En janvier 2012, l'Union Européenne a proposé une nouvelle réglementation visant à sécuriser et à harmoniser la collecte, l'utilisation et la conservation des données.

Cette réforme s'appuie en partie sur une étude réalisée auprès des consommateurs deux ans auparavant et tend à refléter les préoccupations croissantes concernant le respect de la vie privée en ligne, l'évolution du paysage numérique et la mondialisation.

Ces nouvelles règles permettent aux individus de mieux contrôler leurs données personnelles, responsabilisent davantage les entreprises à la question (par exemple avec des exigences plus strictes en matière de protection et de sanctions en cas de violation des données) et soumettent les États membres de l'UE à un ensemble de réglementations cohérentes imposées par la loi et de définitions rigides. Les entreprises situées en dehors de l'UE devront aussi se conformer à ces règles.

Mais, dans une ère numérique en constante évolution, trois ans est une longue période et une autre année encore peut s'écouler avant que les propositions ne soient définitivement adoptées. Les attitudes et les comportements des consommateurs ont considérablement évolué depuis 2012, et encore plus depuis 2010, année au cours de laquelle l'étude à été menée. En outre, de nouveaux outils et de nouvelles technologies ont transformé la façon dont les données peuvent être et sont utilisées par les entreprises.

Le consentement explicite bien difficile à obtenir

En effet, ces dernières années, de nouveaux outils de marketing numérique sont apparus sur le marché, plus efficaces que jamais en matière de collecte, de suivi, d'étude de profil, de ciblage et de personnalisation. Ils exploitent la multitude de données contextuelles, comportementales, de localisation et de navigation que les consommateurs génèrent désormais à chaque interaction numérique.

Dans un cadre aussi complexe et riche en données, les entreprises rencontreront beaucoup de difficultés pour obtenir le « consentement explicite » de chacun comme l'exigent les propositions réglementaires.

L'essor des applications de santé en ligne, des dispositifs de surveillance du mode de vie, du Cloud (permettant de conserver les données personnelles n'importe où dans le monde) et bien sûr de l'Internet des objets continue à faire évoluer le type de données qui peuvent être collectées et la façon de les utiliser.

BMW a révélé récemment que les pressions se faisaient de plus en plus appuyées pour que la marque diffuse les données recueillies par ses véhicules connectés, notamment celles relatives à la performance de la voiture, sa vitesse, ses destinations et même ses occupants.

Avec de tels services et technologies basés sur les données dans leur vie quotidienne, les consommateurs se montrent moins vigilants quant à l'utilisation des données. Notre étude européenne conclut que 88 % des consommateurs confient des informations les concernant à tant d’organisations, en ligne et hors ligne, qu’ils ne savent plus qui détient quoi.

Trois quarts (72 %) ne sont pas convaincus que cela vaille la peine de déployer autant d’efforts que cela suppose pour obtenir la suppression de leurs informations.

Une tolérance qui n'est pas universelle

Dans certains domaines, l'inquiétude concernant le respect de la vie privée s'intensifie. Suite aux nombreux comptes-rendus sur les enquêtes de la NSA, à la multiplication des cyberattaques et au marketing intrusif, bon nombre de consommateurs se sentent vulnérables et en colère quant à la manière dont leurs données personnelles sont collectées et mises en danger.

En somme, les consommateurs connectés établissent leurs propres normes de vie privée acceptables. Des études démontrent que les gens sont prêts à dévoiler davantage d'informations aux organisations en qui ils ont confiance. Il s'agit souvent d'entreprises disposant de normes de sécurité et de confidentialité des données efficaces.

Selon le cabinet d'analystes Forrester, « dans la lutte pour acquérir, servir et fidéliser les clients, la sécurité des données et le respect de la confidentialité sont aujourd’hui des gages qui aident à se différencier de la concurrence ».

Les entreprises ont sans doute tout intérêt à s'adapter au comportement de ces consommateurs au lieu d'attendre la finalisation de la nouvelle législation pour savoir comment hiérarchiser et protéger les données personnelles utilisées dans le cadre de leurs activités.

C'est d'autant plus important qu'au cours de ces trois dernières années, en l'absence de la nouvelle législation, un certain nombre d'événements marquants ont poussé d'autres entités à prendre des décisions importantes en matière de protection des données. Il s'agit notamment du jugement rendu en mai 2014 contre Google sur le « droit à l'oubli », pierre angulaire de la nouvelle législation.

Bon nombre de ces nouvelles règles sont importantes et indispensables. Elles assureront la cohérence entre les 28 États membres et avec les organisations extérieures à l'UE qui recueillent, stockent ou traitent des données européennes. Elles visent à encadrer efficacement l'utilisation des données personnelles dans le secteur de la recherche et le besoin d'« anonymisation » qu'elles impliquent.

En outre, elles s'assurent que les définitions de concepts tels que « consentement », « portabilité des données », « droit à l'effacement » et « notification des violations des données » sont universellement acceptées, comprises et mises en œuvre.

Les entreprises doivent se préparer. Pour les y aider, Iron Mountain a publié un document consultatif pour mesurer pleinement les effets de la nouvelle réglementation et comprendre leur importance. Et pas seulement en 2016 lorsqu'elle sera définitivement adoptée et mise en œuvre, mais dès aujourd'hui, sans plus tarder, confirme Edward Hladky, Directeur Général Adjoint d’Iron Mountain France