Interview avec Jana Moser : le marketing numérique à l’ère du RGPD et de l’e-Privacy

Interview avec Jana Moser : le marketing numérique à l'ère du RGPD et de l'e-Privacy

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur dans l’Union européenne afin de fixer des limites à la collecte incontrôlée de données. Avec le règlement e-Privacy, ou « Vie privée et communications électroniques », l’économie numérique en Europe est désormais confrontée à de nouveaux défis.

Le dernier arrêt de la Cour de justice européenne du 1er octobre 2019 confirme ce que Commanders Act indique à ses clients depuis 2018 : avant que des cookies puissent être déposés ou d’autres données personnelles collectées, un consentement explicite est requis.

Lors d’un entretien avec Timo von Focht, responsable pays pour l’Allemagne, l’Autriche et la Suisse à Commanders Act, Jana Moser, experte en protection stratégique des données, explique ce que cela implique pour les entreprises européennes et les spécialistes du online marketing. Elle détaille notamment les conditions-cadres et les répercussions de la nouvelle jurisprudence de la Cour de justice sur les stratégies en matière de données et de protection des données des entreprises européennes. Enfin, elle décrit le marketing actuel à l’ère du RGPD et de l’e-Privacy.

Timo von Focht : Bonjour Jana. Je suis ravi que vous fassiez cet entretien avec moi. Depuis combien d’années vous occupez-vous des stratégies en matière de données et de protection des données dans les entreprises ? Selon vous, comment ces sujets ont-ils évolué ces dernières années ?

Jana Moser : Cela fait bien dix ans maintenant que je m’occupe de la protection des données. Tout a commencé lorsque j’étais directrice de la protection des données à StudiVZ/schülerVZ. À l’époque, le sujet était encore essentiellement un sujet de niche. Je me souviens que nous avons eu du mal à expliquer aux représentants des autorités et aux responsables politiques comment des attitudes favorables à la protection des données peuvent apparaître dans un réseau social. À cette époque, tout ce qui n’était qu’un pas vers le traitement ou la diffusion numérique de données personnelles était quasiment désapprouvé.

Ces dernières années, la société et les politiques s’y sont habitués en raison de la numérisation rapide. On peut s’en rendre compte très clairement avec Google Streetview. Ce n’est plus un problème, par exemple. Presque tout le monde utilise WhatsApp et il est de plus en plus standard de travailler avec des outils tels que Trello, Office 365, Slack ou Google Docs.

Pourtant, dans le même temps, on assiste également à une multiplication de jugements en faveur de la protection des données et de mouvements qui cherchent à protéger la vie privée des personnes. C’est une bonne chose, mais ce n’est pas surprenant : plus les gens utilisent leurs données numériquement, plus le sujet est présent et plus il y a de chances que des divergences d’opinion ouvertes apparaissent.

Timo von Focht : À votre avis, le RGPD est-il plutôt un mal nécessaire, ou bien un progrès ou une opportunité pour l’économie numérique ?

Jana Moser : Le RGPD constitue une avancée économique à cet égard, dans la mesure où il tente d’harmoniser les réglementations sur la protection des données à travers toute l’Europe. Des règles uniformes sont toujours avantageuses, du fait que tout le monde joue sur le même terrain. Cependant, il reste encore suffisamment de possibilités pour que les États membres de l’UE puissent créer leurs propres réglementations et ainsi générer à nouveau des disparités en Europe. De plus, les règles européennes sont difficiles à appliquer en dehors de l’Europe. C’est là que les désirs et la réalité divergent.

En revanche, les grands gagnants du RGPD sont les avocats et les associations de protection des données qui ont désormais la possibilité d’intenter des actions en justice contre les entreprises qui ne respectent pas le Règlement.

À cet égard, le Règlement général sur la protection des données est également un avantage pour les entreprises qui s’appuient actuellement sur le niveau de protection des données encore très varié dans le monde, et surtout sur le niveau de protection différent entre l’UE et les États-Unis. Les clients qui craignent les plaintes des consommateurs, des autorités de contrôle et des associations vont chercher leur salut auprès des entreprises locales. Je pense néanmoins que cet avantage de l’implantation locale disparaîtra à moyen terme. L’UE et les États-Unis ont tous deux intérêt à travailler ensemble. Ensuite, il s’agit seulement de savoir si les services depuis l’Europe sont satisfaisants et si, d’ici là, ils auront réussi à gagner un grand nombre de clients pour concurrencer les offres dans le reste du monde.

Timo von Focht : Après les trois arrêts de la Cour de justice cette année sur le RGPD, quels risques les entreprises européennes prennent-elles si elles continuent à invoquer des exceptions telles que les fameux « intérêts légitimes » (article 6, alinéa 1 point f) du RGPD) dans la collecte de données personnelles à des fins de marketing ?

Jana Moser : Si une entreprise invoque ses intérêts légitimes comme base juridique et que ceux-ci font défaut, autrement dit si « les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel » prévalent, le traitement des données est simplement illégal.

Il est bien entendu possible qu’une autre base juridique s’applique, comme un contrat avec la personne concernée ou un consentement. Dans la plupart des cas où la première phrase de l’article 6 alinéa 1 point f) du RGPD est appliquée, ce consentement n’est pas obtenu.

En conséquence, en l’absence de base juridique, les données sont traitées de façon illicite. La personne concernée a alors, entre autres, le droit de voir ses données effacées (article 17, alinéa 1, point d) du RGPD). Dans ce cas, l’entreprise doit en principe informer les destinataires de ces données de la demande d’effacement.

La personne concernée peut également introduire une réclamation auprès de l’autorité de contrôle compétente, qui examinera alors en détail le traitement des données. Cela peut conduire à des mesures appropriées telles que des restrictions temporaires ou permanentes du traitement des données ou la révocation des certifications. Enfin, des amendes allant jusqu’à 4 % du chiffre d’affaires annuel total, dans la limite de 20 millions d’euros, peuvent être infligées.

La personne concernée peut également intenter une action en justice directement contre l’entreprise, par exemple pour une demande de dommages et intérêts ou une demande d’informations.

Timo von Focht : Quel est le niveau de risque en matière de responsabilité légale pour l’entreprise concernée ? Qu’en est-il de la responsabilité personnelle des personnes chargées de la protection des données, des chefs d’entreprise ou des directeurs généraux ? Quelles sanctions ont déjà été infligées jusqu’ici ?

Jana Moser : La question de la responsabilité est extrêmement pertinente pour les entreprises responsables, et pas seulement en raison des amendes très élevées déjà mentionnées. Alors qu’auparavant la directive sur la protection des données prévoyait un maximum de 300 000 euros par affaire, ce sont désormais des amendes de 20 millions d’euros ou des amendes basées sur le chiffre d’affaires mondial qui peuvent être infligées, et les autorités y ont recours. Récemment, le cas de la Deutsche Wohnen a fait les gros titres de la presse allemande lorsque l’entreprise s’est vu infliger une amende non encore juridiquement contraignante de 14,5 millions d’euros pour effacement et archivage erronés. Autres exemples : Google a été condamnée à une amende de 50 millions d’euros par l’autorité de contrôle française pour manque de transparence dans ses informations sur la protection des données, tandis que le livreur allemand Delivery Hero a reçu une amende d’environ 200 000 euros pour ne pas avoir supprimé des profils de clients.

Outre les infractions administratives prévues par le RGPD, d’autres risques monétaires sont également concevables. Il s’agit notamment de demandes de dommages et intérêts par la personne concernée ou d’ordonnances d’interdiction pouvant entraîner une chute des revenus. Il ne faut pas non plus sous-estimer les dommages indirects que provoque un tel grabuge, avec une baisse de la réputation et une perte de confiance dans la marque ou l’entreprise.

De plus, des demandes d’informations ou d’abstention au civil peuvent être envisagées. Cela représente en général des frais d’avocat et de justice supplémentaires. Des sanctions pénales sont aussi possibles, notamment à l’encontre des dirigeants et des directeurs généraux si les données sont traitées intentionnellement sans autorisation.

Pour autant, le risque concret pour une entreprise et ses dirigeants ou membres du conseil d’administration dépend toujours du cas individuel. Il est important que les tiers, les codirecteurs ou les sous-traitants ne puissent pas simplement rejeter leur responsabilité. Le RGPD accorde en effet à la personne concernée une demande directe de dommages et intérêts contre le responsable du traitement et le sous-traitant. À cela s’ajoute l’amende infligée par les autorités de contrôle.

Timo von Focht : En mai 2018, le gouvernement américain sous la présidence de Donald Trump a renforcé la loi « Cloud Act » en vertu de laquelle les entreprises américaines et les entreprises opérant aux États-Unis doivent également divulguer leurs données stockées sur des serveurs étrangers. Comment les entreprises doivent-elles maintenant traiter avec Google, Amazon et d’autres fournisseurs américains de cloud computing ? Comment les entreprises européennes peuvent-elles se protéger et que dit la Cour de justice à ce sujet ? L’accord appelé « bouclier de protection des données UE-États-Unis » peut-il encore être invoqué ?

Jana Moser : En effet, il ne suffit plus de dire « les données sont traitées dans l’UE ». Compte tenu de la législation américaine, il ne peut être exclu que les services de renseignement américains aient accès à des informations stockées au sein de l’UE par les filiales européennes d’une société américaine.

Les exigences américaines à l’égard d’un tel accès ont toujours différé des exigences européennes. Par exemple, le précédent accord sur la « sphère de sécurité » (ou « Safe Harbor ») avec les États-Unis, qui servait de base au transfert de données vers les États-Unis, a été jugé insuffisant. Non seulement les entreprises américaines pouvaient se déclarer elles-mêmes comme ayant la certification « Safe Harbor », mais en outre les contrôles effectués par la Commission fédérale américaine du commerce n’étaient pas efficaces du point de vue de l’UE. Au contraire, des procès tels que celui de Microsoft, qui a dû transmettre des données de la filiale irlandaise à la maison mère américaine, ont clairement montré que deux systèmes juridiques contradictoires se faisaient face et que la protection de la vie privée des Européens était menacée.

Le successeur de l’accord sur la « sphère de sécurité », autrement dit le « bouclier de protection des données UE-États-Unis », est maintenant critiqué par les militants de la protection des données pour les mêmes raisons. En octobre 2019, toutefois, la Commission européenne a confirmé que le bouclier constituait une base suffisante pour un transfert vers un pays tiers. Cet accord continue donc à servir de condition pour le transfert de données vers un « pays tiers non sûr ». Seule la Cour de justice européenne peut encore infirmer cette appréciation. La procédure est déjà en cours, si bien que tout le monde attend avec impatience la décision. Si l’accord sur la protection des données ne s’applique plus, des clauses contractuelles standard peuvent théoriquement être utilisées, ou bien le consentement obtenu. Cependant, il est difficilement concevable qu’une entreprise d’un pays qui ne dispose pas d’un niveau de protection adéquat en raison de sa législation (telle que la loi « Cloud Act ») puisse signer et respecter des clauses contractuelles efficaces. En outre, le consentement devra être particulièrement transparent et détaillé afin que la personne concernée soit également consciente du risque lié à l’absence de protection des données.

Tant que la législation sera aussi différente en termes de protection des données des personnes concernées et qu’il n’y aura pas d’accord entre les pays, il y aura toujours un risque pour les entreprises de travailler avec des partenaires qui ne sont pas exclusivement établis dans l’UE.

Timo von Focht : Le consentement devient de plus en plus important en tant que base juridique pour la collecte de données personnelles et le dépôt de cookies. Il existe désormais de nombreuses plateformes de gestion du consentement (CMP). Quelles recommandations feriez-vous aux entreprises lors de la sélection de fournisseurs ?

 

Jana Moser : En principe, le concept de protection des données appliqué par le fournisseur de CMP doit d’abord être demandé. C’est ce qui permet souvent de séparer le bon grain de l’ivraie. Un expert reconnaît rapidement dans le concept si le fournisseur sait de quoi il parle et s’il applique réellement la protection des données ou s’il la considère seulement comme une source de revenus prometteuse. Ensuite, je vérifierais exactement à quoi servent les données traitées par le fournisseur. Il n’est pas rare qu’elles soient utilisées à d’autres fins ou même transférées à des tiers. Enfin, la séparation entre les clients est recommandée afin que les données soient traitées séparément pour chaque entreprise.

Le choix d’une entreprise européenne ou américaine dépend de votre propre goût du risque et des éléments traités par le fournisseur. Les solutions intégralement sur site sont très peu risquées, tandis que les solutions purement de SaaS impliquent certainement un risque élevé pour la protection des données en raison de la loi « Cloud Act ».

Timo von Focht : Quels sont les avantages des solutions avec identification ou connexion à son compte pour le marketing ? Recommanderiez-vous d’élaborer soi-même une telle solution ou d’utiliser une solution réseau (comme NetID ou Verimi) ? Quelles solutions sont recommandées pour quelles industries ?

Jana Moser : Les solutions avec identification et donc enregistrement des utilisateurs seront essentielles pour documenter correctement les consentements relatifs à la protection des données. Il est intéressant de noter que les actuels détenteurs de monopoles Google, Facebook, Apple, Amazon et Microsoft ont reconnu cet aspect plus tôt. Sans enregistrement auprès de ces sociétés, leurs services ne peuvent pas être utilisés. En s’enregistrant, les consentements personnels peuvent être stockés et documentés. C’est sur cette base qu’il est possible d’établir des profils d’utilisateurs encore plus détaillés et de les exploiter sur le plan économique.

Il est exact qu’aucune donnée supplémentaire ne devrait être collectée simplement pour être en conformité avec le RGPD. Néanmoins, les personnes responsables sont soumises à une obligation de responsabilité et de preuve en vertu de l’article 5 alinéa 2 du RGPD. Or, il n’est guère possible de conserver durablement un consentement conforme à la protection des données et de l’étayer dans le résultat sans l’enregistrer. Par exemple, l’utilisateur pour lequel seul un identifiant de cookie ou un autre identifiant a été stocké peut modifier les paramètres de son appareil et supprimer les cookies ; son profil d’utilisateur deviendrait alors anonyme. Très souvent toutefois, des données supplémentaires sont stockées de sorte que leur combinaison permet d’identifier de nouveau une personne ou un appareil. Si un utilisateur se connecte pour faire supprimer ses données, il est difficile de l’identifier en tant qu’utilisateur autorisé. Cela dépend alors fortement du cas individuel.

Par ailleurs, de moins en moins d’utilisateurs sont prêts à donner un consentement intégral s’ils n’en retirent aucune valeur ajoutée. Comme cette valeur ajoutée est souvent liée à la personne, un enregistrement a du sens. Ce sont les principaux fournisseurs qui sont en tête dans ce domaine : tout utilisateur qui a déjà enregistré des données d’identification auprès d’un fournisseur qui offre déjà une valeur ajoutée via ses services préférera les conserver plutôt que d’avoir à mémoriser de nouvelles données d’enregistrement. Cette situation va renforcer davantage encore les positions de monopole et leur permettre d’obtenir le consentement et de recueillir des données plus tôt et plus souvent.

Si une entreprise reconnaît cette situation, elle est déjà bien en avance, mais elles sont peu nombreuses dans ce cas. Des initiatives telles que Verimi et NetID sont donc particulièrement importantes : ces alliances de connexion et identification se veulent une alternative aux monopoles. Elles mettent de plus en plus en lumière le « dilemme de l’enregistrement ». Malheureusement, même les législateurs n’ont pas reconnu cette situation avant l’entrée en vigueur du RGPD. Il est donc important que chaque entreprise s’occupe désormais de ces alternatives et de l’enregistrement.

À mon avis, les plus grandes alliances de connexion allemandes que sont Verimi et NetID poursuivent des objectifs complètement différents. La structure de l’actionnariat montre déjà que NetID est orienté vers le marketing et donc la publicité dans l’industrie des médias. Je m’attends à ce que toutes les entreprises composant NetID obtiennent conjointement le consentement pour un suivi total. Pour sa part, Verimi est une alliance intersectorielle et se concentre sur la valeur ajoutée pour les utilisateurs en assurant le stockage sécurisé des données. De mon point de vue, ils mettent l’accent sur la protection et la sécurité des données. Cela semble également dû aux actionnaires et entreprises plutôt conservateurs de Verimi. Ils incluent par exemple Allianz Versicherung, la Deutsche Bank et Bundesdruckerei.

Timo von Focht : Selon vous, que peuvent ou doivent faire les entreprises européennes pour se protéger des avertissements et mettre en place une stratégie solide et à long terme en matière de données ?

Jana Moser : Les entreprises doivent faire face à ce problème. Il ne sert à rien d’attendre plus longtemps et d’espérer que quelqu’un d’autre s’occupera de la question. Avec le RGPD, les détenteurs de monopole l’ont très bien fait et ont su faire pression. Si les entreprises continuent d’attendre, en cas de doute, un concurrent s’occupera de leur problème de protection des données et leur enverra un rappel ou attirera l’attention de l’autorité de contrôle sur elles.

La première étape doit certainement consister en une analyse rapide de l’existant : quelles données, quelle documentation et quels partenaires sont disponibles ? Ensuite, je déterminerais les risques par domaine : quel est le niveau de risque et quelle est la probabilité qu’il se matérialise ?

Après cela, j’aborderais progressivement chaque domaine. Je recommande toujours que deux personnes se chargent du sujet en interne. Dans un premier temps, elles peuvent s’attaquer aux problèmes avec l’aide d’experts externes et acquérir leurs propres connaissances au fil du temps. Elles n’auront ensuite plus à dépendre d’experts externes. Après tout, les collaborateurs comprennent mieux l’entreprise et en ont une meilleure connaissance que des personnes extérieures. Ils bénéficient en outre souvent d’une plus grande confiance.

Timo von Focht : Comment voyez-vous l’avenir de l’e-Privacy ? À quoi les entreprises et les fournisseurs de solutions peuvent-ils s’attendre ?

Jana Moser : Le règlement « Vie privée et communications électroniques » ne devrait pas entrer en vigueur avant la fin 2021. Néanmoins, les entreprises doivent se préparer au fait que le sujet du consentement deviendra alors encore plus important. Les intérêts légitimes susmentionnés, qui émanent du RGPD, ne se retrouvent pas en l’état actuel dans le règlement e-Privacy. Cela s’applique probablement non seulement aux données personnelles, mais aussi aux métadonnées et aux données des machines. Toutefois, les détails n’ont pas encore été déterminés. Il en va d’ailleurs de même pour le réglage par défaut des navigateurs et le dépôt des cookies tiers, qui est empêché par défaut. Si les prévisions précédentes sont effectivement acceptées, l’industrie publicitaire telle que nous la connaissons actuellement cessera bientôt d’exister. C’est une bonne chose pour le consommateur, une mauvaise pour l’annonceur qui s’accroche à ses anciennes méthodes. Il est donc temps de trouver de nouvelles idées et de nouveaux concepts publicitaires.

Timo von Focht : Comment les entreprises peuvent-elles optimiser leurs paramètres de respect de la vie privée de sorte qu’un plus grand nombre d’internautes partagent leurs données ? À cet égard, quand l’approbation d’un cookie vaut-elle la peine pour les consommateurs ?

Jana Moser : La transparence, la convivialité et la valeur ajoutée sont indéniablement des mots-clés décisifs dans ce contexte.

Plus les paramètres de protection des données sont clairs et transparents, plus un utilisateur a confiance dans le service qu’il veut utiliser. En outre, les paramètres doivent être compréhensibles et faciles à régler. Je ne crois pas qu’il soit nécessaire de fournir trop d’informations en affichant les informations et descriptions du moindre petit cookie. Cela ne crée aucune valeur ajoutée en matière d’informations pour la personne concernée.

Quiconque dissimule les options de protection des données ne recevra certainement pas d’éloges de la part des utilisateurs. Il faut prendre en compte le fait que les exemples négatifs sont de plus en plus postés sur les réseaux sociaux. Par conséquent, une mauvaise stratégie de communication en matière de protection des données peut également se transformer en déferlante néfaste pour une entreprise.

En fin de compte, les utilisateurs sont toujours mieux disposés lorsqu’ils peuvent attendre ou recevoir de bons services ou même de la valeur ajoutée de la part d’une entreprise. Même les réglementations longues ou confuses sur la protection des données sont alors acceptées.

Par conséquent, on ne peut dire qu’approximativement quel consentement sur les cookies est valable pour tel ou tel consommateur et à quel moment. Si un utilisateur veut être tranquille et ne souhaite aucune personnalisation, il ne doit pas donner de consentement. Pour ceux qui considèrent que la personnalisation est appréciable et avantageuse, le profilage peut être pertinent. Toutefois, le consentement à cette fin doit être donné si la personnalisation n’est pas déjà un point nécessaire du contrat.

Timo von Focht : Merci beaucoup pour cet entretien, Jana.