Ad-exchange.fr consacre une série d’interviews à la réforme de la réglementation européenne en matière de protection des données personnelles. Vous le savez, un accord a été conclu fin 2015 entre le Parlement et le Conseil de l’Union européenne pour l’adoption d’une seule législation, qui devra être appliquée au sein des pays membres à partir de 2018.
Plusieurs changements sont prévus pour qu’au final les utilisateurs des médias digitaux en Europe aient plus de contrôle sur l’usage qu’on fait de leurs données personnelles. Parmi ceux-ci, la nouvelle législation prévoit l’obligation par les entreprises d’obtenir un accord préalable de l’utilisateur avant toute exploitation de ses données personnelles (opt-in). De plus, l’objectif recherché affiché par l’entreprise qui collecte les données doit être considéré « légitime » et ne pourra pas changer sans le consentement des personnes concernées et l’offre d’une information claire.
D’autres changements apportés par cette nouvelle législation sont l’imposition du principe de la privacy by design, selon lequel tout service ou produit proposé, comme des réseaux sociaux ou des applications mobiles, doit tenir compte du respect de la vie privée par défaut ; « le droit à l’oubli », qui permet l’effacement des données de chaque personne qui le demande à condition que « ce soit démontré qu’il n’y a pas de raisons pour qu’elles [les données] soient conservées ».
L’agence fifty-five se définit elle-même comme une agence data rapprochant « les annonceurs de leurs clients par la collecte, l’exploration et l’activation de la donnée au service du marketing et de la connaissance client ». Nous avons souhaité connaître l’avis de Mats Carduner, PDG et co-fondateur de l’agence.
Tout d’abord, d’une manière générale, comment accueillez-vous cette réforme ?
Cela nous conforte dans l’idée que la data est un sujet important – nous, c’est notre positionnement – mais aussi qu’on arrive à un moment de l’histoire de l’Europe où les sujets de la protection des personnes privées et de la confiance entre les opérateurs de services sur le web et les internautes sont reconnus. C’est ambitieux et exemplaire vis-à-vis des autres régions du monde. Avec cette nouvelle législation on va plus loin car elle s’impose à tous les pays membres de l’Union européenne et vient traiter des problèmes qui n’étaient pas pris en compte jusque-là.
Bon nombre de sujets étaient en effet en suspens, et cette nouvelle règlementation vient les encadrer. Par exemple, le « droit à l’oubli », la portabilité entre services, la suppression des informations sur les moteurs de recherche, la notion de légitimité, qui est nouvelle, et la confirmation d’une volonté très forte de privilégier l’opt-in.
Je m’en réjouis, parce qu’en matière de protection des données personnelles, nous considérons à fifty-five que plus on va vers un écosystème où une confiance s’installe entre les consommateurs et les opérateurs, mieux on se porte. C’est fondamental pour les entreprises et pour les marques que ces notions de confiance, de transparence et d’éthique gagnent en importance, parce que les gens se rendent de plus en plus compte que leurs données personnelles représentent un enjeu économique énorme. Philosophiquement il s’agit d’offrir des mécanismes qui favorisent la transparence et l’information sur les droits de chacun, sur comment les données sont utilisées, sur l’échange que leur utilisation favorise, sur le fait que nous disposons tous d’un droit de rectification, d’effacement, etc.
Ceci étant dit, il faut savoir que la mise en place d’un certain nombre de contraintes imposées par cette nouvelle législation risque d’être très compliquée, voire impossible pour certains sujets. Il y a une sorte de course entre la lettre et l’esprit de la loi et il ne faudrait pas que cela aboutisse à des blocages. La plupart des grandes entreprises sont très inquiètes. Si tout est exigé de manière très rigoureuse, certaines très grosses entreprises, comme Google ou Facebook, risquent de se retrouver dans des situations d’une telle complexité que leur volonté d’innovation pourrait être freinée.
Pouvez-vous nous donner un exemple de ces contraintes ?
Par exemple, il y a la notion de majorité sur Internet. La France impose l’âge minimum de 16 ans pour que l’on puisse ouvrir un compte sur un réseau social : en pratique cependant, il est très difficile de l’imposer.
Prenons les cookies et la notion d’opt-in. Quand on suit précisément ce qui est demandé par la législation en vigueur, cela s’avère très compliqué à mettre en place. À fifty-five nous avons développé une solution pour que les entreprises se mettent en conformité avec les règles d’opt-in. Nous sommes donc bien placés pour savoir que c’est compliqué.
Pourquoi c’est compliqué ?
Parce qu’il y a différents types de cookies, qui servent à différentes choses et qui sont déposés par différents acteurs (des régies publicitaires, des réseaux sociaux, des fournisseurs de services). Tout expliquer de manière à la fois pédagogique et rapide sans que cela freine l’expérience de navigation de l’internaute c’est déjà un challenge.
Ensuite, ne serait-ce que le processus technique pour reconnaître le consentement de l’internaute (opt-in) sans recours aux cookies et sans altérer le temps de chargement de la page devient un casse-tête complexe. Quand vous arrivez sur un site et que vous ne pouvez pas déposer un cookie, vous ne pouvez pas non plus récupérer (tracking) des informations comme le scroll ou le clic sur un lien qui elles-mêmes peuvent contribuer à reconnaître l’acceptation des cookies par l’internaute. Si notre solution est conforme avec la législation, je ne pourrai pas en dire de même de nombreuses autres solutions disponibles sur le marché, qui cherchent à évacuer la question de manière rapide sans être tout à fait en règle, à l’instar du simple bandeau affiché à l’arrivée sur le site sans nulle autre implication pédagogique.
Toute la difficulté est justement celle de trouver un équilibre entre, d’un côté, la liberté totale et la jungle que cela génère avec toute sorte d’abus dans tous les sens qu’il faut combattre et, en face, des obligations trop contraignantes et des sanctions qui tétanisent les gens. Personne ne peut avancer dans cette situation. Dans le cas des cookies, dans l’absolu, quasiment tous les sites devraient payer des amendes, la loi française actuelle étant impossible à mettre en place à la lettre sans risque d’encaisser des pertes financières considérables pour les éditeurs de site, notamment dans le secteur de la presse.
D’un autre côté, même si le cadre est très contraignant voire impossible à réaliser, il donne une tendance, un esprit, un chemin à suivre. Si l’on reprend l’exemple des cookies et du consentement de l’internaute, alors qu’en fin de compte très peu de sites sont conformes à ce qui est requis, on trouve néanmoins énormément et de plus en plus des sites qui vous expliquent ce qu’est un cookie, à quoi cela sert, etc. Petit à petit on voit s’installer cette pratique d’explication pédagogique.
Toutes ces notions qui sont en jeu, comme « le droit à l’oubli », le principe nouveau de légitimité ou l’opt-in systématisé, créent les conditions pour que le rapport de forces entre les usagers et les entreprises soit plus équilibré et, par conséquent, que nous nous trouvions dans un environnement meilleur.
Il est peut-être trop tôt pour parler d’impact. En revanche, pensez-vous que le délai des deux ans pour s’adapter à la nouvelle législation sera suffisant ?
Il y a beaucoup de pays concernés et beaucoup de mesures techniquement difficiles à appliquer et à vérifier. Deux ans ne me semblent pas un délai suffisant. Beaucoup de questions sont en suspens aussi. Par exemple, le droit au déréférencement. Il est dit que le moteur de recherche est obligé d’enlever la référence à une information mais qu’en est-il des sites qui l’ont publiée ? La posture de Google depuis le début est de dire que si l’information existe, elle doit être accessible, et que si une information doit disparaître, c’est sur le site qui l’a publiée à l’origine, pas uniquement sur le moteur de recherche, et on peut le comprendre. Autrement cette mesure constituera une atteinte à la notion de plateforme et de moteur de recherche qui en est la pierre angulaire. On ne référence que des contenus qui existent par ailleurs.
L’accord pour l’adoption de la réforme de la réglementation européenne en matière de protection des données personnelles vient tout juste d’être adopté. Quelles seront d’après vous les prochaines étapes ?
Nos clients sont de plus en plus sensibles aux conséquences de cette réforme, aux amendes potentielles, aux changements nécessaires de leur interface avec leurs clients. Ils craignent une complexification et une absence de fluidité dans ce qu’ils essayent de mettre en place. Le niveau de conscience monte. Notre rôle – et cela a toujours été le cas – est d’accompagner les marques et les entreprises, dans cette transition, à gérer la collecte et l’utilisation des données. Pour nous c’est business as usual. Ces sujets sont très concrets et quotidiens. De la même façon que nous les avons accompagnés lors de la suspension du Safe Harbor, on va continuer de les aider à comprendre de quelles données il s’agit en fonction de chaque situation, à bien se conformer à la législation, et à organiser cette relation qu’il faut créer avec l’utilisateur. J’observe une montée en puissance de l’importance de la prise en compte des vœux de l’utilisateur. C’est un sujet qui gagne énormément d’importance, et c’est nouveau.
Vous avez déjà commencé à être sollicité ? Avez-vous vous-même initié des échanges avec vos confrères sur ce sujet ?
C’est encore trop frais. Le sujet n’est pas encore très public. C’est notre rôle de le faire de manière proactive. Ça va s’accentuer progressivement. Et dans ce contexte il est important de rappeler l’existence du Forum d’Avignon, think tank avec lequel on a co-écrit la « Déclaration préliminaire des droits de l’homme numérique » qui érige huit principes fondamentaux. On y retrouve cette notion que les données personnelles ne sont pas une marchandise mais le reflet d’individus, de leurs croyances, de leur culture et que leur collecte doit être encadrée par une éthique et par un vrai souci de protéger la vie privée des êtres humains. C’est bien cela qui pousse à l’équilibre entre la protection et l’innovation.
Pour découvrir la « Déclaration préliminaire des droits de l’homme numérique » cliquez ici.
Pour le Forum d’Avignon, cliquez ici.
Propos recueillis par Luciana Uchôa-Lefebvre
(Images: agence fifty-five, sauf couverture.)