Tribune
Face à l'érosion de la confiance des consommateurs dans le modèle d'entreprise basé sur l’exploitation des données, réglementer leur utilisation sera un enjeu majeur en 2019, entraînant des changements fondamentaux dans la manière dont elles sont collectées, gérées et partagées.

Un détonateur. Le RGPD (Réglement général sur la protection des données) a façonné le débat en matière de sécurité des données et de protection de la vie privée. Depuis son adoption, dix pays au moins hors Union européenne, dont l'Argentine, l'Australie et le Brésil, ont adopté des règles similaires. Pour les économies dites avancées, la mise à jour de leur législation nationale est relativement simple, en transposant parfois le RGPD au mot près. Pour les pays dits émergents, il faut encourager l’innovation tout en se conformant au RGPD - et le marché européen de 500 millions de consommateurs. L'Argentine, l'Uruguay et l'Inde sont parvenus à mettre en place des cadres réglementaires semblables à ceux de l’UE, tout en y intégrant leur trajectoire économique et culturelle. C’est donc possible.

Que vont faire les Etats-Unis ? Dans l’hypothèse où une loi fédérale américaine sur la protection des données personnelles serait votée, elle différerait fondamentalement du RGPD. Il y a une profonde divergence philosophique : en Europe, la protection de la vie privée est considérée comme un droit fondamental ; aux Etats-Unis, ce n’est pas le cas. En juin, l'État de Californie a adopté la Consumer Privacy Act (CPA), qui entrera en vigueur en 2020. Avec la récente loi du Vermont réglementant les activités des courtiers en données, on constate le début d’un mouvement national en faveur de la confidentialité des données. Les législateurs se saisissent de la question et, comme l'a dit le sénateur John Thune, la question n'est plus de savoir si les États-Unis ont besoin d'une loi pour protéger la vie privée des consommateurs, mais quelle forme elle prendra.

Sentant le vent tourner, certains des géants de la tech soutiennent une loi fédérale sur la protection de la vie privée par l'intermédiaire de groupes de pression comme l'ITI et l'Internet Association. Ils préfèrent cela à un patchwork de législations défavorables, État par État. En novembre, une importante société de technologie a proposé un projet de loi fédéral qui protégerait les entreprises qui attesteraient prendre «des mesures énergiques pour protéger les données des consommateurs». D'autres, comme IBM, Microsoft et Apple, ont tous exprimé publiquement leur soutien à une «législation exhaustive en matière de protection de la vie privée».

Les réglementations du monde entier

Ces efforts de lobbying influenceront non seulement l'orientation d'une loi américaine, mais aussi les réglementations du monde entier. Ces entreprises se battent sur tous les marchés pour influencer la vague de réglementations en cours. Par exemple, l'ITI, soutenue par Google, Facebook, Twitter et de nombreuses autres grandes entreprises tech, a récemment publié un cadre sur la protection des données personnelles pour guider les décideurs fédéraux dans leurs réflexions. Ce dernier promeut l'autoréglementation, et laisserait donc une grande marge de manœuvre aux industriels.

Pour rétablir la confiance des consommateurs, il faudrait pourtant un cadre réglementaire composée de quatre éléments : une loi globale, un ensemble de principes fondamentaux en matière de protection des données et de sécurité (choix, contrôle et commodité), des droits individuels applicables et une autorité indépendante (pas la FTC) ayant des pouvoirs efficaces pour surveiller et appliquer les règles.

En Europe, la bataille réglementaire va encore s’intensifier. Avec le RGPD, l'Union européenne a pris le leadership mondial en matière de protection de la vie privée et des données. Toutefois, elle ne compte pas s’arrêter là. En 2019, une nouvelle bataille se livrera autour du projet ePrivacy. Celui-ci a l’ambition de réglementer les secteurs du marketing et de la publicité en ligne. Le texte veut revoir l'utilisation des métadonnées, recueillies avec des technologies qui traquent les comportements des internautes, dont les fameux cookies. Le profilage et la publicité comportementale qui sous-tendent les modèles de ces secteurs sont clairement ciblés, en exigeant la transparence et le consentement explicite des internautes.

Véritable échange de valeur ajoutée

Ces règlementations pourraient favoriser l’émergence de modèles alternatifs. Ceux qui adopteront des stratégies intégrant la protection de la vie privée by design et par défaut prendront l'avantage. Il faut donc aller plus loin que la simple conformité au RGPD, et offrir un véritable échange de valeur ajoutée avec, certes, des offres pertinentes et personnelles mais aussi du contenu et des nouveaux usages en impliquant le client dans le partage de ses propres données et en lui donnant la possibilité de contrôler la quantité et le type de données partagées.

Protection de la vie privée et consentement ne sont plus en option. Selon une étude ForgeRock que nous avons menée en 2018 avec ComRes Global, 17% seulement des Français estiment que les données sont utilisées au bénéfice des consommateurs et 41% pensent qu’elles profitent exclusivement aux entreprises. En outre, près d’un Français sur deux (48%) s'inquiète d'avoir partagé trop de données personnelles en ligne. Il faut donc changer la façon dont les organisations les utilisent et les traitent. Les réglementations seront toutes différentes, mais elles auront toutes un objectif commun : donner aux consommateurs les moyens de s'approprier leurs données.

Suivez dans Mon Stratégies les thématiques associées.

Vous pouvez sélectionner un tag en cliquant sur le drapeau.