Avec l’évolution des techniques et des pratiques d’études mais aussi de notre environnement juridique, sous-estimer les risques associés à la protection des données des individus serait une réelle erreur pour les professionnels des études. C’est la raison qui a incité Syntec Etudes a élaboré une version française de la check-list Esomar des obligations et des recommandations les plus pertinentes à respecter, et de faire en sorte que celle-ci soit le plus largement accessible. Philippe Guilbert, administrateur Syntec Etudes et membre du Esomar Professional Stantards Commitee, répond aux questions de MRNews à ce sujet.
MRNews : Syntec Etudes s’est intéressé de près à l’enjeu de la protection des données des individus, en publiant une check-list à destination des professionnels. Pourquoi cette initiative ?
Philippe Guilbert : L’objectif est tout simplement d’aider les professionnels des études à s’assurer qu’ils agissent bien en conformité avec les législations et les règlements relatifs à la protection des données individuelles, dans un contexte où on parle beaucoup de la data, qu’elle soit « smart », « small » ou « big ». L’idée a donc consisté à clarifier, à rendre simples et accessibles des principes pouvant être délicats à appréhender dans certaines situations. Cela permet d’attirer l’attention des chercheurs sur les points qui peuvent être sensibles.
L’initiative ne s’adresse donc pas exclusivement aux sociétés adhérentes à Syntec Etudes ?
Elle concerne bien sûr très directement celles-ci, qui se trouvent engagées de fait. Mais elle s’adresse plus largement à l’ensemble des professionnels de notre univers, cette check-list étant en libre accès sur le site internet Syntec Etudes. J’ajouterais qu’elle devrait intéresser notamment les petites structures, qui ne disposent pas des ressources humaines spécifiques pour traiter ces questions, et n’ont ni l’envie ni les moyens de solliciter des avocats pour se sortir de situations compliquées ou simplement savoir ce qu’elles doivent faire. L’idée est donc de les aider à identifier les points clé dans leurs activités. L’autre objectif consiste aussi à rassurer les clients des sociétés d’études, ainsi que les consommateurs. Il est vital pour nous que ceux-ci continuent à nous confier leurs données !
Cette initiative intervient dans un contexte de forte complexité du cadre juridique sur ces enjeux…
Tout à fait. La situation juridique des transferts de données des citoyens de l’Union Européenne aux USA est en effet un peu particulière depuis l’arrêt du Safe Harbor en octobre 2015, en attendant la finalisation d’un accord entre l’Europe et les Etats-Unis (le Privacy Shield). De plus, le nouveau règlement européen de protection des données personnelles va aussi profondément bouleverser la situation. L’univers des études est par nature fortement concerné par toutes les évolutions juridiques concernant la data.
Quelles sont les principales sources de complexité pour les professionnels des études ?
Les études internationales soulèvent des difficultés spécifiques, de par la nécessité de tenir compte de la juridiction de différents pays. Mais une étude nationale peut être concernée aussi dès lors que ses données sont hébergées par un sous-traitant en dehors d’Europe. L’hébergement de données sur le cloud peut également poser des soucis particuliers, ainsi que l’usage des données passives. Le web social, c’est formidable bien sûr : cela permet d’accéder à de nouvelles informations. Mais il faut être extrêmement vigilant quant au process à respecter !
Cette check-list est originellement celle d’Esomar. Quelle a été la démarche de Syntec Etudes ?
Lorsque nous avons lancé le groupe de travail Online, nous avions commencé à préciser les contraintes juridiques des études par Internet et Mobile. Cela avait abouti, en 2011, à la définition de principes en rappelant les obligations de la Loi Informatique et Libertés et le rôle de la CNIL en France. Mais depuis, la situation s’est complexifiée notamment avec l’internationalisation des études, le cloud, le big data… Plutôt que de définir un nouveau document, nous avons pris l’option de produire une version française du travail effectué par Esomar. La difficulté étant de proposer une traduction qui soit pertinente d’un point de vue juridique, en utilisant le vocabulaire juridique précis utilisé en France. Nous avons bénéficié pour cela de l’aide précieuse des correspondants Informatique et Liberté d’Ipsos, TNS Sofres et GfK.
Comment cette check-list doit être lue : s’agit-il d’obligations ou bien de conseils ?
Les deux notions sont présentes. C’est la distinction entre les termes « must » et « should ». En anglais, les choses sont claires : Must renvoie à une obligation, et Should à une recommandation. Ce que nous avons traduit par « Doit » et « Devrait », la différence ayant un vrai sens. Tout simplement parce qu’il y a plusieurs façons de respecter un principe, et aussi parce que le contexte –technique en particulier – peut changer. On peut considérer que les recommandations correspondent aux best-practices actuelles, ni plus ni moins ; elles sont donc par nature évolutives, d’autant que la législation européenne est en train de renforcer.
Sans nécessairement rentrer dans les détails, quelles pratiques sont les plus susceptibles d’évoluer avec l’application de cette check-list ?
Un des points importants pour les professionnels des études que nous sommes porte sur le délai de conservation des données. En résumé, nous devons concilier les obligations légales et la nécessité de contrôler les données en répondant aux demandes des clients. La check-list permet d’y voir plus clair à ce sujet, ainsi que sur les conditions à respecter pour préserver un réel anonymat des informations collectées.
Un autre point est celui de savoir qui peut avoir accès aux données, et de la nature des processus à mettre en œuvre pour valider l’identité des demandeurs.
Et le troisième point que je citerais porte sur le principe du consentement préalable. Lorsqu’on travaille avec des access panels, les procédures de double opt-in répondent parfaitement à cette contrainte. Mais la situation est plus complexe lorsqu’il s’agit de recueillir des données passives. Là encore, il importe de bien valider les situations spécifiques du projet et des données utilisées.
Quels sont les risques et les impacts du côté des entreprises clientes des sociétés d’études ?
Elles sont concernées bien sûr, le risque étant à apprécier en fonction du propriétaire des données. Traditionnellement, avec les enquêtes, les données restent entre les mains de l’institut. Mais la situation change avec le développement des panels propriétaires. Et les annonceurs ont besoin d’être rassurés, lorsqu’ils commandent une enquête, sur le respect de la légalité et des codes de déontologie du prestataire.
Quel est l’impact pour les consommateurs eux-mêmes ?
Ce travail doit participer à les rassurer quant aux conditions d’usage de leurs données, et sur le fait notamment que celles-ci ne serviront pas à leur envoyer des propositions commerciales. Ces consommateurs doivent par ailleurs être informés quant à leurs droits. La confiance des participants est cruciale pour continuer à réaliser des enquêtes !
Quelles sont enfin les prochaines étapes prévues ?
Cette check-list a été présentée aux membres de SYNTEC Etudes, en évoquant les enjeux associés au Safe Harbor. Ce thème de la protection des données sera de nouveau abordé au Printemps des Etudes, avec les représentants d’ESOMAR, de l’ADETEM, de l’UDA et de la CNIL. Mais ce travail de communication ne s’arrête naturellement pas là. Il doit être poursuivi par les sociétés d’études qui peuvent ainsi vérifier leur conformité en 20 questions clé. L’autorégulation est un principe extrêmement important, qui contribue à faire reconnaitre la spécificité de notre métier dans la nouvelle réglementation européenne en préservant la possibilité de l’exercer correctement et en toute légalité.
POUR ACTION
• Echanger avec l’interviewé(e) : @ Philippe Guilbert
• Accéder à la check-list sur le site Syntec Etudes
