Dès lors, comment redonner confiance aux consommateurs, notamment afin de s’assurer qu’ils sont prêts à partager leurs données et préférences ?

Plusieurs acteurs majeurs du e-commerce (ASOS, Adidas, etc.) semblent faire de la transparence, en particulier via la maîtrise et le contrôle des données par leurs clients, un axe fort de leur stratégie. Cela passe généralement par un Privacy Center, à savoir un espace personnel où l’utilisateur peut consulter et gérer ses informations personnelles, moduler ses préférences et consentements, et exercer ses droits facilement. Mais cette solution est-elle à privilégier par tous les acteurs du retail ?

En quoi le Privacy Center peut être vu comme une solution de transparence idéale ?

Le Privacy Center a pour avantage de responsabiliser l’utilisateur sur la gestion des données à caractère personnel qu’il confie. En rendant l’utilisateur maître de ses données, il est gage de confiance et de transparence de la part de l’entreprise.

Cette partie du Privacy Center d’ASOS permet à l’utilisateur de choisir quel type de communication il souhaite recevoir. Cet exemple illustre une granularité possible dans la personnalisation des contenus tout en restant dans les limites tracées par le RGPD.

Le Privacy Center est l’unique point d’interaction sur les sujets de Data Privacy pour l’utilisateur. Cette interface permet à elle seule de gérer l’ensemble des canaux de communication d’une Enseigne (internet, magasin, SAV, etc.).

Au travers d’une communication claire et adaptée (à savoir, en des termes compréhensibles par tous, et non juridiques), le Privacy Center permet de mettre en avant la volonté de protéger les données et de permettre aux clients de mieux maitriser leurs choix. L’entreprise réinstaure alors une relation de confiance avec ses clients, ce qui les encourage à partager leurs données et préférences.

Quels freins à l’implémentation d’un Privacy Center ?

L’installation d’un Privacy Center dans le SI existant d’une entreprise est complexe. Cela requiert une parfaite interconnexion entre les interfaces clients (mobile, site internet, physique, etc.) et les différentes bases de données clients existantes (la vision client étant rarement complètement unifiée). Par « interconnexion » on entend le fait que les informations renseignées par l’utilisateur sur une interface (ex : « Je ne souhaite plus recevoir de publicités par email ») soient renseignées de manière systématique sur l’ensemble des systèmes. Dans les faits, les complexités propres à chaque SI d’entreprise font qu’une telle interconnexion est rare, et souvent longue et coûteuse à déployer d’un point de vue technique.

Toutefois, les problèmes de communication entre les différentes interfaces ne dépendent pas uniquement de la DSI. Encore faut-il que les métiers soient enclins à faire converger ces bases clients. Il n’est pas rare dans le domaine du retail que les magasins disposent de leur propre animation client, ou que plusieurs marques avec des positionnements différents cohabitent au sein d’un groupe. Dès lors, interconnecter les usages et les interfaces est une opération complexe, voire non souhaitée. La mise en place d’un Privacy Center résulte donc d’une stratégie marketing et digitale plus globale.

Enfin, le Privacy Center peut générer un paradoxe : même en le mettant à disposition pour renforcer la confiance, les entreprises ne souhaitent pas nécessairement son usage à outrance par leurs clients. On peut par exemple imaginer que les équipes marketing et digital ne souhaitent pas nécessairement simplifier l’exercice des droits ou le retrait du consentement, de peur de perdre des comptes clients et des contacts commerciaux potentiels. Le Privacy Center correspond donc davantage aux organisations où la gestion client s’inscrit dans le « moins mais mieux » : il permet de mieux connaitre (préférences, nature des contacts, fréquence, etc.) un nombre plus réduit de clients et prospects, ceux acceptant de partager leurs données.

Le Privacy Center, une cible à atteindre ou un eldorado dès aujourd’hui ?

Les acteurs du retail n’ont pas tous la même stratégie digitale ni le même niveau de maturité sur le digital. Certains sont déjà matures : canaux e-commerce développés ; sites internet, applications mobiles, canaux physiques et téléphoniques liés ; UX récente et soignée… C’est le cas des pure players digitaux ou des leaders du marché qui ont (re)construit toute leur stratégie d’entreprise à partir de l’expérience utilisateur digitale. Pour eux, le déploiement d’un Privacy Center n’implique pas une refonte totale du SI, ni de leur façon de concevoir leur relation client. Il peut donc être envisagé à court terme.

Pour d’autres, la stratégie digitale reste à déployer, voire à construire. C’est notamment le cas de retaillers plus « classiques », dont le canal physique ou téléphonique est encore au cœur du processus de vente. Déployer un Privacy Center dès aujourd’hui semble alors un peu anticipé. Il conviendra d’abord de définir une stratégie digitale claire, de s’assurer de sa mise en œuvre effective et des évolutions SI associées, avant de pouvoir envisager une interface client de ce type.

En synthèse, le Privacy Center doit donc être vu comme un « aboutissement » plus qu’une solution immédiatement et uniformément applicable. C’est un aboutissement visant à améliorer la confiance client au travers de la maitrise de ses données et d’une communication claire sur ce que l’on en fait. Mais pour que cette communication puisse être réalisée, il convient que la stratégie d’utilisation de ces données ait été définie. Et pour que la maitrise des données soit réelle, il convient que les SI supportant ces données aient évolué en fonction.

In fine, il semble bien que la présence d’un Privacy Center sur tous les sites e-commerce ne soit pas pour 2019. Toutefois, l’exemplarité d’une telle démarche et le différentiateur fort que cela produit dans la relation de confiance avec ses clients devraient contribuer à faire du Privacy Center une « norme » sur le marché du retail dans les prochaines années. Nous devons donc tous l’anticiper !

Privacy center d’Adidas

Cet article Le Privacy Center, l’eldorado de la relation client ? est apparu en premier sur RiskInsight.

Idée reçue #3 – Il y a une durée maximale de conservation des données

Cette durée n’est pas fixée de manière absolue par le RGPD en mois ou en années. La règle est toujours la même : les données ne peuvent être conservées que si elles sont utilisées pour un traitement qui est couvert par une justification (contrat, consentement, obligation légale…).[1]^,[2] Si la justification tombe (par exemple par retrait du consentement ou fin d’un contrat) pour un traitement donné, la donnée ne peut plus être utilisée pour ce traitement. Si aucun autre traitement n’utilise ces données, celles-ci doivent être effacées immédiatement, ou pour le dire comme le règlement, « dans les meilleurs délais »[3].

Les données peuvent être conservées tant qu’elles servent à au moins un traitement couvert par une justification !

Il existe de nombreux cas où la fin d’une justification, comme l’arrêt d’un contrat, ne va pas impliquer la suppression des données, car une autre justification est présente. Par exemple, si mon contrat téléphonique prend fin, l’opérateur peut être amené à conserver les données dans le cadre de mon contrat internet que j’ai conclu avec lui. Il est des cas également où la société a un intérêt, voire l’obligation, de conserver certaines données, par exemple pour archivage : c’est le cas par exemple des CV de candidats non retenus, des bulletins de paie ou encore des relevés d’information des assureurs.

Il existe néanmoins dans certains cas, et pour certaines catégories de données, une durée de conservation maximale autorisée ou minimale requise

Ces durées ne sont pas indiquées dans le RGPD. Il peut exister des durées spécifiques à certaines catégories de données, propres à la nature de la donnée en question, et découlant d’autres textes de loi, comme le Code de la Sécurité Sociale (ex. : prescription des paiements de l’assurance maladie, décomptes), le Code du Travail (ex. : conservation des bulletins de paie), le Code Civil (ex. : prescription d’un contrat de travail), ou encore des textes relatifs à des secteurs spécifiques, comme le Code des Assurances (ex. : prescription d’un contrat d’assurance vie). Il s’agit souvent de durées minimales, au bout desquelles une prescription autorise l’effacement des données.

De plus, la CNIL a défini, dans le contexte législatif précédent le RGPD, des Normes Simplifiées, spécifiant souvent des durées de conservation maximale, par exemple dans le domaine de la relation commerciale[4], ou encore dans le recrutement[5]. Ces documents n’ont plus de valeur juridique[6] depuis l’entrée en vigueur du RGPD, mais en attendant la production de nouveaux référentiels basés sur le RGPD, ils peuvent continuer à servir de guide, afin de définir une durée de conservation qui satisfasse aux besoins de l’entreprise tout en n’étant pas abusive vis-à-vis des personnes concernées.

Il existe donc deux raisons qui peuvent nécessiter l’effacement d’une donnée :

• la caducité d’une base légale[7] (retrait du consentement, fin du contrat, écoulement de la durée légale minimale de conservation, etc.), sans qu’aucun autre traitement licite ne justifie la conservation de la donnée ;[8]
• l’écoulement de la durée maximale de conservation pour les données qui y sont soumises (par exemple les durées définies par la CNIL), là aussi sans qu’aucun autre traitement licite ne justifie la conservation de la donnée.

C’est pour ces raisons que le RGPD impose que la durée de conservation soit maîtrisée, notamment par la mise en place – recommandée – d’un délai butoir, au bout duquel on réviserait la licéité du traitement et de la conservation.[9]^,[10] Pour reprendre les mots du considérant 39 : « afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique », à sa discrétion.

Une implémentation du délai butoir centralisée avec la gestion des bases légales

Nous voyons bien ci-dessus les parallèles entre la gestion des bases légales et les durées de conservation : en effet, il s’agit dans les deux cas de gérer les situations où un événement (par exemple le retrait d’un consentement ou la fin d’une durée légale de conservation) nécessite de revoir les justifications qui permettent de conserver une donnée, et d’effacer cette donnée si plus aucune justification ne la couvre.

La complexité supplémentaire avec les durées de conservation est qu’elles sont définies au cas par cas par différentes lois sur certaines catégories de données, qu’elles sont tantôt maximales, tantôt minimales, et qu’elles courent à partir d’un élément déclencheur. Dans tous les cas, il convient de les gérer de façon centralisée avec les bases légales, étant donné que pour les deux il va falloir créer des règles de gestion applicables aux données d’une personne identifiée conduisant éventuellement à leur effacement.

Là où la gestion peut différer, c’est que dans les cas des durées de conservation, l’on peut procéder :

• soit de façon événementielle: l’écoulement de la durée de conservation définie par le responsable du traitement entraîne directement la suppression de la donnée,
• soit de façon planifiée, à une fréquence à définir : par exemple avec une purge mensuelle ou trimestrielle où l’on supprimerait tous les CV de candidats avec qui il n’y a plus eu de contact depuis 2 ans.

Dans tous les cas, une gestion automatisée nécessite évidemment de tracer de manière précise les actions (ex. : contacts avec le candidat) et de relier les données aux bases légales qui justifient leur conservation afin de ne pas supprimer des données qui ne le devraient pas (exemple pour un assureur : suppression au bout des 10 ans légaux d’un contrat d’assurance et des données de la personne associée, alors qu’elle a un autre contrat en cours ou que l’on a son consentement pour un autre traitement).

Figure 1 / Exemple de règle de gestion pour gérer une durée de conservation liée à un contrat

Enfin, les durées de conservation, tout comme les bases légales justifiant chaque traitement, doivent être définies par le métier et les directions juridique ou de la conformité, afin que la DSI puisse les implémenter en concevant les règles de gestions appropriées. Ces règles de gestion devraient gérer de façon similaire et croisée les éventuelles actions automatiques sur la donnée découlant des durées de conservation et celles découlant des bases légales (fin de contrat, consentement), afin notamment que des données ne soient pas supprimées inutilement.

Le RGPD ne spécifie pas de durée en tant que telle, mais demande que soient définies, mesurées et maîtrisées des durées de conservation, qui dans certains cas sont définies par d’autres lois. Ce travail nécessite une collaboration entre les services juridiques ou conformité d’une part et les métiers (ou MOA) d’autre part. L’implémentation, quant à elle, nécessite d’intégrer ces durées de conservation aux mêmes règles de gestion que celles qui régissent les bases légales, comme en cas de retrait du consentement ou de fin d’un contrat.

[1] Voir notre article précédent Idée reçue #1 – Le consentement est obligatoire 

[2] « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées », Article 5, paragraphe 1, point e)

[3] Article 17, paragraphe 1

[4] CNIL (11/07/2013). Norme Simplifiée NS-056 « Fiche clients-prospects des assureurs ». Disponible à l’adresse : https://www.cnil.fr/fr/declaration/ns-056-fichier-clients-prospects-des-assureurs, consultée le 18/09/2018

[5] Fiche explicative de la CNIL : CNIL (octobre 2016). « Travail & données personnelles – Le recrutement et la gestion du personnel ». Disponible à l’adresse : https://www.cnil.fr/sites/default/files/atoms/files/_travail-vie_privee_recrutement_gestion_du_personnel.pdf, consultée le 25/04/2018.

[6] CNIL. « Les normes et les dispenses de déclaration ». Disponible à l’adresse : https://www.cnil.fr/fr/liste-des-normes-et-des-dispenses, consultée le 18/09/2018

[7] Voir notre article précédent Idée reçue #1 – Le consentement est obligatoire

[8] Article 5, paragraphe 1, point e)

[9] Considérant 39

[10] Article 30, paragraphe 1, point f)

Cet article 3 idée reçues sur les obligations du RGPD (3/3) est apparu en premier sur RiskInsight.

Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs.

Toutes les entreprises n’ont pas communiqué sur le RGPD

54% des entreprises du panel ont eu une communication proactive envers leurs clients. Si le grand public a eu l’impression d’être déjà fortement sollicité, il aurait pu recevoir davantage de communication. Parmi ces 54%, la moitié a envoyé un e-mail, l’autre moitié ayant préféré afficher un pop-up ou un message d’avertissement sur leur site web ou application mobile.

Par ailleurs, l’envoi d’e-mail sur le RGPD a certes permis aux entreprises de communiquer rapidement sur le sujet, mais cette communication était souvent générique et aurait pu être adaptée au client (intégration dans le parcours client, personnalisation des communications, etc.)

La mise en place du RGPD n’impose pas de communiquer autour du 25 mai

Les entreprises doivent informer leurs clients des traitements effectués lors de la collecte des données. Pour autant, le règlement n’impose pas de communiquer sur la mise en œuvre du RGPD en tant que telle.

Ainsi, celles qui ont communiqué autour du 25 mai dernier l’ont fait pour diverses raisons :

• Certaines ont effectivement vu dans le RGPD une occasion de renforcer la confiance accordée par leurs clients. Elles leur ont donc envoyé des e-mails marketés pour présenter leur nouvelle charte sur la protection des données.
• D’autres, encouragées par leurs services conformité, ont envoyé un e-mail au contenu juridique pour être certaines d’être conformes, notamment sur l’obligation de transparence.

Par ailleurs, certaines entreprises qui ne respectaient pas correctement le droit à l’information ont profité de cette communication pour se mettre en conformité.

Enfin, dans certains secteurs, l’envoi d’une première communication a déclenché un effet similaire chez les concurrents dans les jours suivants.

La portée même des messages, a parfois été être contre-productive. En, effet le RGPD exige une communication claire et lisible. Or les communications reçues étaient souvent complexes, juridiques et peu accessibles pour le grand public, contrairement à ce qui est imposé par le règlement. Plus ironiquement, certains clients ont découvert l’existence de leurs comptes personnel dans ces entreprises en recevant l’e-mail… auquel ils ont répondu en exerçant leur droit à l’oubli. Enfin, il est fort à parier que peu de clients aient lu l’ensemble des e-mails reçus sur le sujet.

Une communication centrée sur leur nouvelle charte de protection des données à caractère personnel…

94% des entreprises du panel ont soit mis à jour leur charte de protection des données à caractère personnel, soit en ont créé une nouvelle. D’une entreprise à l’autre, les chartes se composent des mêmes parties clés, à l’exception de la partie sécurité des données, présente dans seulement 11% des chartes. Cette partie est pourtant essentielle, puisqu’elle doit présenter les mesures adoptées par l’entreprise pour sécuriser les données de leurs clients.

Le contenu de chaque partie diverge d’une charte à l’autre. Certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui traitent nos données, les tiers à qui elles sont transférées, les durées de conservation des données, les droits exerçables, et les aspects liés à la sécurité. D’autres, plus rares, apportent des réponses complètes aux utilisateurs qui permettent d’éclairer pleinement son choix sur le traitement de ses données. Un grand nombre de ces chartes devra être amélioré par la suite pour être plus précises et répondre au besoin de transparence.

A la lecture de ces documents, a l’instar des e-mails envoyés, il est possible de distinguer des objectifs distincts pour les chartes :

• Les chartes plutôt juridiques et techniques qui permettent aux entreprises de répondre stricto sensu à l’exigence de transparence ;
• Les chartes dont la lecture et la compréhension sont accessibles au grand public. Elles sont par exemple accompagnées de vidéos ou d’un glossaire facilitant leur compréhension. Certaines de ces chartes proposent même plusieurs niveaux de lecture plus ou moins détaillés qui permettent au lecteur de ne creuser que les points qui l’intéressent.

Sur le long terme, il est fort probable que toutes les chartes tendront vers la seconde catégorie et que leur rédaction soit non plus confiée aux services juridiques, mais aux services marketing et commercial.

… et parfois pour renouveler les consentements

20% des entreprises ayant communiqué en ont également profité pour lancer une campagne de renouvellement des consentements. Ceux-ci portaient essentiellement sur de la communication commerciale. La plupart des entreprises ayant déjà adopté les bonnes pratiques de la CNIL sur la collecte des consentements, seules les entreprises pratiquant jusqu’à maintenant l’opt-out ou ne différenciant pas leur propre communication de celle de leurs partenaires ont renouvelé leurs consentements.

À noter que si la majorité des entreprises gère les consentements liés à la communication commerciale, ce n’est généralement pas le cas pour d’autres types de consentements. En effet, les consentements spécifiques aux activités des entreprises, telles que la reconnaissance faciale, la géolocalisation pour les entreprises du secteur des transports, l’accès aux contacts ou appareil photo pour les messageries, sont gérés uniquement par les entreprises du secteur du numérique (GAFA notamment). Quant aux consentements liés aux données dites sensibles, ils n’apparaissent nulle part, même chez les entreprises susceptibles d’en utiliser comme certains sites de rencontres.

Une gestion des consentements en ligne hétérogène

92% des entreprises ont sur leur site un espace dédié aux données à caractère personnel permettant de gérer a minima le consentement sur la communication commerciale. Néanmoins, deux types d’espaces se dégagent : la page de gestion des préférences commerciales et le privacy center.

La page de gestion des préférences commerciales permet à l’utilisateur de gérer des consentements relatifs à la communication commerciale (être contacté pour les nouvelles offres internes ou par des partenaires, recevoir des newsletters). Néanmoins, la gestion de ce type de consentement est souvent proposée depuis longtemps par les entreprises.

20% des entreprises sont allées plus loin et on mis en place un espace en ligne dédié à la gestion des données à caractère personnel de leurs clients sur leur site web. Au sein de cet espace, aussi appelé Privacy Center, les clients peuvent modifier leurs données, exercer directement leurs droits, contacter le DPO, ou gérer finement l’ensemble des consentements. Les GAFAs (notamment Google et Facebook) sont les plus avancés dans ce domaine. Cela leur a permis d’automatiser en grande partie la réponse aux demandes d’exercice de droits et la gestion des consentements. Ils permettent ainsi à leurs utilisateurs de contrôler quasi instantanément les paramètres de protection de leur vie privée.

De manière générale, la mise en place d’un privacy center est une bonne pratique. Chaque Privacy Center devra néanmoins être plus ou moins étoffé en fonction du métier de l’entreprise et des données traitées. Par exemple, le Privacy Center de Google sera nécessairement plus étoffé que celui d’une entreprise de vente de vêtements par exemple.

Une gestion des cookies elle aussi hétérogène

De même que pour les consentements, les entreprises proposent un niveau de gestion des cookies hétérogène. Ainsi, 49% des entreprises n’offrent pas la possibilité de modifier les consentements relatifs aux cookies.

De plus, parmi les entreprises qui offrent la possibilité de modifier les consentements sur les cookies, un quart d’entre elles renvoient vers la gestion des cookies directement au sein du navigateur. Elles se reposent ainsi sur les navigateurs web qui n’offrent souvent pas la possibilité de gérer des consentements selon les exigences requises.

13% des entreprises du panel, essentiellement dans le secteur du numérique offrent finalement aux utilisateurs la possibilité de contrôler les cookies directement depuis l’interface de leur site web. Ce chiffre va très probablement augmenter dans les mois à venir.

À noter que si la CNIL autorise les entreprises à déléguer la gestion des consentements des cookies dans les navigateurs web, il est plus simple de le faire directement dans l’interface des sites du point de vue de l’utilisateur.

Un quart des entreprises ne permettent pas d’exercer les droits par voie électronique…

Nous avons également intégré dans l’enquête des demandes de droit d’accès.

22% des entreprises du panel ne permettent pas l’exercice des droits par voie électronique mais uniquement en courrier papier, même si elles collectent les données par voie électronique. Or la loi Informatique et Liberté, mise à jour par la Loi Lemaire en 2016, impose aux entreprises de permettre à toute personne d’exercer ses droits par voie électronique, si ses données avaient été collectées également par voie électronique. Trois quarts des entreprises interrogées respectent cette loi en offrant la possibilité à l’utilisateur d’exercer ses droits par voie électronique, que ce soit via son privacy center, un formulaire en ligne ou encore par e-mail.

Pour recevoir et qualifier les demandes d’exercice de droits, 50% des entreprises profitent des ressources techniques et humaines de leurs services clients. Les autres ont préféré assigner l’activité à un département dédié.

…et le temps de traitement des demandes est souvent supérieur à 1 mois

La loi Informatique et Libertés imposait un délai de deux mois pour répondre à une demande d’exercice de droit. L’article 12 du RGPD accorde un délai d’un mois à compter de la réception de la demande, ce délai pouvant être allongé de deux mois en fonction de la complexité de la demande.

28% des entreprises ne réagissent pas suite à une demande, c’est-à-dire n’accusent pas réception des demandes ou ne demandent pas une preuve d’identité. Pour les entreprises qui répondent aux demandes : 69% n’envoient pas les données à caractère personnel de l’utilisateur dans un délai de 1 mois à compter de la demande.

Par ailleurs, pour les entreprises du panel, le délai d’un mois ne commence à courir le plus souvent qu’au moment de l’accusé de réception, suite au contrôle d’identité. Pour certaines entreprises, la demande d’une pièce d’identité ou sa vérification peut prendre plusieurs semaines, ce qui implique un délai de traitement de la demande trop long.

Concernant le contrôle d’identité, une seule entreprise du panel n’a pas vérifié l’identité du demandeur.

Parmi celles qui vérifient l’identité du demandeur, 70% le font à l’aide d’une copie d’une pièce d’identité. Ce moyen de vérification de l’identité est donc le plus courant, même s’il est imparfait. En effet, d’un côté cette pratique ne couvre pas totalement le risque d’usurpation d’identité. De l’autre, elle génère parfois des interrogations de la part des demandeurs qui ne comprennent pas pourquoi l’entreprise a besoin d’une pièce d’identité pour répondre à la demande. Il est alors nécessaire de faire preuve de pédagogie sur ce sujet.

Certaines entreprises vérifient l’identité par connexion du demandeur à son espace personnel à l’aide de l’identifiant et du mot de passe, pas appel téléphonique, ou questions d’identification (principalement les GAFA, les entreprises du secteur du numérique et quelques banques).

Enfin concernant l’envoi des données du demandeurs, les moyens sont très variés et il est difficile d’établir dès à présent des grandes tendances. Ainsi, certaines entreprises ont envoyé les données ainsi :

• Capture d’écran du CRM dans une pièce jointe d’un email
• Envoi d’une clé USB chiffrée par courrier
• Envoi des données par courrier en recommandé avec accusé de réception
• Téléchargement d’une archive depuis un serveur sécurisé
• Téléchargement d’une archive chiffrée et transmission du mot de passe par téléphone
• Envoi des données dans un PDF en pièce jointe d’un email

De manière générale, si les données issues des CRM sont bien envoyées, les données produites à partir des informations du client ne sont souvent pas transmises au demandeur. En effet, les réponses ne comportent pas les informations liées aux préférences par exemple ou autres données tirées d’analyses ou d’études des profils.

Le marché n’est pas prêt !

Le marché s’est mis en marche et a déjà adopté un certain nombre de bonnes pratiques, il n’est pas encore prêt. De nombreux éléments tel que les chartes, les privacy centers, la gestion des cookies, le traitement des demandes ont été lancés avec une approche tactique et juridique. Ces éléments devront certainement évoluer dans les prochains mois afin d’intégrer une approche plus centrée sur le client et en rendant les dispositifs réellement opérationnels.

Enfin, cette étude cible la face émergée de l’iceberg : ce qui est visible du client. Cette face, certainement prioritaire n’est pas totalement prête. Quand est-il maintenant de la phase immergée, les processus internes des entreprises ?  Nous reprenons la suite de cette enquête avec ce nouveau prisme. Nous en mettrons les résultats en ligne à la rentrée !

Cet article Au lendemain du RGPD, où en est le marché ? est apparu en premier sur RiskInsight.

C’est dans ce contexte que l’on entend régulièrement des interprétations inexactes du texte, qui d’anodines peuvent se révéler dangereuses. Elles peuvent en effet induire les décideurs à mener des actions inadaptées ou oublier certains points de mise en conformité, laissant l’entreprise exposée à des sanctions ou à une dégradation de son image de marque.

Nous proposons dans cette série de 3 articles de déconstruire 3 idées reçues sur le RGPD :

• Idée reçue #1 – Le consentement est obligatoire
• Idée reçue #2 – Le RGPD impose d’anonymiser les données
• Idée reçue #3 – Il y a une durée maximale de conservation des données.

Idée reçue #1 – le consentement est obligatoire

Le recueil du consentement n’est pas obligatoire, il existe de nombreux autres éléments qui peuvent justifier un traitement de données à caractère personnel (DCP). Parmi les plus courants pour une entreprise, on trouve notamment l’exécution d’un contrat ou une obligation légale. Ce n’est donc pas un consentement qui est nécessaire au traitement des DCP d’une personne, mais plus largement une justification, c’est-à-dire la base légale du traitement.[i] De plus, le traitement est strictement lié à une ou plusieurs finalités, pour lesquelles l’utilisateur peut donner son consentement.

Ce qui compte, c’est donc le triangle Donnée-Justification-Traitement :

Ce triangle est indépendant et insécable :

• Indépendant / Il est indépendant des autres triangles. Le fait qu’on ait obtenu un consentement pour une donnée et une finalité n’implique pas qu’on puisse traiter la même donnée pour une finalité différente, ni une autre donnée pour la finalité.
• Insécable / Les trois piliers du triangle sont tous trois porteurs donc indissociables :
  • Si de fait le traitement devient caduc ou si les données ne sont plus nécessaires au traitement, et que les données ne sont couvertes par aucun autre triangle, il faut effacer les données.[ii].
  • Si la justification devient caduque (fin d’un contrat ou retrait du consentement par exemple), il faut cesser le traitement et, si les données ne sont couvertes par aucun autre triangle,il faut effacer les données.[iii]

Une gestion centralisée des données personnelles, pour le client et pour le back-office

Dans le cadre de la conformité au RGPD, il convient de se doter d’un « système de gestion des données personnelles » gérant de manière uniformisée toutes les justifications, ou du moins les plus courantes : les clauses contractuelles, le consentement et les obligations légales notamment.

Cet angle de vue centré client imposé par le RGPD implique d’avoir au sein du SI une vision Client Unique / Golden Record, afin de gérer de manière unifiée des données d’un même client qui seraient éclatées dans de nombreux référentiels éventuellement décorrélés.

Ce système se décline d’une part en un front-office, permettant au client d’accéder de manière centralisée à ses données détenues par l’entreprise et exercer ses droits sur celles-ci : consentement, contrats, droit à l’oubli, portabilité, rectification, traitements autorisés, etc.

Figure 1 – Le portail de gestion de ses données personnelles de Google

D’autre part, le back-office consiste en un Référentiel Données-Justification-Traitement, où le triangle ci-dessus serait matérialisé sous la forme d’une table avec le triplet Données-Justification-Traitement, ainsi que quelques autres attributs (dont la référence – identifiant unique, clé étrangère… – à la personne concernée).

La modélisation en Référentiel Données-Justification-Traitement faciliterait :

• en écriture, la création de nouvelles justifications (par exemple un consentement) et leur suppression ;
• en lecture, la vérification automatique de la possibilité de traitement d’une DCP pour une finalité identifiée, par l’existence d’un triplet valide en base (il peut en exister plusieurs) et pour le client l’accès, requis par le RGPD à toutes les données le concernant et les traitements associés.

Figure 2 – Exemple de cas où deux justifications peuvent couvrir en partie les mêmes données

NB : Le consentement doit être tracé et historisé (les valeurs successives doivent être gardées pour d’éventuelles vérifications rétrospectives) : une attention particulière devra être portée à la traçabilité (au sens piste d’audit) de ce Référentiel Données-Justification-Traitement.

Il convient donc pour une société souhaitant gérer efficacement ses justifications pour traiter des données personnelles de se munir de ce système centralisé, permettant d’une part au client, côté front-office, d’exercer ses droits (consentement, oubli, portabilité, information…), et d’autre part à la société, côté back-office, d’avoir une vue claire des données qu’elle traite pour chaque client et de la justification qui l’autorise à les traiter, quelle qu’elle soit (contrat, consentement, obligation légale…).

Au-delà d’encadrer précisément ce qui autorise le traitement des données, le RGPD impose également des mesures de sécurité contre les fuites et les vols de données, notamment via des techniques comme l’anonymisation, la pseudonymisation et le chiffrement. Dans le prochain article nous proposons d’éclaircir la portée et le rôle de chacune de ces techniques bien distinctes.

[i] Article 6, paragraphe 1

[ii] Article 5, paragraphe 1, point e)

[ii] Article 5, paragraphe 1, point e)

Cet article 3 idées reçues sur les obligations du RGPD (1/3) est apparu en premier sur RiskInsight.

Rappel des faits

Cambridge Analytica est un cabinet spécialisé dans l’analyse de données ; l’entreprise a pour ambition de disposer d’une large base de données d’utilisateurs et ainsi revendre ses analyses et le profilage de différentes personnes à ses clients.

Dès lors, Aleksandr Kogan, psychologue sous contrat de prestation pour Cambridge Analytica, crée une petite application Facebook contenant un quiz de personnalité. Afin de réaliser ce test de personnalité, les utilisateurs de l’application doivent donner accès à leurs données Facebook ainsi que celles de leurs « amis » au psychologue. Il indique toutefois à Facebook et aux utilisateurs que leurs données ne sont collectées qu’à des fins de recherche.

Très rapidement, Kogan collecte les données Facebook de 87 millions de personnes à partir d’une base de 270 000 utilisateurs de son application. Kogan transmet ensuite à Cambridge Analytica l’ensemble de sa base de données à des fins de catégorisation en différents profils, trompant ainsi les utilisateurs sur l’utilisation de leurs données.

Qu’est ce qui pose problème dans ce transfert de données à Cambridge Analytica ?

En analysant cette affaire au regard des principes du RGPD, le fameux règlement européen sur la protection des données à caractère personnel qui entre en vigueur le 25 mai prochain, deux points majeurs posent problème pour la protection de la vie privée dans ce transfert de données à Cambridge Anaytica :

1. Le détournement de finalité de l’usage des données
2. L’absence de consentement pour transférer ces données à Cambridge Analytica

Le détournement de la finalité de l’usage des données

En effet, lors de la collecte initiale des données, Aleksandr Kogan indiquait que ces données ne seraient utilisées qu’à des fins de recherche académique. En pratique, Cambridge Analytica a utilisé cette base de données pour faire du profilage des personnes concernées et proposer des campagnes publicitaires ciblées à la demande de ses clients. Les utilisateurs ont donc vu leurs données utilisées à des fins qu’ils n’avaient pas envisagées, engendrant un vrai sentiment d’intrusion dans la vie privée.

L’absence de consentement sur le transfert des données

Autant les utilisateurs du quiz de personnalité avaient donné leur consentement pour que leurs données soient transmises à un tiers, autant les « amis » de ces utilisateurs n’ont jamais consenti explicitement à cela. C’est donc tout le système de gestion des consentements utilisateurs de Facebook qui est en cause.

En 2015, cette « faille » a été révélée à Facebook qui l’a corrigée par la suite. Cette approche de correction a posteriori est la posture adoptée par Facebook depuis des années. Rappelons que le modèle initial du site était très ouvert, avec la possibilité de voir les profils de tous à sa création. Petit à petit, les paramètres de confidentialité sont arrivés pour la plupart suite à des incidents ultérieurs.

Une prise de conscience aux Etats-Unis sur la nécessité de protéger la vie privée des personnes

80% des personnes concernées par cette fuite de données sont des citoyens américains. Cette affaire a de nombreuses répercussions aux Etats-Unis. Surtout, les autorités américaines tout comme le grand public prennent conscience de la nécessité de protéger la vie privée des citoyens américains. Ainsi, Mark Zuckerberg, CEO de Facebook, a été auditionné au Sénat américain (une première pour lui, plus habitué à faire témoigner ses lieutenants) pour s’expliquer sur le scandale ; mais ce sont aussi les pratiques et le business model de Facebook qui sont remis en cause au Sénat (par exemple pendant l’intervention du Sénateur Richard Blumenthal lors des auditions de Mark Zuckerberg).

Des voix s’élèvent aussi aux Etats-Unis pour demander un durcissement des lois sur la protection des données personnelles, notamment sur l’obligation de collecter le consentement pour certains traitements de données à caractère personnel. Certains voudraient même que le RGPD européen soit transposé dans la législation américaine. Ainsi, deux sénateurs américains ont déjà proposé un projet de loi nommé CONSENT Act qui reprend quelques grands principes du RGPD (opt-in ou consentement actif obligatoire, notification des autorités de contrôle et de personnes concernées en cas de fuite de données, transparence, etc.).

C’est donc une véritable prise de conscience qui s’opère aux Etats-Unis sur le sujet de la protection des données personnelles. C’est un changement majeur dans un pays qui traditionnellement a une faible sensibilité sur ces sujets.

Les utilisateurs doivent rester vigilants sur leurs consentements donnés sur Facebook

Plus largement, c’est aussi la gestion des consentements des utilisateurs de Facebook qui fait débat. Même si Facebook propose désormais un nouveau centre de confidentialité qui permet de gérer finement les consentements accordés à chaque application, l’utilisateur doit rester vigilant quant aux consentements qu’il a donné. En accordant un consentement assez permissif à une application Facebook, celle-ci pourra réaliser des opérations qui auront un impact important sur la vie privée de l’utilisateur sans que cela ne soit interdit par la loi (au sens du RGPD).

Alors que l’entrée en vigueur du RGPD au 25 mai prochain approche à grand pas, cette affaire tombe à point nommé pour rappeler la nécessité de prendre en compte les enjeux de protection de la vie privée.

Et Facebook réagit donc fortement, en mettant en avant les principes du RGPD durant ses auditions au Congrès mais aussi en déclenchant une campagne de publicité ad hoc et en avertissant tous ses utilisateurs quant aux changements dans la gestion des consentements. Cela sera-t-il suffisant pour restaurer la confiance et être en conformité aux nouvelles réglementations ? L’avenir nous le dira mais le chemin promet d’être long

Cet article Cambridge Analytica, quels enseignements peut-on en tirer ? est apparu en premier sur RiskInsight.