Il nous est tous arrivé de cocher des cases et de renseigner des formulaires en fournissant une kyrielle de renseignements personnels afin de bénéficier de nouveaux services ou de nouvelles applications.
Le problème est que nous n’avions alors aucun contrôle sur ce qu’il advient de ces informations et ignorons nos recours.
Et même quand nous prenions à l’occasion le temps de lire les conditions d’utilisation ou les politiques de respect de la vie privée des sites qui nous demandaient ces informations, elles étaient le plus souvent parfaitement incompréhensibles et bien trop longues pour être lues par le profane. Bref, jusqu’à présent, le consentement se résumait à une pratique favorable aux entreprises qui légitimait toutes sortes de traitements des données à caractère personnel.
Cette époque est révolue. Le règlement général européen sur la protection des données (RGPD) a changé la donne en matière de protection et d’exploitation des données, permettant aux citoyens de rester maîtres de leurs informations d’identification et obligeant les entreprises à faire preuve d’une plus grande responsabilité numérique.
En vertu de la nouvelle réglementation, il incombe aux entreprises de désigner au moins une base légale justifiant chaque opération de traitement numérique des informations personnelles qu’elles collectent. Et, surtout, elles doivent recueillir pour chaque traitement le consentement de l’utilisateur. En termes juridiques le RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Et cela présente évidemment un nouveau défi pour les entreprises : les modalités habituelles d’obtention et d’utilisation du consentement du consommateur ne s’appliqueront plus.
Selon la nouvelle réglementation les données des citoyens ne peuvent être exploitées que si ces derniers disposent d’un réel choix, avec la possibilité de retirer leur consentement à tout moment. Cela est vite dit, mais du point de vue technique, il en va tout autrement ! Cela signifie que les entreprises doivent disposer des moyens opérationnels et techniques nécessaires pour l’arrêt immédiat du traitement des données à la moindre requête d’un client, suivi de leur effacement ou leur restitution à ce dernier. À défaut, elles s’exposeront aux lourdes sanctions prévues par le RGPD et qui ont fait grand bruit (pour mémoire jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros).
Conséquence : dorénavant, toute demande de consentement devra être explicite, claire et compréhensible et devra pouvoir être traitée par l’entreprise de manière rapide et transparente (description exhaustive de la finalité du traitement, des droits des utilisateurs, etc).
La position du RGPD sur la question du consentement doit donc avoir un impact profond sur de nombreux secteurs d’activité. Imaginez par exemple une société de commerce électronique habituée à exploiter librement les données des consommateurs à différentes fins, au grès de ses besoins. Depuis le 25 mai 2018 elle doit indiquer précisément chacune de ces finalités de traitement des informations personnelles. Il lui faut également désormais documenter les bases légales justifiant chaque cas d’utilisation. À cela s’ajoute plusieurs autres obligations connexes, telles que la fourniture d’informations sur le droit de retrait du consentement, ainsi que la mise en œuvre de politiques de confidentialité claires et accessibles aux clients.
Ce bouleversement réglementaire a conduit au moins une grande agence de publicité à délocaliser son siège social hors de l’UE en raison d’un recours excessif au consentement pour justifier le traitement des données. D’autres entreprises sont toujours à la traîne pour régulariser leur situation. Récemment, l’Interactive Advertising Bureau (IAB) Europe a publié pour consultation publique une proposition de spécifications techniques pour son framework open source en faveur de la transparence et du consentement dans le cadre du RGPD. L’objectif est d’aider les éditeurs, fournisseurs technologiques, agences de publicité et annonceurs à répondre aux obligations de transparence et de choix pour l’utilisateur.
Désormais, les données personnelles constituent bel et bien la propriété exclusive de chacun d’entre nous. À l’avenir, les entreprises devront se comporter en gestionnaires responsables de ces informations, respecter nos volontés et faire preuve de transparence en toutes circonstances. Elles devront choisir la base légale qui reflète le mieux la nature réelle de leur relation avec la personne concernée et la finalité explicite du traitement des données, et ne pas en dévier, en utilisant ces mêmes données par exemple pour des traitements qui ne seraient pas mentionnés.
Evidemment, le recueil du consentement, dans les conditions imposées par le nouveau règlement, se révèle difficile ! Techniquement, cela exige de nombreuses adaptations, tant aux systèmes qu’aux infrastructures et aux applications.
Mais le recueil du consentement ne doit pas être vu uniquement comme une contrainte ; il peut aussi constituer un moyen viable de renforcer les pratiques commerciales. Il convient juste de l’aborder de manière plus spécifique et prudente. La transparence et les bonnes pratiques renforcent la confiance, permettant de nouer des relations clients plus solides et de favoriser la réceptivité à de nouveaux services innovants. A ce titre, le RGPD en général, et le recueil du consentement en particulier, ne sont pas des freins au succès commercial à long terme.
Certes, le RGPD défraie la chronique. Une forte médiatisation des cas de non-conformité est à prévoir. Des changements organisationnels complets sont indispensables, notamment en introduisant de bonnes pratiques en matière de gestion numérique et la mise en œuvre de technologies de sécurité capables de protéger les données personnelles, notamment au sein des applications hébergées dans plusieurs Cloud.
Mais il s’agit aussi d’une opportunité : les citoyens ont repris le contrôle de leurs données personnelles, et les entreprises doivent accepter l’idée que les relations transactionnelles avec les clients ont changé. Celles qui respectent la loi assureront leur conformité et resteront en phase avec la génération numérique. Celles qui n’ont pas fait preuve de diligence raisonnable subiront en revanche la rigueur de la loi, mais aussi le mécontentement des clients et leur perte de confiance.