Le consentement, talon d’Achille de la protection des données ?

Six ans après l’entrée en vigueur du RGPD, quelle analyse faites-vous de la maturité des entreprises en matière de gouvernance des données ?

Arnaud Tomasi – Aujourd’hui, la gestion des données personnelles est véritablement placée au cœur des entreprises, qui ont bien compris l’enjeu de faire croître leur capital data, en particulier à des fins marketing. Globalement, les bonnes pratiques sont connues et appliquées, mais la conformité n’est pas une notion statique, c’est un chemin. Ainsi en 2022, 50% des entreprises craignaient de ne pas être totalement en conformité. Il faut dire que les exigences de la CNIL s’appuient sur la notion d’état de l’art, et ont donc évolué au fil des années : en matière de cybersécurité, par exemple, les critères sont plus élevés qu’il y a six ans, du fait de l’apparition de nouveaux risques. Autre exemple, en matière de chiffrage d’adresse e-mail, le protocole MD5 n’est plus considéré comme suffisant.
Le point névralgique reste la collecte : avec la multiplication des fournisseurs-tiers, la traçabilité de bout en bout est complexe. Dans son dernier rapport d’activité, la CNIL souligne d’ailleurs que le principal motif de sanction concerne la prospection publicitaire non consentie, sous forme de publicité ou de message ciblé. En cas de contrôle, la CNIL vérifie systématiquement trois points : la sécurité des données contre toute forme d’attaque ; la conformité de la collecte ; le droit d’accès du consommateur aux informations le concernant. Il faut donc pouvoir fournir des preuves du consentement personnel de l’intéressé pour toutes les utilisations qui ont été faites de ses informations au cours du temps. D’où l’idée de développer une solution capable d’apporter les preuves attendues, en conformité avec les préconisations en vigueur.

En quoi Est@mpille, la technologie que vous venez de lancer, innove-t-elle ?

A. T.  – C’est tout simplement la première solution du marché imaginée pour ce besoin ! Est@mpille s’appuie sur une technologie de cryptage, développée et brevetée par Isoskele, des éléments de preuve de collecte de données sous la forme d’un certificat. Est@mpille inclut le stockage de ce certificat avec la blockchain Archipels, développée par des acteurs de référence comme la Caisse des dépôts, Engie, et bien sûr le groupe La Poste. L’utilisation d’une blockchain française offre une garantie de stabilité et de souveraineté. Très concrètement, c’est un petit kit qui permet de crypter les éléments de preuve pour les transmettre de manière sécurisée à la solution Est@mpille. En cas de contrôle de la CNIL, le certificat de conformité horodaté est accessible à la demande en un clic. Ainsi, la solution ne nécessite aucune sortie de données des systèmes d’information de l’entreprise, ce qui est déterminant pour le critère de cybersécurité que je mentionnais. Elle permet enfin d’alimenter le guichet d’information du consommateur, qui n’est pas toujours en place dans certaines entreprises aujourd’hui.

Quels sont les coûts et les bénéfices de ces solutions pour les entreprises ?

A. T.  – Le bénéfice réside dans l’exploitation paisible des données puisque le consentement est aisé à prouver. Le dispositif technique est robuste et extrêmement simple, il ne nécessite pas de développements spécifiques et s’implémente en quelques jours. Le coût est minime (un centime d’euro par consentement), à mettre en regard du montant des pénalités encourues qui se chiffrent en millions d’euros. En 2023, la CNIL a ainsi prononcé 42 sanctions pour près de 90 millions d’euros, et les infractions les plus graves peuvent atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ; sans compter le risque réputationnel vis-à-vis des clients en cas de condamnation, encore bien supérieur. Pour le consommateur enfin, la solution peut constituer à terme une forme de label de bonne utilisation de ses informations personnelles. Le groupe La Poste joue là tout son rôle de tiers de confiance.