalisation aura permis à Apple de totaliser pas moins de 200 milliards de dollars offshore. L’Europe y perd donc beaucoup au change et il n’est pas incohérent de penser que le RGPD pourrait avant tout être un moyen de limiter le pouvoir des GAFA en Europe. C’est, finalement, un coup porté bien plus dur que quelques amendes.

Bien évidemment ce n’est pas la seule question que le RGPD soulève. Est-il trop restrictif ? Est-il handicapant pour certaines structures ? Qui en ressort gagnant ? Ces divers questionnements seront l’objet de la conférence qui se tiendra le jeudi 23 mars au Palais Brongniart, en partenariat avec l’association GirlzInWeb, où autour d’une table ronde animée par Abeline Majorel, directrice pédagogique de l’EEMI, nous accueillerons Anne-Sophie Taillandier, directrice de TERALAB et Clémence Sottez, chef du service des affaires économiques à la direction de la conformité de la CNIL. Nous espérons vous voir nombreux pour échanger avec ces intervenants et comprendre davantage les enjeux liés au RGPD.

Par Tristan Machin, Aurèle Christ et Léo Martin.

1 comment

Leave a comment

Leave a Comment