Un an après son entrée en vigueur, le RGPD n’a pas dit son dernier mot, et doit continuer à préoccuper les entreprises.

Souvenez-vous : le 25 mai 2018, l’entrée en vigueur du RGPD (Règlement général sur la protection des données) était sur toutes les lèvres et tous les écrans. Faisant échos aux nombreux scandales qui avaient écorné la réputation de quelques-uns des plus grands acteurs du digital (Facebook, pour ne citer que lui), le RGPD est apparu comme une réponse nécessaire à la vétusté des règles liées à la protection des données personnelles dans une économie numérique en pleine expansion.

Après avoir fait couler beaucoup d’encre, mis en branle les directions juridiques et marketing des entreprises, agité les organismes régulateurs, responsabilisé les utilisateurs… le RGPD n’a pas encore fini de faire parler de lui !

Des initiatives généralisées, mais inégales

Un an après l’entrée en vigueur du RGPD, un premier constat s’impose : une grande majorité des entreprises, tant multinationales que PME/TPE, ont initié leur mise en conformité, via par exemple de nouvelles procédures, de nouvelles gouvernances ou de nouvelles clauses contractuelles. Cependant, pour beaucoup d’entre elles, ces initiatives relèvent souvent d’une mise en conformité qui, si elle est visible et certainement rassurante pour l’utilisateur, est surtout destinée surtout à s’acquitter du minimum requis légalement.

Si cette approche minimaliste a été, jusqu’à présent, souvent privilégiée, c’est d’abord parce que le RGPD n’a pas bénéficié d’un écho particulièrement favorable auprès des petites et moyennes entreprises, qui y ont surtout vu un frein au développement de l’économie digitale en général, et de leur compétitivité en particulier. La perspective d’imposer de nouvelles contraintes à l’utilisateur et de perdre potentiellement une partie des données clients faute de consentement, en a refroidi plus d’une.

Mais c’est aussi du côté du texte lui-même que cette disparité d’approches trouve en partie son origine. Le RGPD, dans sa première version, édicte en effet des principes qui doivent être respectés, mais sans renseigner sur la manière de les mettre en œuvre concrètement, laissant le champ libre à des interprétations variées. Chaque acteur du marché a donc eu la responsabilité de déployer la ou les méthodes qui lui paraissaient les plus adéquates à son propre contexte business – et souvent les moins contraignantes.

Vers une harmonisation croissante – et plus contraignante – des pratiques

Les démarches, même minimalistes, entamées jusqu’à présent par les entreprises, sont-elles pour autant suffisantes pour garantir leur conformité règlementaire ? Si elles leur permettent aujourd’hui d’échapper aux sanctions de la CNIL, rien n’est moins sûr sur le long terme !

Car depuis un an, le texte a d’ores et déjà évolué, au fur et à mesure des échanges et des remontées d’informations entre les organismes régulateurs et les associations de professionnels, pour définir plus précisément les méthodes qui font actuellement défaut. Ce travail d’ajustement et de précision répond d’une part aux retours d’expérience des acteurs du marché, mais aussi à la nécessaire harmonisation des pratiques à l’échelle européenne.

Le RGPD est en effet destiné à s’appliquer de manière homogène à l’ensemble du marché européen, sur lequel il existe encore quelques disparités. La CNIL, réputée pour l’instant plus laxiste que ses homologues européens, va donc progressivement affiner et décliner le texte, et durcir en partie ses recommandations, afin de gommer au fur et à mesure les différences locales et s’aligner aux règles appliquées par nos voisins.

Cela signifie donc que les entreprises doivent rester vigilantes aux évolutions à venir, et vérifier que les méthodes et les procédures qu’elles ont déployées restent conformes aux nouvelles exigences règlementaires.

Les évolutions attendues

Le RGPD n’a donc pas encore dit son dernier mot ! Il n’en est même, pour ainsi dire, qu’à ses premiers balbutiements, et va continuer au fil des mois et des années, à redéfinir l’approche globale des organisations en matière de protection des données personnelles.

Parmi les évolutions attendues à court terme, notons par exemple la fin annoncée des formes de consentement dites « soft » c’est-à-dire liée à la simple poursuite de la navigation sur un site web. Tolérée jusqu’à maintenant en France, cette méthode de collecte, qui répond à une lecture possible du RGPD dans sa version actuelle, a de fortes chances de disparaître sous peu, au profit de méthodes dites « strictes », consistant en une expression directe du consentement (via par exemple un clic sur un bouton « accepter »).

La symétrie des consentements fera également sans doute partie des prochaines évolutions : elle consiste à proposer une symétrie des actions possibles, par exemple la présence systématique d’un bouton « Refuser » à côté d’un bouton « Accepter ».

Enfin, des précisions sont également en cours en matière d’échanges de données entre partenaires. Désormais, si une organisation souhaite partager avec des tiers des données qu’elle collecte auprès de ses propres utilisateurs, elle devra nommer précisément chacun des partenaires concernés au moment du recueil des informations.

Le RGPD va donc continuer à évoluer et à se préciser, dans une optique de professionnalisation du marché digital et de responsabilisation des détenteurs de données confidentielles. Les organisations doivent aujourd’hui considérer le RGPD comme un paramètre à part entière de l’ensemble de leurs décisions : il impactera à terme leurs méthodes de travail, leurs processus de conception et de production, et bien entendu leur stratégie et leurs opérations marketing. On ne se préoccupe aujourd’hui souvent que de la partie visible de l’iceberg, mais la question de la conformité devra être intégrée au quotidien, pour chaque sujet et chaque activité, par chaque collaborateur. Ce n’est qu’alors que les entreprises pourront en voir les avantages et les opportunités, et pas seulement les inconvénients.

Une évolution destinée à simplifier l’utilisation du produit et la conformité avec la loi en matière de collecte de données personnelles.

Paris, 16 mai 2019, Commanders Act, éditeur de logiciels SaaS spécialiste du Tag & Data Management, annonce aujourd’hui le lancement de TrustCommander, une version améliorée de son offre de Privacy destinée à simplifier et optimiser la conformité des organisations avec la règlementation en vigueur en matière de protection des données personnelles. Nativement intégrée à sa solution d’Enterprise Tag management TagCommander, TrustCommander est désormais également disponible en « stand alone », pour les organisations utilisant aussi bien Google Tag Manager qu’aucun système de Tag Management.

Une conformité par défaut avec le RGPD

Commanders Act a toujours fait de la protection des données utilisateurs son fer de lance. Dès 2012, l’éditeur proposait un module Privacy intégrable à sa solution de Tag Management, permettant à ses clients de gérer les bandeaux d’informations relatifs à l’utilisation des cookies sur leur site Internet. Avec l’entrée en vigueur du RGPD en mai 2018, ce qui n’était jusqu’alors qu’un devoir d’information s’est considérablement durci, obligeant les entreprises à obtenir le consentement explicite de leurs utilisateurs avant de pouvoir collecter leurs données personnelles.

Dans ce nouveau contexte règlementaire plus contraignant, Commanders Act a choisi de faire évoluer son offre Privacy afin de simplifier la mise en conformité de ses clients.

« Nos clients travaillent avec notre solution de Privacy depuis 2012 mais TrustCommander est un tout nouveau produit bénéficiant de l’expérience accumulée par nos équipes. Après le RGPD, le California Consumer Privacy Act entrera en vigueur le 1^er Janvier 2020 et les réglementations vont continuer à évoluer, explique Michael Froment, CEO de Commanders Act. Cela nécessite encore plus de simplicité dans la mise à jour des process de collecte de consentement.  Nous avons souhaité simplifier la mise en place de TrustCommander en permettant aux clients équipés de Google Tag Manager ou aux équipes non équipées à date d’un TMS de pouvoir se placer rapidement et facilement en conformité.»

Une marque, deux modèles d’intégration

TrustCommander est nativement intégré à TagCommander, la solution d’Enterprise Tag Management de Commanders Act. Pour les clients existants, le déploiement de TrustCommander s’effectue de manière transparente, sans intervention technique nécessaire, puisque le conteneur de tags est déjà présent sur leur site. Le bandeau de consentement, le conditionnement des tags et le déclenchement du tracking sont entièrement gérés depuis l’interface du TMS, via le conteneur.

TrustCommander est désormais également disponible pour les organisations n’ayant pas encore implémenté de TMS, ou utilisant une solution autre que celle de Commanders Act. Sa mise en place nécessitant une manipulation technique un peu plus importante, Commanders Act a d’ores et déjà développé une documentation très complète sur l’installation et l’utilisation du module décorrélé du système de Tag Management. Cette option d’intégration « stand alone » doit permettre à Commanders Act d’adresser un marché élargi, et de répondre aux besoins de conformité d’un plus grand nombre d’organisations.

Une compatibilité, unique sur le marché, avec le framework IAB

Reconnue par IAB Europe comme fournisseur de gestion de consentement (CMP), Commanders Act est le seul éditeur du marché à proposer aujourd’hui un outil de Tag Management intégrant un module de privacy compatible avec le framework IAB. Ce qui permet aux clients de cumuler à la fois les avantages du framework IAB et ceux du Tag Management.

« Notre nouvelle marque TrustCommander témoigne de notre volonté d’accompagner un nombre croissant d’organisations, dans un marché du CMP en pleine accélération. Le RGPD a et va continuer à transformer en profondeur les pratiques sur le marché digital, et les organisations doivent aujourd’hui s’outiller efficacement pour adresser et tirer le meilleur parti de ces évolutions. » précise Michael Froment.