La privacy comme opportunité
Le RGPD est, pour certains, présenté comme une contrainte juridique, typiquement dans le monde des entreprises du numérique; et pour d’autres comme une protection des libertés fondamentales, plus souvent dans le monde des militants. Chacun venant moquer le point de vue de l’autre.
On propose ici une autre grille de lecture. Le RGPD, vu comme une opportunité de faire des affaires de manière intelligente, en développant un modèle économique centré sur le service rendu à l’utilisateur.
L’approche habituelle
Aujourd’hui, dans le monde de l’entreprise et de la data, la dimension la plus visible de la notion de privacy,c’est le RGPD, le règlement général sur la protection des données. Ce n’est pas le premier texte législatif sur le sujet, mais c’est celui qui est le plus souvent mis en avant pour une raison simple : il prévoit des sanctions colossales en cas de manquements (qui peuvent atteindre 2% du chiffre d’affaire mondial consolidé du groupe pour une entreprise, 4% pour les cas les plus graves). En conséquence, ce texte est systématiquement traité sous l’angle de la menace. On cherche à se prémunir du risque juridique, on analyse le sujet sous l’angle de la compliance.
L’approche est toujours la même. Commencer par faire un inventaire des données que nous traitons. Ensuite, chercher le montage juridique qui permet de ne rien changer aux process habituels. Puis mettre en œuvre ce montage. C’est ce qui produit des textes longs, arides, qu’on demande à l’utilisateur final de valider d’un clic, le plus souvent sans le lire. Et hop, magie du droit : on a obtenu le consentement de l’utilisateur, on peut continuer comme avant.
Cette façon de faire pose différents problèmes.
- Elle positionne la privacy comme un poste de coût, comme un risque, comme une chose qui n’est pas souhaitable. Ce procédé dit que la vie privée de l’utilisateur est quelque chose de pénible, qui n’est pas souhaitable ou désirable pour la prospérité de l’entreprise. La moindre tentative de communication sur le sujet peut aboutir à une catastrophe en termes d’image. Le message affiché dit une chose (en général “we value your privacy”), alors que la réalité porte un message contraire (tu signes le contrat, 73 pages, maintenant, sans le lire). L’utilisateur sait bien, quand il signe ça, que tout le monde ment dans cette histoire. Non, il ne l’a pas lu. Et non, personne ne “value” sa privacy.
- On positionne l’utilisateur comme ennemi, d’une certaine manière. Quelqu’un a qui on fait signer un document, plus ou moins sous la contrainte, par lequel il s’engage à ne pas nous faire un procès, c’est un ennemi. Instaurer une relation de défiance, voire de méfiance, à cet endroit-là, pose problème.
Or on peut poser sur les mêmes textes un regard totalement différent, sitôt qu’on décide de changer d’angle.
Placer l’utilisateur au centre
Pour trouver un autre angle, il faut trouver un autre point de vue (merci monsieur de Lapalisse). La première approche permettait de satisfaire le juriste (on est conformes à la loi, et on n’aura probablement pas de procès) et l’informaticien (quelques bandeaux et boutons à ajouter, mais dans le fond on ne change rien). Cherchons à la place à satisfaire l’utilisateur final.
Forçons nous à considérer que la privacy est souhaitable, désirable. Qu’en protégeant les données de l’utilisateur, nous lui apportons un service bien meilleur. Partons du principe que nous sommes au service de l’utilisateur, et pas en train de nous protéger contre lui.
Nous avons un service à rendre à l’utilisateur, et pour rendre ce service, nous collectons et manipulons des données personnelles qui le concernent. Pas tout ce qui nous tombe sous la main, mais uniquement ce qui est nécessaire pour rendre le service, ce qui est nécessaire à satisfaire le client, pas à satisfaire le fournisseur.
Puisque nous avons des données sur l’utilisateur, autant le lui montrer, et autant lui permettre d’agir dessus. Par exemple en affichant tout ça dans son compte utilisateur, avec les outils pour modifier les données, pour supprimer ce qu’il a envie de supprimer. La transparence peut parfois faire peur. Quand l’utilisateur ne sait pas tout ce qu’on a comme données sur lui, la première fois qu’il voit tout ça, il a peur. Mais si on a toujours laissé visible les traitements réalisés, plus encore si on a laissé le choix de bloquer ou d’autoriser ces traitements, il n’y a ni surprise ni peur. En affichant de manière compréhensible les choses, on crée un phénomène de confiance. En redonnant du pouvoir à l’utilisateur (supprimer et corriger les données directement, par exemple), on lui donne une position plus confortable.
Vous me voyez venir : en décrivant comment replacer l’utilisateur au centre du débat sur la privacy, je retombe de manière assez naturelle et logique sur les obligations du RGPD.
Et on voit alors ce point trop souvent mal compris du texte. Le RGPD prévoit un certain nombre de cas où il est légitime de manipuler les données personnelles de l’utilisateur. D’abord, à sa demande, pour lui offrir le service qu’il est venu chercher. Ensuite, pour tout un tas d’obligations légales (ce n’est pas pour la tenue de mon compte bancaire que mon banquier a fait une copie de ma carte d’identité, c’est par obligation légale). Ensuite, pour quelques exceptions bien ciblées (recherche, police, justice, urgence absolue, etc). Et enfin, si vraiment il n’y a aucune bonne raison, alors il faut demander un consentement explicite à l’utilisateur.
Voilà bien un point clef de compréhension. Si on en vient à devoir demander son consentement explicite à l’utilisateur, c’est qu’on est en train de porter atteinte à sa vie privée d’une manière qui ne lui rend pas service. Le consentement n’est pas la première condition de tout traitement de données personnelles. C’est au contraire la dernière, si vraiment il n’y a aucun motif légitime, avant de faire un truc potentiellement un peu crado, il faut demander la permission.
Le plus souvent, une fois que ce point est posé, il reste l’objection clef : tout le business du digital, c’est de saccager la vie privée des gens, pour pouvoir les modéliser et les profiler, pour vendre de la publicité ciblée le plus cher possibles, et faire de la prédiction de comportements. Bref, si on veut exister en ligne, il faut se calquer sur le modèle américain.
Protectionnisme
Tentons une autre approche. Considérons que le RGPD est un texte qui protège les Européens, qui impose nos valeurs (comme le respect de la vie privée) dans un monde qui les ignore. Le texte nous dit que les entreprises qui ne respectent pas ces valeurs ne sont pas les bienvenues sur le marché unique européen. Sous cet angle, le RGPD offre un effet protectionniste évident : les entreprises européennes, qui respectent la vie privée comme une chose précieuse et désirable, gagnent un avantage concurrentiel évident. L’écosystème du numérique européen peut se mettre à exister, et obtenir un accès protégé au marché le plus profitable du monde.
En partant de cette lecture positive du texte réglementaire, on peut se mettre à lire la privacy comme un élément positif pour l’entreprise et pour l’utilisateur. Un peu comme un restaurateur va traiter les contraintes d’hygiène : il faut de la rigueur et du sérieux, mais c’est important de le faire pour protéger la santé des clients, et on a tout intérêt à faire savoir qu’on est exemplaire. De plus, il est souhaitable que ce soit obligatoire, pour que les gougnafiers qui ne respectent pas les règles les plus élémentaires disparaissent du marché.
Et alors se déroule exactement la même mécanique ! On peut considérer que l’utilisateur est un allié, le replacer au centre du jeu. Si on a des données sur lui, autant le lui dire, le lui montrer, etc.
Il se joue à cet endroit-là un élément clef. Aussi longtemps que l’industrie numérique en Europe reste sur un modèle américain, et craint le RGPD, elle est positionnée à l’envers. Ayant du mal à respecter les normes dont il ne perçoit pas l’utilité, le monde du business discute avec les autorités de contrôle pour demander des assouplissements, des reports, des aménagements, des exceptions, etc. Et donc, demande que l’arme destinée à protéger les entreprises européennes soit désarmée et laissée en attente.
Voilà bien un équilibre de Nash. Toutes les entreprises européennes ont intérêt à utiliser à leur avantage l’effet protectionniste du RGPD, mais chacune a l’idée que si elle s’y colle en premier, elle va se faire tailler en pièces par celles qui ne respectent pas la norme. Normalement, pour sortir de ce type d’équilibre néfaste, il faut une action de régulation du marché. Idéalement une action concertée de mise en mouvement dans la bonne direction. Pour le moment, ce qui ressemble le plus à une action de régulation, ce sont les sanctions de plus en plus élevées qui commencent à pleuvoir un peu partout en Europe.
Se différencier
Bien entendu, la réalité numérique d’aujourd’hui n’est pas souvent aussi simple. Les données transitent, changent de main, sont collectées à un endroit, mais exploitées à un autre. Pour réussir à montrer aux utilisateurs les traitements, il faut souvent revoir beaucoup de choses, il faut centrer le processus sur l’utilisateur final plutôt que sur le métier.
Et quand bien même, il y a des cas où cette approche en transparence est impossible. Par exemple, les données qui sont collectées pour être utilisées en profilage pour la publicité ciblée. Ces données sont presque tout le temps transmises à des tiers, pour des usages qui ne sont pas en lien direct avec le service auquel l’utilisateur a souscrit. C’est le cas d’usage typique où on cherche à obtenir un consentement de l’utilisateur (sans quoi le traitement est illégal), mais où il est évident que la transparence est impossible et que le consentement éclairé est improbable.
On voit bien se dessiner deux grandes catégories. Les usages numériques qui peuvent placer l’utilisateur au centre, et qui peuvent se présenter comme des alliés, faisant preuve d’une très grande transparence. Et de l’autre côté, les usages du numérique qui sont incapables de se présenter comme des alliés.
C’est donc bien un positionnement différenciant, et positif, qui est permis par le traitement de la question de la privacy. En cherchant à défendre les intérêts de l’utilisateur, on améliore la conformité avec la réglementation; au lieu de chercher la conformité par contrainte, on fait alliance avec l'utilisateur. Et précisément, c’est ce qui change tout.