RGPD : Le jour d’après

RGPD : Le jour d’après

https://ift.tt/2GWwlRE









On y est ! L’échéance du 25 mai 2018, attendue depuis plus de 4 ans, est passée.

Les européens ont découvert leur univers numérique nettoyé de tout partage non consenti de leurs données personnelles, et brandissent fièrement l’étendard R.G.P.D. dont ils maîtrisent par cœur les 100 pages du règlement qui les protègent. Oui, enfin, c’est l’idée…

Mais la ligne droite de ces dernières semaines a révélé que ce n’était pas si simple et GreenSI a lu dans le détail beaucoup de communications de sociétés annonçant fièrement leur mise en conformité, pour s’apercevoir que les paillettes étaient de mise.

La mise en conformité est un marché juteux.

Bien sûr il y a le marché de la mise en conformité des grandes entreprises sur lequel se sont engagés depuis longtemps les ESN et cabinets de conseils. Après tout au départ se sont bien les « mastodontes du numérique » qui étaient visé quand ils imposent leurs pratiques avant que le législateur n’ait vu, voire n’ait compris, ce qu’ils faisaient. Un marché temporaire car la première conséquence du RGPD est que les entreprises prévoient de recruter des profils informatique et juridique. La protection a un coût que le consommateur européen finira par payer.

Mais il y a également le marché des TPE et PME qui, par rapport aux entreprises plus grandes, doivent également se mettre en conformité car toutes ont au moins un fichier clients et des données du personnel. Et pour elles un écueil non prévu apparaît, la sous-traitance.

En effet, elles commencent à recevoir les demandes de questionnaires issues de leurs clients, les grandes entreprises, qui demandent de déclarer leur conformité alors qu’elle n’ont justement pas de moyens dédiés pour cela. En effet, au cœur du texte RGPD on a le concept de responsable de traitement qui peut être sous-traité. Dans ce cas on reporte une partie du sujet sur les sous-traitants.

Or les 3 millions de TPE et PME françaises sont souvent sous-traitantes des grandes entreprises et elles risquent le déréférencement à ne pas s’exécuter.

Certains y ont vu un marché pour les accompagner, au point d’avoir fait fleurir des panneaux de publicité (au moins dans le 92, d’où provient la photo) pour mettre en avant le risque d’une pénalité de 4% du chiffre d’affaires si on n’est pas conforme au 25 mai. Ambiance…

Transférer le problème à un autre est d’ailleurs aussi ce qu’a fait Google avec ses outils de tracking de site web, ou de blogs, en transférant la responsabilité sur chaque entreprise qui utilise les outils de Google de revoir la conformité de ses traitements que Google n’a pas à connaître (voir ce billet).

Le jour d’après : le début d’une longue période d’adaptation.

La CNIL sait que la majorité des entreprises ne sont pas prêtes sur tous les aspects d’une loi très vaste en termes d’application, voire intrusive quand elle indique à l’entreprise les moyens à mettre en œuvre et comment les organiser (DPO, registre des traitements, etc…).

Même après une première phase de recrutement, la CNIL n’aura pas non plus les moyens de contrôler toutes les entreprises, et ce pour très longtemps. Elle devra donc « automatiser » ses contrôles en collectant des données analysées par ses algorithmes. Une perspective qui rappelle une autre agence de l’État, la Hadopi, qui a fait couler beaucoup d’encre à l’époque. Elle vit encore sous perfusion (~10M€) à l’heure de Netflix et des plateformes de streaming payant qui l’ont rendue obsolète. Mais l’humeur des français n’est pas à faire confiance aveuglément aux algorithmes, même ceux de l’État, si on en juge la mauvaise publicité autour des résultats de Parcoursup, après les déboires d’ABP.

Soixante sénateurs ont d’ailleurs saisi le Conseil Constitutionnel concernant la loi d’application du RGPD, car, outre quelques contradictions avec d’autres lois, ils trouvent que le texte ouvre une porte un peu trop grande à la CNIL et sans contreparties : pas de délais à respecter quand elle est saisie, elle peut être saisie à tout moment sans processus formalisé, pas de garantie d’impartialité sur les agents en charge des décisions, voire les potentiels futurs algorithmes de la CNIL (pour traiter un problème à la taille du contrôle de toutes les entreprises françaises).

En synthèse le jour d’après c’est : « je n’ai pas les moyens d’être conforme, et tu n’as pas les moyens de me contrôler ». Une grande partie de poker menteur vient donc de commencer à l’échelle de la planète !

L’audition de Mark Zuckerberg au Parlement Européen, étant le clou de la soirée de lancement de cette partie géante, quand on apprend que Facebook appliquera le RGPD dans tous les pays, alors que les semaines précédentes les CGU de Facebook ont été modifiées sans grande publicité pour que les non-européens dépendent des États-Unis et non plus de Dublin son siège européen.

Il n’y a aucun doute sur le fait que le RGPD aura un impact.

Le RGPD aura un impact sur la protection des données, c’est déjà moins certains, mais on peut s’y attendre partiellement tant le nombre de mesures prises qui ratissent assez large pour qu’il y en ait qui se déploient sans difficulté mondialement.

Mais c’est surtout l’impact d’effets collatéraux qui commence à apparaitre.

Déjà il y a la fin de certains services en Europe. GreenSI l’avait d’ailleurs annoncé (voir épée de Damoclès sur l’innovation). Quand un service représente en Europe une faible partie des revenus d’une société et un risque plus grand de ne pas être conformes, le jeu n’en vaut pas la chandelle. Le rationnel c’est de fermer et d’attendre.

C’est le cas du Los Angeles Time, qui doit maintenant se lire… avec un VPN 😉

GreenSI n’est pas sûr que pour les Européens de ne plus pouvoir lire le Los Angeles Time soit finalement un progrès démocratique si grand que ça.

Sachant que la presse dans son ensemble est sur un équilibre financier précaire. Après une dizaine années de baisse des revenus de vente au profit d’internet elle a besoin d’un modèle de données personnalisées pour son développement.

Ce modèle est donc devenu plus compliqué avec le RGPD et le sera encore plus avec le prochain règlement sur le « ePrivacy ». Google a déjà annoncé qu’il transférait la responsabilité sur les éditeurs de s’assurer qu’ils sont conformes quand ils proposent un lien personnalisé depuis son moteur de recherche. Le risque c’est de ne plus pouvoir utiliser ce type de ciblage en Europe et de faire revenir la presse… 10 ans en arrière dans l’Internet, quand on se savait pas qui était sur son site.

Et puis il y a ceux qui savent y faire pour avoir votre consentement rapidement. Par exemple juste après avoir saisi un itinéraire pour Waze, quand vous êtes en retard, ou en bloquant l’accès à votre compte depuis chaque terminal pour Twitter, tant que vous n’avez pas validé. Sans aucun doute les pertes d’abonnés des grands réseaux sociaux seront marginales, comme les moins de 13 ans, et il n’y a pas eu d’impact sur leur cours de bourse.

Enfin il y a ceux qui ont certainement eu tout faux en attendant le 25 ou le 26 mai pour vous envoyer leur demande de confirmation de recevoir leur newsletter. Ils ont été pris dans le flot de demandes arrivant le même jour et ont certainement terminés à plus de 99% dans la corbeille.

Le marketing B2B va devoir se réinventer en Juin…

Et puis les incertitudes c’est bénéfique pour les hackeurs et le phishing.

Des sites fleurissent pour vous aider à récupérer vos données, certains sont réellement des sites pirates basés hors d’Europe qui récupèrent vos mots de passe quand vous leur donnez accès. Le remède est pire que le mal…

Notre Ministre du numérique s’est même fait prendre, dans son enthousiasme pour cette nouvelle liberté qu’ouvre la récupération de ses données, à retweeter un de ces sites peu recommandable.

D’autres sites, comme Cozy, ont des intentions plus avouables comme celle de vous vendre du stockage mais ils ont toujours le même discours « poker-menteur ». Comment en 2018 après 10 ans de « quand c’est gratuit c’est vous le produit » on peut faire croire à un slogan comme celui de Cozy, d’un produit gratuit sans contrepartie, même post-RGPD !

Et l’hébergé en France ne marche pas pour l’Europe. La pérennité d’une société de stockage ne misant pas sur les économies d’échelle au moins au niveau européen me parait très compromise, en tout cas au point de ne pas croire une seconde que l’on aura ce service « à vie ».

Alors finalement positif ou négatif ce début de RGPD ?

GreenSI est allé analyser les 53.000 tweets échangés et surtout les sentiments qu’ils véhiculent (avec l’outil TalkWalker) pour la France sur cette dernière semaine. Le résultat global est « à la française » avec autant de positif que de négatif. Mais on constate que le positif (courbe verte), a bénéficié de l’effet « #RGPDay » où tout le monde a bien rigolé pendant le passage, puis se fait plus rare juste après.

GreenSI a donc filtré et extrait uniquement les tweets avec une mesure de sentiment claire et fait la séparation en le négatif et le positif (qui s’additionnent) dans la courbe ci-après.

Sans aucun doute la bascule vers le négatif est en train d’émerger et
l’équilibre global précédent n’est plus vrai si on est avant ou après la
date du 25 mai.

Est-ce que les premiers impacts inattendus du RGPD en sont responsables, ou est-ce que le « jour d’après » est finalement celui d’un grand chamboulement dans les données personnelles où seuls les plus grands et les plus astucieux vont s’adapter ?

Il est encore un peu tôt pour le dire. GreenSI refera une analyse en fin d’année, mais en attendant préparez quand même avec une petite laine si le RGPD venait à geler toutes vos ardeurs de services innovants personnalisés à vos clients européens 😉









Sécurité,doc dsi

via ZDNet – Business et Solutions IT https://ift.tt/1iQLQtB

May 27, 2018 at 08:16PM