L’entrée en vigueur du RGPD, c’était le 25 mai dernier. 6 mois après, j’ai voulu faire le point avec certains de nos clients et recueillir leur feed back sur la mise en place de cette nouvelle réglementation.

Et ce que j’ai pu constater, c’est que la mise en place du RGPD ne va toujours pas de soi chez la plupart d’entre eux…

La CNIL se félicite de l’impact du RGPD

Si on écoute la CNIL, « les professionnels et les particuliers se sont emparés de ce nouveau cadre et […] sa mise en œuvre est effective en France et en Europe ». Le nombre de visites du site de la CNIL a explosé, la commission est sollicitée comme jamais, le nombre de DPO dépasse de beaucoup le nombre de correspondants informatiques et libertés. Bref, c’est formidable, le monde est plus sûr et nos données mieux protégées qu’avant.

C’est sans doute vrai, mais tout n’est pas parfait sur le terrain. Ce que je constate chez nos clients, c’est que la prise de conscience du changement de contexte n’est pas complète :

– les PME pensent que le RGPD, c’est pour les grands groupes. Certains n’appliquent pas la législation du tout.

– les grands groupes s’efforcent de faire signer des contrats avec des clauses léonines, de façon à transférer le risque et la responsabilité des violations du RGPD sur leurs fournisseurs, y compris leur agence de Search Marketing (en ce qui nous concerne ceux qui ont essayés sont tombés sur un os)

– mais surtout, une grande majorité de nos clients ne comprennent visiblement pas tout dans le Règlement et sur la façon de bien l’appliquer.

Il faut dire que les avocats qu’ils consultent donnent souvent des conseils curieux (le texte est muet sur les aspects techniques liés à sa mise en oeuvre, cet aspect est donc sujet à des interprétations divergentes).

Et je ne parle pas des dizaines de sociétés opportunistes qui se sont improvisés « spécialistes en RGPD » et qui sollicitent nos clients (et nous aussi de temps en temps) en leur faisant peur pour leur distiller à prix d’or des conseils moisis. Soyons clairs, il y’a des escrocs qui profitent du désarroi des annonceurs et des éditeurs de sites et qui cherchent à en profiter.

Conclusion : il y’a encore beaucoup de pédagogie et de travail à faire pour obtenir une application raisonnée du RGPD.

Les GAFA respectent-ils le RGPD ?

Un rapport du « Norwegian Consumer Council » (une institution officielle norvégienne de défense des consommateurs) avait épinglé dans un rapport publié en juin dernier la façon dont les GAFA ont appliqué la réglementation. Leurs critiques portent sur l’emploi de tactiques pour s’assurer du consentement des utilisateurs quant au partage des données personnelles.

 

Les critiques du Norwegian Consumer Council concernant l’application par les GAFA du RGPD

Si on regarde dans le détail, on voit aussi que les GAFA préfèrent parfois respecter la lettre du texte, plutôt que son esprit.

Prenons un exemple : si vous voulez utiliser Google Analytics en respectant le RGPD, vous devrez prendre un certain nombre de mesures pour éviter la remontée involontaire de données personnelles, signer (cocher une case) les conditions d’utilisation spécifiques (qui vous transfèrent certaines responsabilités dont Google s’exonère), et anonymiser l’IP des utilisateurs en utilisant la fonction « ad hoc ».

Sauf que cette fonction permet de stocker des données anonymisées en supprimant le dernier octet de l’IP. Or la recommandation du G29 et de la CNIL est d’anonymiser une IP en masquant les deux derniers octets (avec un seul, la géolocalisation est trop précise et on peut trop facilement croiser les données pour détecter le footprint d’un utilisateur).

Le texte du RGPD ne précise pas si l’on doit enlever un ou deux octets. Mais l’esprit de la loi demande une vraie anonymisation.

Tous les éditeurs de site qui utilisent Google Analytics sans demander le consentement des utilisateurs sont ils hors la loi ? Le problème, c’est qu’ils sont très, très nombreux. Beaucoup d’entre eux n’exploitent pas les données personnelles recueillies par leur solution de Web Analytics, mais on est loin ici du principe de « Privacy by Design ».

Dès le 25 mai, un activiste Autrichien a déposé une plainte auprès de quatre organismes européens (dont la CNIL) contre quatre sociétés américaines pour violation du RGPD.

 

Pour couronner le tout, les GAFAM ont été plutôt gagnants face au durcissement de la législation : leurs solutions de ciblage publicitaire ont été moins impactées que celles d’autres acteurs, et ils ont pu utiliser leur position aux différents bouts de la chaîne pour « sortir » discrètement certains concurrents, sous prétexte qu’ils n’étaient pas en mesure de respecter le RGPD.

Conclusion : On a pas fini de parler du RGPD, de sa mise en oeuvre applications, et de son impact sur la neteconomie. Et pour couronner le tout, une nouvelle directive européenne dite « ePrivacy » est en cours de discussion, et va encore durcir la législation et changer la donne…

 

Vous avez aimé le RGPD ? Vous allez adorer l’e-Privacy

Le communiqué de la CNIL sur le bilan du RGPD