Data privacy : de quel coté de la force allez-vous basculer ?

C'est peut-être parce que les data sont un sujet stratégique pour les clients de Camp de Bases et pour le groupe Webedia que je reçois chaque semaine de nombreuses propositions pour collecter et utiliser des données personnelles.

Dans le lot, certains éditeurs proposent des technologies très intrusives.

Parfois, ce sont de vieilles techniques remises au goût du jour:

• Pour sauvegarder des données, même si l'internaute ne valide pas son formulaire;
• Pour géolocaliser des mobiles en tâche de fond, sans réel besoin pour l'application qui les collecte;
• Pour tracker les identifiants, toujours d'un mobile, à l'intérieur d'un point de vente pour faire ensuite le lien avec des tickets de caisse.

Ce sont aussi des innovations parfois impressionnantes d'un point de vue technologique:

• Avec la reconnaissance faciale: pour reconnaître des individus dans la rue ou des allées de supermarché et personnaliser des offres en temps réel;
• Avec des algorithmes pour "dés-anonymiser". c'est le cas avec cette équipe de chercheurs américains qui est arrivée à identifier des individus à partir de quatre achats réalisés avec une même carte bancaire (PDF en anglais).

Par moment, ce sont même des techniques illégales qui sont imaginées pour:

• Écouter ou filmer des personnes grâce à leur téléphone mobile ou leur desktop;
• Comprendre leurs comportements sans leur accord (cf. Vizio, fabriquant amércain de téléviseurs, comme le relate Forbes).

Lorsque je demande à ces apprentis sorciers de la data si leurs solutions sont compatibles avec le RGPD (Règlement général sur la protection des données), leur réponse est invariable: le règlement est flou et les textes d'application permettront de clarifier la situation.

Le RGPD est clair, son intention aussi!

Bien entendu, il n'en est rien. Le RGPD est clair, son intention aussi! Nul n'est censé ignorer la loi et celle-ci s'appliquera en mai 2018. En effet, le RGPD est un règlement, et contrairement à une directive européenne, il s'appliquera directement dans tous les pays européens. Toutes les entreprises présentes sur le territoire européen doivent donc se mettre en conformité et aucune ambiguïté n'est permise sur ce point.

Reste à savoir dans quel état d'esprit ces entreprises vont appliquer le RGPD...

Il est fort à parier que les grands groupes, disposant classiquement de moyens importants, mettront en place de gros projets pour assurer la "compliance". Mais en dehors du CAC 40, je fais la prédiction que deux catégories vont émerger:

1. D'un côté, les entreprises "low privacy"

Ce sont les structures qui envisagent le RGPD comme une contrainte incontournable et vont faire le chemin minimum pour être en conformité. Certaines peuvent même être tentées d'être conformes sur certaines parties de leur activité ou de leurs données et être moins regardante sur d'autres. Ou de jouer la montre et allonger les plannings de mise en conformité...

Cette conformité RGPD a minima peut être une tentation "business" pour:

• Réduire les coûts de R&D;
• Accélérer la mise en marché de produits;
• Collecter des données de comportements à moindre effort.

Paradoxalement, cette stratégie "low privacy" peut aussi se décliner avec l'accord des consommateurs. Après tout, le low cost aérien montre chaque jour que certains segments de consommateurs acceptent de patienter, sous la pluie, sur le tarmac d'un aéroport avant de s'entasser dans un avion sans avoir un verre d'eau. Ceci aurait pourtant paru impossible aux premières compagnies aériennes assurant les liaisons transatlantiques!

Dans le domaine de la data, ce qui nous paraissaient tout aussi impossible est d'ores et déjà une réalité. Les Gafa montrent ainsi que le partage de sa vie privée peut être échangé contre des services gratuits.

En regardant un peu dans le rétroviseur, la mise en oeuvre de la LCEN (la loi pour la confiance dans l'économie numérique), qui date de 2004, montre que certains acteurs, généralement de petites structures, peuvent faire preuve de beaucoup de créativité et de mauvaise foi pour faire croire qu'ils n'ont pas compris les règles de l'opt-in. Il en sera sûrement de même pour le nouveau règlement européen. Je fais donc le pari que de nombreuses sociétés peuvent être tentées par une stratégie "low privacy" pour décliner le RGDP a minima.

2. De l'autre côté, les sociétés "high privacy" voient le RGPD comme une opportunité stratégique.

C'est bien entendu un chemin un peu plus ardu, qui nécessite des moyens, du temps, de la formation, de la pédagogie, et surtout de mettre le respect de la vie privée au centre de la stratégie.

Le RGPD est une opportunité pour 3 raisons:

C'est d'abord une opportunité en termes d'image et de communication. Cela dépend bien sûr de chaque secteur d'activité mais je fais le pari que, face à la multiplication des scandales sanitaires et environnementaux, le respect de la vie privée va devenir une composante majeure de l'image des marques et un capital " immatériel " primordial.

La seconde opportunité découle de la première et concerne la relation client et en particulier les attentes des fameux Millennials. Des attentes a priori paradoxales, puisque que ce sont ceux-là même qui partagent leurs photos et leurs états d'âme sur les réseaux sociaux. Pourtant, de nombreuses études montrent l'importance qu'ils accordent au respect de leur vie privée à partir du moment où ils n'ont pas consenti à la partager. La "high privacy" permet de répondre à ces attentes et de tisser une relation équilibrée et légitime.

Enfin, mettre le respect de la vie privée au centre des stratégies d'entreprise est un choix politique et philosophique. C'est l'opportunité de faire basculer notre vie quotidienne entre 2 alternatives. La première consiste à penser que le respect de la vie privée est une aberration de l'histoire. Après tout, la vie privée est en effet un phénomène moderne et occidental. Pour l'homme de Cro-Magnon ou le paysan du Moyen Âge, la vie privée n'existait pas. Il était alors impossible de cacher ses préférences sentimentales, ses centres d'intérêt et même son emploi du temps. C'est encore le cas dans beaucoup de régions du monde.

Certaines sociétés américaines considèrent donc le respect de la vie privée comme un point singulier et que sa disparition n'est pas si grave. Et ce sont les premières à utiliser les technologies que j'évoquais plus haut.

La seconde option, et c'est bien entendu ma préférence, est de considérer la vie privée comme un acquis primordial pour le futur. Un acquis primordial pour la liberté, pour la démocratie et pour le développement des individus. Un acquis tout aussi fondamental pour assurer une compétition équilibrée entre les entreprises du monde entier. C'est la direction prise par l'Europe, et nous pouvons être heureux de cette prise de position plutôt que l'inverse.

Le RGPD est donc un règlement dont nous pouvons être fiers au titre européen. C'est un règlement à défendre en tant qu'individu. C'est un règlement à mettre en oeuvre dans nos sociétés et pas uniquement par les directions juridiques, les directions marketing ou les DSI. Elle doit être mise en oeuvre au plus haut niveau, au niveau des Comex et des directions générales.

En ce sens, c'est un texte fondamental, un texte qui impactera réellement les stratégies des prochaines années et la façon dont nous ferons du business.