La philosophie du Règlement européen sur la protection des données (RGPD) qui entrera en vigueur le 25 mai prochain est claire, et nul professionnel ne la conteste : face à la croissance des activités basées sur les données personnelles, et face aux nombreux cas de piratage ces dernières années, il devenait urgent d’établir un nouveau standard de protection au niveau européen. Jusqu’à présent en France, il fallait déposer une déclaration préalable à la Cnil (Commission nationale de l’informatique et des libertés, très en pointe sur le dossier). Désormais, les professionnels devront justifier leur utilisation de la donnée tout au long de son cycle de vie. Il leur est demandé de nommer un DPO (data protection officer), un délégué à la protection des données. Un registre doit également recenser les mesures de sécurité prises pour protéger ces données, à quelles fins elles sont traitées, pour quelle durée, si elles sont transférées hors Union européenne [UE]… Pour les données sensibles impliquant un risque sur la vie privée, une analyse d’impact est exigée. Enfin, les sanctions encourues sont lourdes, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires.
«En tant que société présente dans le monde entier, nous sommes très contents d’avoir une même réglementation dans 28 pays, se félicite Guillaume Marcerou, responsable de la conformité chez Criteo. Désormais, nous intégrons une équipe dédiée à la privacy au sein des équipes de développement de solutions, afin d’avoir des technologies en permanence à jour suivant les évolutions.» Mais combien de PME n’ont pas les moyens d’investir dans la mise aux normes, voire sont ignorantes du sujet ? Alexis Renard, PDG de Mailjet, gestionnaire d’envois d’emails, a constaté qu’une dizaine de ses prestataires étaient critiques: «soit ils n’ont jamais entendu parler du RGPD, soit ils sont dans l’expectative. On dialogue avec eux mais si certains ne s’engagent pas dans la démarche, on s’en séparera.»
«Attention à ne pas demander à une start-up le même niveau de réactivité qu’un grand groupe, s’inquiète Christophe Vattier, le fondateur de la start-up The Bubbles Company. Si on fait trop d’administratif, on perd de l’argent.» Pire, le règlement pourrait pénaliser les pépites françaises. «La limite de la loi, c’est que des entreprises qui n’ont pas leurs serveurs en Europe n’ont pas à s’y conformer. Il y a un risque de perte de compétitivité des entreprises européennes. Pour moi, cela représente 10% de mon investissement de l’année», témoigne Arthur Saint-Père, cofondateur de Dolead, une société de l’adtech. Une crainte balayée par Jean Lessi, secrétaire général de la Cnil: «le règlement s’applique aux responsables du traitement de données en dehors de l’UE dès lors que celui-ci concerne des consommateurs européens». Alexis Renard de Mailjet reste sceptique: «dans les sociétés de la tech américaines où les chaînes de sous-traitants sont imbriquées, leur demander de changer de prestataires est une vue de l’esprit».
Comment recueillir le consentement ?
L’internaute français est déjà habitué à voir s’afficher un bandeau d’alerte sur les cookies lorsqu’il se connecte à un site, qu’il soit desktop ou mobile. La pratique sera généralisée en Europe, y compris dans l’univers applicatif où les données sont souvent nominatives. Les utilisateurs devront être informés clairement de l’usage de leurs données et pourront s’y opposer. «La charge de la preuve du consentement incombe(ra) au responsable de traitement », précise la Cnil. Cela suppose pour les acteurs de revoir leurs conditions générales, leur politique de confidentialité et le formulaire de recueil du consentement. Même si le texte ne l’exige pas, les experts recommandent un double opt-in, avec réception d’un e-mail pour confirmer l’accord. «Ainsi, le consommateur voit votre image, cela renforce la relation de confiance», souligne Darine Fayed, responsable juridique de Mailjet. Cas particulier : le B to B, où les emails non sollicités sont monnaie courante. La collecte du consentement pourrait changer le quotidien des agences de relations presse par exemple.
Le cas particulier de la géolocalisation
La donnée de géolocalisation est la spécificité du marketing mobile, appliquée au commerce mais aussi aux éditeurs pour affiner leur ciblage publicitaire. Désormais, les mobinautes devront être beaucoup mieux informés sur l’utilisation de cette donnée, sur le web mobile et sur les applications. S4M, société spécialisée en mobile-to-store, a anticipé: «on s’interdit de regarder trop fréquemment la géolocalisation: ce n’est pas nécessaire au niveau du ciblage publicitaire et c’est plus respectueux de l’utilisateur», précise Nicolas Rieul, vice-président stratégie EMEA. Mais la question se pose pour des activités intrinsèquement liées à l’enregistrement des déplacements, comme la domotique. «Lorsque des appareils connectés allument ou éteignent le chauffage en fonction de l’éloignement de l’utilisateur, il faut définir la proportionnalité entre la collecte de données et la protection des droits des personnes», expliquait Guillaume Flambard, avocat directeur chez Taj, lors d’une matinée sur le RGPD organisée à Station F le 15 novembre.
Et ePrivacy ?
Les professionnels du marketing sont vent debout contre la directive ePrivacy qui doit entrer en vigueur en même temps que le RGPD. Les délais ont peu de chance d’être tenus mais une disposition dévoilée en début d’année évoquait une récolte du consentement au niveau du navigateur. «De fait, elle était confiée au duopole Apple et Google, commente Nicolas Rieul, de S4M, en charge des affaires publiques à la Mobile marketing association France. Or les éditeurs doivent pouvoir vivre de la donnée, à moins de revenir à des modèles payants.» Criteo suit évidemment le dossier de près: «on s’oriente vers une solution où on demande à l’utilisateur de faire un choix, sans option précochée», observe Guillaume Marcerou, responsable de la conformité. On n’a pas fini d’en entendre parler.