- Data
Alors que le RGPD entre en application aujourd’hui, ce sigle est incontestablement le buzzword de l’année dans l’univers du marketing et du digital. Mais ce phénomène est-il le nouveau bug de l’an 2000 ? Tous les acteurs (cabinets d’avocats, prestataires spécialisés, éditeurs européens, agences…) gravitant autour du RGPD le considèrent comme une opportunité pour les organisations plutôt qu’une menace et/ou une contrainte. Si le RGPD a le mérite de replacer la gouvernance de la donnée au centre des préoccupations, il pose un certain nombre de questions auxquelles il est pour l’instant difficile de répondre.
Plus de 25 000 résultats sur la recherche « RGPD opportunité ou menace » en français, plus de 700 000 résultats sur la même recherche en anglais montrent bien l’ampleur du phénomène. Et la réponse est globalement unanime (même si je n’ai pas pris le temps de lire les 725 000 articles) : non, le RGPD n’est pas une menace ; oui, il s’agit d’une formidable opportunité pour les entreprises.
Au-delà de la contrainte légale, le RGPD va permettre aux organisations de rétablir la confiance auprès de leurs clients et en tirer un indéniable avantage concurrentiel. Et comme Isabelle Falque-Pierrotin, la présidente de la CNIL l’exprime, « le RGPD est une chance absolue pour l’Europe. Le RGPD va permettre à l’Europe de récupérer la souveraineté sur ses propres données en soumettant les acteurs internationaux au droit européen. »
Mais dans les faits, les entreprises traînent les pieds pour se mettre en conformité : selon une étude de l’ISACA parue le 21 mai, moins d’une entreprise sur trois se déclare prête pour le 25 mai. Alors, est-ce que le RGPD est vraiment l’opportunité vendue par le législateur ?
Est-ce que les annonceurs vont réussir à restaurer la confiance auprès de leurs clients ?
Il est aujourd’hui impossible de répondre à cette question mais ce qui est incontestable, c’est la forte défiance de la part des internautes sur l’exploitation de leurs données personnelles. Selon un sondage du Boston Consulting Group, 62% des consommateurs français pensent que les entreprises ne sont pas honnêtes dans l’utilisation de leurs données. Une étude OpinionWay parue en début de semaine affirme que 7 Français sur 10 sont de plus en plus préoccupés par l’utilisation de leurs données et 8 sur 10 sont prêts à boycotter une marque, une entreprise ou un service qui ne respecterait pas la réglementation. 88% des internautes font de la sécurité des données personnelles un élément clé de l’acte d’achat, devant la qualité des produits ou le service client (étude Symantec). Et le récent scandale Facebook/Cambridge Analytica ne risque pas d’inverser la tendance.
L’impact de la confiance sur les ventes est donc réel et gageons que les entreprises mettront tout en œuvre pour remonter la boîte à bons points auprès de leurs utilisateurs. Les organisations n’ont donc pas d’autre choix que de faire preuve de plus de transparence dans l’utilisation des données personnelles. Pour certains pure-players comme Facebook, c’est même une question de survie.
Est-ce que les organisations « RGPD compliant » en tireront un avantage concurrentiel ?
Désolé pour la réponse de Normand… mais tout dépendra de vos concurrents. Dans certains secteurs d’activités traditionnels comme la banque ou l’assurance qui collectent historiquement des données personnelles, dont certaines sont sensibles, la conformité RGPD sera (ou est déjà) la norme et ces entreprises seront évidemment prêtes le Jour J. Il est donc peu probable qu’un acteur en retire un réel avantage concurrentiel. Le respect du RGPD sera néanmoins pendant quelques mois (le temps que le soufflé retombe ?) un réel argument de vente pour les annonceurs les plus importants, à grand renfort de publicités. Le texte du règlement encourage également la création de labels pour afficher la conformité RGPD d’une organisation. Si les différents membres de l’UE parviennent à s’entendre pour la création d’un label commun et uniforme comme c’est le cas pour la norme CE, un logo « RGPD compliant » inondera probablement les devantures de sites web.
Le RGPD pourrait par contre rebattre les cartes pour des sites dont le modèle économique est principalement fondé sur la monétisation de leur audience et donc la collecte de données personnelles. Les sites médias peuvent ainsi se retrouver confrontés à un sérieux dilemme : être plus transparents sur la collecte de données personnelles au risque de voir leurs revenus publicitaires diminuer ou appliquer le minimum syndical au détriment de leur image (51% des entreprises estiment que le RGPD risque d’endommager leur réputation, selon une étude NetApp). La question sera forcément tranchée selon l’importance de la question du respect de la vie privée pour la communauté d’utilisateurs et les stratégies des concurrents.
Le RGPD pourrait dès lors favoriser l’émergence de nouveaux modèles économiques basés sur la confiance et la transparence. Mais si la publicité ne finance plus la gratuité, est-ce que les utilisateurs accepteront pour autant de payer ? Si 45 % des Français sont prêts à payer plus cher pour une marque qui fera preuve d’éthique en matière de gestion des données personnelles, même s’il existe des services gratuits (54% des Millennials), la majorité n’est toujours pas prête à franchir le pas.
C’est utile pour vous si… vous avez oublié quelles solutions sont installées sur votre site ou ceux de vos concurrents.
Sera-t-il toujours possible d’exploiter les données personnelles pour personnaliser la relation client ?
Oui, il sera toujours possible d’exploiter des données pour personnaliser son site web ou ses publicités. Le RGPD ne s’oppose pas en soit au profilage. Et les utilisateurs ne rejettent pas la publicité ciblée si elle leur apporte un gain personnel : 66% des internautes français acceptent de divulguer des informations personnelles s’ils bénéficient d’un avantage en retour comme une offre promotionnelle ou un service personnalisé (Bureau Veritas – 2016).
Mais avec le RGPD, l’utilisateur doit pouvoir comprendre pourquoi il a été exposé à une publicité, sur la base de quelles données et pouvoir s’y opposer le cas échéant. Et c’est là que le bât blesse et que la perspective du RGPD fait trembler les différents acteurs de l’écosystème publicitaire comme en témoigne un récent article du JDN :
- Les fournisseurs d’inventaire (trading desk, ad exchange, SSP…) et éditeurs devront désormais être en capacité de démontrer que les utilisateurs dont la donnée est associée à une impression publicitaire avaient bien accordé leur consentement préalable. Si tel n’est pas le cas, les DSP comme DBM de Google ou AppNexus pourraient alors rejeter les ID sans opt-in. Or, le secteur de la publicité digitale se caractérise par un nombre important d’intermédiaires qui interviennent tels des poupées russes dans la chaîne de valeur publicitaire. Le bandeau cookie d’un site éditeur pourra difficilement recenser la liste exhaustive des partenaires potentiels susceptibles d’exploiter la donnée. Le graphe ci-dessous illustre bien les difficultés pour un site éditeur de maîtriser la totalité de la chaine de valeur (même si tous les appels externes ne concernent pas que de la publicité).
- L’IAB a conçu le standard GDPR Transparency & Consent Framework qui garantit que chacun des intermédiaires a obtenu le consentement des utilisateurs. Mais pour l’alimenter, les sites éditeurs doivent s’équiper d’une plate-forme de consent management platform (CMP) et aujourd’hui, rares sont les éditeurs français à avoir initié un projet de ce type. Toujours selon le JDN, une période de transition va s’ouvrir à partir du 25 mai où les anciennes pratiques seront encore tolérées par les DSP. Mais jusqu’à quand ? On peut dès lors comprendre que les sites medias se montrent attentistes et n’appliquent pas pour le moment la totalité du règlement vu l’impact potentiel sur leurs revenus. Les premiers cas de jurisprudence seront très intéressants à suivre.
- Les fournisseurs de données third-party peuvent également légitimement être très inquiets. Leur business model repose principalement sur la revente de données enrichies, collectées souvent sans le consentement utilisateur. Suite au scandale Cambridge Analytica, Facebook a décidé de supprimer en avril 2018 l’accès à sa fonctionnalité Partner Category qui permettait aux annonceurs d’enrichir leur ciblage avec des données fournies par des courtiers.
- Dans ces conditions, les annonceurs risquent de se retrouver avec des données personnelles de plus en plus rares pour alimenter leur Data Management Platform (DMP) et personnaliser leurs bannières, emailings, applications et sites web. Sans données enrichies, les annonceurs se retrouveraient à cibler leur audience en fonction des sites web visités, ce qui serait purement et simplement le retour de la publicité contextuelle du début des années 2000 ! L’enjeu pour les annonceurs va donc résider dans leur capacité à pouvoir concilier performance de leurs actions publicitaires, protection de la vie privée des utilisateurs et respect du cadre légal imposé par le RGPD.
Est-ce que les annonceurs pourront continuer à exploiter leurs données Analytics ?
Oui, le RGPD ne va pas signer l’arrêt des morts des solutions de web analyse. Toutefois, si l’on applique le règlement à la lettre, la collecte des données de navigation pourrait se déclencher uniquement à partir du moment où l’utilisateur a validé son consentement au sein du bandeau cookies. La fermeture du bandeau cookies ou la poursuite de navigation ne seraient plus considérées comme des acceptations tacites. Dans ce cas, il y a effectivement un risque pour qu’une faible part de l’audience soit trackée par un outil Analytics. Il nous semble donc plus prudent d’attendre la sortie du prochain règlement ePrivacy en 2019 qui précisera le bon mode de fonctionnement.
Au-delà de cette question, nous espérons que le RGPD favorisera une prise de conscience sur la problématique de juge et partie de Google et Facebook. RGPD ou non, les deux géants américains conserveront probablement le monopole des investissements publicitaires digitaux. Il n’est plus raisonnable de confier à une même entité le soin de mesurer la performance de campagnes diffusées sur ses propres réseaux ! Des alternatives européennes, crédibles et indépendantes existent et nous sommes convaincus que le RGPD donnera un sérieux coup d’accélérateur à ATInternet, Adobe ou Matomo (ex-Piwik).
Est-ce que le RGPD ne risque pas de provoquer des excès de zèle chez certains utilisateurs ?
Oui, c’est clairement un risque pour les grandes entreprises. Selon une étude menée par OpinionWay publiée le 16 mai dernier, 55% des Français sont prêts à attaquer en justice une marque, une entreprise ou un service qui ne respecterait pas la réglementation en matière de protection des données personnelles. Le RGPD pourrait donc être le paradis des procéduriers qui ont du temps à tuer.
Mais on peut supposer que les firmes qui ne jouissent pas d’une excellente image auprès du grand public et qui pourraient être la cible d’attaques sont aussi celles les plus armées au niveau juridique.
Dans la même logique, les grandes entreprises et organismes publics peuvent craindre des demandes massives d’utilisateurs d’accès à leurs données personnelles. Dans ce cas, le RGPD les contraint à fournir ces données dans un délai d’1 mois qui peut être prolongé à 3 mois pour des données complexes…
Est-ce que des alternatives européennes aux GAFA vont émerger ?
Je ne suis pas astrologue et ne peux pas prédire l’avenir mais j’en doute. La défense de la souveraineté européenne est une des principales raisons qui a abouti à la création du RGPD. Le législateur souhaite ainsi favoriser l’émergence d’alternatives européennes aux GAFA en introduisant le droit à la portabilité.
L’utilisateur pourra ainsi reprendre le contrôle sur ses données et le confier à d’autres plateformes. Si le transfert de données est facilité, encore faut-il que des alternatives en capacité de les intégrer existent. Et aucun acteur européen ne semble à date capable de concurrencer les GAFA. Qwant, le moteur de recherche européen respectueux de la vie privée, a certes, enregistré une croissance de 20% de ses recherches en mars 2018 mais sa part de marché reste à des années-lumière de Google. Les scandales de Cambridge Analytica et des fake news ont fait perdre des utilisateurs à Facebook mais quel réseau social est en mesure de revendiquer plus de 2 milliards d’utilisateurs ?
Les GAFA disposent d’une telle force de frappe que le RGPD ne risque pas de contester leur hégémonie. Au pire, ils perdront quelques dixièmes de part de marché et quelques petits millions de dollars de recettes publicitaires.
C’est utile pour vous si… vous avez un problème dans le tracking des sources, vous avez des doutes sur vos filtres analytics.
Alors, est-ce vraiment une opportunité ?
Non, le RGPD n’est pas une opportunité ; c’est une nécessité pour protéger les citoyens européens et préserver la souveraineté de l’économie européenne.
Au-delà du sentiment d’intrusion dans la vie privée, les données personnelles qui tombent dans de mauvaises mains influencent nos vies. L’affaire Cambridge Analytica a permis au grand public de se rendre compte que des données personnelles pouvaient favoriser le résultat d’une élection présidentielle ! Il est donc urgent de légiférer pour préserver nos libertés de citoyens.
Au niveau économique, si la donnée est le nouvel or noir, force est de constater que seuls les Américains ont accès aux puits de pétrole. Par l’intermédiaire du RGPD, l’Europe a souhaité réguler le commerce de la donnée et remonter dans le train numérique même si le combat sera difficile face aux GAFA.
Concrètement, il nous semble aussi opportun de ne pas appliquer la totalité du règlement à la lettre car les impacts sur les revenus de pure-players pourraient être importants et des emplois sont en jeu. Les premiers cas de jurisprudence seront en cela éclairants.
Mais au final, le principal mérite du RGPD sera peut-être que chacun des acteurs de la chaîne de la donnée revienne à un fondement d’Internet (et aussi au bon sens) : L’UTILISATEUR AVANT TOUT !
Le RGPD va sans doute faire un peu d’écrémage auprès d’acteurs qui placent leurs intérêts bien avant ceux de leurs communautés. L’étau se resserre et ce n’est pas plus mal…
Besoin d'aide ou de conseils en RGPD ?
