L’enjeu de la protection des données entre Suisse et UE
La Loi sur la Protection des Données (LPD) arrive timidement, et elle reprend comme prévu les principes de la General Data Protection Regulation (GDPR) issue de la commission européenne. On retrouve ainsi les éléments et obligations de mise en œuvre pour les marques et médias, tels que le consentement libre et éclairé de l’utilisateur (prospect ou client), le droit à l’oubli, le droit de savoir si la donnée a été piratée, le « Privacy by design », la nomination d’un Chief Protection Officer, etc.
Cependant, on peut également s’étonner de quelques différences, notamment le droit à la portabilité des données qui n’est pas repris du GDPR dans la loi suisse. Ce droit aurait contraint les organisations suisses à permettre le transfert des données vers un autre fournisseur. Autre point majeur de différence entre la Suisse et l’UE : le montant des indemnités. Le montant maximal de l’indemnité selon la LPD serait de CHF 250’000 (à comparer à 10 à 20 Millions d’euros pour le GDPR), alors que l’avant-projet mentionnait CHF 500’000, jugé plus dissuasif pour les grands groupes… mais encore trop élevé pour les PME. Il faut donc espérer que chaque cas sera évalué de manière proportionnée.
C
ela étant, quels grands changements cette loi amènera-t-elle aux consommateurs ? Pour la Suisse, le changement est assez radical, on passe d’un opt-in défini par défaut à un besoin de consentement libre et éclairé. Autrement dit, le consommateur sera bien plus conscient du partage de ses données, alors que jusqu’à présent, il était souvent peu explicite, et obtenu par défaut. Un besoin de pédagogie et de transparence devrait donc émerger, si les marques et les médias veulent que leurs clients continuer à partager leurs données.
Bien évidemment, les impacts pour ces marques et médias sont importants, puisqu’il s’agit de revoir tous les points de contact clients et consommateurs, et de voir comment obtenir (ou non) le consentement de chaque personne, avec une gestion réellement omnicanal (proposer la gestion à tout moment aux utilisateurs des préférences de partage de données sur l’ensemble des canaux). Les chantiers à couvrir sont donc larges, entre processus (notamment en agences et points de vente), mais aussi IT avec des systèmes Marketing devant respecter ces choix en temps quasi réel. Sachant qu’il ne faut pasoublier d’inclure les fournisseurs et partenaires, opérant ou manipulant des données personnelles, ce qui exigera une mise à plat de ces processus et une transparence totale des opérations !
On voit bien que les enjeux Marketing et financiers sont importants, et les premières mises en place sont intéressantes à observer, notamment chez les GAFAs qui ont placé la donnée au cœur de leurs activités. On peut citer Google, qui se distingue paradoxalement par une volonté de transparence pour facilement gérer les données utilisateurs, avec une démarche très ludique sur son site dédié (privacy.google.com). Cela permet à chaque utilisateur de comprendre quelles sont les données utilisées, et surtout à quoi cela sert en termes d’expérience.
Un autre cas plus provocateur : Apple propose dans la dernière version iOS11 une gestion intelligente des cookies (avec des premières fonctions déjà présentes dès iOS9), pour bloquer ou nettoyer plus facilement voire automatiquement les cookies. Cela permet aux utilisateurs de mieux protéger leurs données. Mais ces mécanismes ont un impact immédiat pour les éditeurs et les régies publicitaires, et donc également les annonceurs qui voient s’échapper ces données précieuses pour du ciblage publicitaire. Apple a-t-il l’intention de jouer les trublions sur ce marché de la donnée, en devenant quelque part un tiers de confiance ?
Il est d’ailleurs intéressant de considérer aussi les acteurs internationaux, qui doivent gérer des règlementations locales différentes. Plutôt que de gérer des conditions et des parcours clients différents sur le consentement par pays, ils préfèrent le plus souvent prendre la législation la plus contraignante comme base de travai,l à savoir le GDPR.
Alors finalement, est-ce que la LPD ne devrait pas suivre plus précisément le GDPR pour faciliter la compréhension du marché (consommateurs comme annonceurs) ? De toute façon, les marques suisses étant le plus souvent exposées au GDPR (il suffit d’avoir quelques contacts résidents en UE), celles-ci vont en priorité appliquer ce règlement, et voir si d’autres points spécifiques à la LPD sont nécessaires (ce qui ne devrait pas être le cas). Cela semble la démarche la plus pragmatique et efficace, face à des impacts importants pour la mise en place. Alors, êtes-vous prêt à voir comment le marché suisse va s’adapter ? Je vous donne un premier rendez-vous en mai 2018, date échéance de la mise en application du GDPR.