Baromètre Converteo RGPD : étude du niveau de conformité des sites français
Converteo (ADLPerformance), cabinet de conseil en stratégie digitale et data, dévoile le Baromètre RGPD, une étude du niveau de conformité des sites français, en association avec DIDOMI, plateforme innovante de gestion de la vie privée, et Me Marc-Antoine Ledieu, Avocat associé au cabinet Bardehle Pagenberg. L’enquête dresse un panorama de la conformité RGPD des sites internet des annonceurs audités et de leurs pratiques front office de gestion des données personnelles.
Il en ressort que seulement 6% des acteurs audités sont en conformité avec le Règlement Européen sur la Protection des Données (RGPD ou GDPR) à six mois de son entrée en vigueur. Un constat établi, grâce à un audit des sites internet de 100 entreprises et acteurs français ou opérant en France. Pour 16 secteurs étudiés, un point commun : une prise en compte encore embryonnaire des futures obligations en matière de collecte et traitement des données et d’information des consommateurs. Les GAFA et autres pure-players se distinguent par leur avance.
Les acteurs français doivent avancer sur les quatre piliers de la conformité RGPD
Les acteurs français ou opérant en France ont encore de nombreux points à éclaircir pour atteindre un degré satisfaisant de conformité à la RGPD, avant son entrée en vigueur le 25 mai 2018. Leur niveau de conformité est encore bas dans l’ensemble, au regard des quatre principes de protection des données personnelles que le RGPD précise : finalité, transparence, conservation et sécurité.
Sur la question du consentement explicite et éclairé des traitements de données, de 84% à 94% des sites ne demandent pas le consentement à la collecte des données personnelles, ou cochent encore par défaut ce consentement (ce qui sera interdit en mai). De plus, 64% des acteurs audités ne permettent pas encore la mise à jour libre du consentement. Plus globalement, 5% des entreprises anticipent la nomination de leur futur Data Protection Officer, que ce soit par formation ou par recrutement.
Les GAFA et autre pure-player sont déjà (presque) prêts
Les acteurs nés sur internet - pure-players du e-commerce, réseaux sociaux, GAFA - sont globalement en avance dans le processus de conformation :
- 83% d'entre eux ont déjà ajusté leurs pratiques d'information des consommateurs en matière de collecte des données personnelles (contre 47% des acteurs des autres secteurs)
- Et 83% de ces mêmes pure-players et GAFA ont actualisé leurs circuits d’information sur la finalité de leur collecte des données (contre 67% des acteurs des autres secteurs)
« Il est certes plus facile de se mettre en conformité sur ces critères quand on est un pure player ou un GAFA, les efforts se concentrant sur le contact digital avec les clients et prospects, rappelle Dounia Zouine, manager chez Converteo. Mais, revoir la gouvernance de la donnée et en clarifier les règles de gestion est à la portée de toutes les entreprises ».
Dans ce domaine, Apple, Google et Facebook font en effet preuve d’une grande maturité. Leurs exemples sont repris dans le baromètre RGPD :
- Google met à disposition un espace dédié pour que chaque utilisateur de YouTube, Gmail, etc. puisse gérer ses données personnelles qui y sont collectées.
- Facebook développe du contenu didactique pour illustrer l’usage, y compris publicitaire, des données que le réseau collecte. Une interface ad hoc a par ailleurs été conçue pour permettre la portabilité des données, qui sera obligatoire au 1er mai 2018.
- Apple a intégré dans ses derniers iOS (mobiles et tablettes) des fonctionnalités permettant à chaque utilisateur de faire valoir son droit à l’opposition à la prospection.
Trois bonnes pratiques pour se mettre en conformité : pédagogie, transparence et simplicité
Converteo accompagne des entreprises et acteurs publics dans leur mise en conformité au RGPD, et trois bonnes pratiques de gestion des données personnelles et des cookies ressortent de ces expériences :
- Développer une communication pédagogique et accessible vis-à-vis des internautes : séparer la politique de gestion des données personnelles des mentions légales ou CGV/CGU, rester concret, utiliser des formats ludiques (vidéos, infographies, etc.).
- Expliquer en toute transparence quelle donnée est collectée pour quel usage, et conservée pendant combien de temps. Le format tableau est ainsi recommandé.
- Cadrer, déployer et AB-tester les outils permettant de collecter les consentements, de mettre en place le droit à l'oubli et la portabilité des données. Des outils user-friendly peuvent être intégrés directement à chaque site.
« Le RDPG est une opportunité d’améliorer l’expérience-utilisateur et fournir de nouveaux services, deux facteurs de différenciation entre concurrents, conclut Dounia Zouine. Il est ainsi possible de rendre le consommateur responsable de ses données. Tout part d’un diagnostic des processus de collecte : en découlent des mesures d’adaptation, parfois très simples, qui concilient conformité au droit et valorisation des données personnelles collectées ».