Entré en vigueur en mai 2018, le Règlement général sur la protection des données a déjoué les pronostics les plus pessimistes en s’imposant peu à peu dans le paysage numérique européen. Pour autant, a-t-il rempli tous les objectifs dont l’avait paré le législateur ? Pas si sûr.
Aujourd’hui, la question de la conformité est devenue incontournable dans tous les projets qui manipulent des données et c’est sans doute la plus grande réussite du Règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018. Qui plus est, cette prise de conscience a été le point de départ de réflexions plus larges et plus systématiques autour des données – dans quelle mesure sont-elles utiles, pertinentes, efficaces, sécurisées… ? –, ce qui a contribué à une indéniable montée en maturité des entreprises sur toutes ces questions. C’est notamment le cas dans le secteur du marketing digital, où le RGPD a incité à prendre du recul et à privilégier des stratégies basées sur la qualité plutôt que sur la quantité.
Accélérée par la croissance des sanctions de la Cnil et de celles de l’Autorité de la concurrence, cette montée en maturité s’est accompagnée d’un développement notable des compétences, d’abord au sein des entreprises elles-mêmes autour du data protection officer (DPO), et ensuite chez les prestataires, qui se sont structurés pour accompagner leurs clients. Alors que le DPO a gagné en poids et en visibilité, il a vu ses équipes digitales s’étoffer, se spécialiser et s’outiller. Pour répondre aux obligations du RGPD, sont en effet apparues des solutions spécifiques, comme les CMP (consent management platforms), qui permettent de gérer les bandeaux de consentement aux cookies de façon industrialisée. Encore récent, cet outillage a néanmoins des marges de progrès afin de mieux implémenter les lignes directrices de la Cnil et de mieux prendre en compte l’omnicanalité. De plus en plus, l’objectif est de parvenir à concilier dans une approche unifiée la conformité et les enjeux d’expérience client et d’efficacité marketing.
Malgré ces nombreuses avancées, la maturité des entreprises sur le sujet des données personnelles reste très hétérogène et perfectible. Le RGPD est encore perçu par beaucoup comme une contrainte plutôt que comme un garde-fou utile ou comme le moyen d’introduire davantage de confiance dans les relations. Par ailleurs, les entreprises manquent encore de profils hybrides, maîtrisant à la fois la réglementation et les enjeux métiers et techniques de son application. Or, ceci est essentiel pour pouvoir la mettre en œuvre à bon escient, sans faille ni excès de zèle, tout en tenant compte des spécificités du domaine concerné (marketing, RH, IT…).
Prise de conscience salutaire
Au-delà des entreprises, le RGPD a aussi contribué de façon déterminante à ce que la société dans son ensemble soit aujourd’hui largement sensibilisée à la question des données personnelles. Si cette prise de conscience est salutaire dans un monde dominé par le digital, le déficit persistant de culture technologique reste à l’origine de confusions, de fausses idées ou de craintes exagérées. Associées aux GAFAM et au «capitalisme de surveillance», les cookies ont ainsi suscité une attention médiatique et réglementaire considérable alors que ce sont, en réalité, des données relativement peu identifiantes. L’expérience du consentement, trop souvent anxiogène, confuse et irritante, n’a pas non plus aidé. Dans le même temps, des aspects autrement plus sensibles, comme les données de santé et de ressources humaines, sont quelque peu passés au second plan.
L’objectif premier du RGPD était de mettre fin à une utilisation inconsidérée des données et, de ce point de vue, la réussite est incontestable. Même s’il reste des progrès à accomplir, l’idée qu’on ne peut pas faire n’importe quoi avec des données personnelles est désormais bien ancrée, y compris hors d’Europe où le texte a fait des émules. En revanche, le législateur espérait aussi que ce cadre contribuerait à faire émerger un écosystème européen de la donnée, favorable à l’émergence de champions d’envergure mondiale. Sur ce point, c’est un échec. En dépit des sanctions et des polémiques, les poids des grands acteurs, le peu d’alternatives disponibles et l’inertie des habitudes n’ont pas permis un rééquilibrage des rapports de force.
Pour voir exaucé ce vœu d’une tech européenne puissante et souveraine, peut-être faudra-t-il attendre le prochain cycle d’innovation, celui de l’intelligence artificielle, alors que d’autres textes viendront compléter le puzzle réglementaire aux côtés du RGPD : DMA, DSA, IA Act, directive e-privacy… Comment ces dispositions s’articuleront-elles ? Ne créeront-elles pas une complexité excessive ? Leur police sera-t-elle assurée par une autorité unique, la Cnil, ou bien par des organismes distincts ? Beaucoup de questions restent en suspens, mais s’il a fallu cinq ans pour atteindre une certaine maturité sur le RGPD, il en faudra sans doute au moins autant sur ces autres sujets. Et probablement une dizaine d’années pour mesurer l’impact réel de cet arsenal réglementaire sur la compétitivité du numérique européen.