économie et numérique

Protection des données: RGPD et ePrivacy entre simplicité et complexité

En matière de RGPD le mieux est l’ennemi du bien. Et avec ePrivacy nous allons en reprendre une dose.  » Vous en avez certainement un peu marre d’entendre parler du RGPD  » nous a annoncé Armand Heslot de la CNIL lors de l’ouverture de sa keynote sur le sujet au salon data marketing paris qui s’est ouvert le 20 novembre 2018. Il n’a pas tout à fait tort mais ce n’est pas pour autant qu’il n’y a rien à en dire. D’ailleurs, il a prononcé ces mots juste avant de nous dresser un état des lieux de la mise en place du dit règlement.

Protection des données: RGPD et ePrivacy entre simplicité et complexité

Il est vrai que la mise en œuvre du règlement européen sur la confidentialité des données en mai 2018 a donné lieu à une avalanche de contenus et de discours qui ont donné la gueule de bois à plus d’un professionnel. La keynote de data marketing Paris a été en cela fort utile pour faire le point sur cette nouvelle loi, même si la conclusion n’est pas si claire que cela et que le remède contre le malaise des professionnels n’est pas complètement convaincant non plus. Rassurez-vous, avec ePrivacy, tout deviendra encore plus compliqué et hypothétique.

RGPD et ePrivacy : entre simplicité et complexité - Data Marketing Paris
Armand Heslot (à droite) a fait le point chiffré sur la mise en œuvre du RGPD

Le salon data marketing Paris, incontournable événement du domaine dont nous sommes partenaires, qui s’est ouvert le 20 novembre nous a permis de faire un point sur un sujet qui a mis plus d’un marketeur sur les nerfs ces derniers mois : le fameux RGPD.

Le RGPD à Cologne en juin 2018 : Warten und Sehen Wir (Wait and See)

Ceci m’a rappelé une autre conférence à laquelle j’ai assisté et participé comme intervenant dans le cadre de la convention eZ Systems 2018 et sous les auspices d’une association allemande à Cologne au mois de juin de cette année. Le RGPD était tout fraîchement lancé.

La salle, remplie de marketeurs assez sceptiques et perdus, même en Allemagne et au Danemark, nous  posèrent ensuite des questions pour savoir quelle serait la réelle mise en œuvre du RGPD. Aucun des participants ne fut capable de leur répondre. Y-compris le représentant d’une des plus grandes maisons d’édition allemande. Il est donc intéressant quelques mois plus tard de faire un bilan sur ce sujet et sur la mise en œuvre de ce fameux règlement et de voir si nous avons réellement progressé sur le terrain, au delà des discours.

Présentation de la CNIL par Armand Heslot

Après un rappel des principes du RGPD sur l’utilisation des données, la minimisation des données collectées, leprincipe d’exactitude et de durée de conservation des données et de sécurité, de licité de loyauté et de transparence sur les traitements et respect des droits des personnes et accès aux données par les personnes et enfin portabilité,  Armand Heslot  de la CNIL nous a gratifié d’un bilan chiffré de la mise en œuvre du RGPD.

Depuis la mise en place de mai 2018, 13 000 DPO ont été nommés, plus de 600 violations de données ont été notifiées à la CNIL, 45 % d’appels téléphoniques supplémentaires ont été enregistrés et plus de 64 % d’augmentation des plaintes de particuliers. Voici les chiffres bruts :

(source : CNIL)

  • 24 5 00 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 13 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD ;

  • Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes  – soit environ 7 par jour depuis le 25 mai ;

  • Une hausse significative des contacts avec les publics, notamment les professionnels : + 45% d’appels sur les 7 premiers mois de 2018 ; + 83% de consultations des FAQ en ligne ;

  • 3 millions de visites sur le site de la CNIL depuis mai 2018 ;

  • 150 000 téléchargements du modèle de registre simplifié proposé par la CNIL.

Les chiffres sont là, il y a bien un impact. En même temps, 600 notifications sur 15 millions de personnes représente une proportion de 0.004% qui semble un peu en retrait par rapport à ce qu’on observe sur le terrain des pratiques des marketeurs.

Il faut noter quelques précisions apportées par la CNIL :

La loi permet à la CNIL d’aller dans les entreprises et de les sanctionner. C’est un pouvoir nous a rappelé Armand Heslot. Ces plaintes sont donc très importantes, et la CNIL amène l’obligation de les traiter. C’est ce que dans son langage il a appelé « enforcement ».

La mise en place du RGPD vue de la CNIL : « un peu plus laxe sur les nouvelles exigences »

La période transitoire de deux ans est désormais terminée. On entend parfois parler d’une période de grâce où la CNIL ne frapperait pas les entreprises qui enfreindraient le nouveau règlement, mais Armand Heslot nous indique que cela n’est pas vrai.

Ce qui est vrai par contre c’est que « la CNIL sera intraitable sur les exigences de la directive précédent le RGPD et un peu plus laxe sur les nouvelles exigences » pour reprendre ses termes.  comment seront gérés ces sanctions ? Pour le traitement transfrontalier, la coordination intra européenne sera certainement longue à mettre en place nous dit-il, « mais les montants seront extrêmement élevés ».

Mais ce qui intéresse le plus la commission nationale est que les entreprises se mettent en conformité, et non de prélever un quelconque « impôt » sur les entreprises au travers de cette mise en conformité. C’est ce que la CNIL nous assure, son objectif n’est pas de faire du chiffre d’affaires.

La CNIL, a exprimé son représentant, a bien mis en demeure quatre société éditrices de SDK de géolocalisation, « mais c’est 83 % des applications [qui] demandent ces données de géolocalisation » nous précise-t-il, il y a donc de la marge.

Les sociétés mises en demeure n’ont cependant pas été sanctionnées. La mise en demeure, nous rappelle Armand Heslot est faite pour laisser l’entreprise se mettre en conformité. La CNIL ne récupère pas l’argent des sanctions (c’est le trésor public qui encaisse ces amendes) et n’a pas d’objectif de « faire du chiffre ».

RGPD et la nouvelle loi ePrivacy

Nous avons à peine digéré le RGPD (nous y reviendrons dans cet article), qu’une deuxième loi arrive, le règklement ePrivacy.  Et on a beau dire que la loi est faite pour favoriser le business il faut avouer que l’incertitude n’est quant à elle pas tellement favorable au développement des affaires et génère le chaos notamment pour les petites entreprises.

Même si, c’est mon cas depuis toujours, le respect des utilisateurs a toujours été au centre de vos préoccupations, il est indéniable que la complexification du domaine pose quelques questions. Nous le verrons d’ailleurs dans le chapitre suivant.

En quelque sorte, on a l’impression qu’on hésite toujours entre le manque total de déontologie de certains marchands/éditeurs (dont on remarquera d’ailleurs qu’il n’a pas beaucoup reculé sur le terrain depuis le mois de mai 2018) et un cadre juridique particulièrement rigide et complexe.

RGPD ePrivay

Une table ronde pour tout comprendre au RPGD  Même quand on n’y comprend rien

C’était d’ailleurs le sujet d’une table ronde animée par Jean-Philippe Arroyo, Sylvie Brunet et  Roselyne Sage,  tous les trois auteurs d’un livre publié début 2018 et intitulé « #RGPD marketing de la contraindre l’opportunité ».

Œuvre de trois auteurs (une experte du marketing, un juriste et une responsable d’un éditeur de logiciel pour la partie informatique) son but était de rendre lisible pour les marketeurs le fameux règlement sous la forme d’un guide pratique. Les auteurs ont trouvé enthousiasmante la vision positive de la réglementation et ils ont décidé de simplifier et de « rendre ludique le sujet  ».

Les marketeurs perdus dans la jungle du RGPD (et bientôt de ePrivacy)

Les prémisses sont que les  marketeurs ne comprennent pas véritablement le RGPD, et là ils n’ont pas tort. Notamment, pour ce qui est « du consentement qui est perçu comme étant obligatoire par les marketeurs alors qu’en fait, ce n’est pas tout à fait ça ». Le seul problème, c’est que je n’ai pas véritablement compris la réalité du consentement par l’utilisateur après les explications.

La réalité est plus complexe que ce que les marketeurs croient. La question posée est celle de la base de traitement et de quel droit on utilise des données personnelles…

Là j’ai un peu lâché car je dois avouer ne pas avoir tout compris des explications techniques juridiques. Sans doute dois-je imputer cela à ma faible connaissance du domaine et surtout du vocabulaire juridique. Mais je ne suis sans doute pas seul. C’est bien là le drame et je ne me suis pas senti beaucoup plus avancé qu’au début. Cerise sur le gâteau, toujours selon ses termes « e-Privacy va ajouter de la complexité »… aïe aïe aïe !

J’ai bien peur que  en fin de compte, le résultat du règlement soit plutôt contre-productif. Les abus en termes d’utilisation des données personnelles et professionnelles par les marketeurs depuis mai 2018 sont flagrants.

Je ne connais pas un expert du marketing qui ne lève pas les bras au ciel en regardant sa boîte e-mail et en voyant les horreurs qu’on y trouve : inscription automatique à des listes sans demande, desinscriptions inopérantes, mépris total  non seulement de l’opt in mais aussi de l’opt-out…

On n’en finirait pas de lister toutes les mauvaises pratiques sans parler de ses goujats qui raclent les adresses e-mail depuis LinkedIn et vous pourrissent de messages publi-promotionnels plus ou moins stupides les uns que les autres avec (cerise sur le gâteau à nouveau) un lien de désinscription à la fin d’un mail pseudo personnalisé qui s’adresse à vous comme si vous aviez demandé quelque chose. Jetons un voile pudique sur les utilisations des données en arrière boutique.

Bref, rien n’a changé si ce n’est la complexité.

En conclusion, je dois avouer ne pas être complètement convaincu par la façon dont ces règlements sont mis en œuvre sur le terrain. Je ne suis malheureusement pas assez compétent pour savoir pourquoi on en est là, ni ce qu’il faudrait faire pour faire respecter la loi correctement. Ce n’est pas de mon ressort.

Pour moi le règlement rappelle essentiellement des règles d’éthique fort utiles et même indispensables. J’ai bien peur par contre, que l’empilage de lois supplémentaires ésotériques ne vienne pas véritablement améliorer les choses.

Comme je l’avais remarqué à Cologne au mois de juin, les professionnels semblent répéter les litanies qu’ils ont apprises ici et là, une sorte de catéchisme du RGPD et du respect de la donnée privée, tout en baissant la tête et en continuant de travailler comme avant. C’est aussi que le coût de la mise en conformité, assez bénin pour une grande entreprise, est loin d’être neutre pour les petits et surtout les très petits. Lisez le document « simplifié » de la CNIL par exemple, je vous souhaite bon courage.

Les données mieux gérées dans les grandes entreprises depuis le RGPD

Certes, dans les grandes entreprises, les témoins de cette conférence nous l’auront confirmé, des travaux de nettoyage et de réflexion autour de la donnée, et notamment de la masse des données qui sont véritablement utiles à stocker, ont commencé à faire à se faire jour.

C’est heureux car 25% des bases de données seraient obsolètes selon Sylvie Brunet qui, à juste titre, fustige la mauvaise pratique du stockage systématique et souvent inutile de la donnée. Par ailleurs, il n’est pas question de discuter l’utilité de la protection de la données des utilisateurs, encore une fois, c’est pour ma part une donnée de base depuis le début que je travaille dans ce métier.

Mais il nous faudra à mon avis attendre encore bien longtemps pour qu’on sache quel est le véritable impact du RGPD et quantifier l’amélioration de la situation, en espérant que d’ici là nos boîtes e-mails seront intactes et débarrassées à jamais de tous ces spams inutiles et répréhensibles, sans parler du reste. Malheureusement j’en doute un peu. Comme on dit en Grande Bretagne, « Wait and see ».

Yann Gourvennec
Follow me

Yann Gourvennec

Yann Gourvennec created visionarymarketing.com in 1996. He is a speaker and author of 6 books. In 2014 he went from intrapreneur to entrepreneur, when he created his digital marketing agency. ———————————————————— Yann Gourvennec a créé visionarymarketing.com en 1996. Il est conférencier et auteur de 6 livres. En 2014, il est passé d'intrapreneur à entrepreneur en créant son agence de marketing numérique. More »
Bouton retour en haut de la page