«The age of privacy is over», clamait Mark Zuckerberg en 2010. On peut dire que le patron du géant américain Facebook n’a pas eu le nez creux pour le coup. Les prises de positions du réseau social ont d'ailleurs largement évolué depuis... «The future of social is private», rétropédale-t-il en avril dernier. Preuve qu'en dix ans, les mentalités ont progressé sur la notion de vie privée en ligne. Et le RGPD, entré en application officiellement le 25 mai 2018, n'y est pas pour rien. Ce fameux Règlement général sur la protection des données, proposé par la Commission européenne il y a six ans, finalisé en 2015 puis adopté par le Parlement en 2016, a apporté ou renforcé des droits existants pour l'ensemble des résidents de l'Union européenne, au prix d'une série d'obligations pour les entreprises, quelles que soient leur taille ou leur activité, et variables selon l'usage qu'elles font des données personnelles.
«Il n’y a pas d’autres domaines du droit qui pousse ainsi une entreprise à balayer du sol au plafond», soutient Etienne Drouard, ancien membre de la CNIL (Commission nationale de l'informatique et des libertés), avocat associé du cabinet K&L Gates. Un chantier énorme a en effet été engagé pour s’adapter. Avec quatre actions principales à mener pour entamer sa mise en conformité : constituer un registre de ses traitements de données, faire le tri dans celles-ci, informer les personnes sur leurs droits et enfin, sécuriser ses données. Ces travaux sont onéreux, en financier, en humain, en temps... Une véritable révolution. «Le RGPD touche tous les étages de l’entreprise, assure Maître Drouard, de l’informatique au marketing, en passant par le commercial ou encore les RH.» La protection des données personnelles dans les entreprises est un projet extrêmement lourd et transverse, qui n’aboutira pas en quelques mois.
Prise de conscience
Cependant, un changement profond est en marche. Une véritable prise de conscience souffle sur les citoyens européens. «Entre le vote du RGPD en 2016 et son application en 2018, le monde a réalisé que la donnée ne doit pas forcément être donnée, et que dans donnée personnelle il y a le mot personnel. Elle est loin l’époque où l'individu ne réalisait pas à quel point il donnait des informations sur lui à l’ensemble des acteurs du digital», observe Sylvain Staub, avocat au Barreau de Paris (Staub & Associés), spécialiste en droit de la data et fondateur de Data Legal Drive, une plateforme qui permet aux entreprises d’accélerer leur mise en conformité avec le RGPD. La médiatisation importante de ce texte, mais également des scandales liés à la sécurité des données des individus en ligne, à l’instar de l’affaire pour le moins anxiogène Facebook-Cambridge Analytica, ont été moteur dans ce changement de paradigme. «Aujourd’hui, aucun chef d’entreprise ne peut feindre l’ignorance, retarder ou refuser d’entrer dans une logique de conformité au RGPD, certifie Maître Staub. Respecter les données personnelles des clients, salariés ou prestataires fait clairement partie de la responsabilité d’un chef d’entreprise.»
Durant cette première année, la CNIL a fait preuve d’une certaine indulgence. Mais sa nouvelle présidente, Marie-Laure Denis, investie depuis février 2019, a indiqué que cette période de tolérance était terminée. «Cela ne signifie pas que l’on considère que 100% du travail a été fait, d’autant que la conformité au RGPD n’est pas un état figé, c’est un état continu pour se maintenir en conformité dans un monde où les technologies évoluent très vite», tempère Etienne Drouard.
Le nombre de plaintes déposées auprès du régulateur des données personnelles a augmenté de plus de 32% en 2018. «Ce nombre est un indicateur d’éducation et non pas un indicateur d’incidents, nuance l’avocat. Les citoyens sont plus nombreux à se plaindre, parce qu’on leur a expliqué leurs droits. C'est l’accessibilité au droit qui s’est fortement améliorée.» Parmi les premiers secteurs visés: l'assurance et les entreprises spécialisées dans le ciblage publicitaire. Pour plus d'un tiers d'entre elles (35,7%), les plaintes reçues concernaient la diffusion de données sur internet, avec une demande de suppression de ces données, qu'il s'agisse de données d'identité, de comptes, de photos ou de vidéos. Le commerce et le marketing constitue le second secteur suscitant le plus de plaintes, pour 21% du total, avec en particulier une très forte hausse des plaintes concernant la prospection par SMS, qui se fait le plus souvent sans consentement préalable.
«Les entreprises dont le cœur de métier consiste à traiter des données ont évidemment un intérêt tout particulier à chercher à interpréter le nouveau texte à leur avantage», explique Sylvain Staub, qui rappelle toutefois que les sociétés spécialisées dans le ciblage publicitaire Vectaury, Singlespot, Fidzup et Teemo ont fait l’objet d’une mise en demeure publique de la CNIL, clôturée dans les quatre cas, ce qui montre qu’elles ont trouvé le moyen de se mettre en conformité. «La problématique de ces sociétés n’était pas de refuser l’application du RGPD, c’était d’interpréter les nouvelles obligations qui se posaient en matière de consentement, dans le domaine très technique et nouveau du ciblage publicitaire. Elles ont accepté de modifier leur processus métier afin de pouvoir disposer d’une base légale valide», détaille l’avocat.
Perte de business?
Le RGPD a-t-il freiné le business des entreprises du secteur de la publicité digitale, dont le fonctionnement repose sur l’analyse du comportement des individus en ligne et hors ligne, leurs centres d’intérêt, la géolocalisation, et donc sur une collecte massive de données personnelles ? Dès le 25 mai 2018, le marché a bel et bien été secoué par le «DBMgate»: la décision unilatérale de Google, via sa solution programmatique DoubleClick Bid Manager (DBM) d’appliquer de manière stricte le RGPD et les recommandations de l’IAB et d’interdire l’achat d’espace numérique à tous les acteurs, pour des internautes dont il n'était pas sûr d’avoir le consentement... Certaines régies ont perdu, en quelques heures, 50% de leurs revenus.
Pour autant, après ce moment de flottement, le secteur s’est rapidement régulé. «Le RGPD a su trouver un équilibre entre renforcement de la protection de la vie privée et préservation de la croissance économique au centre de laquelle se trouve le digital», assure Frédéric Olivennes, président de l'IAB France. «Du reste, prévient-il, attention: la mise en œuvre du RGPD doit veiller à permettre aux médias et leurs partenaires technologiques de continuer d’offrir aux annonceurs de la performance au sein du digital européen. Sinon, ils iront la chercher ailleurs...»
Certes, une réduction des données est inévitable, néanmoins, pour les acteurs du marché, «il est préférable de disposer de bases de données saines et qualifiées, constituées d’informations sur des individus ayant consenti à l’utilisation de leurs données», assure Hélène Chartier, directrice générale du SRI, le syndicat des régies internet. «Avant le RGPD ce n’était pas non plus la jungle, ajoute-t-elle. La notion de choix et d’informations, de confiance vis-à-vis des internautes, est essentielle à la conduite de tout business responsable, pour les régies, les médias, les annonceurs ou les solutions technologiques...» «Dans toute industrie, des problèmes isolés ne doivent pas jeter l’opprobre sur tous. Selon moi, les acteurs de la pub digitale n’ont jamais été irresponsables dans le maniement des données personnelles. Il ne faut pas céder à une forme de diabolisation de la publicité sans quoi les pouvoirs publics agiront sous contrainte et risqueraient de pénaliser excessivement notre industrie», abonde également Frédéric Olivennes.
Le RGPD en est encore à sa genèse. Mais le monde de la publicité et du marketing semble se réorganiser autour de cette notion de protection des données personnelles. Pour l'avocat Sylvain Staub, «Le RGPD contribue à créer une véritable hygiène de la data». Pour la directrice du SRI Hélène Chartier, «ce règlement a montré que notre écosystème est capable de se mobiliser, de se prendre en main, de dialoguer. Il a permis d’ouvrir le capot, d’auditer l’ensemble des partenaires technos, d’identifier les interconnexions, les compétences des uns et des autres, et finalement de clarifier un système très complexe».
L’écosystème s’organise
Pour assurer l’interopérabilité des nouvelles dispositions du RGPD entre les éditeurs européens et les partenaires avec lesquels ils travaillent aux, l'IAB France, l'IAB Europe ainsi que d'autres IAB européens et leurs membres, ont développé un standard open-source pour les aider à fournir des informations précises aux utilisateurs en temps réel, dans le respect des différentes bases légales applicables pour le traitement des données par leurs partenaires, puis à transmettre des informations relatives à ces choix tout au long de la supplychain. Il s’agit du «Transparency and Consent Framework», une solution d’aide à la mise en conformité au RGPD, dont la deuxième version sera lancée cet été. L'outil est amené à évoluer régulièrement dans une logique de test and learn.