Protection des données personnelles – Une régulation nécessaire aux effets pervers
Cet article est paru dans Acteurs de la Filière Graphique n°135 (octobre 2021)
Alors que tant appellent à contraindre des GAFAM hyper dominants dopés à la data, peut-on seulement échapper à leur emprise ? La volonté de leur opposer des limites n’a-t-elle pas davantage mis en difficulté des structures de taille plus modeste ? De paradoxes en effets pervers, la nécessaire protection des données personnelles apparaît comme un défi encore loin d’être réglé…
Nous serions tentés d’être taquins et de rappeler qu’il y a peu, visiblement désireux de se passer des services d’Apple et de Google par souci d’indépendance, l’État français s’est obstiné à élaborer en s’isolant une application StopCovid (devenue TousAntiCovid) incompatible avec des modèles de smartphones dits « trop anciens ». Un retard à l’allumage qui n’aura été que partiellement comblé, au gré notamment de problèmes d’interopérabilité persistants, grâce à une application de remplacement encore imparfaite mais qui dépassait enfin les vingt millions de téléchargements fin juin 2021. Une « victoire » ô combien laborieuse donc, qui souligne cette triste réalité : à parfois trop vouloir s’émanciper de la mainmise des GAFAM, fût-ce sur le fond pour des raisons très légitimes, on ne se rend la tâche que plus ardue encore.
« Les logiques de marketing et de communication nourries à la data sont en train de s’imposer, bien au-delà des seuls géants du Web. »
Le numérique, un accélérateur de monopoles ?
La chose vaudra également (et vaut probablement déjà) en matière de régulation des flux de collecte et de traitements des données personnelles. Car si « souveraineté numérique » il doit y avoir, elle ne saurait s’affranchir à ce jour d’une emprise oligopolistique qu’il s’agit à ce stade surtout d’encadrer, plus que de déconstruire. S’il est à parier que quelques fiers étendards de la « French Tech » réussiront à s’imposer sur des terrains encore laissés libres (entre autres co-constructions européennes, que certains souhaitent pouvoir opposer aux leaders américains), il serait malvenu d’ignorer combien l’espace numérique – aussi ouvert et foisonnant soit-il – est par nature générateur de simili-monopoles, dont certains sont d’évidence très bien installés. « Aucune société européenne n’est actuellement en mesure de modifier le rapport de force économique et industriel mis en place par les sociétés américaines et chinoises. Qu’il s’agisse des GAFAM, des NATU (Netflix, Airbnb, Tesla, Uber), de leurs équivalents chinois, les BATX (Baidu, Alibaba, Tencent, Xiaomi), ou encore de Huawei ou ByteDance, du fait de leur puissance économique et de leur extension dans l’ensemble des champs économiques et sociaux, ces entreprises ont acquis un pouvoir politique qu’aucun autre acteur industriel n’avait pu acquérir jusqu’ici » écrit notamment Bernard Benhamou, secrétaire général de l’Institut de la souveraineté numérique, dans une tribune intitulée « Souveraineté numérique : quelles stratégies pour la France et l’Europe ? ». Dès lors en effet que l’efficience des services en ligne est décorrélée de toute notion de dépendance géographique (et en l’occurrence, vous n’aurez besoin que d’une connexion stable pour utiliser Google, peu importe que vous vous situiez au beau milieu d’une mégalopole ou en rase campagne), c’est le prestataire dominant qui absorbe l’essentiel des requêtes sur le Web. De la même façon que Youtube n’a rapidement plus toléré de concurrent sérieux (Dailymotion – une création française – aura pourtant essayé), Amazon écrase le marché du e-commerce avec 22 % de parts de marché (hors alimentaire) et un chiffre d’affaire plus de deux fois supérieur à celui de son dauphin, Cdiscount. A l’inverse, les services de proximité dits « physiques » sont des facteurs précieux de diversité : là où les leaders du numérique tentent de centraliser l’activité (commerciale, publicitaire, économique etc.) en leur sein, les acteurs de la proximité ont pour mission d’assurer un maillage géographique des services suffisant pour offrir une qualité de vie décente au plus grand nombre. Pour autant, qu’on ne s’y trompe pas : la data de leurs clients et usagers les intéresse tous. Ce n’est peut-être pas encore le cas de votre boulanger de quartier (quoique), mais les logiques de marketing et de communication nourries à la data sont en train de s’imposer, bien au-delà des seuls géants du Web…
« En appliquant à ses supports de communication numériques un algorithme de recommandation, Picard peut décliner 1283 combinaisons de messages, selon les affinités perçues des cibles visées. »
Transformation « Data-driven » : le cas Picard
Il est des acteurs pour lesquels la transformation numérique n’est pas une option : avec 1036 magasins en France et une présence sur Internet dès l’année 2000 avec un site de vente en ligne, Picard est davantage un poids lourd de son secteur qu’une petite entreprise de quartier. C’est pourtant un véritable acteur de proximité qui a déjà axé une part majeure de son développement sur du retraitement de data qualifiée. Démonstration en fut faite durant l’assemblée générale du Syndicat National de la Communication Directe (SNCD), alors sur le point d’être rebaptisé DMA France : première analyse de tickets de caisse en 2011, premiers tests CRM et assortiments différenciés selon les typologies de magasins en 2013, lancement d’un programme fidélité en 2017 et premières communications segmentées/personnalisées selon les profils de clients en 2018. Picard a déjà fait du chemin et n’entend pas en rester là. Alors en effet que les stratégies de segmentation ont déjà porté leurs fruits (la marque ayant constaté une nette amélioration du taux de conversion à l’achat des produits mis en avant, via des communications segmentées), l’enseigne n’hésite pas à qualifier clairement son objectif : « aller vers le one-to-one » en poussant aussi loin que possible les logiques de communication et de recommandations personnalisées. Or, quelle meilleure arme que l’analyse data pour y parvenir ?
Le print encore incontournable pour parler aux masses
En faisant appel à Equancy, un cabinet de conseil spécialisé dans la transformation digitale, la marque conditionne aujourd’hui plus que jamais son évolution à son niveau de connaissance de ses clients. Dit très simplement : les comportements d’achat sont scrutés et analysés pour développer un algorithme de recommandation aussi pointu que possible. A ce jour, en appliquant à ses supports de communication numériques un algorithme de recommandation, Picard peut décliner 1283 combinaisons de messages, selon les affinités perçues des cibles visées. Un chiffre que l’enseigne ne désigne pas comme un plafond, mais comme une étape vers le « one-to-one » qu’elle appelle de ses vœux. Si l’objectif est posé, la stratégie de Picard assume une réelle scission entre l’hyperpersonnalisation de recommandations 100 % digitales et le maintien du print dans une logique de média de masse, porteur d’un socle commun d’informations. A ce titre, Picard édite, en marge de ses traditionnels catalogues produits imprimés, un magazine papier de brand content doté d’une ligne éditoriale solide : on y trouve des recettes, des conseils, des dossiers, des portraits etc. Si l’on voulait schématiser, l’on pourrait alors dire que le numérique est ici pensé pour parler à chacun, quand le print se veut parler à tous. C’est là un parti-pris stratégique particulier, en ce sens que le papier aurait lui aussi pu être le réceptacle (et le véhicule) d’une volonté de segmenter/personnaliser la communication, moyennant le recours à de l’impression numérique calibrée pour faire du versioning. L’enseigne semble donc vouloir à ce stade exclusivement flécher la data qu’elle s’applique à collecter, traiter et retraduire, vers ses supports et applications numériques, sous forme de recommandations personnalisées. Mais c’est une évidence : de tels objectifs ne vont pas sans leur lot d’obligations réglementaires…
On ne plaisante plus avec le RGPD
Après un temps d’ajustements, le Règlement Général sur la Protection des Données (RGPD) entend se faire respecter. D’après une analyse d’Atlas VPN, près de 650 sanctions (soit près de 300 millions d’euros) ont été infligées par les autorités des pays membres de l’Union européenne entre mai 2018 et mai 2021 et la France fait partie des pays les plus zélés en la matière : citons notamment les sanctions prononcées par la CNIL qui ont visé Google (50 millions d’euros : un record) le groupe Carrefour (2,25 millions d’euros) ou très récemment Brico Privé (500 000 euros). Si les deux premiers cas entendent démontrer combien les gros poissons sont les cibles les plus prisées, celui de Brico Privé rappelle que les structures relativement plus modestes ne sauraient échapper au tamis réglementaire. Pire encore : au regard de ce qu’elles sont, elles paient proportionnellement plus cher leurs manquements que les GAFAM. En l’occurrence, Brico Privé n’aura pas eu besoin de commettre de lourdes fautes (on ne parle effectivement pas là d’espionnage ou de fuites massives des données), mais n’aura – comme tant d’autres – pas su serrer la vis en termes de bonne gestion de la data : s’assurer du consentement dûment renouvelé de ses cibles, ne pas conserver les données collectées au-delà du temps nécessaire ou encore garantir la sécurité des systèmes de stockage. Des erreurs qui – soyons clairs – sont d’autant plus répandues qu’elles réclament des moyens et compétences que tout le monde n’a pas encore et placent les structures les moins armées en situation d’insécurité juridique. C’est là une des missions portées par la FEDMA (Federation of European Data & Marketing) et ses déclinaisons à l’échelle nationale, dont DMA France (anciennement, le Syndicat National de la Communication Directe) : la FEDMA appelle en effet à « une mise en œuvre équitable et efficace du RGPD ». C’est bien le mot « équitable » qui apparaît important ici, car il laisse entendre combien mettre en place les bonnes pratiques, tant en termes techniques qu’humains, s’avère plus ou moins accessible, selon les moyens dont on dispose.
« Il y a cette balance à respecter entre d’un côté les droits des personnes et de l’autre, les intérêts commerciaux légitimes d’une entreprise à prospecter. Or, on tend à ne plus retenir qu’une part de l’équation. » Nathalie Phan-Place (Secrétaire générale de DMA France)
Le consentement, un prérequis absolu ?
Pour autant, lorsque l’on demande aux organismes concernés quelles formes d’inéquités il s’agirait de déconstruire, il est dans un premier temps surtout question de rappeler les équilibres qui lient le communicant/prospecteur à l’usager… « Le RGPD est censé permettre un équilibre entre les droits des personnes et les obligations des entreprises. Dans le prolongement de ce que définissait déjà la loi Informatique et Libertés depuis une directive qui date de 1992, il y a notamment la notion d’intérêt légitime pour l’entreprise qui entre en jeu : c’est ce qui permet de prospecter quelqu’un, sous certaines conditions, sans consentement préalable. Le RGPD reprend ce principe et précise bien qu’il y a cette balance à respecter entre d’un côté les droits des personnes et de l’autre, les intérêts commerciaux légitimes d’une entreprise. Or, on tend à ne plus retenir qu’une part de l’équation, les autorités de contrôle ayant tendance à ne plus s’inquiéter que du consentement du consommateur » regrette Nathalie Phan-Place, secrétaire générale de DMA France. Les cas où le recueil d’un consentement ne serait pas nécessaire, moyennant toujours toutefois la nécessité d’informer, concernent par exemple « la prospection par voie postale » ou celle qui vise à « honorer des obligations contractuelles » illustre-t-elle. Autrement dit : on ne saurait s’opposer à tout, même si le RGPD a indiscutablement induit un durcissement des règles pour plus de consentement, sur la base de principes déjà éprouvés au sein des précédentes réglementations en la matière. « Le RGPD introduit surtout l’obligation de proportionner les procédures de sécurisation de la donnée en fonction de leur degré de sensibilité et des risques qu’il y aurait à ce qu’elles fuitent » ajoute-t-elle. Malgré tout, pareil tour de vis réglementaire, a priori très favorable aux consommateurs désireux de protéger leur data, ne s’est pas traduit par un sentiment de sécurisation croissant. La faute cette fois à des rapports de force encore très disparates : car la situation est par nature inégale lorsque Google jouit d’une position d’ultra domination qui contraint une majorité à « consentir » au partage de données, faute de pouvoir accéder à des services devenus incontournables (Youtube, Gmail etc). Alors que pour une petite entreprise, le « risque » de voir l’utilisateur rebrousser chemin sans cliquer sur « accepter tout » est bien plus grand, en plus d’être possiblement définitif…
« Tous les pays ne font pas la même interprétation du RGPD, selon la culture des autorités de contrôle chargées de le faire appliquer, alors qu’il s’agit pourtant d’un règlement commun censé assurer une homogénéité. » Nathalie Phan-Place (Secrétaire générale de DMA France)
Un même règlement, mais des interprétations et des conséquences inéquitables
On peine ainsi à réguler des géants soumis à des règlements tentaculaires, lesquels finissent par sur-pressuriser les petits acteurs de façon presque collatérale, alors même que ce n’étaient d’évidence pas les premiers visés… Cette autre asymétrie est doublement problématique : à la fois parce qu’elle accentue les difficultés des entreprises les plus modestes – à rebours de ce pour quoi le RGPD a probablement été pensé, un comble – mais aussi parce qu’elle échoue encore à « protéger » le consommateur comme elle entend le faire. « Tous les pays ne font pas la même interprétation du RGPD, selon la culture des autorités de contrôle chargées de le faire appliquer, alors qu’il s’agit pourtant d’un règlement commun censé assurer une homogénéité. Le législateur a par ailleurs laissé beaucoup d’articles sur lesquels chaque État peut prendre des décisions différentes » précise Nathalie Phan-Place, le phénomène s’en trouvant naturellement amplifié dès lors que l’on parle d’entreprises hors Union Européenne… « Le RGPD s’applique à toute entreprise qui vient, soit prospecter des gens en Union Européenne, soit suivre leurs comportements. L’objectif était donc clairement d’inclure les GAFAM et ne plus leur permettre de se cacher derrière des législations hors UE. Mais dans les faits, elles s’y plient encore mal : malgré quelques amendes, leurs quality policy sont très loin des exigences de la CNIL en matière de protection des données en France par exemple, notamment sur les cookies » poursuit-elle, laissant deviner que si les GAFAM ont objectivement les moyens de s’acquitter d’amendes contestées du bout des lèvres, ce n’est pas une option pour de petites entreprises que des sanctions peuvent rapidement mettre en danger. « C’est aussi beaucoup plus handicapant pour les sites qui présentent leurs contenus comme étant gratuits, alors qu’en réalité leur modèle économique consiste à vendre des espaces publicitaires qualifiés aux annonceurs. S’ils ne parviennent pas obtenir le consentement de leurs utilisateurs, ils n’ont plus de données qualifiées à vendre et leur modèle économique tombe » précise la secrétaire générale de DMA France, dans un contexte où si l’information payante – pour le segment Presse notamment – gagne certes du terrain, elle reste minoritaire dans le flux de contenus lus et partagés sur le Web. Dernier paradoxe dans une situation qui n’en manque pas : les outils de vérification et de contrôle du consentement par exemple, sont souvent des extensions logicielles proposées par les GAFAM eux-mêmes, lesquels « marchandent » ainsi leurs services pour aider les autres à satisfaire aux exigences du RGPD… Tout en se rendant plus indispensable encore. La boucle est ainsi bouclée, trahissant derrière les quelques progrès et bonnes intentions que le RGPD aura drainé depuis sa mise en application, des inégalités grandissantes. Réguler l’espace numérique est donc un défi aussi urgent que complexe, mais il semblerait décidément que les réponses restent à écrire…