Le grand public découvre avec horreur l’utilisation frauduleuse des données de Facebook et ses ramifications. Un scandale qui ne pouvait pas plus mal tomber à moins de deux mois de l’entrée en vigueur de la RGPD, quoi que… Ne vous leurrez pas, cette fâcheuse histoire n’est que l’arbre qui cache la forêt : la perte de confiance des utilisateurs n’est que la résultante logique d’années de dérives et d’abus. Il va falloir mettre les bouchées doubles pour regagner la confiance des internautes, se conformer à la nouvelle règlementation et pouvoir exploiter dans de bonnes conditions les dernières innovations technologiques et les innombrables possibilités offertes par le numérique.
Je suis cette semaine à Las Vegas pour le Adobe Summit, le grand RDV annuel pour près de 15.000 marketeurs. Le thème de cette édition 2018 est l’expérience et les experience makers. À peine la conférence avait-elle démarré, notamment les pré-sessions et le Adobe Think Tank que les débats étaient monopolisés par les problèmes de confidentialité de Facebook et la GDPR. Des préoccupations légitimes dont le marché n’a pas pris la pleine mesure jusqu’à l’affaire Cambridge Analytica.
Et soudain, c’est le drame…
Petite séance de rattrapage pour celles et ceux qui étaient hors ligne ces deux dernières semaines : un ancien employé de Cambridge Analytica a révélé que sa société avait récupéré illégalement les données personnelles de millions d’utilisateurs de Facebook pour pouvoir influer sur leur vote aux dernières élections présidentielles (How Trump Consultants Exploited the Facebook Data of Millions). Des agissements qui font partie d’un vaste plan orchestré par un milliardaire d’extrême droite souhaitant instaurer un nouvel ordre mondial (The great British Brexit robbery: how our democracy was hijacked), et qui seraient peut-être liés à la campagne de désinformation russe (Facebook’s security chief is leaving after clash over Russian misinformation).
(source : The Facebook and Cambridge Analytica scandal, explained with a simple diagram)
Ce qui choque, ce n’est pas tant la facilité avec laquelle il est possible d’infléchir les élections de deux puissances mondiales (USA et UK), mais la prise de conscience par l’opinion publique du rôle que joue le numérique dans notre quotidien et l’impact que cela peut avoir si les NTIC sont employées par des gens malveillants. Ces 10 dernières années ont ainsi été une authentique course à l’innovation technologique. Le rythme d’adoption du marché était tellement élevé qu’il s’est fait au détriment du bon sens : nous avons adopté des outils numériques extrêmement puissants (ex : smartphones) sans les précautions d’usage, et organiser notre quotidien autour de pratiques que nous ne maitrisons que très superficiellement.
L’opinion publique commence seulement à comprendre que les bouleversements politiques que nous vivons (Brexit, Trump…) sont issus d’une utilisation détournée des outils numériques (fake news, identification et profilage des électeurs indécis…). Ces outils numériques (smartphones, réseaux sociaux…) étaient censés nous aider à mieux gérer notre quotidien et non le gérer à notre place (influer nos décisions d’achat, nos relations, nos opinions, nos votes…). Et le pire dans cette histoire, c’est que nous ne voyons que la partie visible de l’iceberg (Utilisateurs Android, Facebook enregistrerait vos appels téléphoniques et vos SMS, Facebook tracking is present in 41% of the most popular Android apps, How to stop Facebook from looking for you with face recognition, Facebook said to postpone smart speaker reveal as data scandal continues…).
Comme précisé dans l’intro, Facebook n’est que l’arbre qui cache la forêt (If Facebook controls your mind, so do a lot of other tech companies, Facebook’s Cambridge Analytica problems are nothing compared to what’s coming for all of online publishing, Documents reveal that a Palantir Technologies employee, in his personal capacity, suggested to Cambridge Analytica to use a mobile app to harvest Facebook data…). Conseil d’ami : ne vous laissez pas influencer par les petits malins qui exploitent cette crise pour faire parler d’eux (WhatsApp co-founder tells everyone to delete Facebook, Elon Musk has removed Tesla and SpaceX’s Facebook pages after Twitter challenge, Tim Cook speaks out on the Cambridge Analytica scandal, says Facebook’s collection of user data ‘shouldn’t exist’…), car ils en ont largement profité. Au final, le problème n’est pas tant Facebook que nos habitudes et la confiance aveugle que nous placions dans les supports et plateformes numériques. Donc non, supprimer l’application Facebook de votre smartphone ne changera pas la donne (7 Reasons Not to Delete Facebook), l’important est de rééduquer les utilisateurs et le marché.
Si les autorités américaines commencent à s’emparer du sujet (Facebook’s Zuckerberg Said to Agree to Testify Before Congress Over Data Privacy), l’Union européenne a depuis longtemps compris qu’il y avait un problème de position dominante des géants du numérique (cf. Les GAFA ne sont pas nos ennemis… mais méfions-nous quand même ! et Les GAFAM à la recherche de nouveaux leviers de croissance) et qu’il fallait poser des règles avant que ça dégénère. L’histoire leur a donné raison…
Le scandale Facebook signe donc probablement un coup d’arrêt pour cette course effrénée à l’adoption d’innovations technologiques. Certes, toutes ces innovations ne vont pas disparaitre (réalité augmentée / virtuelle, interfaces vocales, intelligence artificielle…), elles continueront à progresser, mais le gros sujet de ce premier trimestre 2018 sera immanquablement la confidentialité. La priorité des annonceurs devra logiquement être la mise en conformité avec la RGPD et la définition d’un nouveau cadre de confiance numérique avec leurs prospects et clients.
Pas de data, pas de chocolat !
Je n’en suis qu’à la moitié de mon séjour américain à l’Adobe Summit, mais j’ai déjà pu assister à des démonstrations incroyables de ce qu’il est possible de faire avec les derniers outils d’analytics et d’intelligence artificielle (personnalisation individuelle, prédictions, création assistée…). Un article leur sera d’ailleurs consacré la semaine prochaine. Le problème est que tout ce qui est démontré n’est possible que grâce à l’exploitation intensive des données personnelles des internautes. Des données personnelles qu’il sera beaucoup plus difficile de collecter et d’exploiter avec l’entrée en vigueur de la nouvelle réglementation : La GDPR signe-t-elle la fin de l’âge d’or de la publicité en ligne ?.
Est-ce si important de soigner l’expérience ? Oui, c’est même primordial, car sans une relation individualisée, les marques ne sont que des fournisseurs aux yeux des consommateurs, surtout avec l’avènement des plateformes numériques et services vocaux (Les assistants personnels sont les nouveaux navigateurs web, et les GAFAM en sont les maitres absolus). Si le XXe siècle a été dominé par une logique de consommation de masse, la tendance aujourd’hui n’est pas de consommer plus, mais de consommer mieux, de profiter (le temps étant la denrée la plus précieuse). Trop de marques sont encore bloquées au siècle dernier : elles privilégient les prix bas pour attirer et retenir les clients. Mais tout ceci se fait au détriment de la construction d’une relation durable et profitable.
Les marques qui sont aujourd’hui les plus performantes (satisfaction, rentabilité…) ne sont pas celles qui commercialisent les produits les moins chers, mais celles qui privilégient l’expérience, qui cherchent à combler les buts de leurs clients, pas leurs besoins primaires. Or, pour bien comprendre les besoins et aspirations des consommateurs, il faut de la donnée. De même, pour personnaliser l’expérience et individualiser les messages / offres, il faut de la donnée. Enfin, pour mesurer la pertinence des décisions et optimiser les actions, il faut de la donnée. Bref, la donnée est la matière première des annonceurs, l’ingrédient indispensable pour progresser et performer.
En synthèse : sans donnée, une marque est aveugle. Or, avec le scandale Facebook, les utilisateurs vont devenir extrêmement méfiants et surtout peu enclins à donner leur autorisation pour une collecte et une exploitation à l’échelle industrielle.
La RGPD signe la fin de la récrée (ou pas) (enfin si, un peu, mais pas tant que ça, pour le moment…)
L’affaire Cambridge Analytica nous démontre à quel point nous avons été naïfs et Facebook irresponsable. Mais encore une fois, s’en prendre à Facebook c’est ignorer le fait que toute l’industrie s’est gavée de données personnelles ces 10 dernières années pour pouvoir mettre au point les solutions de programmatic advertising et de marketing automation. Facebook est peut-être le plus gros maillon de la chaine, mais c’est une très longue chaine.
Avec la RGPD, les annonceurs seront forcés d’avoir une approche beaucoup plus respectueuse et surtout responsable de l’exploitation de données personnelles. Les internautes vont enfin pouvoir bénéficier d’un droit au respect de leur confidentialité : Respecter les droits des personnes. Certes, il existait déjà des dispositions, notamment en Italie et aux Pays-Bas, mais l’entrée en vigueur de la GDPR en mai prochain va sacrément compliquer la tâche des publicitaires et annonceurs qui jusqu’à présent ne se souciaient pas trop de l’avis des “cibles”, comme on les appelle dans la profession.
Pour bien faire, les marques, organisations et éditeurs de sites devront récupérer le consentement des internautes pour exploiter leurs données personnelles. Dans la cadre de la RGPD, le consentement est défini comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement” (cf. Comment recueillir un consentement valide ?). Je ne sais pas quel est votre analyse, mais avec les pratiques publicitaires de ces 10 dernières années, nous étions loin du compte car des montagnes de données personnelles circulaient librement entre d’innombrables intermédiaires technologiques.
Récupérer le consentement des internautes va donc être un véritable enfer. Sauf que le consentement n’est qu’une des six bases légales prévues par la RGPD pour justifier le traitement de données personnelles. Le consentement ne sera ainsi pas requis si les données personnelles sont nécessaires à l’exécution du contrat, dans le cadre d’une obligation légale, pour la préservation des intérêts vitaux des parties prenantes ou pour l’exécution d’une mission de service public.
Beaucoup plus intéressant : le consentement ne sera pas nécessaire si une entreprise invoque l’intérêt légitime d’exploiter des données personnelles, notamment dans l’intérêt de garder le contact avec ses clients pour poursuivre la relation commerciale. Oui vous avez bien lu : si une entreprise peut prouver qu’il est dans son intérêt et celui de ses clients d’exploiter leurs données personnelles, alors pas besoin de consentement.
😳
Ne vous emballez pas, la RGPD stipule que les intérêts de l’entreprise et du consommateur doivent être en équilibre, et que l’exploitation des données personnelles dans ce cadre (l’intérêt légitime) doit être raisonnée. Donc dans tous les cas de figure, la nouvelle réglementation signe la fin des abus. De plus, n’oubliez pas que la RGPD n’est que le premier étage de la fusée, la future nouvelle directive ePrivacy sera encore plus rigoureuse.
Le cadre de l’intérêt légitime offre donc, pour le moment, une alternative très intéressante au consentement. Non, en aucun cas cela ne vous permettra de continuer à faire de la publicité ciblée sans aucune contrepartie, le législateur y veillera, mais cela apporte une lueur d’espoir pour les marketeurs. Le risque d’un rejet massif des demandes de consentement semble donc s’éloigner, à condition pour les marques de trouver le juste milieu pour personnaliser l’expérience sans abuser.
La RGPD est donc l’occasion pour les annonceurs de définir un nouveau cadre de confiance avec leurs prospects et clients : Leveraging GDPR to Become a Trusted Data Steward. Dans ce domaine, Google fait figure de bon élève, notamment avec leur approche très transparente des Google Accounts. Une initiative qui devrait inspirer les autres acteurs du numérique (Google’s GDPR consent plan could be a template for other tech giants).
Pour ce qui est des pratiques publicitaires, l’IAB vient de publier ses recommandations à destination des annonceurs (IAB Europe unveils its GDPR Transparency & Consent Framework), mais elles n’ont pas encore validées par les instances de régulation de chaque pays. Idéalement, les marques, organisations et éditeurs devraient aligner leurs pratiques et s’unir pour récupérer une sorte de consentement générique. Les initiatives publicitaires communes comme Gravity ou Skyline devraient faciliter cette tâche (Les grands médias français se lancent dans la bataille de la data, vous devriez aussi).
Des Content Management Systems aux Privacy Management Systems
La mise en conformité avec la RGPD n’est pas une mince affaire, il ne suffit pas de remplir une déclaration CNIL. Heureusement pour vous, certains éditeurs proposent des solutions pour vous simplifier cette démarche, à savoir les Privacy Management Systems qui permettent de tout centraliser et d’industrialiser la collecte et gestion des consentements.
Il existe de nombreux fournisseurs, je ne suis pas là pour assurer leur promotion, mais pour vous aider à comprendre l’intérêt de ses solutions. Ceci étant dit, ne vous imaginez pas que ces outils sont des solutions miracles, le coeur du problème reste la confiance des internautes, et comment la gagner à nouveau.
Voilà pourquoi la définition d’un cadre de confiance devra être votre chantier prioritaire, le vôtre et pas seulement celui du responsable légal (le correspondant CNIL). Nous parlons ici de définir une nouvelle mission de marque, de nouvelles expériences voir de nouvelles offres qui prennent en compte le respect de la confidentialité des prospects et clients. Certains appellent ça le “Privacy by Design“, ne nous battons pas sur les termes, l’important étant de bien appréhender l’enjeu principal : gagner la confiance des utilisateurs et non se conformer à la RGPD.
Moralité : après une décennie de course à l’armement technologique et de dérives publicitaires, l’urgence pour les marques et organisations est de définir un nouveau modèle relationnel qui soit viable et pérenne dans notre quotidien numérique. Serions-nous encore en train de parler de transformation digitale ? Oui tout à fait. Et nous sommes loin d’avoir clôturé le sujet…
Merci Fred pour cet article très intéressant. Je vous conseille vivement la lecture du nouvel ouvrage de la Chaire Valeurs et Protection des Informations Personnelles “Signes de confiance – L’impact des labels sur la gestion des données personnelles” paru en janvier 2018. Ces signes sont étudiés à la fois sous leurs aspects philosophiques, juridiques, technologiques et économiques.
Ainsi que la synthèse de l’enquête de juin 2017 réalisée par cette Chaire de L’Institut Mines Telecom avec Mediamétrie : “Données personnelles et confiance : quelles stratégies pour les citoyens-consommateurs en 2017 ?
En téléchargement gratuit sur https://cvpip.wp.imt.fr/accueil/