Les résultats de l’étude font également apparaître d’importantes différences générationnelles. Les jeunes générations sont beaucoup plus conscientes des enjeux qui entourent le partage des données ainsi que de l'impact de ces dernières et de la technologie au sens large, par rapport aux générations plus âgées. Les résultats le confirment : les millennials (53 %) et la génération Z (47 %) sont plus susceptibles que la génération X (43 %) et les baby-boomers (35 %) de, systématiquement ou régulièrement, prendre le temps de comprendre comment une entreprise utilise leurs données personnelles en prenant connaissance des documents disponibles.
S’adapter pour instaurer la confiance
La capacité des entreprises à établir la confiance avec leurs consommateurs est une énorme opportunité. Pour les consommateurs, une grande partie de cette confiance dépend de la valeur perçue qu'ils reçoivent en contrepartie de leurs données personnelles. Il s'agit à la fois de transparence et d'échange de valeurs. C'est ainsi que les entreprises devraient envisager l'avenir : dans quelle mesure suis-je transparent au sujet des données que je collecte ? Qu'est-ce que je partage en retour ?
Probablement en raison de leur sensibilisation accrue, les jeunes consommateurs partagent leurs données plus librement. Par exemple, la moitié des millennials (50 %) se disent prêts à partager leur historique de recherche avec une grande entreprise technologique afin d’obtenir des résultats de recherche et des expériences en ligne plus personnalisés, contre moins d'un quart des baby-boomers (23 %).
En revanche, les plus anciennes générations ont besoin de contrôler qui peut accéder à leurs données. Deux tiers (66%) des baby-boomers indiquent qu’un manque de contrôle sur l’accès de tierces parties à leurs données diminue le niveau de confiance qu’ils placent dans une organisation. C’est le taux le plus élevé de toutes les générations dans l’étude.
Le RGPD, nouveau pacte de confiance avec vos clients
Par Fabrice Naftalski, Avocat associé, responsable du pôle Droit de la protection des données, de la propriété intellectuelle et du numérique, EY Société d’Avocats, Global Head of EY Data Protection Law Practice
L’étude menée par EY sur la perception des consommateurs du traitement de leurs données dans cette période particulière fait ressortir de la part de ces derniers une posture d’ouverture et d’altruisme à l’égard des organisations utilisant leurs données. Pour autant, cette évolution est assortie d’une attente de transparence renforcée, car les consommateurs sont soucieux de garder le contrôle de leurs données. Dans ce contexte, les entreprises ont donc une véritable carte à jouer.
Mais cette attitude d’ouverture est tributaire du niveau de confiance des consommateurs dans les traitements effectués par les organisations, que la finalité soit commerciale ou tournée vers l’intérêt général. Cette confiance est la condition sine qua non du partage de leurs données et de sa pérennité.
Le droit et la conformité au RGPD au service du pacte de confiance
C’est le droit qui va favoriser cette confiance. La règle de droit va s’appuyer sur le développement des lois dans le domaine de la protection des données personnelles, en Europe bien sûr, avec le RGPD entré en vigueur en mai 2016 et en application en mai 2018, mais aussi dans le reste du monde : près des deux tiers des États membres des Nations Unies ont désormais des lois ou projets de lois en matière de protection des données.
Ces lois répondent aux attentes du consommateur en imposant des règles de transparence et de sécurité aux organisations. Ainsi, ces dernières doivent démontrer qu’elles méritent cette confiance, c’est ce que permet le principe de responsabilité, plus lisible sous le vocable « accountability ». Il est une des principales innovations du RGPD, puisqu’il impose aux utilisateurs de données personnelles de rendre compte de la manière dont ils assurent leur conformité à ce dernier.
Cela se traduit par la mise en place de programmes de conformité dont les consommateurs bénéficient directement, car ce sont des actions concrètes qui donnent de la consistance au nouveau pacte de confiance entre les entreprises et les consommateurs.
Les leviers de la conformité et du pacte de confiance
Le RGPD propose plusieurs leviers pour mettre en évidence les bonnes pratiques des organisations en matière de protection des données.
Levier 1 : nommer un DPO
La désignation d’un délégué à la protection des données, est une fonction clé en charge de la conformité et un point de contact privilégié du régulateur mais aussi des consommateurs. Cette désignation est obligatoire en Europe dans certaines situations, par exemple lorsque le responsable de traitement est un établissement public ou lorsqu’il traite à grande échelle des données sensibles comme des données de santé ou d’infractions. Le délégué à la protection des données va former et conseiller les équipes qui utilisent les données au sein de l’organisation qui l’aura désigné. Il est le garant de la conformité au RGPD et acteur de sa mise en œuvre.
Levier 2 : information et transparence
Le RGPD impose aux organisations de porter à la connaissance des individus les finalités de traitement de leurs données personnelles, les destinataires de leurs données, la base juridique du traitement et la durée de conservation des données. Le consommateur doit aussi être informé des droits dont il dispose sur ses données, notamment le droit d’y accéder ou de s’opposer aux traitements envisagés. Pour les traitements les plus sensibles ou les traitements à finalité commerciale, le consentement explicite du consommateur devra souvent être sollicité en amont. Les obligations d’information détaillée et de recueil du consentement sont des outils précieux pour permettre au consommateur de garder le contrôle de ses données. Des prestataires Internet ont récemment été condamnés par la CNIL (Commission Nationale Informatique et Libertés) à plusieurs dizaines de millions d’euros d’amende car ils déposaient un grand nombre de cookies à vocation publicitaire sur l’ordinateur des internautes sans solliciter préalablement leur consentement. De surcroît, les informations communiquées aux internautes qui se rendaient sur le site concerné n’étaient ni claires ni complètes.
Levier 3 : la sécurité
Dans le domaine de la sécurité, le RGPD prévoit des obligations de sécurité renforcée à la charge des responsables de traitement et de leurs sous-traitants mais aussi des obligations de notification de violations de sécurité au régulateur (la CNIL en France) et dans l’hypothèse de « risque élevé pour les droits et libertés d’une personne physique, aux personnes concernées ». Plusieurs sociétés ont ainsi été sanctionnées car elles n’avaient pas mis en place de procédure d’authentification des utilisateurs de leur site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, la CNIL qualifiant cette précaution de « mesure élémentaire à prévoir ». Le maintien de la sécurité et de la confidentialité des données est aussi un facteur clé de la confiance des consommateurs.
Conclusion : certifier et communiquer sur sa conformité, un avantage concurrentiel
Pour rassurer et fidéliser leurs clients, les organisations ont intérêt à promouvoir les bonnes pratiques qu’elles mettent en place pour respecter la loi et protéger les données de leurs clients. Le RGPD prône la mise en place de mécanismes de certification et l’élaboration de codes de conduite afin de permettre aux responsables de traitement et aux sous-traitants de démontrer que leurs opérations respectent les obligations imposées par ce texte.
Le droit et en particulier le RGPD définit clairement les piliers de ce pacte de confiance dans l’intérêt des organisations et des personnes concernées. Le contexte actuel ne peut qu’inciter les entreprises à être toujours plus attentives à leur niveau de conformité et à communiquer sur cette dernière, qui peut aussi devenir un avantage concurrentiel.
Naviguer dans un nouveau paysage de la protection des données personnelles
Non seulement la pandémie a accru la sensibilisation des consommateurs à la protection des données personnelles, mais elle a également instauré un nouveau paradigme pour leur partage, qui repose sur des conditions, des valeurs et des expériences communes. En effet, la reprise de l'économie et le retour des personnes dans leurs locaux professionnels, dans les magasins et dans les écoles ont nécessité et nécessiteront la collecte d'informations personnelles.
La moitié des consommateurs (50 %) déclarent que la pandémie les a poussé à partager leurs données personnelles s'ils savent que cela contribue à l'effort de recherche et/ou au bien-être de la société. Il reste à savoir si cela représente une opportunité de long terme pour les entreprises. En fin de compte, la durée de vie de l'altruisme comme motivation dépendra des problèmes que nous pouvons résoudre, sur le plan social, grâce à ce partage de données.
Protection des données à caractère personnel : au-delà de la conformité, une opportunité !
Par Marc Ayadi, Associé EY Consulting, Cyber leader, WEM, France
La crise de la Covid-19 a mis au premier plan la nécessité pour les citoyens de partager certaines données à caractère personnel pour le bénéfice de la lutte des États contre la pandémie. Dans un contexte où le respect de la vie privée avait déjà pris une importance significative dans l’esprit des citoyens, notre étude montre que cette situation d’urgence a nettement exacerbé cette tendance.
Depuis 2016, la plupart des entreprises ont adopté une approche de protection des données à caractère personnel dont l’objectif essentiel était de se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne ; le plus souvent, le risque lié au montant des sanctions (le plus élevé des deux, entre 4 % du chiffre d’affaire mondial ou 20 M€) a déclenché le lancement de ces initiatives.
La situation des entreprises est aujourd’hui assez hétérogène, selon leur secteur d’activité bien sûr, mais aussi en fonction de l’appétence des directions générales vis-à-vis du sujet. Les plus matures d’entre elles ont mis en place des systèmes complets de management de la protection des données reposant sur une gouvernance forte ; elles ont lancé ou s’apprêtent à lancer des projets de déploiement de solutions technologiques permettant de faciliter et d’optimiser la gestion au jour le jour de cette conformité.
Plus rares sont celles qui ont profité de l’arrivée du RGPD pour aller au-delà de la conformité et faire de la protection des données à caractère personnel un axe majeur pour renforcer la confiance des clients, des collaborateurs, des partenaires et plus généralement du public. Pourtant, la protection des données personnelles constitue un des droits fondamentaux de l’Union Européenne et s’inscrit au chapitre des libertés individuelles. Au-delà de la conformité, c’est le caractère éthique de l’utilisation des données à caractère personnel qui doit être mis au centre des préoccupations des directions générales. L’étude menée par EY montre que la crise sanitaire a exacerbé la sensibilisation du public à la protection des données à caractère personnel. Participant à cette sensibilisation, l’accroissement des violations de données à caractère personnel liées à des cyberattaques, combiné au développement de la collecte de ces données, rend le public de plus en plus sensible à leur protection. Les données que nous sommes susceptibles de confier à des entreprises, des administrations ou d’autres organisations sont le reflet de notre intimité et méritent, à ce titre, d’être considérées autrement que comme « l’or noir » de l’économie numérique. Les entreprises qui sauront se différencier en valorisant leurs pratiques de protection des données à caractère personnel avec un haut niveau de transparence obtiendront la confiance de leurs clients et du public en général alors même que dans un monde où l’incertitude est à un niveau rarement égalé, la recherche de confiance est forte.
Outre l’amélioration et la structuration des traitements de données à caractère personnel, le RGPD donne aux entreprises l’occasion d’afficher concrètement leurs convictions en matière d’éthique, contribuant ainsi à leur bonne réputation et leur apportant un niveau de confiance élevé.
Dans un tel contexte, les directions générales doivent se saisir du sujet de la protection des données à caractère personnel pour s’assurer qu’il est pris en considération et qu’il est tourné vers la protection des données de la vie réelle d’individus plutôt que de les considérer comme de simples actifs sensibles de l’entreprise à valoriser.
La prise de conscience des comités de direction de ces enjeux est aujourd’hui indispensable pour dépasser la stricte conformité et valoriser les démarches de protection des données à caractère personnel. Mettre les droits et les libertés des personnes au cœur des préoccupations des entreprises leur permettra d’instaurer une relation de confiance vertueuse avec leur environnement et ainsi contribuer largement à leur développement.
