Gestion des consentements en Espagne : 5 raisons d’accélérer

Si l’Espagne a adopté le RGPD (Règlement Général sur la Protection des Données) comme bon nombre d’autres pays de l’Union européenne, son application sur le terrain reste contrastée. Comme la CNIL en France, l’AEPD (Agence Espagnole pour la Protection des Données) a émis des directives et publié des guides pour épauler les entreprises et faciliter leur mise en conformité avec le RGPD, et notamment en ce qui concerne la gestion des cookies et des consentements associés. « Les directives de l’AEPD sont très proches de celles de la Cnil mais, dans la pratique, on ne ressent pas une forte pression officielle pour que l’ensemble des acteurs s’emparent vite et globalement du sujet », estime Juan Vázquez, directeur pour la région Ibérie de Commanders Act.

Ce sentiment se lit aussi dans les chiffres. Oui, l’Espagne figure dans le haut du classement si l’on regarde le nombre d’amendes infligées, mais se situe plutôt en bas si l’on s’en tient au montant moyen : 131 564 euros contre 10,79 millions d’euros en France. Dans ce contexte, l’expérience française peut-elle inspirer le marché espagnol ? Quelles leçons en retenir ? La synthèse en 5 enseignements.

Enseignement #1 : Ne pas croire que cela ne concerne que les autres

En Espagne, l’AEPD montre une attention toute particulière pour les Telcos tels que Vodafone, pour les banques telles que Caixabank et BBVA, ou encore pour les compagnies aériennes comme Iberia et Vueling. Une pression qui a fortement encouragé les entreprises de ces secteurs à s’emparer du sujet. « Je pense qu’il existe des différences notables dans le niveau de conformité en fonction du secteur d’activité, les acteurs du secteur des télécommunications ou du secteur financier dont l’activité est directement liée au traitement des données personnelles, étant clairement au-dessus de la moyenne », analyse Santiago Vázquez-Graña, DPO de Capgemini Espagne.

Les autres secteurs et les acteurs de plus petites tailles doivent-ils se sentir immunisés ? Sans doute pas. L’expérience française l’a montré, même si la Cnil n’a pas forcément les moyens d’investiguer tous les secteurs en même temps, les campagnes se succèdent pour passer en revue les différents pans de l’économie. On voit ainsi mal, les acteurs du tourisme, secteur qui pèse plus de 10% du PIB, échapper aux investigations de l’AEPD. En résumé, grande entreprise ou PME, tous les acteurs, et notamment ceux dont l’activité est exposée d’une manière ou d’une autre, peuvent apparaître sur le radar des autorités.

Enseignement #2 : Ne pas attendre la pénurie de compétences

Le RGPD et les directives émises par les autorités nationales forment un ensemble complexe à interpréter. Au-delà des modalités de la gestion des consentements, des sujets tels que la durée de conservation peuvent demander de s’appuyer sur des experts. De même pour opérer la mise en œuvre technique. Autrement dit, mieux vaut ne pas attendre un mouvement d’adoption général du marché pour se lancer – sauf à vouloir payer au prix fort des compétences pénuriques.

En France, où les entreprises ont souvent attendu le dernier moment pour s’investir sur le sujet, les cabinets d’avocats spécialisés ont vite manqué à l’appel…

Enseignement #3 : Ne pas croire avoir réglé le problème avec le server-side

La fin annoncée des cookies a conduit des entreprises à lancer des migrations vers le server-side. Autrement dit, la collecte des informations n’est plus traitée côté navigateur, mais côté serveur (lire à ce sujet notre livre blanc « Comment vous préparer au cookieless ? » ). Des migrations qui parfois s’accompagnent d’une question : puisque la collecte s’effectue « cookieless », plus besoin de consentement ?

Au regard des efforts fournis pour basculer en server-side, le raccourci est tentant, mais… non. Le server-side n’est qu’une modalité technique de collecte sans impact aucun sur les exigences en matière de gestion des consentements. Voilà pourquoi la CMP de Commanders Act a d’emblée été conçue pour propager le signal de consentement en mode server-side.

Enseignement #4 : Penser gestion des préférences globales de l’utilisateur

Comment gérer le consentement ? Au cas par cas, site par site, canal par canal ? Donc, s’occuper du site, puis de l’app et plus tard encore du chatbot ? Les retours d’expérience le montrent, les entreprises qui comme l’Armée de Terre et Floa Bank optent pour une approche globale du sujet profitent d’un meilleur retour sur investissement.

En traitant de manière globale le consentement à travers un centre de gestion des préférences de l’utilisateur, l’entreprise rationalise ses efforts et minimise grandement les risques de non-conformité. « À défaut d’une telle approche, beaucoup de chatbots en Espagne ne sont pas attachés à une CMP », observe Juan Vázquez.

Enseignement #5 : Considérer cette gestion des préférences comme un investissement

Corollaire de l’enseignement précédent, passer un cap en matière de gestion des consentements consiste à considérer le sujet non plus comme un coût, mais comme un investissement, voire comme un avantage concurrentiel dont l’entreprise peut se prévaloir. En Espagne, « les coûts associés à la mise en conformité (…) et la vision générale de cette mise en conformité comme une entrave à l’activité plutôt que comme une source de valeur ajoutée à la relation avec le client, expliquent que de nombreuses entreprises n’investissent pas les ressources nécessaires pour s’adapter à la nouvelle réalité réglementaire », estime le cabinet Legal Army dans une interview à Silicon.es.

La situation semble toutefois évoluer peu à peu. Gageons que, comme en France, un nombre croissant d’entreprises feront de la gestion des consentements un argument d’attractivité à part entière.