RGPD : Un premier bilan qui crée plus d'interrogations qu'il n'en résout

Pour être bref, le RGPD est le cadre européen réglementant le traitement et la circulation des données à caractère personnel. Il s'applique non seulement aux entreprises opérant sur le territoire de l'Union Européenne, mais également à celles qui opèrent auprès de citoyens européens. Il est d'ores et déjà intéressant de noter que cette législation, qui remplace des textes vieux de plus 20 ans, a été forgée avec l'expérience des combats pour le déréférencement (avec notamment Facebook en ligne de mire) et ceux contre la notion de Safe Harbour (exportation et stockage des données hors de l'Union Européenne par des entreprises américaines) au moment où Edward Snowden révélait l'ampleur de la saisie systématique de données privées par les organismes américains et britanniques chargés de la surveillance d'état.

Mais cet historique-là semble échapper à l'usager lui-même. Usager dont il est intéressant de constater que l'accès à l'information sur ce que sont les données privées et leur protection se fait paradoxalement par le biais des entreprises et des administrations, ainsi que par les médias, acteurs qui sous une forme ou une autre sont grands agrégateurs, consommateurs, et bénéficiaires de la collecte de ces données personnelles.

La question de la légitimité de la collecte des informations personnelles par les administrations est bien comprise, et la sureté de la préservation de celles-ci vue comme garantie par les organes d'état. Tel n'est pas le cas pour les entreprises dont la position est, au mieux, ignorée par le grand public, jusque et y compris leurs propres employés qui auront souvent eu une information minimale, elle-même dictée par une obligation de conformité légale.

Mais ce qui nous intéresse finalement le plus est la vision de l'usager lambda d'Internet, celle de la personne qui ouvre un site parmi les dizaines que chacun utilise potentiellement chaque jour, se confrontant pour la première fois au choix offerts en termes de gestion de la collecte de ses données personnelles (et ce de manière répétée pour chaque site ouvert à nouveau depuis la mise en œuvre du RGPD).

Les options proposées vont la plupart du temps d'une acceptation généralisée, assez décomplexée pour tout dire, de la politique du site, elle-même accessible sous la forme d'un texte souvent abscons et long de plusieurs pages, jusqu'à la validation précise de chaque élément collecté et chaque organisation collectrice pour le site en question. La plateforme sur laquelle s'opère la collecte, et donc le site que l'internaute désire visiter, se positionne alors en intermédiaire bienveillant, garant de la protection de l'utilisateur.

Arrivé à ce point, qu'en est-il des choix pour l'internaute et de leur clarté ? Pêlemêle, l'usager d'un site se verra confronté aux notions d'opt-out (désinscription sous forme d'un choix volontaire de ne pas accepter quelque chose), ou de cookies nécessaires (que l'on pourrait qualifier plus justement et plus simplement d'obligatoires, mais là aussi le vocable compte). L'acceptation passe bien souvent par l'existence ou non d'opt-out au niveau des ‘partenaires’ qui récoltent et analysent les actions. Les boutons sur les fenêtres permettant ces choix sont souvent marqués de termes ambigus, a-t-on accepté, refusé, et quoi au juste ? Les boutons d'opt-out généraux cachent ainsi plusieurs situations contrastées selon les propres politiques des "partenaires" sur lesquels chaque site estime pouvoir faire porter la responsabilité de ce qui ressemble bien souvent à une parodie d'hyper-transparence. Notons également que l'usage d'une procédure d'opt-out a été largement démontré, dans le cas du consentement au don d'organe notamment, comme augmentant l'acceptation de plusieurs dizaines de pourcents, contrairement à un opt-in (on coche si l'on veut quelque chose) qui favorise, lui, largement le rejet de l'option proposée. In fine, on cliquera bien souvent sur ‘accepter’, afin de pouvoir consulter les pages désirées dans un délai raisonnable. Se dire que l'on remet ainsi à plus tard l'exploration des choix proposés est illusoire. Le panneau mis en évidence lors de la première visite et proposant ceux-ci n'apparaitra en effet généralement plus une fois le choix initial acté.

Cette façon de procéder crée là aussi un flou psychologique certain du point de vue du consommateur, que peut-on collecter ? Que puis-je refuser ? Pourquoi devrais-je dire oui ?

Les arguments proposés en réponse à cette dernière question sont toujours assez intéressant à lire, si l'on prend le temps d'absorber les chartes et autres pages d'information, avec par exemple :
- proposer des contenus et services adaptés à vos centres d'intérêts
- améliorer l'expérience utilisateur
- permettre l'utilisation de boutons de partages sociaux
- réunir des statistiques sur l'usage du site

Même si la très grande majorité des sites ne pointe pas les gains pécuniaires réalisés grâce au "partage" (à la vente) des données collectées avec les "partenaires" (clients monétisant eux-mêmes les données ainsi agrégées), on est finalement devant la mise en évidence de l'illusion qu'est la gratuité sur Internet. La monnaie avec laquelle se paient les services fournis par les sites internet étant bien entendu la donnée personnelle, qu'elle soit sociodémographique ou comportementale. On vient alors simplement d'y consentir explicitement (bien qu'il soit intéressant de noter que l'on peut dans la plupart des cas continuer sa navigation sur le site en ignorant simplement le bandeau nous invitant à choisir, arborant le plus souvent le seul bouton "accepter", ainsi qu'un lien hypertexte moins visible pour vérifier les options, et le cas échéant refuser la collecte).

Un peu comme face à l'apparition de paywalls (accès payants à partir d'un point de consultation du contenu) sur les sites d'information, un malaise et un choix se créent : choisir de se passer soi-même des services proposés, choisir à quel site on "donne" ses informations personnelles (un peu comme à quelle œuvre charitable on verse son écot). L'ensemble de l'expérience semble indiquer à un utilisateur, de moins en moins dupe de telles pratiques, que le souhait est celui d'un passage rapide du moment de choix (usage immédiat du bouton accepter, non-décision et non-action accompagnée de clauses légales indiquant que "la consultation du site implique l'acceptation…") à l'oubli retrouvé d'une collecte systématique par de très nombreuses organisations de toutes les données possibles concernant l'utilisateur ou son usage du site.

Les conséquences sont nombreuses pour l'ensemble des acteurs professionnels : nourrir le Big Data, mais aussi retenir ses utilisateurs, ou sauvegarder sa réputation. Le combat et visible par médias interposés. En témoignent par exemple les articles du Monde détaillant les pratiques controversées de Facebook dans ce domaine, auxquels répondent des encarts de communication pleine page couleur de l'entreprise elle-même dans le même journal, clamant que l'entreprise propose "des paramètres de vie privée plus accessibles".

L'obligation morale qui découle de la collecte et de l'usage de ces données, ou l'effet d'exemplarité simplement, mettent en abîme les situations nationales hors du giron du RGPD. Cela va des moins mal lotis, comme le Canada ou les États-Unis où la prudence reste malgré tout de mise en raison d'une pratique d'activisme et de class-actions qui rendent risquées certaines dérives, jusqu'aux pays dont la volonté de collecter et d'utiliser les données est à la fois totale et décomplexée (l'usage des données les plus privées, dont la biométrie, est vue comme offrant le progrès en Chine par exemple, ceci sans les questionnements éthiques qui apparaissent comme évidents aux sociétés occidentales nées des Lumières).

Des éléments multiples s'imposent d'ores et déjà à ce premier stade de la mise en place du RGPD :
- Respecter strictement la réglementation (les premières amendes sont là, Optical Center vient d'en faire les frais)
- Conserver ses visiteurs
- Continuer à bénéficier du retour sur investissement généré par son contenu (payé en données personnelles)
- Réussir cette transition et conserver la confiance des utilisateurs, fournisseurs de données personnelles qui sont censés le devenir de manière à la fois consciente et volontaire
- Peut-être revoir la valeur pécuniaire individuelle des données recueillies par chaque partenaire (avec en cause l'amoindrissement mécanique de la collecte par les choix ouverts/offerts par le RGPD)

C'est ce dernier point qui est sans doute le prochain chantier de la profession dans son ensemble, les modèles économiques seront confrontés à l'inconnue des baisses de volumes de collecte pour cause de résistance des utilisateurs à cette collecte, cela en raison des outils de choix ouverts par le RGPD. Les collecteurs de données devront certainement se situer également au niveau de la transparence, et de la participation active, volontaire, et décomplexée, que cette transparence pourrait apporter de la part des utilisateurs. Ce qui est en question c'est l'avenir des modèles d'affaire impliqués, la pleine alimentation du Big Data (sans que l'on perde systématiquement les données des internautes les plus sensibles à la protection de leur vie privée, ce qui formerait sur le long terme un biais potentiellement significatif entre la mesure et la réalité des marchés), la réception de futures pratiques évoquant les mêmes craintes, et finalement, le chemin même que prendra la collecte des données, essentielle pour maîtriser et comprendre toujours plus finement les marchés. Les réponses dépendront de la posture et des outils que toute une industrie mobilise face à des demandes légitimes de la part des sociétés, à l'image du RGPD. À l'aune de ces constats, il est moins que certain que la panoplie déployée aujourd'hui soit en ce sens très adaptée ou très productive.