Les règlementions encadrant la protection des données et le Règlement Européen Général sur la Protection des Données (RGPD) en tête, ne bénéficient pas toujours d’une bonne réputation : « encore une contrainte règlementaire », « encore un texte long et incompréhensible », « encore un centre de coût », « encore un mur à l’innovation »… Plus de 3 ans après l’entrée en vigueur du RGPD, les avis sont encore nombreux à être récalcitrants.
Le RGPD comme un bénéfice concurrentiel peut, aujourd’hui, sembler être un point de vue à contre-courant.
Le fond est pourtant bénéfique : en effet, le RGPD encourage la sensibilisation des personnes, souvent en tant que salariés, mais avant tout en tant que citoyens et consommateurs. Il encourage également le legal design, la maîtrise de leurs données par les personnes concernées, l’assainissement des processus internes, la souveraineté numérique européenne, et même une confiance globale dans l’économie numérique.
Le RGPD serait-il alors mal compris ? Comment faire donc pour que le RGPD soit vu comme un outil bénéfique, voire un atout concurrentiel ? Existe-t-il des exemples d’utilisation de la protection des données comme un outil de différenciation ?
Le RGPD sous le prisme de la gestion du risque
Pour estimer la valeur d’un atout, il faut être en mesure de chiffrer l’avantage qu’il peut conférer.
« Malheureusement, il n’existe pas de méthodologie ou d’indicateurs précis qui permettent de mesurer en chiffres l’avantage que peut conférer le respect des principes du RGPD » confie Clémence Scottez, ancienne cheffe du service économique de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Assez naturellement, la démarche s’inverse alors, et le RGPD est abordé sous le prisme du risque : quel est le risque potentiel de contrôle par une autorité de protection des données ? Quel est le risque de sanction ? Et en cas de sanction (ou de violation de données), quel est le risque de médiatisation et le montant de l’amende ? Quel est le risque de perte de clientèle ou de chiffre d’affaires ?
Les amendes administratives des autorités pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel sont généralement l’argument qui fait office de levier, au-delà du risque pénal pesant sur le dirigeant (art. 220-16 et s. du code pénal) qui reste une épée de Damoclès assez théorique, au regard du peu de décisions de justice reposant sur ce fondement.
Toutefois, aujourd’hui, le risque ne vient pas seulement des autorités : « Nous sommes à un tournant important dans la mise en conformité des entreprises : auparavant le seul risque était la CNIL, aujourd’hui des organismes extérieurs, tel que UFC-Que choisir, mettent en garde contre les entreprises ne respectant pas les lois RGPD » indique Clémence Scottez.
Sont également régulièrement évoqués le risque pour la réputation et l’image de l’organisation, l’éventuelle perte de clientèle mais ici encore, aucun chiffre n’existe sur l’effet effectif de sanctions publiques sur la performance d’une entreprise.
Enfin ces arguments trouvent leur limite dans le fait qu’ils soient somme toute anxiogènes, et reposent sur un trop faible nombre de sanctions et d’études d’impact pour être suffisamment clairs et utilisables pour vendre l’intérêt du RGPD.
Or pour vendre un projet à sa direction et à ses équipes, il est préférable de mettre en lumière les bénéfices plutôt que les pertes potentielles.
Les risques liés à la sécurité
Au-delà du risque juridique, la protection des données est, souvent, assimilée à la cybersécurité.
D’abord, parce que les médias font plus souvent état de fuite de sécurité et de violations de données – sans doute car elles sont plus spectaculaires – que de non-conformité aux principes de protection des données.
Ensuite, parce que ces violations de données doivent être notifiées à l’autorité de protection des données dès qu’elles présentent un risque pour les droits et libertés des personnes concernées, ce qui peut donner le sentiment – à tort – aux organisations d’attirer l’attention d’une autorité qui n’aurait peut-être jamais fait attention à elles dans d’autres cas.
Aussi, le risque cyber, et donc de violation de données, est un risque concret, qui se matérialise à de nombreuses reprises au sein des organisations, et qui peut concerner – au-delà des données à caractère personnel – l’ensemble de leurs informations confidentielles (financières, propriété intellectuelle, etc.).
C’est un risque qui, cette fois, est quantifiable, de par le coût important de rattrapage d’une fuite de sécurité[1], ou encore par le coût des primes d’assurance en cybersécurité, ces dernières pouvant aller de plusieurs milliers d’euros par an à des centaines de milliers d’euros par an en fonction de la taille de l’organisation et de la couverture choisie.
Alors existent-ils des bénéfices à la mise en conformité au RGPD qui ne sont pas lus sous le prisme de la gestion d’un risque potentiel ?
[1] Rapport d’IBM Security : moyenne de 3,84 millions d’euros par violation de données en 2020
La confiance comme atout concurrentiel
En son considérant 7, le RGPD évoque deux notions allant de pair : la confiance et l’économie numérique. Il indique « ces évolutions [technologiques] requièrent un cadre de protection des données solide […] car il importe de susciter la confiance qui permettra à l’économie numérique de se développer […] ».
La confiance est un enjeu majeur en économie comme en témoignent, par exemple, les fluctuations des marchés financiers en fonction de la conjoncture et des évènements de société, mais également de la confiance que l’on peut avoir dans la croissance des activités d’une société.
Il en est, par conséquent, de même dans le cadre de l’économie numérique, et le RGPD peut tout à fait – et doit – être lu sous cet angle.
D’abord, il impose une protection des données personnelles tout le long de la chaîne contractuelle, pour la construction d’un environnement privacy-friendly : ainsi s’il était impossible de trouver une sanction des autorités de protection des données infligée à un sous-traitant ante RGPD, ce dernier leur impose désormais des obligations propres (arts. 28, 29, 32, 82 al 2 du RGPD) et impose aux responsables de traitements de n’avoir recours qu’à des sous-traitants en mesure de garantir leur conformité au RGPD, et celle de leurs sous-traitants ultérieurs (art. 28 RGPD).
Le RGPD impose également de diffuser une culture de la protection de la vie privée au sein des organisations. Comme toute personne concernée, les salariés ou les membres d’une administration voient leurs données personnelles protégées par leur employeur : il est de plus en plus commun que des politiques de confidentialité dédiées aux salariés soient fournies aux nouveaux embauchés et (vidéosurveillance excessive, traitement de données excessif, traitements de données sensibles non conforme[1]) en témoigne la récente sanction de 400 000€ de la RATP par la CNIL pour une collecte de données non nécessaire[2]. On remarque également, en pratique, que de plus en plus de précontentieux entre un employeur et un salarié fait l’objet d’un droit d’accès général sur les données personnelles détenues par l’employeur, preuve que le sujet est désormais pris en compte.
Par ailleurs, la protection des données peut légitimement s’inscrire dans une démarche RSE de l’entreprise puisqu’elle englobe principes éthiques et de responsabilité envers les tiers, les salariés et les clients finaux.
Les clients finaux sont, d’ailleurs, souvent vus comme les plus concernés, et leur confiance dans l’usage de leurs données par les organisations est la plus recherchée : « quand nous n’avons pas la confiance de nos clients et prospects, on inspire de la crainte. Et la crainte représente 65% de renonciation à l’achat ou au renouvellement d’un contrat » déclare Clémence Scottez, d’après une étude Acsel de 2021 sur la confiance des français dans le numérique[3] .
A ce titre, il est dommage que les premiers à avoir axé leur communication sur le sujet l’aient fait outre-Atlantique, comme Apple, géant du numérique qui défend la protection de la vie privée dans ses appareils et applications via ses campagnes publicitaires[4], ou comme les navigateurs internet prônant la confidentialité de la navigation comme Brave, ou DuckDuckGo sur les smartphones.
En France, malheureusement trop esseulé, Qwant fait office de chevalier blanc sur le sujet. Peu de compagnies se servent encore de la protection des données comme un levier, comme elles peuvent pourtant le faire actuellement sur leurs pratiques écologiques.
[1] l’Autorité de Protection des Données allemande sanctionne H&M de 35 millions d’euros en 2020
[2] La CNIL sanctionne la RATP d’une amende à hauteur de 400 000 euros
[3] Etude Acsel de 2021 sur la confiance des français dans le numérique
[4] Apple : « Respect de la vie privée : Transparence du suivi par les apps »
Les principes même du RGPD sont des atouts concurrentiels
Les leviers pour faire du RGPD un avantage concurrentiel sont directement fournis par le RGPD ! Par le principe de privacy by design, par exemple : inclure la protection des données dès la conception de produits et services permet justement de faire des principes de protection des données une force. « Assainir les traitements de données permet de s’inscrire, de manière pérenne, dans l’économie des données » assure Clémence Scottez, en gagnant la confiance des utilisateurs finaux qui seront dès lors plus enclins au partage de leurs données. Or, c’est sur la base du partage de ces données que les organisations sont en mesure de fournir des produits et services personnalisés et plus adaptés à l’usage fait par leurs utilisateurs. On entre alors dans un cercle vertueux qui a pour base non plus le concept d’« object centric », mais celui de « user centric » pour être aussi proche des attentes de l’utilisateur que celui-ci le souhaite.
Par le principe de transparence également : il est obligatoire d’informer les personnes concernées du contexte et des modalités d’usage de leurs données (art. 13 et s. RGPD). S’il s’agit d’une obligation, c’est également une opportunité à saisir, notamment avec le public le plus jeune, habitué aux communications aux designs et aux textes clairs et épurés (voire divertissants).
La tendance est malheureusement encore aux mentions d’informations longues et au champ lexical juridique débordant. Pourtant, le RGPD exige une information claire et surtout compréhensible : libre aux responsables de traitement d’adapter leurs moyens d’information pour qu’ils soient plus simples et accessibles dans la forme, et surtout dans le langage. Pourquoi ne pas faire appel à des pictogrammes ou des éléments visuels plutôt qu’à un long bloc textuel ?
L’étiquette RGPD compliant comme un élément différenciant
Il est possible, qu’au-delà du respect du règlement, le marché tende vers la certification comme pour toute démarche qualité liée à la sécurité des informations, à la conformité des produits ou la RSE.
A ce sujet, l’AFNOR notamment propose déjà un label « privacy tech » qui vise à valoriser l’engagement et le savoir-faire en faveur de la protection de la vie privée chez les éditeurs de logiciel[1].
Peut-être que dans le futur, l’étiquette « je protège ta vie privée » sera l’atout indispensable pour attirer le client.
