Suite à l’affaire Facebook, qui aurait laissé fuiter les informations de plusieurs millions de ses utilisateurs, les données personnelles sont plus que jamais au cœur de l’actualité. Mais le Règlement général sur la protection des données (RGPD), sur le point d’entrer en vigueur en Europe, va-t-il vraiment contenir les pratiques des géants du web ? Anh-Vu Nguyen, co-fondateur de Fidzup, nous livre son point de vue.

Retour en 2016, en plein cœur de la campagne présidentielle américaine. L’entreprise Cambridge Analytica (CA) aurait utilisé les données de cinquante millions d’utilisateurs de Facebook à leur insu, afin d’influencer leurs votes en faveur de Donald Trump. Une information tenue secrète jusqu’à sa révélation le 17 février dernier, par le New York Times et The Observer. Deux jours après, la firme de Marck Zuckerberg perdait 6,8 % de sa valorisation en bourse. Et depuis lors, le réseau social fait les frais de la colère des internautes, qui appellent au désabonnement via le hashtag #deletefacebook

Un scandale qui éclate juste avant l’application du Règlement général sur la protection des données, le 25 mai 2018. « Ce nouveau cadre européen vise à révolutionner le secteur de la gestion des données personnelles, et à l’harmoniser entre les différents pays de l’UE », explique Anh-Vu Nguyen, COO et co-fondateur de Fidzup. Fondée en 2011, sa startup accompagne les retailers dans leur communication locale, en transformant leurs points de vente en générateurs de data.

« De profondes mutations sont à prévoir dans la manière de récolter et traiter ces données »

« Concrètement, nous permettons aux enseignes de générer du trafic en point de vente grâce à la diffusion de campagnes de publicité mobile géolocalisées et personnalisées », précise le fondateur. Et Fidzup vient justement d’officialiser sa mise en conformité sur l’ensemble des problématiques du RGPD. « Avec cette réglementation, chacun pourra être informé sur les données récoltées, être prévenu en cas de fuite ou de vol et aura, pour chaque donnée récoltée, un droit de mise à disposition, opposition, suppression, rectification et transfert vers un autre service ».

Anh-Vu Nguyen, co-fondateur de Fidzup, une start-up spécialisée le marketing local.

Du côté des entreprises, de profondes mutations sont à prévoir dans la manière de récolter et traiter ces données. Chacune d’elle devra notamment tenir un registre de traitement et évaluer, pour chacun d’entre eux, les risques pour le consommateur. « La création du registre suppose de se projeter le plus loin possible. Elle nécessite la mise en place de process pour le tenir à jour et assurer une conformité constante aux autorités de contrôle. Une contrainte qui peut se révéler plus compliquée pour les petites structures et qui, de fait, risque de limiter l’innovation et la R&D à l’avenir », souligne le fondateur.

Le risque en cas de non-conformité ? Une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise

Si un risque est identifié, l’entreprise devra se soumettre au Privacy Impact Analysis (PIA). « Une démarche lourde à réaliser et qui peut avoir de sérieuses conséquences si le travail n’est pas bien fait, à savoir une amende de 10 à 20 millions d’euros ou entre 2 et 4 % du CA », précise Anh-Vu Nguyen. Pour de nombreuses startups, de telles sanctions reviendraient à mettre la clé sous la porte… « Ces amendes ont été prévues pour les grandes entreprises comme les Gafa. Mais avec leurs armées de juristes, il est fort à parier qu’elles sauront passer à travers les mailles du filet. En revanche, les petites sociétés n’ont évidemment pas les mêmes moyens ».

Autre obligation instaurée par le RGPD : celle, pour les sociétés de plus de 250 salariés, de nommer un Data Protection Officer (DPO), qui fera figure d’autorité de contrôle. Si les plus petites entreprises n’y sont pas contraintes, « cela semble malgré tout indispensable pour maintenir un registre de traitement de qualité. Et le coût de l’opération n’est pas à négliger ». Pour sa part, Fidzup a fait le choix de nommer son VP Engineering, Nicolas Blanc, à ce poste.

« Le RGPD est bien parti pour manquer à son objectif de contenir les pratiques des Gafa »

Pour le co-fondateur de la start-up, « le RGPD est bien parti pour manquer à son objectif de contenir les pratiques des Gafa ». Car les entreprises européennes, soumises aux contraintes précédemment décrites, « seront inévitablement freinées dans leur capacité à effectuer de nouveaux traitements de données, à innover et à faire évoluer leur offre ». Tandis que les sociétés extérieures à l’UE – dont les Gafa – pourront le faire sans contraintes sur leurs marchés domestiques.

Bien sûr, « l’objectif principal du RGPD est de protéger et informer les Européens sur le traitement qui est fait de leurs données personnelles », rappelle Anh-Vu Nguyen. « C’est pourquoi l’application du texte doit avoir lieu dans un contexte où, à date, les entreprises ont trop de libertés ». Mais pour que cela bénéficie à tous, il recommande de commencer par une application en douceur. « La lourdeur des démarches et la conduite de changement sera une difficulté pour tous. Le régulateur doit donc proposer une période de transition durant laquelle il doit avoir une action de conseil, pour toutes les sociétés concernées. La CNIL semble aller dans ce sens. Plus encore, une simplification de la démarche (registre de traitement, PIA) aiderait grandement les sociétés se pliant à l’exercice. De même qu’un allègement des sanctions qui pourraient tuer grand nombre d’entreprises si appliquées en l’état ».

Pauline Capmas-Delarue