La complexité des législations qui entrent progressivement en vigueur en matière de protection des données personnelles va de pair avec les difficultés qu’ont les autorités de contrôle à assurer leur mise en œuvre. Conscientes de ces lenteurs, les entreprises du secteur développent de nouveaux outils permettant, tant aux utilisateurs qu'aux collecteurs de données, d’en avoir une gestion conforme et optimisée.
Si l’entrée en vigueur du fameux Règlement Général sur la Protection des Données (RGPD) en mai 2018 dans l'Union européenne marquait un tournant dans la protection des données personnelles des internautes, elle ne constitue pas pour autant un phénomène isolé : d’autres pays ou état américain se sont aussi engagés sur cette voie, comme la Californie1 ou le Japon2 . L’utilisation qui était faite de ces données - ainsi que leurs modes et durées de conservation - nécessitait certainement qu’on légifère et que l’on en harmonise le régime. Si ces textes représentent des avancées politiques majeures, leur mise en œuvre est cependant moins évidente3.
La CNIL en manque de moyens humains
D’une part, comme le soulignait récemment le commissaire européen à la Justice Didier Reynders, les internautes ont bien souvent tendance à donner leur "consentement" sans réellement savoir ce que cela recouvre4 . Par ailleurs, les autorités de régulation des Etats ayant décidé de se soumettre à ces règles se retrouvent bien souvent confrontées à un manque de moyens tant humains que juridiques pour en assurer la bonne application.
Pour prendre un exemple français, la CNIL (Commission nationale de l'informatique et des libertés de France) manque souvent de personnel pour mettre en œuvre un véritable encadrement, voire d’une force de coercition, vis-à-vis des grands groupes dont les filiales européennes sont, pour certaines, localisées hors de France (Google ou Facebook en Irlande notamment) et qui parviennent ainsi à se soustraire aux éventuelles amendes.
La conformité, un facteur d'attractivité pour les salariés
Une récente étude5 réalisée par le Cap Gemini Institute en septembre 2019 montre qu’un tiers des entreprises européennes interrogées seulement s’estime en conformité avec le RGDP plus d’un an après son entrée en vigueur. Loin d’être une résistance de leur part, ce problème de mise en conformité vient davantage de la complexité des mesures à mettre en place et du coût que cela représente.
A l’inverse, l’immense majorité d’entre elles estime que la mise en place des mesures représente un avantage, notamment pour leur image ou encore en termes de satisfaction de leurs propres collaborateurs. Un nombre croissant d’entreprises considère qu’être conforme au RGPD est même un critère d’attractivité des salariés, au même titre qu’une bonne politique RSE (Responsabilité Sociale des Entreprises).
Manetu, DuckDuckGo : donner le contrôle au consommateur
Fortes de ce constat, plusieurs start-up ont décidé de pénétrer le marché en proposant des solutions tant aux entreprises qu’aux internautes. C’est par exemple le cas de One Trust 6 qui propose à ses clients un programme de gestion des données personnelles leur permettant de vérifier en continu leur conformité aux diverses règlementations en vigueur à l’échelle mondiale.
D’autres acteurs ont décidé de soutenir les utilisateurs. C’est le cas de DuckDuckGo 7 , qui propose au public un moteur de recherche qui ne collecte aucune donnée personnelle. Ou encore de la start-up Manetu, lancée en avril 2020, qui permet à ses utilisateurs de savoir de manière exhaustive à qui ils ont donné (ou pas) leur accord pour exploiter leurs données personnelles. La plateforme de gestion du consentement est en prime « zero knowledge », ce qui signifie que la société elle-même n’a pas accès aux données de ses utilisateurs, qui restent entièrement cryptées de bout en bout.
Interrogé par le magazine Forbes, le CEO de Manetu, Moiz Kohari, déclarait : « Remettre le consommateur en position de contrôler ses données n’est pas seulement la bonne chose à faire, c’est également sensé d’un point de vue économique », soulignant ainsi qu’un utilisateur confiant et rassuré est forcément un meilleur client 8 . Et pour cause, à la mi-août la société, qui lançait à peine quelques mois auparavant sa plateforme de Consumer Privacy Management (CPM), annonçait avoir déjà 250 000 utilisateurs 9.
Si ces règlementations majeures et leur mise en œuvre par les autorités de régulations sont parfois des lourdeurs administratives, il semble néanmoins que la clef de leur fonctionnement repose entre les mains d’un secteur privé qui a déjà compris l’intérêt qu’elles représentent aux yeux de leurs utilisateurs.
Doriane de Lestrange, ancienne avocate, journaliste spécialisée sur les questions juridiques et européennes
_______________________________________________________
NOTES
1 https://www.lesechos.fr/tech-medias/hightech/loi-sur-les-donnees-personnelles-la-californie-ouvre-le-bal-
2 https://www.dpms.eu/rgpd/lunion-europeenne-japon-saccorde-rgpd/
5 https://www.capgemini.com/fr-fr/news/rapport-sur-la-rgpd/
6 https://www.onetrust.com/company/about-us/
8 https://www.forbes.fr/technologie/lintelligence-artificielle-au-secours-du-rgpd/?cn-reloaded=1