La protection des données personnelles est parfois présentée comme une contrainte juridique, typiquement dans le monde du business numérique. Pour d’autres elle est présentée comme une protection des libertés fondamentales, typiquement dans le monde des militants. Chacun venant moquer le point de vue de l’autre. Essayons ici une autre grille de lecture. Le RGPD, vu comme une opportunité de faire des affaires de manière intelligente, en développant un modèle économique centré sur le service rendu à l’utilisateur.
La version originale de cet article a été publiée dans la lettre d’information trimestrielle N° 22 (octobre 2021) de la chaire VP-IP de l’IMT.
L’approche habituelle
Le RGPD (règlement général sur la protection des données) est le texte le plus visible sur le sujet. Ce n’est pas le plus ancien, mais il est mis en avant pour une raison simple : il prévoit des sanctions colossales (jusqu’à 4% du chiffre d’affaires mondial consolidé du groupe pour une entreprise). En conséquence, ce texte est souvent traité comme une menace. On cherche à se prémunir du risque juridique.
L’approche est toujours la même : faire un inventaire des données traitées, puis chercher le montage juridique qui permet de ne rien changer aux habitudes. C’est ce qui produit les textes longs, arides, qu’on demande à l’utilisateur final de valider d’un clic, le plus souvent sans le lire. Et hop, magie du droit : on a obtenu le consentement de l’utilisateur, on peut continuer comme avant.
Cette façon de faire pose différents problèmes.
- Elle dit que la privacy est un poste de coût, un risque, qu’elle n’est pas souhaitable. La communication sur le sujet peut donner une image catastrophique. Le message affiché dit une chose (en général “we value your privacy”), alors que la réalité dit le contraire (“tu signes le contrat, 73 pages, maintenant, sans le lire”). L’utilisateur sait bien, quand il signe ça, que tout le monde ment. Non, il ne l’a pas lu. Et non, personne ne respecte sa privacy. On signe un contrat bidon entre menteurs.
- On positionne l’utilisateur comme un ennemi. Quelqu’un a qui on fait signer un document, plus ou moins sous la contrainte, par lequel il s’engage à ne pas nous faire un procès, c’est un ennemi. On instaure une relation de défiance avec l’utilisateur.
Or on peut poser sur les mêmes textes un regard totalement différent, sitôt qu’on décide de changer d’angle.
Placer l’utilisateur au centre
La première approche permettait de satisfaire le juriste (éviter le procès) et l’informaticien (quelques bandeaux et boutons à ajouter, mais dans le fond on ne change rien). Cherchons à la place à satisfaire l’utilisateur final.
Forçons nous à considérer que la privacy est souhaitable, désirable. Supposons que nous soyons au service de l’utilisateur, au lieu de nous protéger de lui.
Nous rendons un service à l’utilisateur, et pour celà, nous traitons des données personnelles qui le concernent. Pas tout ce qui nous tombe sous la main, mais uniquement ce qui est nécessaire pour le service. Nécessaire pour satisfaire l’utilisateur, pas pour satisfaire le fournisseur.
Puisque nous avons des données sur l’utilisateur, autant le lui montrer, et lui permettre d’agir dessus. En affichant dès le début de manière compréhensible les choses, on crée un phénomène de confiance. En redonnant du pouvoir à l’utilisateur (supprimer et corriger, par exemple), on lui donne une position plus confortable.
Vous le voyez venir : en replaçant l’utilisateur au centre, on retombe de manière naturelle et logique sur les obligations du RGPD.
Et on voit alors ce point trop souvent mal compris du texte. Le RGPD prévoit un certain nombre de cas où il est légitime de manipuler les données personnelles de l’utilisateur. D’abord, à sa demande, pour lui rendre le service qu’il est venu chercher. Ensuite, pour tout un tas d’obligations légales. Ensuite, pour quelques exceptions bien ciblées (recherche, police, justice, urgence absolue, etc). Et enfin, si vraiment il n’y a aucune bonne raison, alors il faut demander un consentement explicite à l’utilisateur.
Si on demande son consentement à l’utilisateur, c’est qu’on est en train de porter atteinte à sa vie privée d’une manière qui ne lui rend pas service. Le consentement n’est pas la première condition de tout traitement de données personnelles. C’est au contraire la dernière. Si vraiment il n’y a aucun motif légitime, avant de faire un traitement, il faut demander la permission.
Une fois que ce point est posé, il reste l’objection clef : tout le modèle économique du digital, c’est de saccager la vie privée des gens, pour pouvoir les modéliser et les profiler, pour vendre de la publicité ciblée le plus cher possible, et faire de la prédiction de comportements. Bref, si on veut exister en ligne, il faut se calquer sur le modèle américain.
Protectionnisme
Tentons une autre approche. Considérons que le RGPD est un texte qui protège les Européens, qui impose nos valeurs (comme le respect de la vie privée) dans un monde qui les ignore. Le texte nous dit que les entreprises qui ne respectent pas ces valeurs ne sont pas les bienvenues sur le marché unique européen. Sous cet angle, le RGPD offre un effet protectionniste évident : les entreprises européennes respectent le RGPD, contrairement aux autres. L’écosystème du numérique européen peut se mettre à exister, et obtenir un accès protégé au marché le plus profitable du monde.
En partant de cette lecture, on voit dans la privacy un élément positif pour l’entreprise et pour l’utilisateur. Un peu comme un restaurateur va traiter les contraintes d’hygiène : il faut de la rigueur et du sérieux, mais c’est important de le faire pour protéger les clients, et on a tout intérêt à faire savoir qu’on est exemplaire. De plus, il est souhaitable que ce soit obligatoire, pour que les gougnafiers qui ne respectent pas les règles les plus élémentaires disparaissent du marché.
Et alors se déroule exactement la même mécanique. On considère que l’utilisateur est un allié, on le replace au centre du jeu. Si on a des données sur lui, autant le lui dire, le lui montrer, etc.
Il se joue à cet endroit-là un élément clef. Aussi longtemps que l’industrie numérique en Europe reste sur un modèle américain, et craint le RGPD, elle est positionnée à l’envers. Le monde du business a du mal à respecter les normes, dont il ne perçoit pas l’utilité. Il discute avec les autorités de contrôle pour demander assouplissements, reports, aménagements, exceptions, etc. Et donc, demande que l’arme destinée à protéger les entreprises européennes soit désarmée et laissée en attente.
C’est un équilibre de Nash. Toutes les entreprises européennes ont intérêt à utiliser à leur avantage l’effet protectionniste du RGPD, mais chacune a l’idée que si elle s’y met en premier, elle va perdre face à celles qui ne respectent pas la norme. Normalement, pour sortir de ce type d’équilibre néfaste, il faut une action de régulation du marché. Idéalement une action concertée de mise en mouvement dans la bonne direction. Pour le moment, ce qui ressemble le plus à une action de régulation, ce sont les sanctions de plus en plus élevées qui tombent un peu partout en Europe.
Se différencier
Bien entendu, la réalité numérique d’aujourd’hui n’est pas souvent aussi simple. Les données transitent, changent de main, sont collectées à un endroit, mais exploitées à un autre. Pour réussir à montrer aux utilisateurs les traitements, il faut souvent revoir beaucoup de choses, il faut centrer le processus sur l’utilisateur final plutôt que sur le métier.
Et quand bien même, il y a des cas où cette approche en transparence est impossible. Par exemple, les données qui sont collectées pour être utilisées en profilage pour la publicité ciblée. Ces données sont presque tout le temps transmises à des tiers, pour des usages qui ne sont pas en lien direct avec le service auquel l’utilisateur a souscrit. C’est le cas d’usage typique où on cherche à obtenir un consentement de l’utilisateur (sans quoi le traitement est illégal), mais où il est évident que la transparence est impossible et que le consentement éclairé est improbable.
On voit bien se dessiner deux grandes catégories. Les usages numériques qui peuvent placer l’utilisateur au centre, et qui peuvent se présenter comme des alliés, faisant preuve d’une très grande transparence. Et de l’autre côté, les usages du numérique qui sont incapables de se présenter comme des alliés.
C’est donc bien un positionnement différenciant, et positif, qui est permis par le traitement de la question de la privacy. En cherchant à défendre les intérêts de l’utilisateur, on améliore la conformité avec la réglementation, au lieu de chercher la conformité sans la comprendre. On fait alliance avec l’utilisateur. Et précisément, c’est ce qui change tout.