dimanche 27 mai 2018

RGPD : Le jour d'après

On y est ! L'échéance du 25 mai 2018, attendue depuis plus de 4 ans, est passée.
Les européens ont découvert leur univers numérique nettoyé de tout partage non consenti de leurs données personnelles, et brandissent fièrement l'étendard R.G.P.D. dont ils maîtrisent par cœur les 100 pages du règlement qui les protègent. Oui, enfin, c'est l'idée, car j'ai déjà reçu un email avec login et mot de passe en clair de l'hébergeur de mon blog...

Mais la ligne droite de ces dernières semaines a révélé que ce n'était pas si simple et GreenSI a lu dans le détail beaucoup de communications de sociétés annonçant fièrement leur mise en conformité, pour s'apercevoir que les paillettes étaient de mise et la confusion affligeante parfois.

La mise en conformité est un marché juteux.

Bien sûr il y a le marché de la mise en conformité des grandes entreprises sur lequel se sont engagés depuis longtemps les ESN et cabinets de conseils. Après tout au départ se sont bien les "mastodontes du numérique" qui étaient visés quand ils imposent leurs pratiques avant que le législateur n'ait vu, voire n'ait compris, ce qu'ils faisaient. Un marché temporaire car la première conséquence du RGPD est que les entreprises prévoient de recruter des profils informatiques et juridiques.

La protection des données a un coût et le consommateur européen finira par le payer.

Mais il y a également le marché des TPE et PME qui, par rapport aux entreprises plus grandes, doivent également se mettre en conformité car toutes ont au moins un fichier clients et des données du personnel. Et pour elles un écueil non prévu apparaît : la sous-traitance.

En effet, elles commencent à recevoir les demandes de questionnaires issues de leurs clients, les grandes entreprises, qui demandent de déclarer leur conformité alors qu'elles n'ont justement pas de moyens dédiés pour cela. En effet, au cœur du texte RGPD on a le concept de responsable de traitement qui peut être sous-traité. Dans ce cas on reporte une partie du sujet sur les sous-traitants.
Or les 3 millions de TPE et PME françaises sont souvent sous-traitantes des grandes entreprises et elles risquent le déréférencement à ne pas s'exécuter. Enlever un marché à une TPE pour le passer à la régie de Facebook ou de Google qui se sont mises en conformité serait finalement très cynique.
En tout cas certains y ont vu un marché pour les accompagner, au point d'avoir investi dans des panneaux de publicité de ville (au moins dans le 92, d'où provient la photo) pour mettre en avant le risque d'une pénalité de 4% du chiffre d'affaires si on n'est pas conforme au 25 mai. Ambiance...

Transférer le problème à un autre est d'ailleurs aussi ce qu'a fait Google avec ses outils de tracking de site web, ou de blogs, en transférant la responsabilité sur chaque entreprise qui utilise les outils de Google de revoir la conformité de ses traitements que Google n'a pas à connaître (voir ce billet).

Le jour d'après : le début d'une longue période d'adaptation.

La CNIL sait que la majorité des entreprises ne sont pas prêtes sur tous les aspects d'une loi très vaste en termes d'application, voire intrusive quand elle indique à l'entreprise les moyens à mettre en œuvre et comment les organiser (DPO, registre des traitements, etc...).

Même après une première phase de recrutement, la CNIL n'aura pas non plus les moyens de contrôler toutes les entreprises, et ce pour très longtemps. Elle devra donc "automatiser" ses contrôles en collectant des données analysées par ses propres algorithmes. Une perspective qui rappelle une autre agence de l'État, la Hadopi, qui a fait couler beaucoup d'encre à l'époque. Elle vit encore sous perfusion (~10M€) à l'heure de Netflix et des plateformes de streaming payant qui l'ont rendue obsolète. Car l'humeur des français n'est pas à faire confiance aveuglément aux algorithmes, même ceux de l'État, si on en juge également la mauvaise publicité autour des résultats de Parcoursup, après les déboires d'APB.

Soixante sénateurs ont d'ailleurs saisi le Conseil Constitutionnel concernant la loi d'application du RGPD, car, outre quelques contradictions avec d'autres lois, ils trouvent que le texte ouvre une porte un peu trop grande à la CNIL et sans contreparties : pas de délais à respecter quand elle est saisie, elle peut être saisie à tout moment sans processus formalisé par N instances, pas de garantie d'impartialité sur les agents en charge des décisions, voire les potentiels futurs algorithmes de la CNIL (pour traiter un problème à la taille du contrôle de toutes les entreprises françaises). Bref de quoi freiner beaucoup de procédures et d'ardeurs.

En synthèse, le jour d'après ça ressemble à : "je n'ai pas les moyens d'être conforme, et tu n'as pas les moyens de me contrôler". Une grande partie de poker menteur vient donc de commencer à l'échelle de la planète !

L'audition de Mark Zuckerberg au Parlement Européen, étant le clou de la soirée de lancement de cette partie géante. On y apprend que Facebook appliquera le RGPD dans tous les pays, alors que les semaines précédentes les CGU de Facebook ont été modifiées - sans grande publicité - pour que les non-européens dépendent des États-Unis et non plus de Dublin, son siège européen.
Il n'y a aucun doute sur le fait que le RGPD aura un impact !
Est-ce que le RGPD aura un impact sur la protection des données, c'est déjà moins certains, mais on peut s'y attendre partiellement tant le nombre de mesures prises qui ratissent assez large pour qu'il y en ait qui se déploient sans difficulté mondialement.

Mais c'est surtout l'impact d'effets collatéraux qui commence à se voir.
Déjà il y a la fin de certains services en Europe. GreenSI l'avait d'ailleurs annoncé (voir épée de Damoclès sur l'innovation). Quand un service représente en Europe une faible partie des revenus d'une société et un risque plus grand de ne pas être conformes, le jeu n'en vaut pas la chandelle. Le rationnel c'est de fermer et d'attendre.
C'est le cas du Los Angeles Time, qui doit maintenant se lire... avec un VPN ;-)
Idem pour le Chicago Tribune contrôlé par le même groupe de presse. Ce billet de blog "le RGPD m'a tuer" donne quatre autres services connus mondialement qui ont préféré jeter l'éponge.

GreenSI n'est pas sûr que pour les Européens de ne plus pouvoir lire le Los Angeles Time soit finalement un progrès démocratique si grand que ça.
Sachant que la presse dans son ensemble est sur un équilibre financier précaire. Après une dizaine d'années de baisse des revenus de vente au profit d'internet elle a besoin d'un modèle de données personnalisées pour son développement.
Ce modèle est donc devenu plus compliqué avec le RGPD et le sera encore plus avec le prochain règlement sur le "ePrivacy". Google a déjà annoncé qu'il transférait la responsabilité sur les éditeurs de s'assurer qu'ils sont conformes quand ils proposent un lien personnalisé depuis son moteur de recherche. Le risque c'est de ne plus pouvoir utiliser ce type de ciblage en Europe et de faire revenir la presse... 10 ans en arrière dans l'Internet, quand on se savait pas qui était sur son site.

Et puis il y a ceux qui savent y faire pour avoir votre consentement rapidement. Par exemple juste après avoir saisi un itinéraire pour Waze, quand vous êtes en retard, ou en bloquant l'accès à votre compte depuis chaque terminal pour Twitter, tant que vous n'avez pas validé. Acceptez ou quittez, ce n'est pas dans l'esprit du RGPD, mais que peut y faire la CNIL ? Et devinez quoi, on accepte ! Sans aucun doute les pertes d'abonnés des grands réseaux sociaux seront marginales, comme les moins de 13 ans, et il n'y a d'ailleurs pas eu "d'impact RGPD" sur leur cours de bourse.


Enfin il y a ceux qui ont certainement eu tout faux en attendant le 25 ou le 26 mai pour vous envoyer leur demande de confirmation pour continuer à recevoir leur newsletter.

Ces demandes ont été prises dans le flot de demandes arrivant le même jour et ont certainement terminés à plus de 99% dans la corbeille après avoir appuyé sur la touche Suppr.

Le marketing B2B va certainement devoir se réinventer après une perte importante dans ses bases de données ces derniers jours, pour continuer d'amener des "leads". A moins de continuer sans autorisation, voire via un pays européen moins scrupuleux sur les contrôles, car les CNIL dans chaque pays n'auront pas nécessairement le même niveau de service... 

Et puis les incertitudes c'est bénéfique pour les hackeurs et le phishing.
Des sites fleurissent pour vous aider à récupérer vos données, certains sont réellement des sites pirates basés hors d'Europe qui récupèrent vos mots de passe quand vous leur donnez accès. Le remède est pire que le mal...
Notre Ministre du numérique s'est même fait prendre, dans son enthousiasme pour cette nouvelle liberté qu'ouvre la récupération de ses données, à retweeter un de ces sites peu recommandable.
D'autres sites, comme Cozy, ont des intentions plus avouables comme celle de vous vendre du stockage mais ils ont toujours le même discours "poker-menteur". Comment en 2018, après 10 ans de "quand c'est gratuit c'est vous le produit", on peut faire croire à un slogan comme celui de Cozy, d'un produit gratuit sans contrepartie :

Et l'hébergé en France ne marche pas pour l'Europe. La pérennité d'une société de stockage ne misant pas sur les économies d'échelle au moins au niveau européen me parait très compromise, en tout cas au point de ne pas croire une seconde que l'on aura ce service "à vie".

Alors finalement positif ou négatif ce début de RGPD ?

GreenSI est allé analyser les 53.000 tweets échangés et surtout les sentiments qu'ils véhiculent (avec l'outil TalkWalker) pour la France sur cette dernière semaine. On note une augmentation progressive les 4 derniers jours puis un pic le 25 mai. Le résultat global est "à la française" avec autant de positif que de négatif. Mais on constate que le positif (courbe verte), a bénéficié de l'effet "#RGPDay" où tout le monde a bien rigolé pendant le passage, avec quelques belles blagues qui circulaient, puis se fait plus rare juste après.

GreenSI a donc filtré et extrait uniquement les tweets avec une mesure de sentiment claire et fait la séparation entre le négatif et le positif (qui s'additionnent) dans la courbe ci-après.

Sans aucun doute la bascule vers le négatif est en train d'émerger et l'équilibre global précédent est en fait une bascule de positif à négatif après la date du 25 mai. La semaine qui arrive sera intéressante pour mesurer le niveau et la répartition.

Est-ce que les premiers impacts inattendus du RGPD en sont responsables ? Est-ce que le "jour d'après" est finalement celui d'un grand chamboulement dans les données personnelles où seuls les plus grands et les plus astucieux, voire peu scrupuleux, vont s'adapter ?
Il est encore un peu tôt pour le dire. GreenSI refera une analyse en fin d'année.

Mais en attendant préparez quand même une petite laine car le jour d'après pourrait geler (comme dans le film du même nom) toutes vos ardeurs de services innovants personnalisés à vos clients européens ;-)

Previous Post
Next Post
Related Posts

L'humour de ceux qui aiment le numérique