L’adoption du RGPD et la peur de la publicité néfaste que pourrait provoquer une mise en accusation publique ont provoqué un changement de mentalité au plus haut niveau dans les entreprises. Mais, entre intérêts pécuniers et respect des lois, le cœur des entreprises balance.

L’adoption du RGPD en mai 2018 en Europe est considéré comme un point d’inflexion crucial sur la manière avec laquelle les organisations contrôlent et utilisent les données à caractère personnel. Ce faisant le régulateur européen, suivi par son homologue californien, a imposé une nouvelle vision plus contraignante sur la manière avec laquelle les organisations doivent respecter les règles, sous peine d’amendes pour l’heure beaucoup plus dommageables pour l’image des entreprises contrevenantes que pour leurs portefeuilles.

Le RGPD a agi comme un coup de pied dans la fourmilière, dérangeant un business de la vente des données privées qui ronronnait tranquillement à l’insu des principaux intéressés : nous.

Un an et demi après, les premières études sur l’impact du Règlement ont commencé à paraître. Malheureusement, elles se focalisent davantage sur les montants des amendes infligées, qui est jugé trop faible. Dans un rapport largement commenté, le cabinet d’avocats DLA Piper a comptabilisé un montant total de 114 M€ d’amendes infligées en 20 mois d’existence du RGPD. L’étude, à caractère juridico-financier, portait sur les 28 États membres de l'UE plus la Norvège, l'Islande et le Liechtenstein.

1

Pourtant, au-delà des montants sur les infractions au RGPD, largement inférieurs aux amandes infligées pour infraction aux lois anti-trust, qui se comptent par milliards, c’est sur les mentalités au plus haut niveau décisionnel des entreprises que le RGPD a eu l’impact le plus significatif. Les lois, européenne et californienne, ainsi que la préparation de lois similaires dans le monde entier incitent de nombreuses organisations à mettre le respect de la vie privée parmi leurs investissements les plus significatifs.

En effet, le manquement aux règles de protection des données personnelles peut être à l’origine de pertes dommageables pour l’image de l’entreprise et ses finances. Le scandale de la vente des données personnelles par Facebook à Cambridge Analytica a servi d’électrochoc et mis au grand jour un commerce aussi discret que lucratif, au mépris de la vie privée et de la démocratie.

Business as usual, mais pour combien de temps ?

Pourtant les entreprises, adtech et fournisseurs de données en tête, semblent avoir du mal à rentrer dans le rang. Et la mentalité « business as usual » prédomine toujours, comme le montrait le bureau du commissaire à l’information britannique. Dans un rapport, il indiquait que « les processus actuels d’enchères en temps réel ne respectent pas les trois principales exigences du RGPD : le consentement, la transparence et la fuite de données ».

À présent, la balle est dans le camp des entreprises et le dilemme semble mener à un choix cornélien. Voici comment les analystes de Forrester résumaient la situation dans un rapport publié en octobre dernier : « les spécialistes du marketing se battent pour conserver l’accès aux données des consommateurs alors que les réglementations régionales ont un impact mondial dans les salles d’audience et les conseils d’administration ».

Après une période de rodage, et d’indulgence pour laisser le temps aux entreprises de se conformer, les autorités de régulation devront être plus fermes dans les prochaines années, quitte à faire quelques exemples éclatants pour ramener les brebis égarées au bercail du respect de la vie privée. Il est fort à parier que les amendes vont alors augmenter en volume et en valeur.

Sources : diverses