La communication par la mesure.
Les algorithmes, les statistiques et plus globalement les sciences de la donnée ont pris une nouvelle dimension depuis une dizaine d’années. Le potentiel commercial et marketing de l’exploitation des données personnelles est devenu incontournable et “la data” se transforme en une source économique qu’on ne peut ignorer ou négliger. Les entreprises, les organisations, les gouvernements, les secteurs privés… tous souhaitent collecter des données, les garder et en collecter de nouvelles. L’Union Européenne alerte sur les dangers que représentent ces exploitations de données non contrôlées et se veut plus protectrice des données personnelles de ses ressortissants depuis la mise en place du RGPD (Règlement Général de Protection des Données). Les sociétés ayant une plateforme digitale se doivent désormais de demander l’autorisation des visiteurs, notamment pour collecter leurs données de comportement ainsi que leurs données personnelles directes. La CNIL (Commission nationale de l’informatique et des libertés) a procédé à des contrôles notamment sur Google Analytics (service gratuit d’analyse d’audience d’un site web ou d’applications utilisé par plus de 10 millions de sites, soit plus de 80% du marché mondial) et a considéré que celui-ci n’était pas conforme aux lois européennes. Définir une réglementation numérique impartiale est encore précaire, mais matériellement, ces technologies restent performantes et efficaces pour se permettre de les boycotter. Avant de comprendre comment de nombreuses entreprises françaises se retrouvent aujourd’hui impactées par ces décisions de loi, commençons par le début.
Max Schrems contre Facebook
En 2011 Max Schrems découvre que le réseau social Facebook a conservé des données qu’il avait pourtant supprimées de son compte. Il lance alors une action en justice contre Facebook. La CJUE (Cour de justice de l’Union européenne) se range de son côté et lance un premier arrêt majeur appelé “Schrems I”. Cet arrêt annule le Safe Harbor, un texte entre les Etats-Unis et l’Europe qui encadrait les flux des données personnelles vers les États-Unis. Un nouvel accord inspiré du Safe Harbor mais mis à jour avec de nouveaux engagements est alors établi, il s’agit du Privacy Shield. Malgré ce nouveau texte, Max Schrems estime toujours que ces entreprises ne protègent pas les données de leurs utilisateurs aussi bien qu’ils le prétendent. Il lance donc une nouvelle action en justice contre le Privacy Shield. Estimant que l’encadrement de ces flux de données n’est toujours pas satisfaisant, la CJUE se range de nouveau du côté de Max Schrems et rend un nouvel arrêt appelé “Schrems II”. À ce jour, un nouveau texte sur l’encadrement des transferts de données entre l’Europe et les Etats-Unis est toujours en attente.
Une mobilisation européenne
En février 2022, la France a confirmé sa position sur l’outil Google Analytics, en avril 2022 l’Autriche a suivi cette même décision, puis l’Italie en juin 2022. Tous affirment que l’outil Google Analytics ne respecte pas le règlement du RGPD, rendant ainsi les transferts de données vers les Etats-Unis illégaux. Le Danemark, les Pays-Bas et l’Allemagne ont également banni d’autres outils Google (Workspace basée sur le cloud de Google) notamment utilisés dans des écoles et craignant pour la protection des données personnelles de leurs élèves. En France, les déclarations et contrôles de la CNIL ne sont, à ce jour, que des avertissements auprès des entreprises sur l’utilisation de ces outils et tendent vers de nouveaux encadrements dans le domaine du numérique. Google Analytics, entre autres, se doit de se mettre en conformité avec les lois européennes sur la protection des données numériques, garantir des flux de données respectant les droits des utilisateurs européens et ne pas influencer les systèmes sociaux, politiques ou économiques qui viendront à en dépendre
Pourquoi les entreprises françaises sont-elles impactées ?
L’utilisation des données a entraîné une perte de sens et de spécificité dans tous les secteurs d’activité. Il est devenu normal d’obtenir et d’utiliser les données disponibles. Ces pratiques sont encore confuses dans de multiples milieux professionnels, pas toujours mises en place pertinemment et les données se retrouvent exploitées hors de contrôle. La CJUE a juridiquement constaté que les données européennes Google Analytics sont transférées illégalement par le biais de cet outil et les entreprises qui utilisent la version GA3 ou UA se retrouvent donc (à leur insu) dans des pratiques illégales. Une nouvelle version (de GA4) est disponible depuis 2020. Cependant, cette nouvelle version n’a pas encore été validée par la CNIL et en imaginant que celle-ci ne soit pas validée, les entreprises devront envisager des outils alternatifs.
L’ère d’un nouveau marketing ?
La version Google analytics (GA3) prendra fin en juillet 2023. Sur la nouvelle version, il est nécessaire de repenser les trackings, plans de taggage, les analyses de comparaison et de décision pour obtenir des indices de performances réalistes. Matomo, AT internet analytics, Netmonitor ou encore Beyable, globalement ces outils proposent des solutions conformes mais avec des fonctionnalités différentes. Dans son projet de régulation de la donnée, le fondement des outils analytiques à dû être repensé pour être conforme aux RGPD et cette nouvelle approche européenne aura un impact durable dans le secteur du numérique et professionnel. Les solutions analytiques concernées se trouvent contraintes d’abandonner des fonctionnalités avancées qui permettaient aux professionnels d’établir leurs rapports d’activité (analyse du CA, analyse par type de produit, localisation …). Il est important de comparer les moyens mis à disposition par ces outils et de s’orienter vers ceux qui conviendront le mieux à son secteur d’activité et ses objectifs. De nombreuses stratégies marketing et commerciale s’appuient sur des fonctionnalités analytiques qui nous ont été proposées, mais qui se retrouvent aujourd’hui en contradiction avec plusieurs législations et donc remises en cause par celles-ci. Ces changements offrent l’occasion aux professionnels d’anticiper les réglementations numériques à venir, d’inventer de nouvelles approches de communication et d’innover dans leurs stratégies liées aux outils analytiques.
👉🏻 Liste d’outils alternatifs recommandé par le CNIL
Qu’est ce que la notion de vie privée ?
Le numérique, les collectes de données, les réseaux sociaux…. Tout cela est récent, mais n’a eu de cesse d’évoluer à grande vitesse durant cette dernière décennie. Le manque de transparence sur l’intrusion de ces outils, applications ou collectes numériques incite à des pratiques qui manquent d’encadrement juridique. Il ne s’agit pas de différence philosophique sur la conception de la vie privée, mais plutôt de réflexions individuelles et sociétales afin d’implémenter des technologies en harmonie avec les sociétés et les modes de vie. Les politiques de confidentialité doivent être suffisamment claires et accessibles pour permettre le déploiement de ces outils en Europe sans impacter les libertés individuelles. Les flux des données personnelles sont désormais intégrés dans “les flux de la mondialisation” et la question sur l’hébergement des données à l’étranger commence à se poser. La création du RGPD par l’Europe a positivement influencé les Etats-Unis sur des questions de principes éthiques et de régularisation des données personnelles avec notamment, le “California Consumer Privacy Act” (CCPA), relatif à la protection des informations des consommateurs californiens depuis janvier 2020.
Pour la loi une République numérique, la CNIL s’est vu confier une mission qui a pour objectif de «préparer la France aux enjeux numériques du XXIème siècle». Pour cela, elle organise des débats publics autour des nouveaux enjeux numériques et scientifiques, des réflexions sur l’éthique des collectes de données et sur les questions de société concernant l’évolution des technologies numériques. Ce sont ces technologies qui vont créer et influencer une partie de la société des années à venir et l’éducation numérique ne fait que commencer.
👉🏻 Prochain débat de la CNIL > 7 novembre de 14h à 18h à la CNIL et sur les réseaux sociaux
Article écrit et rédigé par Haude BOSSARD
Source : cnil.fr / contre-atlas de l’intelligence artificielle / Baxter Factory : B.Athea & O.Ribouët / Interviews et conférences
d’Aurélie Jean
