Depuis plusieurs mois, la mise en place du RGPD fait frémir toutes les entreprises. Mais au-delà d’une mise en conformité administrative, ce règlement doit surtout permettre de renouer une confiance souvent mise à mal avec ses clients.
Une tribune de Frédéric Durand, CEO et fondateur de Diabolocom
Nous y voilà. Dans un mois, le 25 mai 2018, le nouveau règlement européen sur la protection des données (RGPD ; en anglais, GDPR, General Data Protection Regulation) entrera en vigueur.
Il concerne tous les acteurs économiques et sociaux qui collectent, traitent et stockent des données « à caractère personnel » – une dénomination qui englobe beaucoup plus de données qu’il n’y paraît…
Pour le législateur, les données à caractère personnel ne sont, en effet, pas seulement les données nominatives de vos fichiers clients. Ce sont, potentiellement, toutes les données qui – traitées, croisées, recoupées… – permettent d’identifier directement ou indirectement une personne.
Bien sûr, dans le cadre de votre activité, vous avez besoin d’identifier, localiser, caractériser et reconnaître vos clients. Le RGPD ne remet pas cela en question, mais il vous impose de clarifier les règles et les procédures mises en place pour réduire les risques d’identification des personnes physiques et d’atteinte à leur vie privée, à partir des données stockées dans vos systèmes d’information.
Comme toute nouvelle obligation règlementaire, le RGPD apparaît d’abord comme une contrainte – plutôt forte d’ailleurs, vu le montant des sanctions prévues en cas de manquement : jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros. Ce n’est pas rien !
Mais le RGPD vous donne aussi l’opportunité de conclure un nouveau pacte de confiance avec vos clients en étant transparent sur ce que vous faites de leurs données – un sujet auquel ils sont loin d’être indifférents et sur lequel ils ne font pas réellement confiance aux entreprises.
D’après un sondage Wavestone réalisé dans 6 pays (Chine, France, Allemagne, Italie, Royaume-Uni, États-Unis), la moitié des citoyens pensent que leurs informations sont utilisées dans d’autres buts que ceux qu’ils ont approuvés. On note au passage que les Français sont ceux qui font le moins confiance aux organisations publiques ou privées à qui ils « confient » des données (64 %).
Information des clients : faites clair, précis et court…
Le principe de transparence prôné par le RGPD exige, dit le texte officiel du 27 avril 2016, que les informations relatives au traitement des données à caractère personnel soient » aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples » [art. 39].
Ce n’est pas vraiment nouveau mais, quand on pense aux politiques de confidentialité/Privacy Policy de la plupart des sites web – ou, pire, des réseaux sociaux… – on se dit que ce n’est pas un luxe d’insister sur la clarté et l’intelligibilité, auxquelles on rajouterait volontiers la concision…
Les documents d’information actuels, rédigés par les départements juridiques, sont tellement indigestes que, même connaissant les risques et de plus en plus soucieux de la protection de notre vie privée, nous ne les lisons pas. En tant que consommateurs, nous nous contentons tous de cocher la case attestant que nous en avons pris connaissance.
La bonne idée est de profiter de l’entrée en application du RGPD pour réécrire votre politique de confidentialité en pensant un peu plus aux clients qui vont devoir (ou sont censés) la lire. C’est d’autant plus important que vous allez désormais devoir recueillir leur consentement explicite (ou leur refus) sur les usages et traitements que vous envisagez de faire sur les données que vous recueillez.
Cela va déranger les habitudes d’opacité de plus d’un géant d’Internet et autres data brokers. Ainsi, en mai 2017 la Cnil infligeait à Facebook une amende de 150 000 euros pour de nombreux manquement à la loi informatique et liberté actuelle dans sa gestion des données personnelles des utilisateurs.
La sanction était certes dérisoire pour un acteur comme Facebook, mais les motifs étaient intéressants : il lui était notamment reproché de « procéder à des combinaisons massives des données personnelles des internautes à des fins de ciblages publicitaires « , alors que ces derniers « n’y ont pas consenti et ne peuvent pas s’y opposer ».
On lui reprochait aussi de ne pas recueillir le consentement exprès des internautes lorsqu’ils renseignaient des données sensibles dans leurs profils, et en particulier leurs opinions politiques, leurs croyances religieuses ou leur orientation sexuelle.
Il aura fallu le scandale des données collectées par Cambridge Analytica et l’audition de Marc Zuckerberg auprès du Congrès Américain pour que le géant des réseaux sociaux annonce finalement sa mise en conformité avec le règlement européen.
Consentement des clients : l’obtenir et en faire la preuve
Vos clients doivent pouvoir décider en connaissance de cause, à partir d’un texte leur exposant clairement ce à quoi ils s’engagent ET ce à quoi votre entreprise s’engage.
Il va de soi que cette obligation d’informer ne recouvre pas les mêmes choses selon que vous êtes un établissement de santé, une banque, un retailer spécialisé dans le textile ou un fournisseur d’énergie…
Mais, dans tous les cas, pour être licites, vos traitements de données à caractère personnel doivent désormais être fondés sur le consentement de chaque personne concernée. La Cnil précise, à propos des nouvelles dispositions du RGPD que « la matérialisation de ce consentement doit être non ambiguë » et que « la charge de la preuve du consentement incombe au responsable des traitements » (votre entreprise ou vos prestataires).
C’est moins simple qu’il n’y paraît parce que chacun de vos clients peut changer d’avis : vous autoriser un temps à utiliser ses données, puis ne plus vouloir, puis à l’occasion d’un nouvel achat/projet, accepter de nouveau. En cas de litige, vous devez être en mesure de prouver que, au moment où vous avez utilisé ses données, vous en aviez pleinement le droit.
Êtes-vous prêt ?
Les citoyens et les consommateurs prennent de moins en moins à la légère tout ce qui touche à la protection de leurs données personnelles et de leur vie privée. Le RGPD leur donne davantage de droits et plus de possibilités de contrôle.
Toute la question est de savoir si les entreprises vont être prêtes en temps et heure, sachant que les implications du nouveau règlement ne se limitent évidemment pas aux deux points dont nous venons de parler.
A un mois de l’entrée en vigueur du règlement on peut encore en douter. Si les plus grands groupes ont déjà pu opérer ce changement dans les temps, les deux tiers des entreprises plus modestes craignent ne pas être prêtes à temps.
D’après une étude (NetApp) menée auprès de 1 106 cadres supérieurs et décideurs informatiques, 67% des entreprises interrogées pensent qu’elles ne seront toujours pas prêtes au moment de l’entrée en vigueur du règlement.
A l’approche de la date limite, les entreprises mondiales sont bien conscientes de l’impact de la non-conformité avec le RGPD, puisque 51% d’entre elles pensent que cela pourrait porter atteinte à leur réputation.
Les risques d’image et de réputation, ainsi que les sanctions financières prévues en cas de non respect des dispositions du RGPD, devront pousser les entreprises à accélérer leur mise en conformité.
Ce qui est en jeu, pour toutes les organisations, c’est la confiance de leurs clients, sachant que si ces derniers acceptent de communiquer des données à caractère personnel, ils attendent en retour une amélioration des services rendus, plus de personnalisation, voire des avantages financiers.
Les entreprises, qui ont longtemps profité de l’asymétrie d’information sur les données personnelles, vont devoir (ré)apprendre les bons vieux principes du « donnant-donnant ».