Le 22 mai 2018, le PDG de Facebook, Mark Zuckerberg, a été auditionné devant le Parlement européen afin de répondre aux interrogations sur l’engagement de sa société en matière de respect de la vie privée et sur son modèle économique. Cette audition faisait suite à la récente découverte de l’utilisation par Cambridge Analytica, un cabinet conseil en politique, de données de Facebook pour le profilage d’électeurs américains lors du dernier scrutin présidentiel aux Etats-Unis.

Même si vous ne faites pas partie des 2 milliards de personnes qui utilisent Facebook chaque mois, vous êtes en droit de souhaiter connaître la nature des informations collectées à votre sujet ou l’utilisation qui en est faite. Depuis le 25 mai, il est indubitable que le Règlement général européen sur la protection des données (RGPD) a contraint les entreprises à revoir la gestion de la confidentialité et de la protection des données de leurs utilisateurs. Il existe cependant des préoccupations croissantes, parmi les autorités de contrôle, les éditeurs et les instances de protection de la vie privée, concernant la manière dont les géants d’Internet Google et Facebook entendent appliquer cette nouvelle réglementation.

Ce que dit le RGPD en matière de respect de la vie privée et de consentement 

Le RGPD est sans doute la législation la plus marquante sur la protection des données personnelles qui ait été promulguée à travers le monde depuis plus de 20 ans. Celle-ci instaure des contrôles stricts sur la façon dont les entreprises traitent les informations personnelles et sensibles qu’elles détiennent à propos de citoyens de l’Union européenne (UE). La portée de cette réglementation s’étend au-delà des frontières de l’UE, à toute entreprise qui exerce des activités de vente ou de promotion auprès des citoyens européens et stocke des données à leur sujet.

Les obligations imposées sont lourdes, tout comme les conséquences pour ceux qui ne s’y conformeraient pas. Les pénalités pour non-conformité à l’issue du délai de grâce d’un an consistent en des amendes pouvant représenter jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise ou 20 millions d’euros, le plus élevé de ces deux montants étant retenu.

Cela n’en a peut-être pas l’air sur le papier mais cela représente beaucoup d’obligations. Tandis que le RGPD a pour vocation de faciliter le respect d’une seule et même réglementation unifiée pour les entreprises, sa mise en conformité nécessite un examen sans concessions de leurs pratiques actuelles.

Les problèmes des politiques de confidentialité 

« Si c’est gratuit, c’est vous le produit. » Cette phrase est devenue si banale qu’il est difficile d’admettre que certaines personnes ne puissent pas comprendre qu’elles offrent des informations sur elles-mêmes en échange de l’utilisation de services gratuits ou très bon marché. Cela ne veut pas dire pour autant que les consommateurs doivent ignorer quelles données ils communiquent et quelle utilisation en est faite. Et cela donne une idée de la nécessaire refonte des politiques de confidentialité telles qu’elles se présentaient jusqu’à présent.

Cela n’a pas échappé à Mark Zuckerberg. Conscient de la difficulté à proposer une politique de confidentialité complète, celui-ci a expliqué devant le Congrès américain : « L’un des problèmes auxquels nous nous sommes heurtés a été de produire un texte aussi simple et compréhensible que possible, ainsi que de donner aux utilisateurs le contrôle en ligne de l’application dans le contexte de l’utilisation souhaitée, sans pour autant nous attendre à ce que la plupart d’entre eux aient envie de lire un document juridique dans son intégralité. »

Ce dilemme n’est pas propre à Facebook. Les grandes entreprises peuvent utiliser et partager les données de leurs clients de plusieurs dizaines de manières. Cela peut englober le partage de données avec des applications internes afin d’offrir une expérience plus personnalisée, avec des partenaires dans le but d’enrichir les services qu’ils proposent, ou encore la vente de données à des tiers dans le cadre d’un modèle économique reposant sur un produit d’appel.

En tant qu’entreprise, vous pourriez être tenté par une transparence totale et détailler toutes ces activités en petits caractères. Toutefois, vous aboutiriez alors probablement à une politique de confidentialité à peu près aussi digeste que Guerre et Paix. A l’inverse, vous pourriez opter pour un texte minimaliste mais cela engendre d’autres types de problèmes. Certes, vos clients le liront peut-être mais, si vous omettez certains cas de partage de données et que vos clients s’en aperçoivent, ceux-ci pourraient se méprendre sur vos intentions et perdre confiance en votre marque.

Cela soulève certaines questions intéressantes, pourtant le débat n’est pas là. De mon point de vue, le problème ne réside absolument pas dans les politiques de confidentialité.

Le RGPD établit clairement que les consommateurs sont les véritables propriétaires de leurs données et, à ce titre, sont en droit d’y accéder facilement et de contrôler leur collecte, leur utilisation et leur partage. En tant que client, j’apprécie de disposer d’une fonction de gestion de mon compte où je peux modifier mon profil et mes paramètres de confidentialité. Les entreprises ont le choix du degré de granularité de ces paramètres. Leur contrôle ne peut être réduit aux seules options « Accepter » ou « Refuser » mais pourrait plutôt prendre une forme aussi simple qu’une liste d’options à activer ou désactiver sous forme de choix multiples.

 

______________
Dustin Maxey est Directeur Marketing Produits chez Ping Identity