RGPD 1 an après.. Mais où en est-on?

RGP Quoi?? Plus d’un an après, c’est un acronyme qu’on n’explique plus. Mais au cas où, le RGPD ou GDPR comme on le dit outre-manche (après tout, l’heure du Brexit n’a toujours pas officiellement sonné), c’est cette grande réglementation européenne entrée en vigueur le 25 mai 2018 ayant pour but d’uniformiser et de cadrer les pratiques en matière de traitement des données personnelles au sein de l’union. Très médiatisé, ce texte a fait couler beaucoup d’encre, a été l’objet de nombreuses réunions sans fin dans les entreprises, organismes et associations de toutes tailles et de tous secteurs de France et de Navarre… Du juridique en passant par le marketing, des Ressources Humaines aux services informatiques, toutes les activités d’une entreprise ont potentiellement été concernées par le sujet. Pour faire face à ces vastes chantiers, on a même vu émerger de nouveaux métiers tels que les DPO (Data Protector officer), les “maîtres Yoda” de la Data.
L’objectif du RGPD? Apporter plus de sécurité et de transparence dans la gestion des données personnelles des citoyens européens.
L’objectif ultime? Instaurer un nouveau rapport de force avec les GAFAM en imposant un contrôle plus strict de leurs pratiques.
La data est devenue la source de richesse de l’ère numérique, il est donc désormais essentiel de la protéger.
Le RGPD a été présenté comme une révolution, bouleversant les règles de recueil et de traitement de données personnelles. Plus d’un an après, quel constat peut-on faire de ce pari pour le moins ambitieux ?
Prise de conscience collective
Si l’un des objectifs du RGPD a été atteint, c’est bien celui de la sensibilisation des citoyens européens sur leurs droits en matière de données personnelles et sur les devoirs des entreprises. D’après un sondage IFOP réalisé pour la CNIL (Commission Nationale de l’Informatique et des Libertés), près de 70% des Français se disent plus sensibles ces dernières années à la protection de leurs données, comme en témoigne l’explosion du nombre de plaintes. La CNIL, gendarme français de la protection des données personnelles, a recensé en 2018 plus de 11 000 plaintes quand elle n’en recevait «que» 7400 en 2017, soit une hausse de plus de 30%. En Europe, ce sont plus de 140 000 plaintes qui ont été déposées l’année dernière. Énorme. Cette prise de conscience est due à un gros travail de communication auprès du grand public mais prend aussi sa source dans les scandales qui ont ébranlé les géants du net tels que Facebook, impliqué dans l’affaire Cambridge Analytica. Quelque 87 millions de données personnelles avaient été «dérobées» pendant la campagne électorale américaine. En pôle position de ces plaintes, on trouve la suppression de données sur Internet et les sollicitations marketing et commerciales non désirées (envoi de SMS sans accord préalable ou sans que le désabonnement ne soit pris en compte). Ces motifs représentent à eux deux plus de la moitié des signalements. En cas de manquement grave aux obligations imposées par la loi, la CNIL peut infliger une amende allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. De quoi en effrayer plus d’un. C’est là une des mesures phares du RGPD. De telles amendes existaient déjà auparavant mais étaient beaucoup moins dissuasives, les pénalités étant plafonnées à 300.000€. Le nouveau règlement européen a donc apporté plus de protection aux citoyens de l’Union en imposant notamment aux entreprises plus de transparence, un renfort du consentement et des contraintes accrues en matière de portabilité des données. L’Europe est par ailleurs devenue un modèle international qui fait des émules. On a vu adopter à travers le monde des textes similaires au RGPD notamment au Brésil, au Japon ou en Californie.
Trouble-fête pour les acteurs de la publicité et des médias
Début 2018. Quelque part sur la planète numérique. L’annonce du RGPD crée un vent de panique chez les annonceurs et leurs partenaires médias. Dans une industrie où la publicité ciblée règne en maître, la crainte d’une baisse drastique de l’inventaire disponible se fait rapidement sentir. Nous sommes maintenant à la veille de l’entrée en vigueur du texte, soit le 24 mai 2018 et Google vient de lâcher une bombe en annonçant –sous couvert de mise en conformité RGPD- réduire considérablement les investissements alloués aux éditeurs et SPP européens (plateformes de vente d’espace publicitaire en temps réel destinées aux éditeurs). Le risque pour les annonceurs: ne plus pouvoir accéder aux espaces publicitaires et médias de leur choix. Leurs partenaires technologies se verraient donc potentiellement couper drastiquement une partie de leurs revenus. En conséquence, en quelques heures, certaines régies ont perdu près de la moitié de leurs revenus… Autant dire que tout cela avait mal commencé. Une fois cette crise Google digérée et le tumulte passé, le marché a su se réguler et s’adapter rapidement. Une des manifestations de ces changements a été l’explosion des CMP (Consent Management Plateform), ces outils qui permettent aux éditeurs de recueillir le consentement des internautes pour l’utilisation des cookies notamment. Grâce à ces méthodes, les éditeurs obtiennent le consentement de la quasi-totalité des internautes. Le cataclysme annoncé n’a heureusement donc pas eu lieu et après une courte période de flottement, les niveaux d’inventaires pub sont revenus à ce qu’ils étaient début 2018.
Exemple de CMP sur www.nicematin.com