GDPR: La revanche des avatars et des fantômes

GDPRRécemment, et bien que passée inaperçue dans le tourbillon de l’affaire Cambridge Analytica, une actualité m’a fait réagir. Lors des auditions de Mark Zuckerberg devant les autorités, une question a semble-t-il déstabilisé le grand patron de Facebook. Pour monnayer plus facilement vos données, Facebook créerait, à votre insu et à partir de traces laissées sur Whatsapp et autres services « associés », des comptes Facebook cachés, les fameux profils fantômes. La question est évidemment restée sans réponse – « secret des affaires » – mais on peut s’interroger sur ce qu’impliquent de telles pratiques dans le contexte GDPR.

Les fantômes de Facebook, nos avatars : un challenge pour la GDPR

Pourquoi Facebook fait-il une telle chose ? Probablement parce qu’il est plus simple pour lui de vendre ou d’adresser une entité digitale consolidée plutôt qu’un empilement désordonné d’informations. Parce que cela lui permet aussi d’augmenter le nombre d’utilisateurs et donc la taille de l’audience vendue à ses partenaires. Maintenant, posez-vous la question : combien de comptes Gmail avez-vous ? combien d’identités créez-vous pour interagir avec une marque, par exemple votre fournisseur de téléphonie ? Pour des raisons pratiques proches de celles de Facebook, ou tout simplement pour segmenter notre communication, nous sommes amenés à créer tout un tas d’avatars numériques, reflets plus ou moins véridiques de ce que nous sommes ou souhaitons partager…

Maintenant, mettez-vous à la place d’une enseigne faisant face au règlement européen sur la protection des données. Ce règlement vise à protéger les citoyens, autrement dit pas leurs avatars ou leurs fantômes. Tous les principes GDPR, et en particulier ceux concernant le consentement ou l’accès aux données, s’appliquent au niveau de l’individu.

Concilier la connaissance Clients et le respect des consentements

Comment, dans ce cas, mettre en œuvre une telle politique quand les interactions digitales ne sont portées que par des profils, et donc destinées à des avatars ? Un avatar à l’email douteux, peut-être, dans le cadre d’un enregistrement sur un forum pour lequel le consentement aura été donné un peu contraint et sans détail sur l’objectif ; un autre plus crédible, dans le cadre du programme de fidélité avec cagnotte associée ; Qui dit vrai ? Quel consentement utiliser dans le cas d’un conflit ? Et s’il date d’avant GDPR, à qui le demander de nouveau ? Le demander quatre fois, si quatre avatars existent ? Toute personne ayant reçu l’avalanche d’emails après le 25 mai dernier reconnaîtra le challenge ici posé.

Et les comptes fantômes dans tout ça ? Comment demander un consentement pour un profil qui n’a, à priori, jamais été créé ? Si un avatar légitime existait déjà, pourrait-on l’utiliser pour éviter de perdre des données qui lui deviendraient associées ?

Dévoiler l’identité des avatars, un impératif business et réglementaire

Il devient évident qu’une gestion holistique des consentements, indépendamment des applications qui les capturent liés à des profils, est nécessaire pour opérer sereinement dans le cadre légal GDPR. Un référentiel d’individus, dont la principale action de gouvernance serait de transformer des AVATARS en PERSONNES, me semble la brique essentielle pour assurer cette gestion cohérente du consentement et des droits d’accès.

Certaines entreprises l’ont compris, en lançant un projet de référentiel Clients ou en étendant un programme existant. Pour d’autres, cette histoire de fantômes risque fort de tourner au cauchemar…

Dans le prochain post, je détaillerai quelques bonnes pratiques mises en œuvre par nos clients pour faire la chasse aux fantômes…

Si vous souhaitez rencontrer David Decloux, découvrir une démonstration des solutions GDPR d’Informatica ou ouvrir une discussion sur la manière de mettre en place votre référentiel unique de données, venez nous rejoindre à l’évènement Data Informatica World Tour France 2018 en cliquant ici.

Commentaire