L’état de la confidentialité des données en 2024
Le marketing était autrefois une profession relativement simple. Ce n’était ni facile ni simple, mais les limites du rôle étaient néanmoins claires. Cela s’appliquait particulièrement aux communications. Avant l’essor du Web et du numérique, nos canaux de communication étaient relativement peu nombreux. Au cours des dernières décennies, et particulièrement au cours des cinq à dix dernières années, les options offertes aux professionnels du marketing ont connu une expansion rapide, notamment dans le domaine de la confidentialité des données.
L’introduction du Règlement général sur la protection des données (RGPD) de l’UE le 25 mai 2018 était à bien des égards une réponse à cette expansion technologique. Les législateurs européens ont cherché à fournir un ensemble de principes qui protégeraient les données des citoyens. Le RGPD a depuis donné le ton à d’autres régions du monde pour qu’elles réfléchissent à leur propre approche en matière de réglementation des données.
En tant que parmi les plus grands utilisateurs de données personnelles au sein de nos entreprises, il incombe à nous, spécialistes du marketing, de nous assurer que nous avons une solide compréhension des meilleures pratiques en matière de protection des données. En particulier, nous devons bien définir les bases. Dans ce court article, j’identifierai certains des domaines clés auxquels les responsables marketing et leurs équipes devraient être attentifs dès maintenant.
Conseil de pro: écoutez Steven Roberts couvrir Data Protection 101 sur le podcast DMI.
« La transparence est un principe clé qui sous-tend le RGPD. Les marketeurs qui utilisent des outils d’IA qui traitent des données personnelles doivent être capables d’expliquer en termes clairs et simples comment ces données sont utilisées. »
Steven Roberts
Un écosystème de confidentialité en évolution rapide
Le RGPD a donné naissance à une multitude de législations similaires dans le monde entier, avec de nouvelles lois dans des pays comme la Chine, Singapour et l’Afrique du Sud.
La California Consumer Privacy Act (CCPA) est la plus connue d’une série de lois locales et étatiques dans le monde. Etats-Unis. Cela a contribué à un écosystème international de confidentialité des données plus complexe.
Dans le ROYAUME-UNI, le gouvernement britannique envisage une révision du RGPD britannique avec une nouvelle facture de données actuellement en cours d’élaboration (à compter de septembre 2023). Les entreprises qui commercent avec le Royaume-Uni devront surveiller cette évolution de près, en particulier si elle affecte la décision d’adéquation entre l’UE et le Royaume-Uni*.
Dans L’Europe , une multitude de législations européennes adjacentes sont en cours d’introduction. Ceci comprend:
- La loi sur les marchés numériques
- La loi sur les services numériques
- Un règlement sur l’IA. Ce dernier point est particulièrement urgent à une époque d’expansion rapide de la gamme et de l’utilisation des technologies d’IA telles que ChatGPT.
Des discussions sont également en cours pour réviser l’actuelle directive ePrivacy, qui est largement considérée comme n’étant plus adaptée à son objectif. L’ensemble de cette législation est susceptible d’avoir un impact sur les activités de traitement des données des spécialistes du marketing opérant au sein de l’Union européenne.
La protection des données doit être incluse dès le départ
Selon Chiefmartech.com, il existe plus de 11 000 plateformes technologiques de marketing ; un chiffre qui augmente d’année en année. Bon nombre de ces technologies utilisent des données personnelles pour atteindre et cibler plus efficacement divers publics de consommateurs.
Les spécialistes du marketing qui envisagent une nouvelle plateforme, ou même toute nouvelle stratégie impliquant l’utilisation de données personnelles, devraient s’assurer dès le départ que la confidentialité des données est prise en compte. Le principe du RGPD protection des données dès la conception et par défaut est la clé ici. L’un des meilleurs moyens de respecter ce principe consiste à entreprendre ce que l’on appelle une évaluation d’impact sur la protection des données (DPIA).
Cela implique un processus en deux étapes. Tout d’abord, une pré-AIPD est entreprise, au cours de laquelle une série de questions de haut niveau sont posées pour évaluer si le projet est susceptible de présenter des risques importants pour la vie privée. Si de tels risques sont identifiés, une AIPD complète doit être réalisée. À ce stade, une analyse détaillée du projet a lieu, y compris une consultation avec les principales parties prenantes. Une telle approche permet de recalibrer un projet si les risques pour la vie privée sont trop élevés, ou d’adopter des mesures d’atténuation pour réduire le niveau de risque.
Les exemples pour les spécialistes du marketing pourraient inclure l’introduction d’une nouvelle stratégie de données de première partie ou l’introduction d’une plate-forme CRM. Il est généralement considéré comme une bonne pratique que tout nouvel outil marketing susceptible d’utiliser des données personnelles soit soumis à une DPIA.
IA et confidentialité des données
Les plateformes d’intelligence artificielle (IA) deviennent de plus en plus populaires auprès des spécialistes du marketing, alimentant des activités telles que les chatbots automatisés de sites Web. L’introduction de ChatGPT et d’autres grands modèles de langage (LLM) offre aux spécialistes du marketing un potentiel important pour augmenter leur productivité. Par exemple, générer des blogs et des articles dans le cadre d’une stratégie de marketing de contenu.
Les spécialistes du marketing qui envisagent une telle technologie doivent être conscients des risques liés à la protection des données. La transparence est un principe clé qui sous-tend le RGPD. Les marketeurs qui utilisent des outils d’IA qui traitent des données personnelles doivent être capables d’expliquer en termes clairs et simples comment ces données sont utilisées. Il s’agit d’un défi considérable car il n’est souvent pas facile d’identifier exactement comment les données sont traitées par la technologie de l’IA.
Par ailleurs, l’article 22 du RGPD donne aux particuliers le droit de s’opposer aux décisions automatisées pouvant avoir un effet juridique. Par exemple, « le refus automatique d’une demande de crédit en ligne ou les pratiques de e-recrutement sans aucune intervention humaine ». Dans ces cas-là, ils ont le droit d’obtenir une intervention humaine dans le cadre du processus décisionnel.
Soulignant les problèmes potentiels de protection des données liés à l’utilisation de l’IA, Google a été invité à retarder l’introduction d’un nouveau chatbot IA, Bard, à la suite d’une intervention de la Commission irlandaise de protection des données (DPC). La Commission a déclaré que le géant de la technologie devait fournir des informations supplémentaires sur la manière dont les droits à la vie privée des citoyens européens seraient protégés. Google a ensuite lancé Bard dans l’UE, à la suite de ce que le DPC a décrit comme « un certain nombre de changements, notamment une transparence accrue et des changements dans les contrôles pour les utilisateurs ».
« La conformité des données est un voyage continu. La priorité initiale est de bien maîtriser les bases. »
Steven Roberts
Augmentation des amendes et sensibilisation des consommateurs
En tant que spécialistes du marketing, nous sommes la voix du consommateur, responsable de la protection de la marque et de la réputation de nos entreprises. Les consommateurs sont davantage conscients de leurs droits en matière de protection des données. Une grande partie de cette situation est due à la publicité qui a entouré de lourdes amendes.
Selon le cabinet d’avocats DLA Piper, les autorités de contrôle de l’UE ont infligé 1,6 milliard d’euros d’amendes au cours des 12 mois commençant le 28 janvier 2022. Cette tendance s’est poursuivie en 2023, notamment avec l’imposition par le DPC irlandais d’une amende de 1,2 milliard d’euros à Meta pour avoir transféré des utilisateurs de l’UE. ‘ données personnelles aux États-Unis sans disposer de mécanismes adéquats de protection des données.
En avril 2023, le Bureau du commissaire à l’information du Royaume-Uni (ICO) a infligé une amende de 12,7 millions de livres sterling à TikTok pour violations liées à l’utilisation abusive des données d’enfants.
Pendant ce temps, aux États-Unis, la confidentialité des données a fait l’objet de plus de positions politiques, avec des tentatives d’interdire TikTok au niveau des États, comme dans le Montana, et un nouveau leadership sensiblement plus dur à la FTC poursuivant Amazon pour avoir inscrit des clients à Prime sans consentement. En Irlande, le personnel du gouvernement et des agences d’État est tenu de supprimer l’application TikTok des appareils officiels ; tandis que des restrictions ont également été introduites dans des juridictions telles que le Royaume-Uni et les Pays-Bas.
Il convient de noter que même si l’AdTech et la publicité comportementale étaient des priorités en matière de mise en œuvre pour le DPC et d’autres autorités de contrôle, des sanctions ont été imposées à des entreprises dans de nombreux secteurs de l’économie ; mais pas aux niveaux époustouflants que nous avons vus avec les entreprises technologiques.
Transfert de données internationales
Les transferts internationaux de données ont causé d’importants problèmes aux entreprises cherchant à transférer des données personnelles hors de l’Union européenne. Il s’agit d’un aspect de la confidentialité des données qui a connu des changements substantiels ces dernières années. En juillet 2020, la Cour européenne de justice a jugé invalide le dispositif existant de bouclier de protection des données pour les transferts de données entre l’UE et les États-Unis. Depuis cette décision, connue sous le nom de , les deux juridictions recherchent un mécanisme alternatif conforme au RGPD.
Un nouveau cadre de confidentialité des données a été approuvé par l’Union européenne début juillet. Bien que cela soit bienvenu, il reste à voir si ce projet sera soumis aux mêmes défis de la part des défenseurs de la vie privée que ce fut le cas pour ses deux prédécesseurs. Entre-temps, les entreprises ont dû trouver des approches alternatives, telles que le recours à des clauses contractuelles types (appelées CCT)***.
Pour les entreprises qui commercent avec le Royaume-Uni, le gouvernement britannique a indiqué son intention de rationaliser certains aspects du RGPD britannique avec l’ambition de rendre les règles actuelles moins lourdes pour les entreprises ****.
Comment rester informé sur la confidentialité des données
De nombreux spécialistes du marketing ont du mal à suivre ce rythme de changement, en particulier ceux des PME qui n’ont peut-être pas accès aux mêmes ressources que les équipes des grandes entreprises multinationales.
Il convient de rappeler que la conformité des données est un cheminement continu. La priorité initiale est de bien maîtriser les bases. Dans cette optique, un certain nombre d’aspects sont cruciaux dans le cadre de toute culture efficace de confidentialité des données au sein d’une entreprise :
1. La formation est vitale
La formation doit être régulière et continue, tant pour le personnel nouveau que pour le personnel existant. C’est particulièrement important étant donné les niveaux de désabonnement auxquels nous assistons actuellement dans de nombreux rôles marketing, ainsi que le rythme de développement dans le domaine de la conformité en général. Certains experts estiment que 90 % de toutes les violations de données sont le résultat d’une erreur humaine. La formation est essentielle pour pallier ce risque.
2. Connaître les 6 bases juridiques et les 7 principes fondamentaux du RGPD
Bon nombre des violations que nous avons constatées au cours des cinq dernières années auraient pu être réduites ou supprimées si les entreprises avaient réfléchi aux questions suivantes :
- Premièrement, existe-t-il une base juridique claire sur laquelle traiter ces données personnelles ?
- Deuxièmement, le traitement est-il conforme aux principes du RGPD ?
3. Donnez le ton depuis le haut
Toutes les entreprises s’inspirent des dirigeants. Le conseil d’administration et l’équipe de direction doivent être perçus comme soutenant et plaidant ouvertement, par des paroles et des actions, en faveur d’une solide culture de confidentialité des données dans l’ensemble de l’organisation.
4. Mettre en place des enregistrements et des processus détaillés
La responsabilité est l’un des principes fondamentaux du RGPD. L’article 30 du règlement exige la tenue de registres précis dans le cadre d’une culture efficace de la vie privée. Les entreprises bénéficient également d’avantages significatifs en termes de productivité et d’efficacité en mettant en place à l’avance des processus clairs pour des aspects tels que les demandes d’accès aux sujets et le signalement des violations de données.
5. Comprendre les exigences de conformité plus élevées pour les données relatives aux enfants et aux catégories spéciales
Les spécialistes du marketing doivent être conscients des exigences de conformité supplémentaires lorsqu’il s’agit des données des mineurs, ainsi que d’une série de données de catégories spéciales identifiées dans le RGPD.
Conclusion
La protection des données a évolué rapidement ces dernières années. L’introduction du RGPD en 2018 a généré une sensibilisation accrue des consommateurs et des sanctions plus élevées pour les entreprises qui ne s’y conforment pas. Cela a également été le catalyseur d’une vague de législations similaires à l’échelle internationale dans des pays comme la Chine, Singapour et l’Afrique du Sud. Ce rythme de changement, et la complexité croissante qui l’accompagne, signifie qu’il est crucial pour les spécialistes du marketing et leurs entreprises d’établir une culture efficace de protection des données.
Les nouvelles technologies gourmandes en données telles que l’IA ne font que renforcer cette exigence. En se concentrant sur l’acquisition des bases, avec une formation régulière sur les aspects essentiels du règlement, des processus et une tenue de registres clairs, ainsi qu’un soutien de la part du sommet de l’organisation, les spécialistes du marketing et leurs équipes sont bien placés pour garantir leur conformité.
Remarques
* La décision d’adéquation de l’UE, adoptée en 2021, stipule essentiellement que le Royaume-Uni applique un environnement de protection des données similaire à celui de l’UE. La décision doit être réexaminée au bout de quatre ans et pourrait être remise en cause si le Royaume-Uni s’avère s’être écarté du niveau de protection des données actuellement en place.
** Considérant 71 du RGPD
*** Lorsqu’ils sont intégrés dans un contrat, les SCC peuvent assurer le respect des obligations de transfert de données du RGPD.
**** Le projet de loi sur la protection des données et de l’information numérique (n°2).