En avril 2016, la Commission européenne a entériné le principe d'un nouveau Règlement Général de Protection des Données (RGPD), qui va modifier en profondeur la façon dont les entreprises peuvent et doivent gérer les données personnelles. Le texte sera prochainement complété par la directive ePrivacy, qui va préciser les modalités de mise en œuvre pour toutes les entreprises amenées à exercer en direction des internautes européens.
Si tous les contours exacts ne sont pas encore dessinés, la date d'entrée en vigueur du texte est d'ores et déjà fixée. Au 25 mai 2018, tous les acteurs qui constituent des fichiers de données personnelles devront s'être mis en conformité avec le nouveau cadre réglementaire. En cas d'infraction avérée, ils s'exposent à une amende pouvant théoriquement atteindre 4% de leur chiffre d'affaires.
Pensé pour protéger la vie privée des internautes, le RGPD est un texte complexe dont les enjeux doivent être compris et maîtrisés par tout acteur amené à traiter des données personnelles. En matière de e-commerce, ses implications concernent deux pans de l'activité.
Le premier niveau concerne l'informatique et le traitement de ces données, ainsi que les responsabilités associées. Le second est relatif au marketing et à la publicité en ligne, touchés par les nouvelles contraintes en matière de cookies.
1/ Un pilote en interne pour les données personnelles
Dans les grandes lignes, le RGPD cherche à renforcer la responsabilité des sociétés amenées à gérer des informations personnelles. Ses différentes dispositions cherchent donc à assurer la protection de ces données, mais aussi leur traçabilité, et le suivi précis des traitements qui en seront faits.
Pour garantir le bon respect de ces nouvelles règles, la CNIL française incite les entreprises qui travaillent sur des données personnelles à grande échelle à nommer un délégué à la protection des données. Il sera chargé de tenir le registre des traitements, d'analyser les risques et de traiter les litiges ou les notifications.
Ce poste de DPO (Data Protection Officer) s'inscrit dans le prolongement de ce que la CNIL avait déjà initié avec son Correspondant Informatique et Libertés (CIL), avec un niveau de responsabilité similaire mais des prérogatives étendues.
Une fois installé, ce pilote est censé cartographier l'ensemble des traitements de données personnelles réalisés par l'entreprise pour identifier les carences et proposer une optimisation des processus. La CNIL recommande également la création d'une documentation permettant de justifier des mesures entreprises en cas d'enquête de conformité.
Que faire à court terme ? Mieux vaut lancer un rapide audit de son système d'information pour savoir à quoi s'en tenir quand la directive ePrivacy sera publiée, d'autant qu'il sera difficile d'esquiver son impact sur les pratiques en matière de marketing...
2/ La délicate gestion des cookies
Là où le RGPD s'attache à la protection des données personnelles dans leur ensemble, ePrivacy se concentrera plus précisément sur l'exploitation des données issues des communications. Avec ce texte, la Commission européenne affiche sa volonté de remettre au premier plan la notion de consentement de l'internaute, en particulier pour ce qui concerne la question des cookies.
Aujourd'hui, la norme est au cas par cas, ce qui signifie que chaque éditeur se charge de recueillir le consentement du visiteur avant de distribuer les traceurs dédiés aux opérations de ciblage. Demain, le règlement ePrivacy prévoit que le consentement se fasse au niveau des options du navigateur Web, de façon globale.
De cette façon, l'internaute disposerait dans son logiciel d'une option lui permettant dès la première connexion de choisir quels sont les cookies (1st party, 3rd party, audience, publicité, réseaux sociaux) qu'il accepte et quels sont ceux qu'il choisit de bloquer pour de bon.
Cette mesure inquiète au plus haut point les éditeurs. 33 grands groupes médias l'ont dénoncée fin mai dans une lettre ouverte adressée à Bruxelles. Selon eux, elle " prive les éditeurs de presse de la capacité d'informer chacun des lecteurs sur les raisons pour lesquelles leur consentement est sollicité, d'expliquer les avantages de contenus journalistiques et marketing personnalisés, et de rappeler l'importance de l'abonnement et de la publicité dans le modèle économique d'une presse de qualité ".
L'inquiétude est également de mise du côté du e-commerce. " Beaucoup d'e-commerçants seront pénalisés par ce mécanisme, notamment ceux qui ont une logique de média avec de la publicité ciblée ", fait par exemple remarquer Marc Lolivier, le délégué général de la Fevad, dans une interview au JDN. Plutôt que de gérer la question de façon globale, en laissant apparaître d'inévitables conflits d'intérêt (Google et Microsoft sont à la fois éditeurs de navigateur Web et régie publicitaire), il demande donc que le consentement recueilli au niveau du site prenne le pas sur le choix exprimé au niveau global.
Lourde de conséquence pour l'ensemble des acteurs du Web, la mesure sera âprement discutée jusqu'à l'adoption définitive du règlement ePrivacy, prévue pour la fin de l'année 2017. Il ne restera ensuite que six mois pour se mettre en conformité.