Données personnelles : la nouvelle donne

En ne respectant pas l'obligation de notification, une entreprise
risque un million d'euros d'amende au minimum

800 000 comptes clients piratés chez Orange, la commune belge de Destelbergen qui admet avoir commercialisé des données concernant ses habitants auprès d'entreprises locales, la banque britannique Barclay's qui monétisait ses fichiers clients afin de permettre un meilleur ciblage et ainsi optimiser la vente de produits d'investissements. Enfin, plus de 20 millions clients de trois banques coréennes ont appris que leurs données personnelles étaient revendues à des entreprises de marketing direct… Ces récents exemples attestent de la sensibilité du sujet des données à caractère personnel, placé subitement au cœur de l'attention, entre une forte exposition médiatique, enjeux économiques, évolutions juridiques et mouvements de contestation citoyenne.

Navigation sur internet, démarches administratives, actes d'achats, chacune de nos actions génère la création de données nous concernant directement. Depuis la phase de collecte, chaque étape du cycle de vie de la donnée (stockage, traitement, exploitation) va nourrir une chaîne de valeur qui s'est progressivement structurée autour de ces données personnelles dans des finalités publicitaires, de surveillance, et plus généralement d'analyse prédictive.

Les révélations sur le programme de surveillance généralisée PRISM et la médiatisation des piratages de données subies par des entreprises à forte notoriété ont contribué à sensibiliser le grand public à cette problématique. Ainsi, 95% des répondants s'estiment concernés par la gestion de leurs données personnelles, d'après une grande enquête menée en ligne par serdaLAB auprès de 533 individus de 15 à 65 ans.

Accepteriez-vous qu'une entreprise exploite vos données personnelles à des fins commerciales ?

Source : serdaLAB

 

Cette enquête démontre également que l'on assiste à une prise de conscience de la valeur générée par une donnée brute gratuite souvent collectée de manière insidieuse : 48% des répondants s'opposent catégoriquement à l'exploitation de leurs données par une entreprise dans une finalité commerciale, tandis que 17% des consommateurs accepteraient de laisser une entreprise exploiter leurs données personnelles en échange d'une rémunération.

Nous devrions donc assister à une redistribution des cartes, une nouvelle donne en matière de gestion des données personnelles. L'individu va reprendre progressivement le contrôle de ses données en ayant recours à des coffres-forts numériques pour ses données personnelles ou des plateformes de marketing de permission qui serviront d'intermédiaire entre les entreprises et lui-même afin de monétiser les données. Jouant alors un nouveau rôle de traders de leurs propres données, les consommateurs décideront alors du degré de renseignement qu'ils offriront, des marques qui pourront bénéficier de leurs données et la finalité de leur exploitation. Outre une rétribution financière, chacun pourra bénéficier de l'analyse des informations le concernant effectuée par les organisations, dans une finalité de meilleure connaissance de soi, d'optimisation de sa consommation et d'une meilleure qualité de service.

 

Comment le consommateur va devenir trader de ses propres données personnelles

Source : serdaLAB

 

Avec ce nouveau paradigme du VRM (Vendor Relationship Management) dans lequel le rapport de force entre l'offre et la demande est rééquilibré et la gestion des données des clients est un nouveau critère de choix pour le consommateur, la confiance sera la clé de voûte de cette nouvelle relation-client. Les entreprises vont ainsi devoir faire leur preuve, tant sur les plans juridique, technique et éthique sous peine de s'exposer à une double sanction :

Perte de crédibilité auprès des clients avec un taux d'attrition (ou « churn », qui désigne la perte de clients) potentiellement en hausse et une attractivité moindre vis-à-vis des nouveaux clients ; Sanction financière : une faille de sécurité dans le traitement des données personnelles recueillies par une organisation doit faire l'objet d'une notification à la Cnil sous 24h. Le non-respect de l'obligation de notification serait puni d'une amende d'un million d'euros ou 2% du chiffre d'affaires mondial de l'entreprise.

Source : Etude serdaLAB "Données à caractère personnel : enjeux, menaces et nouvelle donne" - avril 2014.


A découvrir