Dans notre dernier article, nous avons recueilli l’analyse d’Aurélie Pols, experte en confidentialité des données, au sujet du contexte et de la portée du RGPD, ainsi que de la définition des données à caractère personnel. Dans cette deuxième partie, Aurélie aborde les conséquences du RGPD pour le digital analytics, les flux de données transfrontaliers, le profilage, les stratégies des entreprises et le comportement des consommateurs.
Quels sont les points auxquels les entreprises doivent faire attention dans le choix de leurs prestataires ? En particulier, de quoi doivent-elles s’assurer auprès de leur fournisseur d’outil digital analytics ?
Le RGDP traite du risque lié à l’utilisation des données. Si celles-ci peuvent indubitablement représenter un atout pour les entreprises, elles peuvent également devenir nuisibles si les obligations en matière de confidentialité ne sont pas respectées. Deux facteurs entrent dans le calcul du risque que les manipulations de données pourraient constituer pour votre société : le chiffre de 20 millions d’euros ou l’estimation de 4 % du chiffre d’affaires mondial de votre entreprise. En effet, l’amende du RGPD correspond directement à l’un des deux.
Pour se prémunir contre un tel risque, il est recommandé de se soumettre à une analyse d’impact relative à la protection des données et de se poser les bonnes questions au moment de choisir son partenaire privilégié. Ces bonnes pratiques doivent venir s’ajouter aux mesures de sécurité qui ont normalement déjà été mises en place.
Par ailleurs, à l’ère du partage et de la banalisation des données, les obligations en matière de confidentialité et de protection des données visent en particulier à rééquilibrer les responsabilités de l’entreprise et des partenaires qu’elle a sélectionnés pour ses initiatives de traitement de données, désignés sous le terme de « sous-traitants ». Le RGPD prévoit une chaîne de responsabilités, qui place votre société en première ligne des obligations de conformité formulées. Vos partenaires doivent donc « assurer vos arrières » tant du point de vue des obligations contractuelles que par la mise en place de dispositifs de renforcement de la confidentialité permettant à votre entreprise de gérer les impératifs supplémentaires occasionnés par cette norme de confidentialité, qui se généralise dans le monde entier.
Le vocabulaire utilisé par vos partenaires et leur équipe d’assistance doit d’ores et déjà donner un indice de l’envergure de la formation qu’ils ont reçue pour répondre idéalement à vos besoins et remplir leurs obligations en tant que responsables du traitement. L’utilisation maladroite de termes comme « PII » (« personally identifiable information »), si l’on peut éventuellement la tolérer de temps en temps dans les discussions sur les impératifs instaurés par le règlement, doit aussi déclencher le signal d’alarme de votre côté.
Les droits des personnes concernées, notamment le droit d’accès (qui se fraye également un chemin dans certains États des États-Unis, comme l’Illinois, sous le nom de « right to know » ou « droit à l’information »), sont autant de procédures et de pratiques qui devront être définies en partenariat avec le prestataire de services choisi. Comment les demandes d’information seront-elles transmises après réception ? Qui est la personne-ressource, quel est le service référent ? Quel est le délai de réponse attendu ? Faut-il prévoir des coûts (cachés) en cas de récupération de sauvegardes à des fins de rectification ou de suppression d’enregistrements ?
Cela signifie également que, de votre côté, des procédures sont mises en place en interne pour spécifier comment identifier les personnes concernées afin de faire valoir leurs droits. Par ailleurs, les processus décisionnels doivent être suffisamment clairs pour déterminer dans quelles circonstances s’appliqueraient les rectifications et les suppressions. Après tout, vos partenaires agissent en votre nom et suivant vos instructions. Il est donc important de définir précisément ce que vous attendez d’eux, de même que ce qui reste sous votre responsabilité en interne et la manière dont s’articule la chaîne décisionnelle.
Si les contrats peuvent gérer en partie ces problématiques de responsabilités, les efforts d’équilibrage entre les parties prenantes, l’accès à des documents complémentaires sur les bonnes pratiques en matière de sécurité, les certifications ou le respect des normes du secteur représentent des indices supplémentaires d’harmonisation avec le RGPD. Du côté de votre fournisseur, la désignation d’un délégué à la protection des données (DPO) est un signe indéniable de respect de l’engagement sous-jacent du RGPD à mener à bien les initiatives relatives aux données et à harmoniser les procédures et bonnes pratiques internes des ressources humaines avec les obligations contractuelles. Un accompagnement complémentaire, au sujet des cadres de gouvernance des données, de la classification des mesures de sécurité nécessaires et des techniques de pseudonymisation éprouvées, contribuerait d’autant plus à gérer et à maîtriser aussi bien que possible les risques entourant l’utilisation des données.
Depuis 1995, la Directive sur la protection des données contraint les entreprises européennes à comprendre quel type de données elles traitent dans le cadre de leur activité ; certains pays ont même été soumis à des obligations concernant l’enregistrement à l’exact des fichiers auprès des autorités de protection des données. Si ces charges administratives ont été éliminées dans le nouveau régime, les entreprises européennes sont prêtes à appliquer certaines de ces techniques dans la sphère numérique.
Que faut-il rechercher chez un prestataire digital analytics pour vérifier qu’il respecte le RGPD ?
Les certifications (toujours en évolution) ainsi que des pratiques solides en matière de sécurité restent des signes de qualification évidents quoique superficiels, qui peuvent être mis en avant dans le cadre de la « concurrence dans le respect de la confidentialité » ; en revanche, des efforts plus poussés à long terme, visant par exemple à définir des standards et à établir des liens avec les (futures) autorités de contrôle locales, indiquent un engagement plus marqué à l’égard de la philosophie sous-jacente du RGPD.
Il s’agit après tout de droits des utilisateurs, et l’enjeu est d’en définir précisément l’expression en gardant un pied fermement ancré du côté juridique et l’autre à la recherche de meilleures solutions pour structurer les données, afin de faciliter leur partage entre toutes les parties.
Souvent, le débat ne consiste même pas à savoir si la traçabilité des données existe, mais plutôt comment et dans quelles circonstances elles devront être partagées avec soit les citoyens, soit d’autres parties. Ce travail ne s’effectue pas en vase clos : c’est une initiative collaborative entre le fournisseur analytics, ses différents services et votre entreprise.
Quelles seront les implications du RGPD pour les transferts de données transfrontaliers ?
Comme nous l’avons mentionné, le RGPD est affaire d’adéquation : les droits des citoyens européens doivent être respectés et, dans un sens, ils « vont là où vont les données ».
Cela étant, d’un point de vue juridique, si l’on se limite aux traités internationaux d’échanges de données comme le bouclier de protection des données (Privacy Shied), je ne suis pas sûre que l’administration américaine actuelle, avec ses décisions récentes concernant la Federal Communications Commission (FCC) (entre autres !), examine les choses sous le bon angle.
Je m’attends par conséquent à une multiplication des hébergements sur le sol européen ; de plus en plus d’infrastructures cloud sont annoncées en Allemagne, en France, en Irlande, etc.
On peut également imaginer que de nouvelles techniques d’anonymisation et de dépersonnalisation seraient utilisées si les données devaient rester hébergées sur le territoire américain ; mais, là encore, cela dépend de l’équation des risques des entreprises et de la façon dont elles traitent les données à l’origine.
À noter que cette référence initiale à des droits qui accompagnent les données fait également allusion à une autre obligation prévue par le RGPD : le consentement et la finalité doivent se déplacer avec les données. Un fournisseur respectable qui aborderait cet épineux problème ne manquerait pas de retenir toute mon attention !
À votre avis, quelles seront les répercussions du RGPD sur les stratégies et les habitudes des entreprises à long terme ?
Comme je l’ai mentionné il y a plus d’un an dans le Center for Digital Democracy, j’apprends à mentir à mes enfants, en particulier sur Internet. En tant que mère, ce n’est pas l’idéal de devoir leur enseigner cela !
Je pense que nous n’en sommes qu’au tout début de l’ère de la Confidentialité. J’ai été témoin de la concrétisation de Competing on Analytics (de Tom Davenport) qui a pris une dizaine d’années, et la même chose se produira avec la concurrence dans le respect de la confidentialité.
Les entreprises s’efforcent de ne pas se laisser prendre dans l’engrenage de la baisse de confiance de leurs clients. Ce phénomène s’inscrit dans un contexte de mondialisation croissante où prévaut l’efficacité et, parfois, la précipitation. Ce type d’optimisation, d’origine financière, nourrit les profits de certaines entreprises.
Les attitudes vis-à-vis du RGPD varient en fonction du secteur et de la dépendance envers les données (telles que les données brutes) pour la maximisation des bénéfices. Le niveau d’adhésion des entreprises va du refus complet (avec à la clé quelques querelles devant les tribunaux !) à une acceptation et une préparation totales, en particulier dans les environnements réglementés comme les télécommunications, le secteur bancaire, les assurances, la santé, etc.
On observe également des forces intéressantes à l’œuvre, qui signalent l’inadaptation de la mesure, peut-être dans l’espoir d’assouplir son application et de mettre un frein au développement de la collaboration entre les autorités de protection des données.
Cependant, il ne faut pas oublier que le tissu économique de nos sociétés se compose à plus de 95 % de PME. Si la transformation numérique progresse à tous les niveaux, entreprises et citoyens confondus, il est temps à présent de remettre les choses en ordre en matière de mesures, mais aussi de responsabilités. L’Internet des objets est en effet à nos portes, et les systèmes ne sont pas encore optimisés pour garantir un bien-être optimal à la société. Les dernières élections nous ont montré le pouvoir du « coup de pouce » numérique.
Les entreprises peuvent donc choisir de viser le respect des réglementations, en réfléchissant aux risques liés à la non-conformité (et, avec un peu de chance, en procédant aux développements associés), notamment au sujet de l’article 30 sur le registre des activités de traitement.
Elles peuvent, à l’inverse, se concentrer sur des considérations globales en interne à propos de certains considérants, en particulier le 2e considérant de l’actuelle Directive sur la protection des données (95/46/CE) :
« considérant que les systèmes de traitement de données sont au service de l’homme ; qu’ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au progrès économique et social, au développement des échanges ainsi qu’au bien-être des individus » ;
ou même le 4e considérant du RGPD :
« Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique. »
Chaque entreprise est libre de choisir son niveau d’application du RGPD. La décision lui appartient.
Selon vous, quelles seront les répercussions du RGPD sur les attentes et les comportements des consommateurs au fil du temps ?
Les consommateurs deviendront de moins en moins loyaux et de plus en plus méfiants ; ils mentiront aussi souvent que possible. N’est-ce pas l’objet du blocage ou, de façon plus notable, de l’obscurcissement (ou « obfuscation ») de la publicité ? Mes condoléances à la qualité des données.
Ils ont également la possibilité de boycotter les marques, de détruire la réputation des sociétés, voire d’exercer leur droit à la transparence, déjà présent dans l’actuelle Directive européenne sur la protection des données.
Fait intéressant, l’évolution du web analytics vers les environnements publicitaires numériques que nous connaissons actuellement s’accompagne d’un changement d’échelle. Imaginez une telle escalade entre les mains des consommateurs. La législation vise à réintroduire les citoyens concernés dans l’écosystème des données.
Pour pouvoir s’imposer à grande échelle, elle doit les impliquer. Il faut, pour cela, les autoriser à voir et à accéder aux données utilisées à leur sujet. Des initiatives comme celle de Paul-Olivier Dehaye, Personal Data.IO, représentent les piliers du rééquilibrage grâce à des instruments juridiques comme le RGPD, entre autres.
Le RGPD introduit la notion de profilage. Quels sont au juste les types de services en ligne qui en relèvent ? Quelles en sont les conséquences et les répercussions potentielles sur le secteur du digital analytics ?
Le profilage est défini dans l’article 4.4 comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
La question se rapporte ici probablement à l’article 22 sur la prise de décision individuelle automatisée, y compris le profilage, en plus de toutes les références faites au profilage dans les différents droits listés entre l’article 15 et l’article 22.
Les considérants 24, 60, 63, 70, 71, 72, 73 et 91 donnent davantage d’indications sur cette notion ; citons notamment le considérant 72 : « Le profilage est soumis aux règles du présent règlement régissant le traitement des données à caractère personnel, par exemple le fondement juridique du traitement ou les principes en matière de protection des données. Le comité européen de la protection des données établi par le présent règlement (ci-après dénommé « comité ») devrait pouvoir publier des directives à cet égard. »
Je suis sûre que nous attendons tous avec impatience de lire la contribution du comité européen de protection des données sur le sujet.
***
Un grand merci à @AureliePols d’avoir partagé avec nous son avis d’experte en prévision des changements de mai 2018 !
Pour en savoir plus sur les grands principes de la confidentialité des données, lisez ce livre blanc :
Comments are closed.