par Isabelle Boistard, Consultante cybersécurité et conformité RGPD
Les grands de l’Internet, qu’on appelle souvent les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) ont développé des modèles commerciaux inédits, souvent basés pour les utilisateurs sur la gratuité d’accès à un certain nombre de services ou d’applications en ligne. La digitalisation de l’économie, l’interconnexion via Internet des systèmes d’informations, les nouveaux outils ainsi que le big data ont en effet créé des techniques de marketing inconnues jusqu’alors.
Chacun y a été confronté : Il suffit de manifester en ligne son intérêt pour un produit pour que des publicités ciblées apparaissent sur les espaces digitaux que nous consultons à travers nos outils. Ces techniques peuvent générer des sentiments de méfiance ou d’intrusion dans la vie privée.
Quelques conclusions s’imposent :
- A travers Internet, nos données deviennent plus que jamais la source de développement commercial.
- Lorsque c’est gratuit, c’est bien nous, à travers nos données qui sommes les produits.
Le 25 mai 2018, le règlement européen pour la protection des données personnelles (RGPD) est entré en application en France.
Son objectif : rendre à leurs propriétaires leurs données personnelles, leur redonner la possibilité d’y accéder, de les rectifier, de demander leur portabilité, de refuser qu’elles soient conservées (droits d’effacement, d’opposition, de limitation) sans leur accord. Et surtout, savoir comment et à quelle finalité lesdites données vont être utilisées.
Le RGPD adapte le Loi Informatique et Liberté du 6 janvier 1978, modifiée par la loi du 6 août 2004. Depuis son entrée en vigueur, une nouvelle mouture de la Loi Informatique et Liberté, datée du 20 juin 2018 complète le Règlement européen sur des volets spécifiquement nationaux.
Mais qu’est-ce qu’une donnée personnelle et qu’est-ce qu’un traitement ?
Une « donnée personnelle » est selon le Guide pratique de sensibilisation au RGPD proposé par BPI France et la CNIL « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée : directement (nom, prénom) ; indirectement par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image.
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).
Le RGPD demande aux entreprises et à toute forme d’organisation d’accorder une attention précise et documentée à la façon dont les données personnelles qu’elles collectent sont traitées. Il demande aussi de s’assurer que le système d’information de l’entreprise / organisation est suffisamment protégé et que lesdites données ne risquent pas d’être volées.
Ce règlement irait-il à l’encontre de techniques type « big data » utilisées afin de mieux répondre aux besoins clients, celles-là même que les GAFAM n’hésitent pas à mettre en œuvre ?
Ce n’est généralement pas la lecture qu’en font les spécialistes du RGPD ni les acteurs économiques : Le RGPD a pour vocation que les traitements de données personnelles soient exécutés de façon éthique. Les données collectées, si elles sont correctement anonymisées, respectent les droits des citoyens sans empêcher des traitements prospectifs permettant de mieux comprendre la demande.
Ces possibilités ne sont pas toujours utilisées, comme en témoigne le rapport de BPI France intitulé « Histoire d’incompréhension : les dirigeants de PME et d’ETI face au digital » : « Le manque d’exploitation des données est symptomatique (…). C’est devenu un enjeu fondamental du business. Pourtant, 61 % des dirigeants n’ont pas ou peu mis en place d’outils de collecte et de valorisation des données. De même, ils sont 60 % à ne pas ou peu utiliser les données pour améliorer leurs offres ou la relation client. Ce sont de réels avantages compétitifs inexploités ».
Certaines PME ont franchi le pas. Toujours dans le même rapport de BPI France, on trouve : « Nos clients ne nous confirment leurs commandes que 48h avant la livraison. Et nous avons besoin d’environ 12 semaines pour sortir des pièces. On étudie donc les habitudes de nos clients […] à partir d’algorithmes de prévisions. » Frédéric Perrot, Président, ARaymont France.
Beaucoup d’entreprises de plus grande taille disposent maintenant de départements d’analyse des données.
Le RGPD permet en effet d’établir la confiance à plusieurs niveaux :
Il s’agit de transformer le sentiment d’intrusion que peut ressentir un consommateur sur le net par une perception différente, celle que sa vie privée est respectée. Les mentions d’information sur les questionnaires en ligne, les possibilités de se désinscrire d’une newsletter, etc…
Une mise en conformité RGPD permet souvent à une entreprise de prendre conscience de l’importance des données et des mesures mises en œuvre (ou à mettre en œuvre) pour les protéger. Le raisonnement vaut pour les données personnelles, objet du règlement, mais aussi pour les données métier qui, qui si elles sont perdues par accident ou malveillance mettent en danger l’activité de l’entreprise.
Ensuite, les données personnelles des clients ne peuvent être conservées que pendant des durées limitées sauf si le client accepte clairement de poursuivre la relation avec son fournisseur, ce qui oblige ce dernier à s’interroger sur de nouveaux modes relationnels à développer avec ses clients.
De plus, une partie du règlement aborde la sous-traitance. Ce terme recouvre, entre autres, les entreprises spécialisées dans le traitement des données à titre prospectif ou dans l’apport de sources de données complémentaires afin d’en déduire des résultats exploitables sur le plan commercial. Le règlement définit précisément comment la relation doit s’établir, de façon contractuelle, ainsi que les rôles et responsabilités de chacun.
Le RGPD n’a pas pour objet d’empêcher de collecter des données clients ni de limiter les partenariats avec des start-ups apportant des données ou des traitements créateurs de valeur. Au contraire son objectif est d’accompagner les évolutions business de façon éthique, en respectant la vie privée, une sorte d’exception européenne allant à l’encontre des comportements des grands de l’Internet.