Le règlement général sur la protection des données personnelles (RGPD), entré en vigueur depuis deux ans impose de nouvelles obligations en matière de traitement et de sécurisation des données personnelles devenus des enjeux fondamentaux pour les entreprises. En effet, à défaut de conformité, elles s’exposent désormais à des sanctions financières majeures à même d’impacter leur image de marque.
Cette mise en conformité devient d’autant plus incontournable que le RGPD a entraîné dans son sillage d’autres réglementations à l’étranger dont le CCPA (California Consumer Privacy Act) entré en vigueur en Californie en janvier 2020. A terme, les entreprises devront se conformer aux réglementations de chaque pays dans lesquels elles ont une activité commerciale.
Nouvelles directives imposées par la CNIL, accumulation de réglementations locales… à quoi les entreprises doivent-elles s’attendre et comment réussiront-elles à gérer cette multi-conformité ?
Hormis quelques nouveautés (traçabilité du consentement, privacy by design, analyses des risques….), 90% des grands principes du RGPD existent depuis 1978 en France. Consciente malgré tout, qu’il était difficile pour les entreprises d’être conforme à ce règlement le jour de son entrée en vigueur, la CNIL (Commission nationale de l’informatique et des libertés) a accordé une période de tolérance, laissant entendre qu’elle sanctionnerait uniquement les entreprises n’ayant pas enclenché une démarche de mise en conformité. Mais aujourd’hui, l’autorité de contrôle n’hésite plus à sanctionner les contrevenants. Depuis mai 2018, les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes[1]. En décembre 2018, Uber et Bouygues Télécom ont respectivement écopé d’une amende de 400 000€ et de 250 000€. De son côté Google a dû payer 50 millions d’euros en janvier 2019, suivi par Sergic (400 000€), Uniontrad Company (20 000€), Active Assurances (180 000€) et plus récemment, Futura Internationale (500 000€).
Pour éviter de telles sanctions, les entreprises doivent s’assurer de respecter les modalités du RGPD, particulièrement les nouvelles recommandations sur l’utilisation des cookies.
Dans un contexte de domination croissante des GAFAM et à l’ère de l’hyperpersonnalisation de l’offre publicitaire, le RGPD est également venu bouleverser le monde publicitaire, dont la collecte des données personnelles, et notamment les cookies, constitue un maillon essentiel. La CNIL a d’ailleurs annoncé que, courant 2020, elle placerait au centre de ses réflexions la question des cookies avec une nouvelle recommandation.
Concrètement, les entreprises auront l’obligation, pour certaines finalités, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs. La simple poursuite de la navigation sur un site ne constituera pas une preuve du consentement et un utilisateur pourra refuser d’être tracé, sans pour autant être bloqué pour accéder à un site.
En terme de collecte des données, le contexte ne sera plus le même, notamment avec les utilisateurs qui ne possèdent pas de compte client. En effet, si un utilisateur accepte plus souvent, lors de la création de son compte, de partager ses données il n’en est pas de même pour un internaute qui se contente de naviguer sur le site internet. Collecter son consentement et exploiter ses données va devenir beaucoup plus complexe.
Face aux bouleversements causés par l’épidémie de Coronavirus, la CNIL a décidé de reporter cette communication, mais l’impact du RGPD et de cette recommandation sur la collecte des cookies va pousser les marques à mettre en œuvre des solutions efficaces, comme le CIAM, pour inciter à la création de compte client et s’assurer de recueillir les consentements.
Une autre loi majeure sur la protection des données est entrée en vigueur le 1er janvier 2020 : le CCPA (California Consumer Privacy Act). Cette loi californienne sur la protection des données réglemente la manière dont les entreprises du monde entier peuvent traiter les informations personnelles des consommateurs, résidents de la Californie. Le CCPA est la première loi de ce type aux Etats-Unis. Bien que la portée de cette nouvelle législation soit quelque peu différente de celle du RGPD, elle accorde aux “consommateurs” des droits plus ou moins similaires de contrôle et de refus quant à l'utilisation de leurs données. Elle exige également que les “commerces” sous certaines conditions (hors organismes publics et associations) conservent les données en toute sécurité, qu'elles soient transparentes quant aux types de données personnelles recueillies et qu'elles gèrent les demandes de suppression de données personnelles des utilisateurs.
Mais ces deux lois majeures ne représentent que la partie émergée de l’iceberg et de nombreux autres pays élaborent des lois similaires ou sont sur le point de le faire !
Alors qu’au Canada, la loi PIPEDA (Personal Information Protection and Electronic Documents Act) est en cours de mise en œuvre, une dizaine d’états américains ont mis en place des projets de loi pour fournir aux utilisateurs une plus grande transparence et un meilleur contrôle sur les informations à caractère personnel. Au Brésil, une loi générale de protection des données personnelles (LGPD) est également prévue en août prochain et en Chine, le gouvernement a annoncé pour 2020 des évolutions de la réglementation sur l’usage des données. Enfin, en décembre dernier le gouvernement indien a présenté la première version d’une loi censée donner plus de contrôle aux habitants sur l’usage de leurs données.
Toute entreprise qui entend se développer à l'international devra très vite être conforme avec l’ensemble de ces réglementations locales pour conserver la confiance de ses utilisateurs.
L’ensemble des nouvelles recommandations, notamment en matière de consentement pour les cookies, et réglementations locales, poussent les marques à se tourner vers le CIAM (gestion des accès et des identités clients), qui permet de créer des profils clients unifiés et riches en données, hautement sécurisés, tout en respectant les exigences de conformité imposées et notamment en matière de contrôle des données par l’utilisateur.
Dans un 1er temps, les solutions CIAM facilitent grandement la création de comptes clients en offrant un accès accéléré et sécurisé via des méthodes d’authentification modernes. Elles garantissent également aux entreprises la collecte et la centralisation des identités par l’attribution d’un identifiant unique à chaque utilisateur, quel que soit le point de contact, et leur permettent de recueillir et de gérer les consentements de leurs clients. Enfin, grâce au CIAM, les marques peuvent garder la trace de l’ensemble des informations clients et répondre aux demandes des utilisateurs dans le cadre de l’exercice de leurs droits mais également aux demande d’audit des autorités de contrôle en leur fournissant la preuve des consentements et la traçabilité des consentements.
Le temps n’est donc plus à la résistance, ni au déni ! Aujourd’hui, il est important que les entreprises envisagent leur conformité règlementaire comme une opportunité, une dimension à part entière de leur activité, et ce à l’international.
Les marques qui souhaitent développer et conserver des relations de confiance avec leurs clients doivent donc s’emparer rapidement du sujet et intégrer le CIAM à leur stratégie, pour une mise en conformité optimale, une gouvernance des identités efficace et une protection des données renforcée.
[1] Etude du cabinet d’avocats anglais DLA Piper publiée le 20 janvier 2020