Les limites du RGPD au Royaume-Uni

Vous vous rendez sur le site d’un journal. Un pop-up apparaît. Vous acceptez de partager vos données avec tous les partenaires adtech présents sur le site de l’éditeur. Votre accord fait désormais partie d’une « chaîne de consentement ». Tous les partenaires adtech enregistrés ont ainsi accès à cette chaîne qui leur permet de personnaliser les futurs messages qui vous seront envoyés… A moins que vous ne reveniez ce site, trouviez votre profil et modifiiez vos préférences !

Depuis la mise en place du RGPD, avez-vous eu la sensation d’avoir repris le contrôle sur vos données ? Les possibilités d’ opt-in ont-elles amélioré votre relation avec les marques ? Ces dernières s’adressent-elles à vous au bon moment, via les bons canaux et avec les bons messages ?

Face à toutes ces questions, votre réponse est très probablement non. Même le plus expérimenté d’entre nous en matière de consentement et de digital se demande comment procéder, tandis que d’autres ont abandonné jusqu’à l’idée même de protéger leurs donnés en ligne. Enfin, d’autres encore estiment que leurs droits sont toujours bafoués par les marques et vont jusqu’à faire appel à l’Information Commissioner’s Office (équivalent de la CNIL au Royaume-Uni).

En réalité, le monde de la data ne s’est pas vraiment amélioré un an après l’introduction du RGPD au Royaume-Uni. Pour résumer, les utilisateurs ont désormais une plus grande conscience de leurs droits et les entreprises doivent se tenir prêtes à gérer les plaintes concernant le traitement des données de leurs utilisateurs.

La Commissaire à l’Information britannique, Elizabeth Denham, a souligné que les demandes reçues par l’équipe de l’ICO se sont accrues de plus de 100 %, incluant « davantage de plaintes du public concernant les demandes d’accès, la portabilité et la sécurité des données ». Les recherches de l’ICO démontrent qu’un britannique sur trois seulement fait confiance aux organisations pour gérer légalement leurs données. Des statistiques plutôt alarmantes.

L’ICO déclare néanmoins que le RGPD contribue à rendre les européens plus sensibles à la protection de leur vie privée, et par conséquent à mieux responsabiliser les organisations qui achètent, vendent, échangent et stockent leurs informations personnelles.

Si cela peut vous rassurer, neuf pays d’Europe dépassent le Royaume-Uni en nombre de fuites de données par habitant. Selon une récente étude du cabinet DLA Piper, les Pays-Bas en comptent le plus grand nombre, avec 89,8 déclarations pour 100 000 personnes. D’un point de vue global, le Royaume-Uni a le troisième plus grand nombre de violations déclarées (valeur absolue), avec plus de 10 000 plaintes (rappelons que le Royaume-Uni rassemble plus de 66 millions de citoyens). Seuls les Pays-Bas (15 400) et l’Allemagne (12 600) en comptent davantage.

Avec plus de 59 000 fuites déclarées dans toute l’Europe dans les neuf premiers mois de mise en œuvre du RGPD, les entreprises ont dû se faire violence pour comprendre les problèmes afin de pouvoir répondre au mieux à toutes les plaintes.

Pour les entreprises, la première étape en matière de bonnes pratiques de gouvernance des données concerne les processus de collecte et de gestion des données, qui doivent être à la fois précis et bien documentés. Car, pour être tout à fait juste, les inquiétudes des individus sur l’incapacité des sociétés à se conformer à la loi sont plus que fondées. Jusqu’à aujourd’hui, toujours selon DLA Piper, seulement 57 % des sociétés britanniques ont conduit un audit de leurs données, une étape pourtant clé dans la mise en conformité avec la nouvelle réglementation. Par conséquent, le fait que les enquêtes de l’ICO sur les violations déclarées soient consacrées en priorité à la question de la gouvernance devrait poser problème à beaucoup d’entreprises britanniques.

Selon Elizabeth Denham (ICO), « Si, dans la limite des 72 heures, une organisation britannique n’a aucune idée sur le qui, le quoi, le comment d’une fuite, alors il est clair qu’ils n’ont pas mis en place les contrôles nécessaires en matière de responsabilisation des données – comme exigé par la loi. Je crois que les déclarations de violation de données incitent les entreprises à investir pour une meilleure sécurité et gouvernance des données. Pour cette raison, le signalement des fuites m’apparaît comme l’une des avancées les plus significatives de la nouvelle loi. »

L’ICO établit donc catégoriquement que, pour les entreprises, le premier principe de conformité au RGPD est de posséder une documentation à jour, de contrôler le stockage des données et d’avoir conscience des risques en cas de fuite. Cette documentation doit expliciter le processus des systèmes de gestion de leurs cookies et leur adéquation aux lois sur le traitement et le stockage d’informations personnelles.

L’exploitation des données s’est perfectionnée grâce à l’industrie adtech qui en fournit les outils, mais les marques doivent travailler main dans la main avec des experts du digital pour mettre en œuvre ces nouvelles pratiques de collecte et de traitement de données, afin de satisfaire pleinement les exigences des autorités.

Toutes ces lois sur les données possèdent donc les mêmes objectifs : une expérience de navigation plus naturelle et moins intrusive, des temps de chargement plus rapides et plus de transparence et de respect pour les utilisateurs et leur vie privée. Un an plus tard, les entreprises britanniques ont donc encore beaucoup de travail à accomplir pour se conformer à ces lois. Affaire à suivre !

En lien avec cette article, lisez l’article de Guillaume Coulomb, Product Manager chez fifty-five : #RGPD hors de l’Union Européenne : quels enjeux pour mon entreprise ?