Le paradoxe du respect de la vie privée
Qui n’a jamais été angoissé par une publicité trop bien ciblée ? Et ne s’est posé la question quasi existentielle du XXIème siècle: de quelles données dispose-t-on sur moi ? Et surtout, qui se cache derrière ce “on”?
Cette préoccupation se traduit dans plusieurs phénomènes de masse apparus ces dernières années : montée des adblocks en réaction à une publicité devenue anxiogène à force de ciblage individualisé, chaînes virales qui émergent sur nos feeds Facebook à chaque modification de la politique de confidentialité du réseau social, scandales à la suite de cyberattaques visant les données personnelles de millions d’internautes (par exemple celle de Yahoo l’année dernière)... Les études sont unanimes : la protection des données personnelles est de plus en plus présente dans nos esprits. A titre individuel, chacun exprime le souhait de disposer de plus de contrôle sur ses données.
Pourtant pour l’immense majorité des entreprises, la confidentialité des données est souvent la dernière roue du carrosse, et se limite en général à une politique de confidentialité incompréhensible mise à jour une fois par an (au mieux!).
Comme souvent, il faut se tourner vers les géants américains des nouvelles technologies pour voir des réponses plus abouties : Apple a discrètement pris un virage stratégique majeur en 2015 en prenant l’engagement formel de mettre en place les mesures techniques afin d’assurer qu’aucune donnée générée par les smartphones iOS ne quittera l’appareil sans nécessité impérative, le contrôle strict par son propriétaire et une protection absolue de la donnée (dont son chiffrement). Aussi intelligentes soient-elles, ces réponses ne font qu’illustrer une fois de plus le paradoxe que représente la préoccupation de la vie privée dans un contexte de pouvoir irréfrénable des GAFAs sur nos données.
Le temps presse
Il reste moins d’un an avant le 25 mai 2018 qui marquera le début de l’application de la nouvelle réglementation européenne de protection des données. Cette réglementation majeure redéfinit les données personnelles de façon très large et donne aux citoyens européens un certain nombre de nouveaux droits : droits d’accès et de rectification sans conditions, droits à la limitation à l’oubli dans certaines situations, et enfin le droit de s’opposer à un traitement et de ne pas être soumis à une décision entièrement automatisée sur la base de ses données. Notons également le droit à la portabilité des données, qui impose de mettre à disposition de chacun de ses clients l’ensemble de ses données s’il le souhaite.
Fait nouveau, la réglementation s’impose à toutes les entreprises et institutions utilisant des données d’utilisateurs/clients/patients européens y compris aux entreprises étrangères. Elle est, enfin, assortie d’un système extrêmement dissuasif de responsabilités et de pénalités (20M€ d’amende ou 4% du CA global).
C’est, de l’avis de tous, une excellente nouvelle pour les citoyens européens qui vont disposer d’un cadre réglementaire protecteur et adapté aux réalités technologiques du XXIème siècle. Pour les entreprises et les institutions, la conduite à tenir est beaucoup plus floue. Beaucoup sont perdues et traînent les pieds à l’idée des factures d’honoraires d’avocats et de consultants spécialisés qui se sont saisis du sujet. Une récente étude Mailjet a montré que seules 17% des entreprises avaient commencé leur mise en conformité RGDP.
Construire un nouveau contrat autour de la donnée
L’esprit de la nouvelle réglementation est clair : redonner le contrôle de leurs données aux personnes. Les institutions européennes répètent elle-même à l’envie l’avantage compétitif que représente pour une entreprise la confiance des consommateurs créée par le respect de la réglementation.
La question pour les entreprises est donc de traiter la réglementation comme un sujet de relation client : toutes les initiatives qui pourront être prises pour mettre en place les nouveaux droits dont disposent les citoyens européens (accès, rectification, effacement et limitation, opposition et portabilité) sont une opportunité de se rapprocher de leurs clients et de construire la confiance qui fait défaut aujourd’hui.
Comment?
Il convient de rendre tout d’abord le sujet de la confidentialité des données accessible à tous : chaque utilisateur ou client doit pouvoir comprendre simplement quelles données sont collectées, qui les utilise et à quelle fin. Cette idée suppose de faciliter l’accès à l’information par exemple dans le cadre d’un centre de gestion de la vie privée, plutôt que de l’enterrer dans une politique de confidentialité illisible.
Une fois l’utilisateur correctement informé, il doit naturellement pouvoir contrôler ses données et l’usage qui en est fait. Là encore, plutôt que de rendre cette étape difficile dans l’espoir de minimiser les demandes, il convient de rendre le contrôle d’une simplicité enfantine mais également de proposer des vrais choix. Au lieu de penser systématiquement les choix de confidentialité en terme d’opt-in ou opt-out, pourquoi ne pas les penser en termes de préférences ? Un client ne souhaite pas forcément se désinscrire d’une newsletter, simplement informer son expéditeur qu’il doit lui envoyer des messages moins fréquemment, à un autre moment, etc.
Enfin le respect de la vie privée mérite le même niveau d’investissement technologique que la publicité ou le marketing : les équipes travaillant à ce sujet méritent des outils intelligents et l’automatisation des tâches les plus fastidieuses.
C’est sur ces piliers que se construira demain la confiance des clients et sur lesquels se construiront des actifs numériques durables pour les entreprises.
Romain Gauthier est CEO et fondateur de Didomi
