Le RGPD, et ses variantes dans un nombre croissant de pays, est devenu un enjeu majeur pour les entreprises, qui s’y rallient non seulement par nécessité mais également parce que, tout comme une politique RSE favorable à l’environnement, cette conformité améliore leur image et in fine leur rentabilité. Pour autant, le ralliement reste lent. Il pourrait être accéléré par l’arrivée prochaine de solutions développées par des startups, comme OneTrust ou Manetu, qui veulent redonner le contrôle des données aux utilisateurs eux-mêmes.

Près de deux ans après l’adoption d’une directive européenne sur la protection des données individuelles (RGPD), et 18 mois après sa mise en application en France, la situation a-t-elle vraiment changé ? Le signe le plus visible d’un meilleur respect de la protection des données personnelles est l’apparition intempestive de bannières qui demandent à l’internaute l’autorisation de collecter des données personnelles, sous-entendant que les sites visités respectent les nouvelles règles. Il semble, selon la CNIL, l’autorité de régulation, qu’il n’en soit rien, et la plupart des internautes accordent, d’un clic, leur autorisation sans chercher vraiment à savoir si la réglementation RGPD est bien observée.


Cette situation, en France, ne devrait évoluer que très lentement, car la CNIL dispose de moyens limités pour faire respecter cette nouvelle réglementation, tant du point de vue de ses ressources humaines (peu de personnel pour faire la répression) que de certaines limitations juridiques. En effet, le pouvoir de coercition vis-à-vis des grands groupes internationaux, notamment les GAFA, est limité puisque ceux-ci, comme Google par exemple, ne manquent pas de contester les premières amendes qui leur sont infligées. Google argue que la CNIL n’a pas de juridiction pour poursuivre sa filiale européenne basée en Irlande.

Le problème posé par la maîtrise des données personnelles sur Internet ne se résume pas au combat contre les géants des transactions en ligne, américains ou non. L’opinion publique mondiale évolue de plus en plus vite pour réclamer une protection réelle, compréhensible et …maîtrisable. A cet égard, le scandale provoqué par des données personnelles provenant de dizaines de millions d’utilisateurs de Facebook, collectées par la société Cambridge Analytica et mise à la disposition de décideurs politiques américains qui auraient ainsi pu influer sur le cours de l’élection présidentielle de 2016, constitue un précédent.

Après l’Europe, en 2018, c’est la Californie, en début de cette année, qui s’est dotée d’une législation équivalente, à l’image du rôle précurseur que cet État américain – de loin le plus puissant de l’Union – joue depuis toujours sur le plan des mœurs et du mode de vie aux Etats-Unis. Poussés par leur opinion publique, d’autres pays, comme le Japon, travaillent aussi sur des règles de protection équivalentes.

Au-delà de la sphère publique, les entreprises elles-mêmes sentent le vent tourner. A l’image de ce qu’un nombre croissant d’entre elles font pour se doter d’une véritable politique responsable vis-à-vis de l’environnement (RSE), de plus en plus nombreuses sont celles qui considèrent qu’un critère d’attraction de salariés compétents obligera à être exemplaire dans ce domaine également. Déjà, parmi les GAFA, Microsoft annonce sa conformité avec le RGPD en Europe. Facebook annonce qu’il se conformera à la nouvelle loi californienne.

Le secours de l’intelligence artificielle

Pour autant, même si l’état d’esprit est en train de changer, il y a encore loin de la coupe aux lèvres. Une étude récente du Cap Gemini Institute, datant de septembre 2019, montre que moins d’un tiers des entreprises européennes interrogées reconnaissent être en conformité avec le RGPD, plus d’un an après son adoption sur le Vieux Continent. Alors que 80 % d’entre elles, dans une enquête précédente, estimaient qu’elles seraient prêtes à temps. Naturellement, la complexité et le coût – surtout pour les PME – de cette mise en conformité figurent parmi les principales raisons pour lesquelles les efforts ne sont pas achevés.

Toutefois, plus de 9 sur 10 de celles qui se déclarent conformes assurent qu’elles en ont retiré des avantages notables, notamment une amélioration de leur image de marque, un avantage compétitif et même une satisfaction de la part de leurs propres collaborateurs.

Autant de raisons qui pousseraient les entreprises à accélérer le mouvement, si elles trouvaient des solutions qui leur conviennent. Car, au-delà du coût de cette transformation, la difficulté majeure, surtout pour les entreprises de taille intermédiaire, reste de trouver une offre de service RGPD compatible avec leurs propres ressources (financières et humaines), mais aussi organisationnelles. Ainsi, les entreprises adoptant le plus facilement la norme RGPD sont celles qui maîtrisent le mieux l’informatique en réseau (cloud computing, modèle Saas, etc..). Rien d’étonnant, dans ces conditions, à ce que cette offre de services de conformité au RGPD – ou ses équivalents – soit en train d’évoluer très rapidement dans cette direction.

Sans surprise, c’est de l’autre côté de l’Atlantique que le marché est le plus réactif. Séduits par la taille d’un marché évalué – en 2016 – à plus de 50 milliards de dollars, les investisseurs n’hésitent plus à financer des startups proposant des plateformes en ligne couvrant a priori tous les aspects de la réglementation, qu’il s’agisse du RGPD européen, du California Consumer Privacy Act (le CCP entré en vigueur début 2020), et même des futurs projets de loi équivalents dans le monde.

Ainsi, le mois dernier, la startup OneTrust, lancé par un ancien de VMWare (outils de virtualisation), Kabir Barday, a levé 210 millions de dollars (après avoir déjà levé 200 l’année dernière), à une valorisation de plus de 2,7 milliards de dollars. La société propose un programme de gestion de données personnelles via l’accès à des portails d’information et d’outils automatisés pour vérifier en permanence la conformité des données de l’entreprise avec les différentes réglementations en vigueur dans le monde. La moitié des grandes entreprises américaines (Fortune 500) seraient déjà clientes, au total, plus de 5000 dans le monde.

Mais l’essentiel du marché reste à prendre. D’autant que l’intelligence artificielle, en train d’envahir un pourcentage considérable d’applications informatiques, se prête particulièrement bien au sujet du RGPD, puisqu’il s’agit de Big Data et surtout de données évolutives : même les entreprises conformes aujourd’hui au RGPD ne peuvent pas être certaines qu’elles le sont pour toujours.

Ainsi, une autre approche, celle qui part non plus de l’entreprise mais de l’utilisateur lui-même, est en train d’émerger. C’est le cas de la startup Manetu, qui lancer son service en ligne en avril. Le point de départ de ce service est de confier la responsabilité du contrôle de ses données personnelles à l’internaute, plutôt qu’aux entreprises qui collectent ces données. « C’est au consommateur de prendre le contrôle direct de ses informations personnelles, pas aux entreprises », assure Moiz Kohari, le fondateur de Manetu, qui a derrière lui une longue carrière de spécialiste de la gestion des données, notamment en environnement Open Source.

Le service permettra à ses utilisateurs, grâce à des algorithmes d’intelligence artificielle, de savoir, de façon totalement exhaustive, à qui ceux-ci ont donné – ou pas – des autorisations d’exploiter leurs données personnelles. Et surtout de gérer eux-mêmes, avec simplicité, ces autorisations, via un tableau de bord personnel.

« Remettre le consommateur en position de contrôler ses données n’est pas seulement la bonne chose à faire, c’est aussi sensé d’un point de vue économique », précise-t-il, assurant qu’un consommateur confiant et rassuré est un meilleur client. CQFD.

Michel Ktitareff

Scale-up Booster

<<< À lire également : Le Rôle du Marketing Dans Le RGPD >>>