Qui ?
L'équipe de PetitWeb.
Quoi ?
Une tentative de bilan sur les perdants et les gagnants du RGPD incarné ici par Margrethe Vestager, Commissaire européenne à la Concurrence (en photo).
Comment ?
L’anniversaire du RGPD n’est pas passée inaperçu : notre boite mail était submergée de bilans en tout genre. Ça nous a donné envie de poser la question. Au fait, qui a gagné et qui a perdu ?
Chez les régulateurs : France, 1, Irlande, 0
L'Europe a inspiré le reste du monde (cf. notre inventaire des législations inspirées par celle-ci). Les USA sont actuellement en plein lobbying, avec l’entrée en vigueur le 1er janvier 2020 du California Consumer Protection Act (CCPA).
Les anti-régulation soulignent que l’Europe va être très en retard, à cause de cette régulation, sur les progrès de la santé en matière d’intelligence artificielle. C’était aussi le discours de Jack Ma au dernier Vivatech.
Après un an d'application, il faut le reconnaître, les instances de régulation ont du mal à embrasser leurs nouveaux pouvoirs. Seule la France et l’Allemagne ont frappé un grand coup, la CNIL contre Google (voir ci-dessous) et dans son avis public contre des acteurs du retargetting géolocalisé. Et l’Allemagne, contre Facebook et son croisement de données entre Facebook Instagram et WhatsApp.
D’autres investigations visent Quantcast et (encore) Google. Mais en Europe, le RGPD n’a pas été synonyme de Grand soir : en un an, 145 000 plaintes individuelles, 440 enquêtes ouvertes et une seule condamnation majeure.
Les regards se tournent en particulier vers l’Irlande, chargée de l’application pour les plateformes qui y ont leur siège social.«On n’a même pas reçu la réponse de Facebook pour la plainte qu’on a déposée il y a un an, alors que la CNIL a terminé la procédure. Il y a de plus en plus de signes montrant que l’Irlande ne fait pas appliquer la loi européenne », explique l'activiste autrichien de protection des données Max Schrems.
Quand le chat n’est pas là, les souris dansent ?
Lors d’une table ronde qui s’est tenue le 29 avril 2019 à Washington pour le Sommet Mondial sur la Protection de la Vie Privée de l'International Association of Privacy Professionals, un rassemblement annuel de 4 000 professionnels de la vie privée du monde entier, Helen Dixon (Commission Irlandaise de Protection des Données), en conversation avec Elizabeth Denham (Commission d’Information du Royaume-Uni,) et Andrea Jelinek (Présidente du conseil européen de la protection des données) ont souligné que les enquêtes prennent six mois au minimum. Au cours du cycle d’une requête, les régulateurs doivent d’abord déterminer si, à première vue, une plainte déposée par un résident de l’UE est pertinente et atteint le niveau d’une violation potentielle du RGPD. Une grande partie des centaines de milliers de plaintes reçues par les autorités de protection des données au cours de l’année ont simplement été des requêtes d’exclusion des publicités, ce qui ne rentre pas dans le cadre de la réglementation. Dans le cas d’une plainte valide, les régulateurs se sont ensuite éduqués sur la technologie, et ont sollicité les entreprises en question pour plus d’informations.
Ce va-et-vient entre les régulateurs et les entreprises peut résoudre les plaintes, comme l'a souligné Helen Dixon, qui préfère utiliser des "carottes" plutôt que des "bâtons". En attendant, Facebook réintroduit son système de reconnaissance faciale, qui était suspendu devant la menace réglementaire...
This horror show op-ed published by the NYT today was written by a woman who runs a company that literally sells user "behavior" data. Of course she opposes privacy law. pic.twitter.com/tIo5bgSdYm
— black hole: devour us (@onekade) May 24, 2019
Du côté des syndicats, les premières décisions de la CNIL ont montré la grande faiblesse de l'autorégulation menée par l’IAB, expliquée par Robin Berjon, le chief data officer du NYT, dans ce thread hilarant.
Enfin, le règlement a fait le bonheur des cabinets d'avocat et des cabinets de conseil.
Google, plus impacté que Facebook, pour l’instant...
Difficile de connaitre l’impact de la mesure sur les grandes plateformes. Selon les infos disponibles, Google a perdu plus que Facebook : le groupe a écopé de l' amende record de 50 M€, sur les 56 M€ (ce site recense toutes les sanctions européennes ). Le graphique ci-dessous détaille le tassement de la croissance en Europe depuis le Règlement. Côté Facebook, nous n’avons récolté aucune donnée de ce type.
Enfin, Google pourrait sortir renforcé de cette tourmente juridique. Car son projet ITP, de bloqueur de pub sur son navigateur Chrome pourrait établir pour de nombreuses années la suprématie des plateformes sur leur océan de données loggée. C'est le fameux article 10 de la directive e-privacy, qui fait actuellement l'objet d'un intense lobbying à Bruxelles.
En coupant les fournisseurs de data tierces, c’est sûr, Facebook s'est aussi privé d'un coup de millions de recettes. Reste que les plateformes en contact quotidien avec leurs utilisateurs, ont été en bien meilleure posture que les opérateurs téléphoniques, par exemple.
Du côté de ces derniers, l'entrée en vigueur du Règlement a été un casse-tête : contrairement aux plateformes, ils ne sont pas en contact quotidien avec l'utilisateur. Selon certains experts, jusqu'à 20 % de la base aurait pu opté out... Mais impossible d'avoir les chiffres des opérateurs eux-mêmes.
En même temps, Orange a lancé, en mars dernier, son offre publicitaire data. Mais avec beaucoup de prudence : il est hors de question de fâcher l'abonné !
Gros remue-ménage chez les exploitants de la donnée
Difficile également de connaitre l'ampleur du tassement du marché de la donnée impliqué par le RGPD. En effet, le baromètre du SRI n’intègrera les chiffres de la data que cette année. Le récent Turing Club* devrait annoncer certaines tendances en juin prochain. En attendant, on retiendra que le marché s’est effondré du jour au lendemain de 90 % et qu’il se reconstitue peu à peu, avec des données de meilleure qualité. Du côté des exploitants de cette donnée opérateur, Ogury (l’auteur de l’étude citée ci-dessus), s’en sort bien. Mais sa base de 400 M d’utilisateurs pose question. D'aucuns estiment que la récupération de cette information sur Android serait le fruit d'une faille technique...
Chez les acteurs du Cloud, certains se sont purement et simplement retirés d'Europe. Ainsi, Oracle a fermé son activité publicitaire Addthis, depuis le début de l'année 2019 : "Nous n'utilisons plus de la data européenne pour créer des audiences", a confié Cécilia Mao, la VP d'Oracle data cloud, à AdExchange. Nielsen a ainsi coupé les data provider tiers en Europe, et mène toujours un audit pour savoir s'il relance cette activité.
Sirdata pointe ainsi cette autre perte sèche : celle en fourniture de data. "Oracle a renoncé à Addthis, son activité publicitaire en Europe. On est moins organisés, ça a fait moins de bruit que quand Doubleclick a coupé les éditeurs, mais ça nous affectés."
D'autres acteurs étrangers ont jeté l'éponge, comme Verve, Tapad ou Draw bridge. De même, la DMP de WPP, Zipline, a fermé. Une manière de ne pas pas engager des coûts trop élevés pour s'adapter à la réglementation.
Enfin, les annonceurs ont mis une croix sur l'échange de données entre pairs, qui ne relève pas du consentement explicite. EMarketer explique les principaux mouvements du marché : les annonceurs en programmatique ont déporté leurs investissements d'open exchange en places de marche privées. Ils ont aussi utilisé moins de données tiers partie. Le second party data a vécu. La data qu'ils exploitent a perdu en volume mais gagné en qualité. Mais de nouveaux acteurs, comme Dawex, à Lyon, sont là pour organiser les échanges de la donnée qui leur appartient, sur un mode mondial. A suivre.
Au piloris de la CNIL
Vectaury, Single spot, Teemo ou Feedzup ont eu le vent en poupe en 2016 et 2017. Leur solution de retargetting géolocalisé, qui, très séduisante pour les marketers a eu le vent en poupe : chacune de ces sociétés faisait entre 7 et 10 M€ de CA au moment de l'entrée en vigueur de la règlementation. Elles ont toutes pivoté en changeant leur méthode de consentement. Certaines, qui prévoyaient des rachats de société, ont dû y renoncer. Teemo a réduit la voilure, dans un premier temps, et a aujourd'hui retrouvé l'activité pré RGPD, son Dg passe du temps aux USA. Singlespot ne fait plus de retargetting et devient un data provider et Vectaury continue, avec des opt-in mieux travaillés. En revanche, un acteur comme Retency (mesure de flux drive-to-store), qui a développé sa technologie en concertation avec la CNIL, n'a rien dû changer à son modèle. Enfin, cet avis a plongé le marché dans une grande perplexité. "L'un des effets induits des mises en demeure des acteurs de marketing mobile a été la création de CMP ultra stricte par ces mêmes sociétés", explique Bruno Delcombel Delbos, qui dirige l'opérateur de consentement Managing platform Chandago. Mais la CNIL a été avant tout préoccupée par la la géolocalisation à des fins publicitaires pour laquelle le régulateur a exigé et obtenu un recueil de consentement très strict pour les entreprises contrôlées. "Cela a quasiment failli créer un standard de fait, ce qui aurait été dévastateur. Nous avons l’habitude de dire que la donnée est plus ou moins radioactive et qu’il faut donc adapter le recueil en conséquence. Aligner le recueil de toutes les finalités vers les exigences de recueil de données sensibles comme la localisation précise de l’internaute, c’est se tirer une balle dans le pied à moyen terme."
De nouveaux acteurs : les consent management platform et les spécialistes de la donnée anonymisée
Suite à cet avis de la CNIL, le marché s'est équipé de Consent Management Platform, pour établir le lien avec l'utilisateur final. En mode gratuit (Quantcast Springer...), ou payant.
Exposé au bandeau, l'utilisateur qui clique entre dans la CMP, on lui propose de tout cliquer ou refuser, ou des choix distincts. Pour obtenir le consentement facilement, certains vont jusqu'à mettre le texte dans la même couleur que le fond !
La CNIL, qui attend comme tout le monde le règlement e-privacy, a accordé un sursis d'un an au marché : le scroll vaut encore, pendant cette période, consentement...
Le marché a vu aussi fleurir une offre de CMP payants (One Trust, Didomi...), qui permettent aux éditeurs de s'adapter au contexte, de mieux gérer l'UX et de certifier la chaîne d'approvisionnement, souvent avec la blockchain. Ou Chandago, une start-up bordelaise fondée en août 2017, qui emploie aujourd'hui une équipe de 17 personnes sous la direction de deux anciens de Weborama, Emmanuelle Dubourg et Bruno Delcombel-Delbos. La start-up bordelaise a développé une consent management platform (CMP), utilisée par le groupe Le Figaro ou Fid Me. Baptisée AppConsent. Elle stocke les consentements dans une blockchain privée, technologie utilisée par les cryptomonnaies comme le Bitcoin... "Nous avons deux piliers : une démarche UX scientifique qui permet de mieux comprendre l'utilisateur final, et de réussir l’équilibre entre nécessité de conformité et compréhension, ce qui est parfois antinomique. Et un stock technique, où la blockchain excelle dans sa capacité à prouver qu’une information n’a pas été modifiée ou altérée : c’est un distributeur de confiance."précise Bruno Delcombel-Delbos. En cas d'audit par le régulateur, l'éditeur web peut démontrer, via la plateforme, la façon dont le consentement a été collecté, le contexte, la question qui a été posée à l'internaute, quel jour et à quelle heure.. . Avec ce type de méthode les CMP payantes peuvent prouver leur efficacité aux éditeurs "Quand nous performons à 75 % de taux de consentement, une autre implémentation peut obtenir entre 23 et 41 %".
Créée en 2012, Sirdata achète de la donnée socio démo aux éditeurs, une personne qui était passée sur une page présentant un modèle auto est intéressée par l'automobile, et on se servait de cette donnée pour vendre des publicités ciblées. On ajoutait des cases aux DSP et SSP pour vendre de la donnée ciblée. Mais aujourd'hui, son métier n'a plus rien à voir, explique Benoit Oberlé, son dirigeant : "On était persuadés à pouvoir continuer data provider en étant conforme mais on a fait un plan B, avec une activité de Traitement de donnée brute en donnée raffinée, pour établir des segments d’audience mis à disposition des éditeurs". Et surtout, Sirdata a fait connaissance avec l'ironie du sort : "On pensait que nos concurrents anglo-saxons, traditionnellement très orientés juridiques, seraient au top. Du coup, on est partis tôt. Et on a demandé à notre actionnaire de partager notre foi que tout n'était pas perdu. Et on s'est retrouvés avec un an d'avance, face à des concurrents qui n'avaient pas investi le sujet !". Globalement, Sirdata a perdu 50 % de son CA, mais son actionnaire l’a suivi dans la définition de ses nouveaux métiers.
Côté donnée anonymisée, un acteur comme Retency (drive-to-store) a eu son baptême du feu avec l’accord passé avec la RATP : « Les journalistes ne s’intéressent pas aux trains qui arrivent à l’heure et aux technologies labellisées par la CNIL. Mais quand nous avons eu ce début de démarrage de scandale sur les réseaux sociaux, avec la RATP, cela nous a permis de faire passer le message : notre donnée est 100 % anonymisée et son process de traitement, labélisé par la CNIL», s’amuse Isabelle Bordry, qui co-dirige la start-up. Notamment présent en GB et aux US, Anne Bezançon, dirigeante de Placecast, maintenant Emodo après son rachat par Ericsson, a construit son modèle sur l’opt-in et la donnée géolocalisée avec les données opérateurs : "Il faut bien distinguer le rôle de processeur et de contrôleur des données sous le RGDP". Emodo se positionne toujours en processeur, contrairement aux autres acteurs du secteur qui on fait confiance au système d’information des données consenties préconise par IAB Europe, qui se repose sur les éditeurs et n’a pas encore l’échelle nécessaire.
Des éditeurs entre perte sèche et nouvel avenir
Les éditeurs américains ont bloqué le trafic européen et coupé les add exchange européen. Google a fait perdre entre quelques jours et quelques semaines de CA aux éditeurs en coupant l’alimentation de sa plateforme, pour se conformer aux nouvelles règles. Et a demandé aux éditeurs eux-mêmes de montrer patte blanche sur leurs pratiques data et celles de leurs sous traitants. Résultat : les éditeurs craignent que cette information qu’ils livrent à Google ne serve à qualifier ses bases.
Sur 100 sites, un an après, 75 disposent un consentement management platform. "Encore faut- il parler la langue du visiteur. Les éditeurs hésitent entre une présentation de la politique de cookie trop longue (elle ne sera pas lue) ou trop courte (ce ne sera pas un consentement véritable). Et les formulations, inspirées par le juridique, ne sont pas vraiment comprises
Pour se conformer à la RGPD les éditeurs américains, notamment, sont revenus à un mode de ciblage socio démo. Robin Berjon, a ainsi déclaré que cela leur avait permis de se rendre compte que la valeur incrémentale de l'ultra-ciblage est nulle ! C'est aussi le point de vue de Jérémy Bendayan (cf. notre papier) pour lequel le ciblage très fin de Facebook n'est pas forcément rentable.
Quand on clique sur "En savoir plus sur les cookies" au lieu de "tout accepter", voici le genre de liste sur laquelle on tombe (et elle continue sur trois pages) #RGPD #GDPR pic.twitter.com/AthAG06Lvm
— Philippe Berry (@ptiberry) 23 mai 2019
Et le public, dans tout ça ?
Eh bien, le public ne comprend toujours rien, un an après, au RGPD.
Ogury (recueil de consentement sur mobile) a mené une étude, du 12 au 18 février 2019 aux États-Unis, en Allemagne, en Espagne, en Italie, en France et au Royaume-Uni, rassemblant les réponses de 287 571 utilisateurs mobiles dans le monde. En France, 22 631 personnes ont répondu à cette enquête : 33 % des Français interrogés déclarent ne pas mieux comprendre l’utilisation faite de leurs données depuis l’entrée en vigueur de la loi. 47 % disent même « ne pas savoir ce qu’est le RGPD ». Ce chiffre descend à 39 % en moyenne pour l’ensemble des répondants européens, une proportion qui demeure étonnamment élevée plus d’un an après l’entrée en vigueur de la loi dans les Etats « L’application du RGPD n'a pas été suffisamment prise au sérieux par les organisations », regrette Jean Canzoneri, co-fondateur et CEO d'Ogury. « Ces chiffres doivent sembler décourageants pour les régulateurs, qui auraient sans nul doute espéré une meilleure compréhension de la part des consommateurs, que le RGPD est justement censé protéger. Mais les spécialistes du marketing doivent prendre en considération les enseignements de cette étude : le message n'est clairement pas bien passé. Il revient d’abord aux entreprises de maîtriser le RGPD, puis de sensibiliser les consommateurs à l'importance du partage des données. Cette pédagogie va devenir de plus en plus clé, et ce partout dans le monde, notamment aux Etats-Unis avec l’entrée en vigueur le 1er janvier 2020 du California Consumer Protection Act (CCPA). »
L’étude révèle que les entreprises n'ont pas mis en place les moyens nécessaires à l’obtention du consentement explicite et éclairé de l'utilisateur pour collecter et utiliser ses données. En moyenne en France, 77 % des consommateurs ne lisent pas les formulaires de consentement. Près de la moitié des consommateurs (52 % à l'échelle mondiale) ont répondu que, même lorsqu'ils lisent les formulaires de consentement et les politiques de confidentialité, ils ne comprennent toujours pas comment leurs données sont utilisées. Un exemple ? Une visite sur le site Ouest France, pourtant un bon élève du recueil de consentement et le refus des cookies entraîne cette proposition absurde : "Etes vous sur de vouloir refuser les cookies publicitaires? -J’accepte".
Contre toute attente, ce taux est encore plus élevé dans les pays où le RGPD est mis en œuvre depuis un an, puisque 58 % des sondés européens ne comprennent pas mieux comment les entreprises utilisent leurs données en lisant les informations de collecte du consentement.
Pour Raphael Rodier, Chief Revenue Officer d’Ogury, « Le secteur du marketing a absolument besoin de regagner la confiance des consommateurs, en obtenant leur consentement explicite et en leur accordant un choix clair et juste. Cela passe avant tout par des formulaires de consentement rédigés et affichés de manière claire et parfaitement compréhensible. C’est la condition indispensable d’un consentement recueilli honnêtement. Les entreprises ont l’opportunité à la fois de rassurer les consommateurs quant au respect de leur vie privée et d'accroître leur engagement à l'égard du marketing mobile. Pour cela ils doivent s’engager à leur offrir un choix explicite, éclairé et sans ambiguïté, de l’opt-in aux publicités personnalisées à l’exercice de leur droit à l’oubli. Malheureusement, au cours de l’année passée, les organisations n'ont pas pris le RGPD au sérieux, ce qui présage de futurs scandales et sanctions pour les entreprises.».
Peu l'ont compris, mais le RGPD est avant tout une affaire d'UX, de formulation et de communication. Les entreprises quelles qu'elles soient doivent apprendre à dire ce qu'elles font, faire ce qu'elles disent, et le faire comprendre. La dernière partie est sans doute la plus compliquée !
*Qui rassemble AID, Publicis ETO Pepit.es, 55, Allomedia, Actito, Advalo, Artefact, Arvato, Awe, Bigdatanalytics, BlueDME, Bluescale,CBC developpement, Commanders act, Conexance, DMI,, Equancy, Getquanty, Graphinium,, Havas Helia, Inbox, Isobar, Kairos fire, Kernix, Know your people, Leadplace, Leadeal marketing, Lincoln, Lineup7, Makazi, Mediapost, Quantmetry, Second round, Selligent, Sirdata, Soft computing, Temelio, Velvet, Ubiquity,, Wide, Wunderman.