L’enjeu de la sensibilisation à la problématique des données à caractère personnel

Deux ans après l’entrée en application du Règlement Général sur la Protection des Données (« RGPD »), la multiplication des contrôles et les 8 sanctions de la CNIL infligées en 2019 soulignent les enjeux croissants autour de la donnée à caractère personnel.
L’augmentation exponentielle du volume de données à caractère personnel engendrées par l’utilisation des divers outils, plateformes, réseaux et autres objets connectés n’est plus un secret. En 2025, il est estimé qu’environ 75 milliards d’appareils seront connectés à internet.

Cependant, il est légitime de s’interroger sur le niveau de sensibilisation des individus – aussi bien dans la sphère professionnelle que privée – en ce qui concerne la valeur que peuvent représenter leurs données personnelles.

L’évidence de la valeur de la donnée à caractère personnel

Les données à caractère personnel, or noir du XXIème siècle, dont le volume de production et de marchandisation ne fait que croitre, permettent une exploitation toujours plus poussée et variée. Parmi les myriades d’utilisations offertes par cette nouvelle matière première, la segmentation comportementale et le profilage, souvent exploités par les directions marketing et data scientists, font partie des pratiques proposant le plus d’opportunités et générant potentiellement des risques sur la vie privée des personnes.

A titre d’exemple, le slogan « Data drives all we do » est particulièrement évocateur. Si celui-ci ne parle pas forcément à l’ensemble de la population, le dessein est ici très clair. Ces cinq petits mots sont le leitmotiv qu’a prôné Cambridge Analytica jusqu’en 2018.

En tant que spécialiste de l’analyse de la donnée à très grande échelle, Cambridge Analytica a utilisé celle-ci à des fins d’analyse et de manipulation des comportements (1). C’est alors que « Data drives all we do » prend tout son sens. En effet, l’entreprise s’est octroyé le droit de recueillir, sans le consentement, les données de trente à soixante-dix millions d’utilisateurs de Facebook afin d’effectuer des profilages pour divers clients. Le recueil de ces données a permis la segmentation des utilisateurs et l’affichage de contenu ciblé, notamment dans le cadre des élections présidentielles américaines aux fins d’orienter les votes.

Si du côté de Cambridge Analytica les faits remontent déjà à 2018, les mondes du marketing et de la communication ont bien compris qu’ils avaient la capacité de repousser les limites qu’offre aujourd’hui l’analyse des données à caractère personnel. Avec des technologies telles que les cookies, les pixels de tracking, le finger printing, etc. nous pourrions inventer un nouvel adage « Connais-toi toi-même et je te connaitrais encore mieux ». Idées brillantes pour certains, impétuosité effrayante pour d’autres, la question d’un équilibre reste à trouver afin de ne pas franchir un point de non-retour. Aussi compliqué qu’il semble à trouver, cet équilibre doit reposer sur trois piliers fondamentaux que sont :

  • Le respect des droits et libertés fondamentales ;
  • La liberté d’entreprendre ;
  • L’appropriation des enjeux de vie privée et de protection des données par les populations professionnelles et de particuliers.

Dans cette balance essentielle à trouver, il est important de rappeler une chose. Les éventuelles utilisations illégales ou illicites des données à caractère personnel ne sont pas inhérentes à ces technologies faisant désormais partie de nos quotidiens. Il est surtout nécessaire de cadrer les usages qui peuvent être faits de ces technologies.

Comment réussir ce cadrage indispensable ? Par l’apprentissage et la sensibilisation auprès des populations étant amenées à utiliser et développer ces technologies.

La nécessaire poursuite de la sensibilisation

Eduquer par l’intérêt, tel pourrait être une des clés de réponse aux questions que soulève l’émergence de ces technologies. Il est vrai que le niveau de sensibilisation à la protection des données à caractère personnel et au respect de la vie privée s’est nettement amélioré depuis l’entrée en application du RGPD. Cependant, il n’est pas possible de se limiter à cela. Qu’il s’agisse du nombre de plaintes déposées ou de l’apparition des actions collectives en la matière, les individus commencent à véritablement prendre conscience de l’importance de conserver la maitrise de leurs données et de leur vie privée. C’est pourquoi il est primordial de continuer à mener des actions de sensibilisation et de communication auprès des individus afin de les informer de leurs droits. A titre d’exemple, une action collective a été instruite contre EasyJet en mai 2020 à la suite de l’exposition de données appartenant à plus de neuf millions de clients (2). Cette action collective pourrait être lourde de conséquence et coûter vingt milliards d’euros à la compagnie.

Cette prise de conscience est véritable et est la condition sine qua none d’une innovation maitrisée et respectueuse des libertés fondamentales.

La raison de cette prise de conscience est assez simple. En effet, depuis l’entrée en application du RGPD, les campagnes de sensibilisation et les actions de pédagogie se sont multipliées et sont aujourd’hui toujours plus d’actualité. Une marge de progression est encore largement possible. La question de cette sensibilisation doit s’aborder au sein de nos vies quotidiennes, qu’elles soient professionnelles ou privées.

En effet, chacun d’entre nous, en tant que salarié mettant en œuvre l’utilisation de nos données au sein des entreprises, doit avoir conscience des enjeux derrière les activités menées. Ensuite, en tant que personnes dont les données seront utilisées, il est primordial d’intégrer le nécessaire équilibre entre ces notions d’innovation et libertés fondamentales. Ce propos est d’ailleurs très fortement appuyé par l’actualité. Si les sanctions ont bel et bien été imposées depuis 2018, la dernière en date

montre une montée en puissance de la sévérité de ces dernières. Plus de 35 millions d’euros, voici le montant qu’H&M s’est vu imposer à la suite d’une surveillance illégale de ses employés (3).

Cette dernière sanction montre bien un besoin allant au-delà des programmes de conformité déroulés depuis ces deux dernières années. Être conforme ne se résume pas à une simple tenue d’un registre et une documentation correctement maintenue dans le temps. Un ensemble de thématiques doit être embrassé au sein des organisations et notamment à travers une sensibilisation accrue des salariés impliqués et concernés par les actions menées sur les données à caractère personnel. Les différents services marketing, communication ou encore ressources humaines doivent devenir des moteurs dans la prise en compte des problématiques liées à la protection des données à caractère personnel. Par moteur, il faut entendre ici véritable acteur de la conformité. Ces métiers doivent en effet embrasser ce sujet dans sa globalité et pouvoir l’appréhender de la meilleure des manières. Afin de les aider dans cette démarche, un bon nombre de solutions existent. Au-delà d’une approche de la thématique poussée par une sensibilisation sur le sujet des données à caractère personnel il est nécessaire de porter à leurs connaissances la quantité de guides et référentiels publiés ou en passe de l’être.

Libre à nous en tant qu’acteurs de référence dans le secteur de continuer à proposer et renforcer des services et des offres permettant d’adresser au mieux ces besoins toujours plus importants.

 

Rédacteurs : L’équipe RGPD de Formind

1 AUDUREAU WILLIAM, « Ce qu’il faut savoir sur Cambridge Analytica, la société au cœur du scandale Facebook », Le Monde, le 22 mars 2018, disponible sur https://www.lemonde.fr/pixels/article/2018/03/22/ce- qu-il-faut-savoir-sur-cambridge-analytica-la-societe-au-c-ur-du-scandale-facebook_5274804_4408996.html

2 OSBORNE Charlie, « EasyJet : action collective pour un montant de plus de 20 milliards d’euros pour vol de données contre la compagnie aérienne », le 27 mai 2020, disponible sur https://www.zdnet.fr/actualites/easyjet-action-collective-pour-un-montant-de-plus-de-20-milliards-d-euros- pour-vol-de-donnees-contre-la-compagnie-aerienne-39904221.htm

3 DEVERGRANNE Thiébaut « 35 millions d’euros d’amende pour non-respect du RGPD », disponible sur https://www.donneespersonnelles.fr/rgpd-35-millions-amende-hm

Share this content

Latest articles

Communiqué Formind x Brainwave GRC
12/09/2022

Formind et Brainwave GRC s’associent et proposent une offre de service pour résoudre les problèmes liés au contrôle et à la revue réguli
Communiqué de Presse – CFAO Technology & Energy développe son offre en cybersécurité en partenariat avec Formind
29/06/2022

Communiqué de Presse - CFAO Technology & Energy développe son offre en cybersécurité en partenariat avec Formind

Formind est partenaire du FIC 2022
24/05/2022

Formind est partenaire du FIC 2022

Subscribe to get our latest news!