Je ne rentrerai pas ici dans le chiffrage des pénalités éventuelles que vous pourriez encourir suite à une utilisation abusive de données personnelles. Ce sera aux autorités de le faire. En tant que consultant, ce qui me paraît plus important, c’est de prémunir nos clients contre un maximum de risques au moment où nous attaquons un nouveau projet.
GDPR / RGPD : prévenir les risques tout au long des projets
-
Prendre toutes les mesures pour protéger la donnée volontaire et légale recueillie dans le cadre de nos travaux (on parle alors essentiellement des mesures de sécurité applicatives, à savoir de suivre un ensemble de règles de l’art, constituant une démarche suffisante de protection de l’identité des utilisateurs et de leur données). C’est essentiellement un travail de règles de l’art… dont beaucoup ne tiennent pas vraiment compte malheureusement. Le risque encouru est alors de se faire hacker. S’agissant de bonnes pratiques de dev que tout le monde devrait suivre, cela ne devrait pas impacter le coût, à part sous forme d’audit régulier en cours de développement.
Les points d’architecture technique et fonctionnelles liés à la GDPR (ou RGPD) peuvent aussi faire l’objet d’annotations et de chiffrages, afin, pour un client, de faire la différence entre deux chiffrages concurrents.
Méfiez-vous de vos offres au forfait ! Elles peuvent cacher d’importantes différences relatives à la sécurité et à la protection des utilisateurs, pour un périmètre fonctionnel en apparence identique.
-
Assurer que les infrastructures d’hébergement intègrent le niveau nécessaire de protection et ont été comprises et validées par les équipes clients. A ce niveau-là, si votre prestataire n’est pas en charge de l’hébergement et des opérations, il ne pourra que vous fournir une liste d’exigences que l’autre partenaire devrait suivre.
-
Pour déterminer les actions à suivre et savoir où mettre la barre, des questionnaires et guides existent, entre autres édités par Microsoft où la CNIL.
Quid de la collecte de données ?
Et qu’en est-il des campagnes marketing visant à collecter de la data ?
Il y a là encore des précautions à respecter visant à s’assurer que ce que vous propose votre consultant s’inscrit bien dans un processus volontaire de la part de l’utilisateur. A cet égard, l’enquête visant l’usage fait par Cambridge Analytica de données FB dans le cadre de la campagne Trump sera très intéressante. Se peut-il que nous allions vers un délit de manipulation digitale ? Allons-nous nous réveiller avec des décisions de la justice américaine bien plus fortes que le cadre GDPR ? Car qui sait si Cambridge Analytica a fait quelque chose de bien différent de ce que fait une multinationale dans des campagnes visant à faire consommer ses produits ? Mais l’enjeu politique est tel que plus rien n’est impossible dans les conséquences.
N’oubliez pas non plus que le parlement britannique et Bruxelles ont demandé à entendre Zuckerberg et FB. De là à ce que le Brexit… Là encore des intérêts très puissants sont en jeu.
Les législateurs européens ont finalement fait mouche avec GDPR, en tous cas du point de vue du calendrier. Il est bien possible aussi qu’une autre affaire vienne maintenant, comme par hasard, frapper Google.
Bref, sans aller trop loin dans la politique, vous devez vous assurer que vos méthodes de campagnes, de collectes et conservation sont licites et que vos données feront l’objet des soins nécessaires. Et il y a fort à parier que ce contexte de l’affaire FB vienne électriser le contexte GDPR. Mark Zuckerberg, dans son acte de contrition, a estimé qu’un cadre légal renforcé était nécessaire aux US… mais pas au niveau du cadre allemand ! Il a ainsi placé FB en dehors du cadre GDPR. Ça promet des débats sympas !
GDPR / RGPD : quelles conséquences pour le business ?
Progressivement, en réponse à ces nouvelles contraintes, les techniques de conversion du trafic en utilisateurs volontairement identifiés sur les propres plateformes des marques, vont prendre une importance particulière pour le plus grand bonheur des vendeurs de solutions de marketing automation et plus généralement de dev… et pour le malheur du retargeting qui limite le choix du consommateur, même quand il sort de l’univers web de la marque. L’action Criteo n’est ainsi plus qu’à 50% de sa valeur de mi-2017… tandis qu’Apple s’affiche en champion de la privacy !
Fini aussi la data-construction et les achats de mails en masse… vive les stratégies d’enrôlement volontaire et la proposition des meilleurs contenus, finement targuétés sur votre site. Ça c’est légal.
Vos consultants Marketing (et je plains d’ailleurs notre équipe Pentalog Growth Factory), vont devoir aider les clients à naviguer au milieu de tout cela tout en leur faisant réaliser des gains de part de marché ! Quelle gageure ! Côté offre technique, c’est un peu plus simple. Exigez le chiffrage spécifique de GDPR afin de pouvoir vous en servir en cas de contrôle. Pour nous c’est parti, plus une offre ne sortira de chez nous sans cette analyse.
Le Règlement Général sur la Protection des Données (RGPD/GDPR) entrera en application le 25 mai 2018. Pour en savoir plus :
GDPR le Gardien des données personnelles
Replay du webinaire RGPD/GDPR : Comment se mettre en conformité
Suivez-moi sur Facebook et sur Linkedin pour échanger en direct avec moi.