Cela fait plusieurs semaines maintenant que je lis des articles un peu alarmistes sur le fait que le RGPD pourrait favoriser les GAFAM et, notamment, Google. C’est tout à fait vrai. Le RGPD favorisera Google mais pas pour les raisons que l’on met en avant. Google va tirer le meilleur parti du RGPD parce qu’il est dans un écosystème américain qui s’intègre parfaitement à l’esprit du règlement. Google s’est préparé à deux niveaux :
Niveau 1, respecter le RGPD en s’appuyant sur deux atouts : les certifications et le privacy shield
Niveau 2, s’imposer comme le sous-traitant le plus rassurant et offrir des solutions étendues et d’apparence simples dans la large chaîne de valeur que constitue désormais le traitement des données personnelles
Selon que vous serez un sous-traitant puissant ou misérable…
Il est à noter que le RGPD réaffirme l’importance centrale du sous-traitant. Voici ce que dit la CNIL dans son guide des sous-traitants dont je conseille la lecture (source : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf)
« A partir du 25 mai 2018 : Le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE. Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements. Texte officiel Articles 28, 30.2 et 37 du règlement européen sur les obligations du sous-traitant »
Le sous-traitant a donc dans le règlement plusieurs obligations dont une obligation de transparence et de traçabilité, des principes de protection des données, la garantie de la sécurité des données mais aussi une obligation d’assistance, d’alerte et de conseil. C’est en se fondant sur ces obligations et principes que Google a travaillé son « positionnement RGPD » car il s’agit bien en amont de concevoir un discours marketing (simplicité, sécurité) qui rassure les annonceurs et fait du sous-traitant plus qu’un partenaire de confiance, un tiers de confiance.
La position de Google est d’être un sous-traitant de données. Lorsqu’un éditeur souscrit au programme AdSense, il sous-traite la démarche commerciale à Google qui lui envoie des annonceurs. De l’autre côté, les annonceurs choisissant Google Adwords, achètent de l’espace publicitaire via Google et sous-traitent leur présence publicitaire à ce dernier.
Cette position centrale sur le marché se retrouve dans tous les produits Google et, notamment, G Suite et Google Cloud. Voici comment Google présente son apport dans le cadre du RGPD :
« Les consoles et services d’administration de G Suite et de Google Cloud Platform permettent aux responsables du traitement de consulter, de rectifier ou de supprimer toute donnée qu’ils ou leurs utilisateurs ont envoyé à nos systèmes, ou encore d’en restreindre le traitement. Cette fonctionnalité les aide à remplir leurs obligations envers les personnes concernées qui demandent à exercer leurs droits dans le cadre du RGPD. »
Par ailleurs, Google précise que « Nous faisons toutefois appel à des fournisseurs tiers pour nous aider à fournir ces services. Chaque fournisseur est soumis à un processus de sélection rigoureux qui vise à déterminer s’il possède l’expertise technique requise et la capacité de fournir le niveau de sécurité et de confidentialité exigé. »
Source : https://www.google.com/intl/fr_ca/cloud/security/gdpr/
Attention à l’empilement des sous-traitants dans la chaîne de valeur de la Data
En effet, le règlement va plus loin que s’intéresser à un seul sous-traitant. Il s’intéresse également aux sous-traitants du sous-traitant et c’est là que cela impacte directement de nombreux marchés dont le marché de la publicité digitale.
Prenons l’exemple des Adtech. Voici ce que souligne Stéphanie Silo d’Ad Exchanger repris par Ad –Exchange (source : http://ad-exchange.fr/gestion-du-consentement-rgpd-google-veut-limiter-les-editeurs-a-12-partenaires-ad-tech-36685/)
« D’après AdExchanger, la solution qu’envisage Google afin d’aider les éditeurs à obtenir le consentement des internautes pour l’utilisation de leurs données personnelles devrait fortement inquiéter les fournisseurs ad tech. En effet, Funding Choices, à l’origine technologie anti-ad blocking de Google déployée à destination des éditeurs devrait bientôt également faire office de plateforme de gestion de consentement (CMP) dans le cadre du respect de la RGPD et contraindre les éditeurs à ne transmettre les données utilisateurs qu’à un maximum de 12 partenaires ad tech dont Google, des SSP, des exchanges, plug-ins, fournisseurs de technologies de mesure et de données third-party. »
A terme, le marché devrait se rationaliser car le principal problème dans la gestion sécurisée des données est la multiplication des partenaires. Cette rationalisation profite aux plus gros sur le marché dont Google (et son Ad-Ex DoubleClick) et ceux qui seront capables de respecter le règlement.
Google respecte donc parfaitement le RGPD et en profite pour verrouiller son écosystème avec des partenaires sélectionnés.
Par ailleurs, Google s’est préparé depuis longtemps au RGPD grâce à sa longue expérience des normes Iso.
Iso, une préparation pertinente au RGPD, compliance à tous les étages
Voici les normes Iso que Google met en avant pour prouver ses compétences RGPD
- ISO 27001 : gestion de la sécurité des informations
- ISO 27017 : sécurité dans le Cloud
- ISO 27018 : protection des données à caractère personnel dans le Cloud
La norme ISO 27001 est très souvent évoquée comme une véritable aide dans la mise en place du RGPD. Comme le soulignent de nombreux experts, on retrouve dans les exigences de la norme ISO 27001 des points communs avec le RGPD notamment avec l’annexe ISO/CEI 27001 :2013. C’est aussi une base de référence et de travail pour le responsable de traitement qui peut s’appuyer sur cette norme.
L’ensemble de ces normes possède une documentation précise que Google met à disposition de ses clients.
Enfin, Google va plus loin en proposant des outils spécifiques qui devraient aider les responsables de données dans leur métier.
Voici comment Google vend une API spécialisée dans le traitement des données personnelles sensibles dans son Cloud.
« Pensez à dresser un inventaire récent des données personnelles sous votre responsabilité. Vous pouvez vous servir d’outils comme Data Loss Prevention API pour identifier et catégoriser les données ».
Mais la meilleure preuve de l’inutilité du RGPD dans la protection des données des européens face aux GAFAM est la persistance du Privacy Shield.
Privacy Shield et RGPD : tout ça pour ça
Le bouclier de protection des données (Privacy Shield) est défini par la CNIL comme « un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données ».
Source : https://www.cnil.fr/fr/le-privacy-shield
Les sociétés ayant adhéré au dispositif peuvent donc transférer des données de leur entité européenne vers les Etats-Unis. Comme de très nombreuses sociétés américaines, Google est référencé dans le Privacy Shield. La commission européenne à travers son G29 entame des discussions difficiles sur ce traité, discussions rendues d’autant plus complexes que l’administration Trump met en avant les aspects de sécurité nationale pour conserver le Privacy Shield tel qu’il est.
Une longue bataille s’engage particulièrement bien décrite dans l’article suivant : http://www.lexplicite.fr/privacy-shield-faut-il-que-tout-change-pour-que-tout-reste-comme-avant/
Tout ça pour ça…
Laisser un commentaire