Market research, RGPD et protection des données : Kim Smouter-Umans et Isabelle Fabry

Market research et protection des données : et si on faisait le point ? – Isabelle Fabry interroge l’expert Esomar, Kim Smouter-Umans

14 Fév. 2022

Partager

La montagne n’aurait-elle pas une nouvelle fois accouché d’une souris ? Après un phénoménal effet d’annonce autour du RGPD, les professionnels des études marketing peuvent se poser la question… Mais qu’en est-il en réalité ? Quel est le niveau de risque auxquels sont confrontés les instituts et les annonceurs concernés sur ces enjeux juridiques ? Sur quoi portent-ils plus spécifiquement ? Et comment s’en prémunir au mieux ?
Ce sont les interrogations que soulève notre « journaliste invitée », Isabelle Fabry (ActFuture et Esomar France) et auxquelles répond le grand spécialiste du sujet chez Esomar, Kim Smouter-Umans

Isabelle Fabry : Ton intervention au dernier Printemps des Etudes m’a brutalement fait prendre conscience des risques juridiques qu’encourent les acteurs du market research. Mais nous sommes parfois un peu perdus. Après un énorme effet d’annonce autour du RGPD, la pression semble retombée… Qu’en est-il en réalité ? 

Kim Smouter-Umans : La mise en oeuvre du RGPD au nouveau européen a pris plus de temps que prévu. Les attentes des citoyens et des organisations sont très fortes, et les autorités nationales ont de vraies compétences entre leurs mains. Mais encore faut-il qu’elles disposent des ressources nécessaires pour pouvoir agir. C’est aussi une question d’état d’esprit, elles préfèrent laisser une période d’adaptation aux acteurs, et bien s’aligner entre elles sur les principes clés. Cette phase d’harmonisation est néanmoins en train de s’achever. Les contrôles deviennent effectifs, des chiffres l’attestent, avec quelques belles amendes pour les contrevenants !

La mise en oeuvre du RGPD au nouveau européen a pris plus de temps que prévu. Mais aujourd’hui les contrôles deviennent effectifs, des chiffres l’attestent, avec quelques belles amendes pour les contrevenants !

Que risquent plus précisément les annonceurs et les instituts français ?

Ils doivent être très vigilants sur certains points, un des tout premiers étant le transfert des données en dehors des frontières. Ces opérations vont à l’évidence être de plus en plus difficiles à mettre en œuvre, ce qui soulève un vrai défi pour les projets internationaux. Ils demeureront possibles, mais à la condition de bien anticiper, notamment pour réduire au maximum les flux. Par exemple en « anonymisant » les données à la source, ou en utilisant des données synthétiques et non des données brutes. Un autre levier est celui des solutions « clouds » que nous employons, nous devrons certainement être plus sélectifs.

Concrètement, le risque reste limité pour les petites structures, même si personne n’est à l’abri d’une plainte citoyenne, et d’une amende salée à la clé. Plus globalement, les acteurs des insights et des data-analytics ne sont pas les plus exposés. Mais il est très préférable de s’adapter à ce durcissement du jeu réglementaire, plutôt que de le subir un jour ou l’autre.

Une question pratico-pratique : Zoom est-il RGPD ? Quelles alternatives le seraient éventuellement plus ?

Malheureusement, les outils les plus populaires ne respectent souvent pas très bien les contraintes RGPD. Zoom en fait partie, avec des carences sur les options offertes aux individus quant à la protection de leurs données personnelles. Et encore faut-il nuancer ce point, la palette de configurations possibles étant assez large. On peut notamment faire en sorte que les données restent strictement sur le territoire européen. Mais l’outil miracle n’existe pas ! Et les plateformes les plus « compliant » sont aussi les plus difficiles à utiliser, car très sécurisées, et donc moins connues du grand public. Mais je crois préférable de ne pas se focaliser à outrance sur l’outil en lui-même. Ce que l’on fait en amont et en aval, ce que l’on communique à la personne concernée, c’est bien toute la chaîne qu’il faut prendre en compte.

(Les acteurs) doivent être très vigilants sur certains points, un des tout premiers étant le transfert des données en dehors des frontières (…). Ces opérations demeureront possibles, mais à la condition de bien anticiper, notamment pour réduire au maximum les flux.

La protection et le transfert des données sont-ils deux enjeux dissociés ? Et les règles évoluent-elles différemment selon les pays ?

Les deux sujets sont en réalité complètement liés. Pour se conformer à la loi, il faut démontrer sa capacité à garder la mainmise sur les données transférées vers un autre pays. Or ces lois varient selon les pays, ce qui peut donc provoquer de sérieux soucis. 

Plusieurs tendances se dégagent en effet. Certains pays évoluent vers des politiques restrictives, en exigeant que les données restent là où elles sont collectées. C’est le cas de Chine ou de la Russie. 

Dans d’autres zones, les obligations ne se focalisent pas sur le transfert en tant que tel, mais sur le niveau de protection des données, qui devrait être aussi élevé dans le pays d’origine que dans celui de destination. Cela s’applique en particulier à l’Union Européenne, dont le modèle tend à s’exporter. Dans celui-ci, le transfert ne peut en principe se faire que sous condition de l’interopérabilité : il devrait théoriquement y avoir la même protection pour les deux pays. Sauf que cette interopérabilité n’existe pas à l’échelle mondiale… 

En pratique, quels conseils doivent retenir les acteurs du market research sur cette problématique de transferts ?

Pour chaque projet, le premier réflexe est de se poser trois questions essentielles. Le pays originaire impose-t-il une protection juridique équivalente à celle du pays destinataire ? Ou bien exige-t-il que les données restent chez lui, comme la Chine et la Russie ? Et enfin, existent-ils des conventions facilitant le transfert, comme par exemple entre l’UE et la Suisse ? Si les pays n’ont pas déployé des dispositifs similaires, il faut se protéger via des clauses contractuelles. 

Au-delà de ça, il importe de mener un travail de fond pour définir des processus cibles. Réduire le nombre de transferts et le volume des flux, limiter le nombre de partenaires impliqués, promouvoir l’anonymisation des données avant transfert, toutes ces démarches vont dans le bon sens.

« Il importe de mener un travail de fond pour définir des processus cibles. Réduire le nombre de transferts et le volume des flux, limiter le nombre de partenaires impliqués, promouvoir l’anonymisation des données avant transfert, toutes ces démarches vont dans le bon sens.

Il faut enfin intégrer le fait que ces transferts attirent l’attention des autorités et des associations de consommateurs. En pratique, il est donc préférable de procéder à des audits réguliers et faire en sorte que les registres soient en ordre. S’il y a un souci, le législateur en tiendra favorablement compte.

Existe-t-il des contrats, des clauses ou des mentions « types » sur lesquels s’appuyer ?

Oui, fort heureusement ! Dans le cadre RGPD, il existe un « catalogue » de possibilités, avec des formules juridiques produites par la Commission Européenne. Il faut bien évidemment les copier-coller dans les contrats, en les appliquant bien sûr ! Le système de BCR est également utilisable pour les grandes structures, et définit un règlement intérieur approuvé par les autorités. La notion de consentement explicite est essentielle. C’est une bonne idée en outre de s’appuyer sur les codes de conduite ESOMAR et EFAMRO ! C’est un projet de longue haleine, mais nous travaillons toujours sur ces outils pour qu’ils soient aussi simple d’utilisation que possible.

Quel accompagnement peut apporter Esomar sur ces enjeux ?

Nous avons créé le programme Esomar Plus précisément pour répondre à ce besoin de conseils. Il existe des principes, ils sont connus et bien décrits dans notre Data Protection Checklist, qui va être mise à jour cette année. Mais beaucoup de réflexions doivent être menées au cas par cas. Nous prenons le temps, avec l’entreprise, de bien comprendre la nature du transfert, pour identifier ainsi les outils les plus adaptés. Nous avons même engagé une personne disposant d’une solide expérience DPO en entreprise pour pouvoir apporter ce type de conseil.

Bien sûr, tout n’a pas été parfait dès le lancement, il y a eu des couacs. Mais cela nous a aussi permis de faire évoluer notre prestation, et de progresser. Et nous avons ainsi eu de belles réussites sur des structures de petite ou moyenne taille, qui ont voulu travailler avec nous sur ces enjeux de conformité. 


 POUR ACTION 

• Echanger avec les interviewés : @ Kim Smouter-Umans et @ Isabelle Fabry

Vous avez apprécié cet article ? N’hésitez pas à le partager !

CET ARTICLE VOUS A INTÉRESSÉ ?

Tenez-vous régulièrement informé de notre actualité et de nos prochains articles en vous inscrivant à notre newsletter.