Propos dissonants et sans langue de bois après 6 mois d’application du GDPR

48 à 62 % des consommateurs ne croient pas que les entreprises soient honnêtes sur la manière dont elles utilisent les données personnelles. Six mois après la date d'application du Règlement européen sur la protection des données, quels sont les premiers retours d'expériences ?

Le Règlement vise à protéger la personne contre les risques de surveillance, de discrimination, d’exclusion, d’usurpation d’identité ou de violation de son intimité. D’autre part, le Règlement pose les bases d’un espace numérique de confiance propice au développement de notre économie. Nobles causes.

Six mois se sont écoulés depuis le 25 mai mais aucune sanction "significative"  n’a encore été rendue, à l’exception d’une amende de 400 K€ prononcée par l’autorité portugaise. En France, les plaintes ont augmenté d'environ 60 % par rapport à la même période l'an dernier et les autorités européennes sont actuellement saisies de plus de 200 procédures "transfrontalières".

Sans chercher à jouer les Cassandre, on ne peut pas dire que les résultats soient à la hauteur des enjeux. Peu d’organisations voient dans la protection des données un axe de différenciation et rares sont celles qui l’élèvent au rang des valeurs de l’entreprise. Force est de constater qu’au fil des mois, le GDPR est même devenu un irritant, accusé de pénaliser les entreprises européennes.

Dans tous les cas, le GDPR coûte de l’argent, les sponsors peinent démontrer un hypothétique retour sur investissement et les individus sont loin d’avoir repris le contrôle sur les données personnelles les concernant. 

Coût élevé, manque de spécialistes, budgets sous-estimés, la mise en conformité est vécue comme une contrainte

Dans les grandes entreprises, la révision des contrats mobilise plusieurs ETP à temps plein et la mise en conformité des applications coûte des centaines de milliers d’euros. Les feuilles de route vont jusqu’en 2020.

Les sondages varient, mais tous s’accordent à dire que le coût global se chiffre en millions pour les grandes entreprises. Selon PWC, 88% des entreprises (US, UK, Japon) disposant d’une présence en Europe auraient dépensé $1 million et 40% plus de $10 millions. En 2018, les entreprises françaises devraient débourser au moins 958 millions d’euros en services et logiciels directement liés au projet GDPR.

• Les impacts IT sont largement sous-estimés.
  

Les coûts sont liés à l’adaptation du parc applicatif, à l’évolution de l’architecture du système d‘information et à la mise en place d’une gestion des données ; cela concerne des problématiques d’exercice des droits, de minimisation, de suppression des données, de portabilité, de traçabilité, de gestion des habilitations. La mise en œuvre est rendue compliquée par la multiplicité des formats, des référentiels et des fournisseurs de données au sein d’une même entreprise et par la configuration des espaces de stockage en silos.

C’est aussi l’occasion de remettre la sécurité au cœur des préoccupations de l’entreprise et de s’équiper en nouveaux logiciels. Selon IDC, les dépenses de sécurité des entreprises en 2022 seront 45 % plus élevées que les prévisions de 2018, tirées par l’évolution des réglementations sur la protection des données et de la vie privée.

Enfin, une majorité d’entreprises envisagent de s’équiper de logiciels de gestion et de pilotage de la conformité au GDPR avec un système de workflow et de reporting essentiels au respect de l’obligation d’"accountability". 

• Obligées de repenser leur organisation, les entreprises doivent gérer les résistances aux changements.
  

Avec le RGPD, les sujets de protection des données qui étaient historiquement traités par le service juridique ou le Correspondant Informatique et Libertés ont été confiés à la conformité, à la DSI ou à la direction des programmes. Lorsqu’un Délégué à la Protection des Données (DPO) a été désigné, dans la plupart des cas, c’est à la direction générale qu’il doit rendre compte.

Sur le terrain, les filiales ou les BU manquent de temps et de compétences. Avec le GDPR, les budgets relatifs à l’externalisation ont connu une nette augmentation et la politique de recrutement comme la formation des collaborateurs sont impactées.

A partir d’une démarche de Privacy by Design, les organisations sont invitées à développer une culture de la protection des données dont le DPO est le nouvel homme clé. Garant de la conformité des traitements de données personnelles dans l’entreprise, le nouveau DPO doit se familiariser avec les processus d’escalade, de validation, de reporting au sein du groupe ; il doit s’appuyer sur une solide gouvernance et veiller aux interactions au sein d’équipes pluridisciplinaires. Ces remaniements génèrent souvent de fortes résistances ; une conduite du changement s’impose. Or bien que les organisations aient eu 2 ans depuis mars 2016 pour se préparer au GDPR, la plupart ont vécu dans le déni jusqu’au 25 mai. 

• La chaîne de sous-traitance représente la principale source de risques pour les entreprises européennes: 25 % des entreprises auraient changé de sous-traitant à cause du GDPR.

En théorie, le responsable de traitement devrait changer de sous-traitant si ce dernier n’offre pas les garanties de conformité et de sécurité suffisantes. En pratique, beaucoup de sous-traitants sont en position de force ou en situation de position dominante. Dans ce cas, le rapport de force est inversé ; contrairement à ce que prévoit le GDPR, c’est le sous-traitant qui finalement impose ses clauses contractuelles, le responsable de traitement n’ayant d’autre choix que de se soumettre (au risque de violer la réglementation) ou de se démettre (avec toutes les conséquences que cela peut avoir sur son chiffre d’affaire).

Quand le fournisseur est en situation de dépendance, il valide les clauses du responsable de traitement sans toujours en comprendre la portée. Si par malheur ce sous-traitant était à l’origine d’une violation de données personnelles, le responsable de traitement aurait beau jeu de se retourner contre ce prestataire probablement insolvable.

L’éloignement géographique des prestataires est aussi un facteur aggravant de la menace à prendre en compte. L'industrie indienne des technologies de l'information et des services informatiques par exemple tire près de 30 % de ses revenus de l'Europe mais combien sont en conformité avec le GDPR ?

Le mode de calcul financier du ROI ne permet pas d’appréhender les bénéfices à long terme du GDPR

S’il est assez aisé d’évaluer le coût d’une violation de données personnelles, le calcul du retour sur investissement des dépenses relatives aux projets GDPR relève de la gageure. En effet, les décisions des personnes à protéger sont rarement logiques mais plutôt émotionnelles. Leurs choix sont psychologiquement biaisés par la perception d’un bénéfice immédiat par exemple (Privacy calculus) et difficilement prévisibles. Même les plus averties ne sont pas toujours réceptifs ("privacy myopic").

On sait aussi que la divulgation de données personnelles dépend de nombreux autres facteurs liés au profil de la personne, aux comportements de leurs pairs (i.e. "social proof"), à sa perception de la gravité de la menace pour sa vie privée et de sa capacité à s’en protéger (risque).

Les géants du net l’ont compris depuis longtemps ; leurs designers n’hésitent pas à exploiter ces  biais psychologiques (Dark pattern) pour amener les personnes à prendre une décision non désirée ou à révéler plus d’informations qu’elles ne l’auraient souhaité (Privacy Zuckering) grâce aux techniques de nudge. Par le design du site on peut abaisser la perception du risque ( politique de confidentialité sous forme de dessins animés, "privacy center") et/ou décourager la personne de lire les informations qui lui sont fournies.

Enfin, des chercheurs ont émis l’hypothèse que l’intérêt des individus pour la protection de la vie privée serait "dormant". La presence d’un label sans autre explication pourrait même déclencher un sentiment de méfiance chez la personne.

Le calcul du ROI repose sur une mesure financière ce qui ne permet pas de prendre en considération le comportement des individus, l’impact sur la confiance ni l'étude d'opportunité. Les "gains cachés" ne sont pas immédiatement visibles sur les résultats et les dirigeants privilégient les projets dont la rentabilité est perceptible à court terme. L’échelle de temps pose problème. 

A qui profite le GDRP ?   

La surveillance des individus à des fins de profilage est le modèle économique de nombreuses entreprises. On sait que Google et Facebook disposent de "trackers" cachés sur respectivement 76 % et 25 % des sites Web qui leur permettent de surveiller nos comportements.

Récemment, des experts ont démontré que Chrome synchronisait automatiquement et à l’insu des personnes leur identité et leurs données de navigation sur divers sites de la galaxie Google.

Les fournisseurs de service de communication en ligne utilisent les métadonnées pour profiler les internautes ; la collecte de données de localisation via le mobile est en pleine explosion. Or ces services dépendent très souvent de sociétés situées en dehors de l’UE.

• Les petites entreprises seraient pénalisées par le GDPR.
  

Dans le secteur du ciblage publicitaire par exemple, Google aurait accru sa part de marché de 1%. Les géants du net ont pu consacrer d’importantes ressources à leur mise en conformité, ils ont aussi bénéficié de leurs multiples interactions avec les utilisateurs pour recueillir facilement un nouvel Opt-In ; d’autre part Google a profité de sa position dominante pour qu’une partie des acteurs soient éliminés.

• Pendant qu’il y en a qui contestent, qui revendiquent et qui protestent... d’autres détournent l’esprit du règlement.
  

Combien d’internautes prennent la peine et le temps de paramétrer leurs paramètres de confidentialité avant de donner leur consentement ? "J’ai compris", "je suis d’accord"... Mais qu’a-t-on compris au juste ? Que des cookies sont déposés sur son ordinateur à des fins de ciblage publicitaire et que ses données personnelles sont partagées avec des centaines de tiers dans le monde pour en faire des profils ? Ce phénomène a récemment été décrit comme une sorte d’"opt in fatigue".

Quelles que soient la maturité d’un individu sur le sujet, il lui est de plus en plus compliqué de comprendre la portée de son consentement et de faire un choix libre et éclairé. Donner à l’individu plus de contrôle sur l’utilisation qui est faite de ses données personnelles est indispensable, mais penser qu’il est capable de déterminer seul ce qui est bon pour lui relève d’un doux rêve chimérique. 

 Quelle conclusion doit-on en tirer? Le Gartner vient de classer l’éthique numérique et la protection de la vie privée parmi les 10 tendances 2019. Le GDPR n’est que la première pierre dans un environnement juridique en pleine évolution. 

 #trustedAI #dataethics #digitalethics #eprivacy sont désormais les hashtags à suivre. La protection des données n’est pas une religion mais c’est plus qu’une simple réglementation.

Le GDPR est source d’opportunités et de bénéfices (création d’un nouvel "avantage confiance", amélioration de l’expérience et de l’engagement client, nouveaux business model, nouveaux services, gains de parts de marché, hausse de la valorisation de l’entreprise…) dont il convient de gérer et de mesurer la réalisation. C’est l’occasion de réfléchir à un nouveau modèle de rentabilité fondé sur l’impact positif que l’entreprise peut avoir sur la société et sur la valeur créée pour l’individu comme pour l’entreprise elle-même.

C’est un facteur de confiance. Ce texte impactera durablement le développement de l’économie numérique mondiale et par là-même notre société, bien au-delà des frontières de l’Europe.

C’est une occasion unique pour des leaders européens mus par le sens d’une mission supérieure d’imposer leur propre vision d’une croissance économique responsable, qui permet de concilier l’innovation et le respect des droits et libertés des individus. Sauf à ce que Tim Cook, Satya Nadella ou d’autres nous dament le pion.