Publié par Votre tête s’est-elle écrasée sur le mur où est écrit « Dead-Line RGPD 25 mai 2018 » ? Avez-vous été coupés en deux par les ciseaux du cut-off GDPR ? Vous êtes-vous faits hara-kiri car votre honneur n’a pas supporté la revue des jalons de votre programme RGPD ? Je ne sais pas vous mais moi j’ai quand même l’impression que vous allez bien car vous êtes en train de lire ma prose !
En novembre 2017, j’écrivais un premier billet pour donner ma vision du sujet (voir A qui profite GDPR ?). Le 25 mai est derrière nous. Les médias ont fait leur travail pour rappeler, toute cette journée-là, le top de la mise en application du RGPD avec d’ailleurs des raccourcis qui laisseraient entendre que cela concerne uniquement internet alors que cette réglementation concerne tous les supports, preuve que la compréhension de cette loi reste à compléter…
Pour ma part j’ai trouvé queRGPD+1 jour était le bon moment pour un premier bilan et pour envisager comment l’histoire va continuer car je n’ai cessé de rappeler que le 25 mai 2018 n’est pas une fin mais plutôt le début du RGPD.
Commençons par nous réjouir que le sujet de la protection des données personnelles soit sorti du milieu des initiés pour venir s’étaler sur la place publique. L’affaire Facebook a été un formidable vecteur marketing pour prendre conscience que la capture de données personnelles n’était pas juste un moyen d’irriter le manant en lui remplissant sa boite aux lettres de publicités mais que la manipulation de ces données pouvait avoir un impact sur le résultat d’élections. Du coup un risque est apparu pour la démocratie et par propagation sur les libertés individuelles. Mais l’émotion a été de courte durée. En avril 2018, le trafic des connexions sur Facebook a augmenté de 13 % et son dirigeant a été reçu comme un chef d’Etat en France à l’occasion du VivaTech. Si l’enjeu du RGPD est un enjeu de souveraineté européenne, reconnaissons qu’il reste du chemin pour que « l’esprit » du RGPD devienne incontournable.
En attendant, quels effets visibles pouvons-nous constater de la mise en conformité des entreprises ? Le premier, qui n’est pas du gâteau, c’est la gestion des cookies. La solution est un cautère sur une jambe de bois ! Pourquoi ? En effet, qui ne râle pas sur ces fenêtres qui nous alertent de l’utilisation de cookies ? Quasiment impossible d’arriver sur un site sans devoir dire « ok » à un message dont on se fiche car si on n’est pas d’accord ben…en général le site marche mal ce qui est quand même un comble car si on va sur un site c’est qu’on y a un intérêt. Voilà typiquement une mise en conformité que je trouve contre-productive car la technologie des cookies est un standard du web en attendant une meilleure solution « privacy by design ». Au passage, c’est assez limite comme démarche car régulièrement en acceptant les cookies vous acceptez formellement l’utilisation de vos données dans des DMP et autres c’est-à-dire une utilisation étendue de vos données !
Autre effet visible, qui m’amuse, les newsletters ou autres sites d’information qui vous ont inscrits à « l’insu de votre plein gré » et qui vous sollicitent pour que vous validiez formellement votre inscription avec des « Ne me quitte pas » qui vous rendraient presque coupables d’infidélité ! J’y vois une belle opportunité de faire le ménage.
Dernier effet visible à mentionner dans cet article, la communication. Utile quand elle est pédagogique. Plus gonflée lorsqu’elle tente de mettre en avant la mise en conformité RGPD comme argument marketing de la valeur « confiance » entre le client et l’entreprise alors que probablement personne n’est conforme à une application stricte de l’ensemble des articles du RGPD (même la CNIL le reconnait via un entretien très intéressant de son secrétaire général dans le JDNet du 24 mai 2018).
Pour ce qui est des effets moins visibles, les entreprises se sont « normalement » mobilisées en inscrivant le projet RGPD dans leur agenda. Evidemment la situation est très hétérogène en fonction de la taille de l’entreprise, des moyens alloués et de la nature d’activité et des données personnelles gérées mais beaucoup sont en départ lancé. Ce qui permet d’aborder la suite…
Eh oui c’est maintenant que les choses compliquées commencent. Nommer un DPO, faire un registre des traitements, cartographier les données personnelles, faire de la pédagogie en interne ou avec ses clients, envoyer des messages sur les cookies, etc… tout cela était beaucoup de travail mais c’est finalement très analytique. La séquence créative est arrivée.
Sur la mise en conformité d’abord, des sujets très épineux sont à traiter comme le droit à l’oubli qui est vraiment d’une complexité folle notamment pour les entreprises qui ont un SI où se sont empilées depuis des décennies les couches de nombreux standards technologiques sans compter le « shadow It » qui va sortir du coup en pleine lumière, contraint et forcé.
Mais si la mise en conformité reste incontournable et à durcir, l’enjeu pour chaque entreprise est de poser sa stratégie pour transformer le RGPD en opportunité et bonifier la relation de confiance entre l’entreprise et ses clients. Cela passe par une revue des valeurs que veut mettre en avant l’entreprise dans sa relation client. Cette revue peut conduire à de nouveaux produits comme le coffre-fort numérique (même si l’idée s’évente car elle n’est plus très originale).
Le RGPD va aussi faire bouger les lignes et, j’espère, faire avancer des sujets comme l’identité numérique et globalement améliorer le respect par les acteurs des données personnels mais aussi améliorera l’éducation des foules dans l’usage d’internet et de ses risques (à l’instar de la sécurité routière).
Pour finir, j’ai une pensée pour la CNIL qui a fait un travail remarquable d’accompagnement des entreprises par sa présence aux conférences, par la mise à disposition d’outils précieux pour les projets ou de bagages d’information et de sensibilisation. La CNIL, comme tous les autres acteurs, a vraiment plongé dans la piscine du RGPD le 25 mai 2018. Qu’elle fasse de la brasse coulée, du dos crawlé ou du papillon, son style sera très observé. Les premières descentes, policées ou non, l’arsenal des peines, la jurisprudence et surtout le montant des amendes auront un impact sur les esprits des directions générales et donc sur les moyens. La CNIL est aussi devant un chantier énorme.
En conclusion, nous sommes bien rentrés dans l’air du RGPD. Les choix structurants, les investissements lourds c’est maintenant !
© Ecrit par Jean Méance en Mai 2018
La fiction pour maitriser la réalité 