RGPD 1 an après.. Mais où en est-on?

RGP Quoi?? Plus d’un an après, c’est un acronyme qu’on n’explique plus. Mais au cas où, le RGPD ou GDPR comme on le dit outre-manche (après tout, l’heure du Brexit n’a toujours pas officiellement sonné), c’est cette grande réglementation européenne entrée en vigueur le 25 mai 2018 ayant pour but d’uniformiser et de cadrer les pratiques en matière de traitement des données personnelles au sein de l’union. Très médiatisé, ce texte a fait couler beaucoup d’encre, a été l’objet de nombreuses réunions sans fin dans les entreprises, organismes et associations de toutes tailles et de tous secteurs de France et de Navarre… Du juridique en passant par le marketing, des Ressources Humaines aux services informatiques, toutes les activités d’une entreprise ont potentiellement été concernées par le sujet. Pour faire face à ces vastes chantiers, on a même vu émerger de nouveaux métiers tels que les DPO (Data Protector officer), les “maîtres Yoda” de la Data. L’objectif du RGPD? Apporter plus de sécurité et de transparence dans la gestion des données personnelles des citoyens européens. L’objectif ultime? Instaurer un nouveau rapport de force avec les GAFAM en imposant un contrôle plus strict de leurs pratiques. La data est devenue la source de richesse de l’ère numérique, il est donc désormais essentiel de la protéger. Le RGPD a été présenté comme une révolution, bouleversant les règles de recueil et de traitement de données personnelles. Plus d’un an après, quel constat peut-on faire de ce pari pour le moins ambitieux ?

Prise de conscience collective

Si l’un des objectifs du RGPD a été atteint, c’est bien celui de la sensibilisation des citoyens européens sur leurs droits en matière de données personnelles et sur les devoirs des entreprises. D’après un sondage IFOP réalisé pour la CNIL (Commission Nationale de l’Informatique et des Libertés), près de 70% des Français se disent plus sensibles ces dernières années à la protection de leurs données, comme en témoigne l’explosion du nombre de plaintes. La CNIL, gendarme français de la protection des données personnelles, a recensé en 2018 plus de 11 000 plaintes quand elle n’en recevait «que» 7400 en 2017, soit une hausse de plus de 30%. En Europe, ce sont plus de 140 000 plaintes qui ont été déposées l’année dernière. Énorme. Cette prise de conscience est due à un gros travail de communication auprès du grand public mais prend aussi sa source dans les scandales qui ont ébranlé les géants du net tels que Facebook, impliqué dans l’affaire Cambridge Analytica. Quelque 87 millions de données personnelles avaient été «dérobées» pendant la campagne électorale américaine. En pôle position de ces plaintes, on trouve la suppression de données sur Internet et les sollicitations marketing et commerciales non désirées (envoi de SMS sans accord préalable ou sans que le désabonnement ne soit pris en compte). Ces motifs représentent à eux deux plus de la moitié des signalements. En cas de manquement grave aux obligations imposées par la loi, la CNIL peut infliger une amende allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. De quoi en effrayer plus d’un. C’est là une des mesures phares du RGPD. De telles amendes existaient déjà auparavant mais étaient beaucoup moins dissuasives, les pénalités étant plafonnées à 300.000€. Le nouveau règlement européen a donc apporté plus de protection aux citoyens de l’Union en imposant notamment aux entreprises plus de transparence, un renfort du consentement et des contraintes accrues en matière de portabilité des données. L’Europe est par ailleurs devenue un modèle international qui fait des émules. On a vu adopter à travers le monde des textes similaires au RGPD notamment au Brésil, au Japon ou en Californie.

Trouble-fête pour les acteurs de la publicité et des médias

Début 2018. Quelque part sur la planète numérique. L’annonce du RGPD crée un vent de panique chez les annonceurs et leurs partenaires médias. Dans une industrie où la publicité ciblée règne en maître, la crainte d’une baisse drastique de l’inventaire disponible se fait rapidement sentir. Nous sommes maintenant à la veille de l’entrée en vigueur du texte, soit le 24 mai 2018 et Google vient de lâcher une bombe en annonçant –sous couvert de mise en conformité RGPD- réduire considérablement les investissements alloués aux éditeurs et SPP européens (plateformes de vente d’espace publicitaire en temps réel destinées aux éditeurs). Le risque pour les annonceurs: ne plus pouvoir accéder aux espaces publicitaires et médias de leur choix. Leurs partenaires technologies se verraient donc potentiellement couper drastiquement une partie de leurs revenus. En conséquence, en quelques heures, certaines régies ont perdu près de la moitié de leurs revenus… Autant dire que tout cela avait mal commencé. Une fois cette crise Google digérée et le tumulte passé, le marché a su se réguler et s’adapter rapidement. Une des manifestations de ces changements a été l’explosion des CMP (Consent Management Plateform), ces outils qui permettent aux éditeurs de recueillir le consentement des internautes pour l’utilisation des cookies notamment. Grâce à ces méthodes, les éditeurs obtiennent le consentement de la quasi-totalité des internautes. Le cataclysme annoncé n’a heureusement donc pas eu lieu et après une courte période de flottement, les niveaux d’inventaires pub sont revenus à ce qu’ils étaient début 2018.

Exemple de CMP sur www.nicematin.com

Haro sur les GAFAM

Selon de nombreux articles et études, l’entrée en vigueur du RGPD bénéficierait avant tout aux gros acteurs du numérique. Il semble donc qu’on soit passé à côté de l’objectif qui visait la régulation du pouvoir hégémonique des GAFAM… C’est par exemple le point de vue défendu par Evan Spiegel, le PDG de Snapchat, lors d’une conférence organisée à Londres par le Wall Street Journal en mai dernier. «Si vous êtes un petit éditeur et que vous souhaitez faire de la publicité sur votre site web, c’est très difficile de le faire car vous n’avez pas la carrure (suffisante), vous ne disposez pas d’une plateforme de publicité géante, donc vous risquez de vouloir passer par Google, par exemple, ou Facebook». Pourtant, fin janvier 2019, la CNIL a frappé un grand coup en prononçant une condamnation sans précédent à l’encontre de Google: 50 millions d’euros pour manquements aux obligations de transparence, d’information et de consentement des utilisateurs. C’est la première fois que la commission prend des sanctions aussi lourdes. Même si la somme paraît dérisoire comparée au chiffre d’affaires du mastodonte, le message envoyé est clair: le bras de fer est engagé.

Affaire à suivre

En 2010, Marc Zukerberg affirmait «Privacy no longer a social norm». Neuf ans après, il a quelque peu changé de vision: «The future of social is private». Ceci dénote du changement de paradigme qui s’est opéré dans la société cette dernière décennie. Les utilisateurs ont pleinement pris conscience de la valeur de leurs données personnelles et de la responsabilité qu’ont les marques envers celles-ci. Les entreprises et organisations françaises ont, dans la grande majorité, intégré ces nouvelles contraintes dans leur fonctionnement et la mise en conformité est en marche. Beaucoup ont procédé à des révisions de leur politique de confidentialité, des mentions légales, des contrats fournisseurs et sous-traitants. Toutefois, force est de constater que dans de nombreux cas, il s’agit d’une mise en conformité «cosmétique», les vrais chantiers, beaucoup plus lourds n’ayant pas été réellement menés. Il y aura donc bel et bien un acte II du RGPD. Ces quatre lettres n’ont pas encore fini de faire parler d’elles…