des astuces et conseils pour vous aider à mieux consommer au quotidien !
Cette nouvelle loi ne vous dit sûrement rien et pourtant elle est de première importance pour nous consommateurs puisqu'elle s'attaque à la protection de nos données personnelles sur internet, pour nous elle ne changera pas grand chose dans notre utilisation du net puisque ce sont de nouvelles obligations pour les éditeurs de sites internet et d'applications et pourtant elle nous concerne directement.
Je vous propose donc aujourd'hui d'essayer de décrypter et vulgariser cette nouvelle loi européenne nommée RGPD ou GDPR (en anglais) sur la protection des données personnelles pour qu'elle soit un peu plus compréhensible car je pense qu'il est important que tout consommateur soit informé des changements à venir et de comment sont gérées nos informations sensibles.
Avant de se lancer dans l'énumération de la loi et de ses implications je vous explique comment les entreprises utilisent nos données, un système assez opaque pour le consommateur.
Je viens justement de faire une formation sur la gestion et la fidélisation des clients dans le domaine du commerce et le premier conseil du formateur était, je vous laisse deviner. De récupérer un maximum d'informations sur ses clients et prospects (client potentiel mais qui n'a pas encore consommé/acheté).
Pour vous résumer les entreprises récupèrent vos données, les analysent pour faire ressortir vos habitudes de consommation et vos préférences en matière de communications, cela leur permet de vous proposer des offres personnalisées et ciblées mais aussi de définir quelle est la meilleure façon de vous les faire parvenir.
Une base de données personnelles ou « fichier clients » se présente souvent sous forme de tableau(x) sur lequel vous représentez une ligne sur laquelle sont notées vos informations personnelles, elle permet de cibler des groupes de consommateurs en fonction de leur habitudes pour personnaliser les offres promotionnelles et ainsi optimiser leur communication pour augmenter leur chiffre d'affaire et bénéfices.
Car vous vous en doutez mettre en place une communication coûte de l'argent donc autant qu'elle ai un maximum d'impact pour générer des bénéfices, si une entreprise dépense 1000€ dans une campagne publicitaire et qu'elle ne permet de réaliser que 5000€ de chiffre d'affaire supplémentaires ce n'est pas une bonne opération, par contre si elle permet d'augmenter le CA de 35000€ ça devient rentable pour l'entreprise.
Je vous donne un exemple: l'entreprise X a pour cliente Mme Y, elle lui a acheté plusieurs fois un baril de lessive. Si l'entreprise maîtrise bien sa base de données personnelles elle peut croiser les données et en déduire à quelle date elle va proposer une offre à Mme Y et comment lui transmettre pour qu'elle ai le plus de chance d'être efficace.
L'entreprise X peut grâce à vos données personnelles savoir quand votre baril de lessive va être vide et si vous préférez être contacté par mail, téléphone ou SMS. Ils vont donc mettre en place une communication et éventuellement une promotion personnalisée et vous l'envoyer juste au moment ou vous commencez à vous dire qu'il va falloir penser à racheter de la lessive.
Cette méthode est nommée OSICAM (Organiser, Segmenter, Interagir, Collecter, Alimenter, Mesurer) vous pouvez aller voir le site dédié pour plus d'informations. Les entreprises utilisent pour croiser nos données et en tirer avantage des logiciels spécifiques que l'on appelle GRC (Gestion Relation Client) ou CRM en anglais (Customer Relationship Management).
Les professionnels ont l'obligation de se mettre en conformité, la loi est valable pour tous les sites, applications, boutiques en ligne, blogs, etc... bref tous les acteurs du numérique qui recueillent des données personnelles qu'ils soient une PME, un géant de l'industrie ou une association.
Ce sont eux qui sont en charge de se conformer aux nouvelles obligations et qui doivent mettre en place toutes les mesures nécessaires pour mieux informer les consommateurs et assurer une protection maximale des données collectées, ils doivent vous indiquer la nature des données collectées et dans quel but ils le font.
Point important ce ne sont pas uniquement les entités européennes qui doivent se conformer à ces nouvelles obligations mais tous les acteurs qui collectent des données de ressortissants européens, qu'ils y soient basés physiquement ou pas. Les mêmes contraintes s'appliquent pour une entité basée à Los Angeles ou à Pékin qu'à Issy-les-Moulineaux.
Un géant international comme par exemple les fameux GAFA (Google, Amazon, Facebook, Apple et consorts) ont donc les mêmes obligations que la petite PME française qui se lance dans le e-commerce ou utilise un site vitrine pour établir un premier contact avec ses potentiels futurs clients.
Enfin les entités collectant et utilisant des données définies comme sensibles ont également l'obligation de nommer un délégué à la protection des données qui sera chargé d'appliquer les mesures de la RGPD, ce sera le poste du DPO (Data Protection Officer).
La loi RGPD prévoit des sanctions à l'encontre des contrevenants qui devront s'acquitter d'une amende en cas de non respect des nouvelles obligations, dette dernière pouvant s'élever à hauteur de 4% du chiffre d'affaire annuel mondial de la société (capé à hauteur de 20 Millions d'euros).
Un nouveau système de certification va être mis en place, jusque là c'était la CNIL qui s'en occupait mais ce sera désormais un nouvel organisme qui en sera chargé : le COFRAC (COmité FRançais d'ACcréditation) lui même accrédité par cette même CNIL.
Malheureusement les petits sites et indépendants auront bien du mal, comme toujours, à être en mesure de répondre à tous les critères et surtout à prouver qu'ils sont en règle pour bénéficier de tels labels mais ils auront une importance pour les grosses structures.
Si cette loi cible clairement les géants de l'internet d'où qu'ils viennent ce sont paradoxalement eux qui auront le moins de difficultés à se mettre en conformité armés d'avocats, développeurs, experts en sécurité que n'ont pas à leur disposition nos PME. La globalisation ayant ses avantages et ses inconvénients.
Mais revenons en à la nouvelle loi baptisée RGPD (Règlement Général sur la Protection des Données) ou GDPR pour les anglophones (General Data Protection Regulation) qui a été votée en 2016 par le parlement européen et entre en vigueur en date du 25 mai 2018, elle établi de nouvelles règles à suivre en matière de protection des données personnelles.
Si cette nouvelle réglementation ne change pas grand chose sur la quantité de données que les sites peuvent récupérer sur les consommateurs et de comment elles peuvent les utiliser comme je l'expliquais ci-dessus, elle met en place un cadre plus strict au niveau de leur sécurisation.
La nouvelle loi englobe l'ensemble des données à caractère personnel qui peuvent comme cité précédemment être vos coordonnées, vos habitudes de communication et de consommation mais aussi vos photos et vidéos, vos adresses IP (identifiant de connexion internet) ou des données biométriques (empreinte digitale).
La loi va même plus loin incluant les éventuelles données sur une orientation politique, religieuse ou même sexuelle. On y pense pas ou pas assez mais toutes nos interactions avec la toile laissent des traces et sont potentiellement récupérées et utilisées, ça va bien plus loin que de simples bannières publicitaires qui affichent des objets que l'on a consulté récemment.
Dès le début la RDPG précise que la protection des données personnelles est un droit fondamental, une majorité numérique doit également être mise en place mais ne l'est pas au niveau européen chaque état membre étant libre de fixer un âge tout en recommandant celui de 16 ans, ce sera 15 ans pour la France.
La RDPG inclue également le droit à l'oubli qui prévoit de rendre plus simple et plus rapide les procédures d'effacement des données ainsi qu'un droit à la portabilité censé faciliter les échanges complexes multi-canaux et assurer une meilleure traçabilité des données personnelles.
Enfin la loi ouvre un droit à l'information du consommateur, notion importante notamment en matière de piratages de bases de données personnelles qui arrivent de plus en plus régulièrement sur de gros sites, ces derniers auront désormais l'obligation formelle d'informer les particuliers concernés.
Pour synthétiser le paragraphe précédent (pour ceux qui ne l'ont pas lu) la loi s'articule autour de la protection de nos données personnelles au sens large du terme, elle met en place une série de mesures de sécurisation et octroie plus de droits au consommateur : majorité numérique, droit à l'oubli, droit à la portabilité et droit à l'information.
Comme évoqué en préambule pour le consommateur cette loi ne va pas modifier grand chose dans notre comportement sur internet, du moins tant que l'on a pas besoin de faire valoir ces nouveaux droits... c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui reste l'acteur majeur et qui doit assurer les contrôles de conformité auprès des entreprises.
Donc pour nous si nous aurons plus de droits cela se limitera au niveau de l'utilisation d'internet à devoir accepter plus souvent en arrivant sur un site ou autre application de smartphone que l'on collecte nos données personnelles, vous avez tous remarqué le petit bandeau sur les cookies en haut de site qui ne laisse guère le choix de cliquer sur « OK » ou « plus d'informations ».
Ce bouton OK va dans la plupart des cas juste être remplacé par « j'accepte » ou une autre formule de même type mais pourrait permettre (comme vous pouvez le voir sur les captures d'écrans réalisées sur le site de la CNIL) de choisir quelles interactions nous souhaitons accepter au cas par cas: par exemple je choisi d'accepter Twitter mais pas Facebook ou j'accepte Youtube mais pas DailyMotion.
Nous devrions donc être mieux informés à la fois sur les données collectées par chaque site et en cas de vol de bases de données permettra de savoir si l'on fait partie des victimes, il devrait également être plus facile d'accéder à nos informations et de faire valoir nos droits auprès des géants du web mais il est trop tôt pour dire concrètement dans quelle mesure, il faudra un peu de recul sur la mise en application pour pouvoir faire une premier bilan.
Qu'elle que soit votre utilisation de l'internet à partir du moment ou vous ouvrez votre navigateur vos données sont susceptibles d'être collectées : aussi bien vos posts et contenus multimédias sur un réseau social qu'une inscription à un site ou vos achats, il faut juste en être conscient et se protéger au mieux.
En effet c'est à vous en premier lieu de mettre en place un minimum de sécurisation, au niveau informatique avec des logiciels adaptés (anti-virus, anti-malware, etc...) et au niveau de votre utilisation en maîtrisant les informations que vous indiquez à tout moment.
Il est également possible d'utiliser par exemple un gestionnaire de mots de passes, un bloqueur de publicités, une boite mail cryptée ou un VPN qui est un logiciel qui permet de cacher son adresse IP. Après comme je dis souvent si l'on a rien à se reprocher il n'y a pas de raison qu'il y ai de soucis, mais cela n'exonère pas de se protéger.
Il n'y a pas d'inquiétude spécifique à avoir de toute façon tous les sites récoltent des données, que ce soit sous forme de publicités (que nous avons décidé de retirer pour vous offrir un meilleur confort de lecture), d'achat, d'espace membres, de forum ou encore de liens d'affiliation ou de parrainages. Ce qui est important est la manière dont elles sont utilisées ensuite.
Pour ce qui est de Tests et Bons Plans je vous rassure nous ne collectons aucune donnée personnelle, il n'est d'ailleurs pas possible de s'inscrire à un espace membre sur le site et la totalité de son contenu est disponible à tous sans aucune restriction.
Le bandeau concernant les données et cookies en haut de site et les CGU du blog sont celles de la société éditrice, à savoir Overblog qui est une société de solutions et d'hébergement de blogs française basée à Toulouse à laquelle nous payons un abonnement pour utiliser leurs services, l'hébergement et le nom de domaine du blog.
La seule base de données existante se limite à une liste d'adresses mail des abonnés à la newsletter sans aucune autre information donc inutilisable, elle est détenue et gérée par cette même société Overblog. Nous utilisons par contre des liens sortants vers d'autres sites, notamment commerciaux (boutiques en ligne par exemple), qui peuvent être susceptibles eux de collecter des données dans le cadre de la loi.
Voila pour conclure il suffit d'être un minimum responsable, contrôlez les informations que vous donnez et ayez une protection adaptée à votre utilisation de l'internet et vous devriez ne jamais avoir besoin de faire valoir vos droits sauf en cas de piratage qui reste le vrai danger.
C'est une chose de recevoir des offres publicitaires personnalisées mais c'en est une autre de se faire usurper son identité ou d'être victime d'un piratage à grande échelle.