Il a construit sa propre analyse des pratiques de collecte et de commercialisation de données de l’industrie du digital et de la publicité en ligne. Il fait la part des choses entre ce qui est d’après lui tout à fait « légitime » et certains abus, en s’interrogeant notamment sur les limites de l’industrie de la data dite « tierce partie ». Arthur Saint-Père est directeur général et co-fondateur de Dolead, société spécialisée dans l’optimisation de campagnes sur Google Adwords, Bing Ads et Facebook Ads. Il considère que même si le règlement européen de protection de données (RGPD) est une bonne chose pour le consommateur, il représente un important frein pour l’industrie digitale européenne dans son ensemble.
Vous affirmez que « les entreprises rivalisent d’imagination pour obtenir des informations de plus en plus personnelles » des utilisateurs (comme leur montant de rémunération, leur patrimoine ou état de santé). Selon vous, le contenu des échanges en ligne sont stockés et exploités pour en extraire « un nombre impressionnant de données qui seront utilisées par l’entreprise et bien souvent revendues ». Dans ce contexte, pouvez-vous être un peu plus précis sur comment d’après vous les principaux acteurs de la data recueillent et utilisent ces données? Et où se place la ligne rouge à ne pas franchir?
Il faut savoir qu’il existe deux types de données personnelles. Les données non-nominatives (essentiellement de navigation), et les données nominatives (comme un compte client, une demande de devis ou une demande de rappel téléphonique, par exemple). Le grand danger de la vente de la donnée à des tiers réside dans le fait qu’à partir du moment où l’internaute donne son consentement pour que ses données soient transmises, il n’est jamais précisé jusqu’où et jusqu’à quand. Mes coordonnées vont-elles être transmises à une, trois, dix entreprises? Les entreprises qui transmettent les données à des tiers auraient bien du mal à garantir l’usage qui est fait de ces données par leurs clients (qui peuvent aujourd’hui eux-mêmes revendre à leur tour les données à d’autres tiers et ainsi de suite, tant que les données ont une valeur). Les données non-nominatives sont collectées massivement sur tous les supports et contenus numériques: ordinateurs, tablettes, mobiles, sites, applications, etc. Ces données soit sont agrégées pour faire des statistiques soit sont utilisées directement par l’éditeur afin de proposer un meilleur service ou contenu. L’usage de ces données est parfaitement légitime dans toute une frange d’activités, notamment lorsqu’elles passent par l’accès au GPS : applications de VTC, de livraison type Delivroo, la géolocalisation de vélos, scooters ou voitures qui vous donnent les véhicules libres à proximité, les services météo, Google Maps, etc. Les services qui gardent en mémoire l’historique de navigation des utilisateurs pour personnaliser les contenus qu’ils leur proposent font eux aussi un usage intelligent de nos données personnelles. Youtube ou Facebook, par exemple, personnalisent le flux de contenu en fonction des activités passées de l’utilisateur : ceci leur permet de voir plus de contenus pertinents, avec le risque cependant de se voir proposé le même type de contenus dans le temps.
Les acteurs de la data nous expliquent que les formulaires construits pour une marque ou un éditeur et les cartes de fidélité génèrent des données de type propriétaires qui serviront à ces marques et éditeurs à mieux connaître leurs propres clients et cibles. Vous êtes en train de m’expliquer qu’en pratique ces données sont revendues sans que l’utilisateur en soit conscient. Pouvez-vous nous en dire plus?
C’est typiquement un cas d’usage encadré de données non-nominatives, massivement utilisées dans les ciblages publicitaires des ad exchanges. La pose des fameux cookies à partir d’un site dans le navigateur des internautes permet ensuite aux acteurs de la publicité en ligne de reconstituer leur navigation sur internet, de mieux les connaître cachés derrière ces cookies non nominatifs (âge, sexe, intérêt, pouvoir d’achat, marque d’ordinateur, géolocalisation etc.) et donc d’optimiser les investissements publicitaires de leurs clients en améliorant considérablement le ciblage des campagnes. Ces usages de collecte de données lorsqu’elles ne sont pas utilisées par le site ou le service mais revendues ou mises à disposition de tiers apparaissaient en effet plus contestables. C’est pour cette raison que la CNIL en France, via l’application du « paquet télécom » européen a rendu obligatoire l’obtention du consentement explicite de l’internaute pour la pose de cookies. Ces pratiques sont donc aujourd’hui tout à fait légales, à condition que la mention d’acceptation des cookies soit bien présente sur le site qui génère les cookies (soit des données 3rd party).
Les entreprises qui transmettent les données à des tiers auraient bien du mal à garantir l’usage qui est fait de ces données par leurs clients.
Que penser alors des outils de CRM onboarding?
Ces outils rendent la complétion des formulaires plus efficace, la donnée pour les entreprises plus fiable et ils participent à fluidifier l’entonnoir d’acquisition client. Reste à savoir que deviennent les données collectées par ses plateformes, notamment quand elles ne sont pas françaises ou européennes: aujourd’hui en pratique elles sont stockées sans limite de temps. Se pose ici la question des données nominatives, c’est-à-dire des données personnelles qui contiennent des éléments permettant d’identifier nominativement les internautes – nom, prénom, adresse, e-mail, numéro de téléphone. Ces données sont aujourd’hui massivement collectées par de nombreux services de mise en relation dans une quarantaine d’industries. C’est le cas de tous les comptes clients créés en ligne, mais aussi des demandes de devis des secteurs des travaux, de l’assurance, de la finance, etc. Il existe des milliers de bonnes raisons de remplir un formulaire en ligne pour bénéficier d’un service. Parfois, ces données nominatives transitent par différents systèmes d’information. C’est le cas pour un éditeur de site internet qui ferait ses opérations marketing (ses campagnes Adwords par exemple) sur des outils tiers d’optimisation de landing pages, comme Unbounce, Instapage par exemple. Dans ce cas-là, les données se retrouvent dupliquées à la fois sur les serveurs de Unbounce, et ceux de l’entreprise. C’est également le cas pour les chatbots Messenger que toutes les entreprises peuvent construire très facilement et sans savoir coder avec des outils tiers comme ChatFuel, par exemple. Les données extraites de Facebook, avec et sans le consentement explicite de l’internaute (avec les réponses qu’il donne au chatbot, sans les éléments publics de son profil Facebook comme son nom, prénom, photo de profil, sexe etc.) se retrouvent à la fois sur les serveurs de l’éditeur du chatbot, chez Facebook et chez l’entreprise qui monte le service. C’est aussi le cas pour les services dont le métier est de collecter des données pour des tiers, comme les comparateurs d’assurances ou de services bancaires par exemple. Sur un comparateur, on saisit toutes ses informations personnelles critiques, comme le montant de son imposition, avant de connaître les offres qui correspondent à son profil. Ces données sont ensuite revendues aux assureurs et banques partenaires. Dans ce cas précis, il y a accord explicite de l’internaute pour que ses données soient transmises à des tiers, puisque c’est l’objet même de la prestation. Encore une fois, le problème ici est jusqu’où et jusqu’à quand ces données pourront être transmises.
Au final que vient changer le RGPD d’après vous?
Le RGPD permet d’aller beaucoup plus loin que le paquet télécom sur la protection du consommateur. Il apporte trois grands principes : la responsabilisation, avec la suppression de la déclaration préalable à la CNIL ; la co-responsabilité des sous-traitants, qui va permettre de traiter le problème des chaînes de transmission de données nominatives, sans qu’n ne sache trop qui est propriétaire de quoi, qui est responsables de quoi ; et la « Privacy by design », le responsable du traitement devant intégrer la protection de la vie privée dès la conception d’un service ou d’un produit. Le RGPD est une bonne chose pour le consommateur, notamment pour la « chasse aux pirates » qui font parfois n’importe quoi sur la revente de données. Mais c’est aussi un immense frein pour l’industrie digitale européenne, dans la mesure où l’avenir de cette dernière passe par l’exploitation de la donnée. L’intelligence artificielle dont on parle tant aujourd’hui et sur laquelle tous les champions numériques mondiaux investissent lourdement se nourrit de données. Les acteurs qui auront le plus de données à leur disposition auront le plus de chance de bâtir les services et entreprises de demain.
Luciana Uchôa-Lefebvre
