Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RGPD : 32% des citoyens font moins confiance aux entreprises qu’il y a 1 an !*

mai 2019 par Wavestone

Alors que l’entrée en vigueur du RGPD s’apprête à fêter son premier anniversaire, la question de la protection des données est plus que jamais au centre de l’attention : les entreprises (GAFA en tête) ont compris que pour continuer à accéder aux données de leurs clients/utilisateurs, elles doivent désormais pouvoir en garantir la confidentialité et la sécurité. Du côté des citoyens, il semble que le RGPD ait provoqué une véritable crise de confiance ! En effet, les attaques récentes et de plus en plus fréquentes (piratage facebook, Whatsapp,…) ont rendu les citoyens plus méfiants et encore moins enclins qu’il y a un an à partager leurs données… C’est ce que révèle la nouvelle étude Wavestone sur le thème « Vie privée à l’ère du numérique ».

Cette étude, menée auprès d’un panel de 3620 citoyens originaires de Belgique, Chine, France, Allemagne, Royaume-Uni et Etats-Unis et qui vise à mesurer l’impact de la mise en conformité du RGPD sur les citoyens et les organisations, est complétée par un état des lieux réalisés sur un panel de 24 entreprises.

2/3 des citoyens assimilent la vie privée à la maîtrise de leurs données sur le net

La vie privée est une préoccupation mondiale : 94% de personnes sondées la considère comme important (soit une augmentation de 19% par rapport au 1er sondage mené sur ce thème en 2016) : ce chiffre traduit une prise de conscience inédite des citoyens.

Après les données sur le comportement et les opinions (21%) et les données biométriques (20%), c’est la donnée financière qui revêt le plus un caractère privé (15% des sondés la classe en première position des données privées), alors qu’elle n’est généralement pas considérée comme tel par les organisations (les données de santé, religieuses, sexuelles, voire d’habitudes de vie les devancent souvent). A contrario, les données liées à la géolocalisation sont perçues comme peu sensibles par les sondés (1% des sondés les classe en première position des données privées).

Une confiance envers les organisations qui diminue !

32% des sondés considèrent qu’ils font moins confiance aux entreprises quant à l’utilisation faite de leurs données qu’il y a un an. Constat particulièrement étonnant en Europe : le RGPD, a provoqué une crise de confiance ! En Europe (Royaume-Uni inclus), environ 36% des sondés font moins confiance aux entreprises. Un comble avec l’entrée en vigueur du RGPD, censée redonner la maîtrise de leurs données personnelles aux citoyens Européens. Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données.

25% de personnes sondées sont réfractaires au partage de leurs données, quelle que soit l’utilisation qui en est faite ! Lorsqu’il s’agit d’évaluer la pertinence de l’utilisation des données, les réponses varient peu pour des usages aussi différents que de la prospection commerciale ou de la vidéosurveillance, confirmant que l’utilisation faite des données n’est pas le sujet de leurs préoccupations.

« L’enseignement majeur de l’étude est que, contre toute attente, le RGPD a augmenté le niveau d’anxiété du grand public quant à la protection de leurs données à caractère personnel. Les organisations vont devoir redoubler d’effort pour regagner leur confiance. » indique Gérôme Billois, Partner Cybersécurité et Confiance Numérique chez Wavestone.

Cependant, 3 types de comportements se détachent vis-à-vis des données : • 45% de la population peut être qualifiée de « privacy comfortable ». Cette catégorie accepte le partage de ses données comme contrepartie pour avoir accès à de nouveaux usages digitaux. • 30% de la population peut être qualifiée de « privacy in doubt ». Cette catégorie comprend l’intérêt du partage de ses données mais a besoin d’un cadre clair pour accorder sa confiance. Une conformité au RGPD et une communication claire et transparente peut les convaincre de partager leurs données. • 25% de la population peut être qualifiée de « privacy absolutists ». Cette catégorie est particulièrement réfractaire au partage de ses données. L’enjeu clé de l’ère de la confiance est clair : limiter le développement de cette catégorie de réfractaires en mettant en œuvre des solutions convaincantes permettant au plus grand nombre de partager ses données en toute confiance.

RGPD : des citoyens qui reprennent le pouvoir

1/3 des sondés déclarent avoir déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. Parce qu’ils sont méfiants, les citoyens adoptent une nouvelle posture, plus offensive, pour conserver la maîtrise de leurs données. Ils ne veulent les confier qu’aux tiers qu’ils estiment de confiance.

• 1 sondé sur 2 déclare avoir déjà exercé ses droits dans l’année passée. Et de manière offensive car s’ils ne reçoivent pas de réponse satisfaisante, les citoyens se plaignent auprès de leur autorité de contrôle.

« En 2018, la CNIL a réceptionné un total de 11077 plaintes sur l’année, soit une augmentation de 32% par rapport à l’année précédente » indique Gwendal Le Grand, Directeur des technologies et de l’innovation, CNIL.

Pour ces plaintes, ils s’associent parfois entre eux et si le cadre réglementaire le permet avec des associations de consommateurs afin de gagner en force de frappe. Ce type de plainte collective a donné lieu aux 40 millions d’amende infligés à Google par la CNIL en janvier 2019.

• 1/3 des sondés serait prêt à payer pour bénéficier d’une protection accrue de leurs données et pour des services davantage protecteurs de leurs données. Il semble qu’un mouvement soit bien enclenché au-delà des frontières de l’Europe. En Chine et aux Etats-Unis, une moyenne de 18% des citoyens déclarent avoir déjà payé pour accéder à un service de protection supplémentaire, contre 5% uniquement en Europe (incluant le UK). Les citoyens Européens seraient donc moins consommateurs de services payants protecteurs de leur vie privée. Est-ce dû à un retard de l’offre dans le domaine ? Une non-connaissance des solutions existantes ou un sentiment de protection apporté par la réglementation ? Ou simplement, les citoyens européens sont-ils réfractaires à l’idée de payer pour protéger leur vie privée ? En analysant les secteurs pour lesquels les citoyens sont ou seraient le plus enclins à payer pour un service protégeant leurs données, il en ressort que les réseaux sociaux, les services sur internet et les banques sont les secteurs les plus concernés. De réelles opportunités pour ces secteurs.

• L’étude révèle également un véritable attrait pour l’anonymat. Cela se traduit surtout dans les usages où l’on observe le développement des profils anonymes : le mode incognito pour 27% des sondés et la suppression des cookies pour 47% d’entre eux. Voire même des mesures plus radicales : 26% des personnes interrogées ont arrêté d’utiliser certains services afin de protéger et garder la maîtrise de leurs données.

Conformité au RGPD : où en sont les entreprises ?

Des organisations en mouvement pour redonner confiance mais qui, un an après, rencontrent des difficultés pour industrialiser et optimiser les processus mis en place lors des programmes

L’état des lieux effectué auprès de 24 entreprises françaises et internationales** révèle que :

Des efforts importants ont été fournis sur la protection de la vie privée ! Les organisations ont mené des actions concrètes : nommer un DPO, compléter un registre des traitements, dérouler les DPIA, mettre à jour les formulaires de collecte de données, instaurer des processus de gestion des demandes d’exercice de droits, lancer des campagnes de sensibilisation, mettre à jour les contrats, identification des transferts, etc. La question peut alors se poser : la crise de confiance repose-t-elle sur la mauvaise perception des efforts fournis ? Cependant, les organisations sont confrontées à des difficultés pour assurer une conformité durable. Les processus mis en place sont pour la plupart manuels et la perception du volet protection de la vie privée par les collaborateurs comme une « contrainte » ne permettront pas de pérenniser la démarche au-delà des programmes de conformité. Un risque : voir les efforts fournis perdus dans le temps….

Ainsi, trois challenges s’offrent désormais aux organisations :

1. Repenser le système d’information autour de la donnée
• 55% des organisations du panel sont contraintes de gérer les consentements par silo ;
• 33% des organisations du panel parviennent à garantir la suppression de l’intégralité des données d’un client dans le cadre d’un droit à l’oubli ;
• 19% des organisations du panel sont parvenues à entièrement automatisé la suppression des données à termes de leurs durées de conservation. Les processus mis en place dans l’urgence de la conformité sont encore très artisanaux, il s’agit désormais de réorganiser le système d’information autour de points de vérité omnicanal pour faciliter l’industrialisation.

2. Mettre en place une gouvernance de la donnée cohérente, transverse et intégrant le volet vie privée

La mise en place d’une gouvernance de la donnée est une priorité stratégique pour les organisations. Cependant, face à l’urgence de la mise en conformité au RGPD, les organisations n’ont pas nécessairement eu le temps de traiter de front cette valorisation et les impératifs liés à la protection des données personnelles. Il s’agit donc de repenser la stratégie de collecte, d’utilisation et de valorisation des données dans le respect de la règlementation pour adopter l’approche « smart data », qui reste peu appropriée à date.

Cela s’illustre par le fait que :
• 16% des organisations du panel ont lancé une campagne de renouvellement des consentements (11% sur certains consentements, 5% sur l’intégralité des consentements) ;
• 50% des organisations du panel ont mis en place des processus permettant de vérifier que la donnée collectée est limitée, appropriée et pertinente par rapport à son utilisation.

3. Faire de la protection des données personnelles un réflexe au quotidien 96% des organisations du panel ont inséré une étape d’évaluation des risques pour la vie privée dans leurs méthodologies projet… Mais 33% d’entre elles n’estiment pas qu’elle soit suffisante pour assurer une conformité dans la durée. Autre constat, seulement 25% des organisations du panel considère avoir une équipe « privacy » adaptée au besoin réel.

Se démarquer sur la protection de la vie privée !

Les banques sont historiquement placées parmi les acteurs bénéficiant le plus de la confiance des citoyens. En 2016, 51% des interrogés plaçaient la banque en première position en termes de tiers de confiance… Mais, comme le démontre le schéma ci-contre, aujourd’hui, les banques ont chuté au 8ème rang des acteurs de confiance. 10% des sondés positionnent même les banques comme le type d’organisation envers lequel ils ont le moins confiance. Preuve que la conformité à la règlementation n’est pas la condition nécessaire et suffisante pour gagner ou maintenir la confiance des citoyens. Il est temps pour les organisations de faire de cet enjeu majeur une opportunité pour innover.


Méthodologie de l’étude

*Méthodologie de l’enquête. L’enquête a été conduite entre le 26 et le 29 octobre 2018 auprès d’un panel constitué de 3620 répondants basés dans 6 pays différents : Allemagne, Chine, Etats-Unis, France, Belgique, et Royaume-Uni. Les réponses ont été analysées par les équipes de Wavestone Paris et Luxembourg. Le panel a été sélectionné pour assurer sa représentativité vis-à-vis de la population des pays ciblés, sans discrimination de genre ou de catégorie socio-professionnelle. Les deux critères de sélections : des personnes majeures et disposant d’un accès à Internet. Les données de cette enquête ont été rendues anonymes : la collecte est uniquement statistique. L’échantillon de répondants a été fourni par un tiers (Dynata) avec lequel les équipes de recherche du cabinet collaborent depuis plusieurs années, notamment dans la conduite d’enquêtes destinées à la Commission Européenne. Les questionnaires en ligne ont été conçus et traduits par Wavestone puis envoyés par courrier électronique.

**Méthodologie de l’état des lieux. Wavestone a mené un état des lieux en novembre 2018 sur 24 entreprises clientes françaises et internationales. Les organisations qui constituent le panel sont issues de secteurs divers : énergie, banque et assurance, industrie, retail, secteur mutualiste, télécommunication, transport, etc. Elles exercent des activités en B2B et/ou en B2C et touchent à elles toutes plus de 635 millions de clients. Le nombre d’employés de ces organisations varie de quelques centaines à plus de 150 000 employés. Sur la base des observations sur ce panel et de son expérience sur le terrain, Wavestone a pu mettre en évidence les difficultés communes rencontrées par les organisations dans leur mise en conformité mais également les grandes tendances en matière de protection de la vie privée.




Voir les articles précédents

    

Voir les articles suivants