Le 25 mai 2018, le RGPD est entré en application. Exercice des droits, harmonisation des règles, coopération entre autorités… Retour sur 4 années en chiffres.
------------------------------
L'essor du capitalisme de la vie privée
et la naissance des plateformes de confiance
Par Guillaume Renouard du JDN ; Mis à jour le 09/02/22 12:38
Face aux scandales à répétition autour de la collecte des données personnelles et à la multiplication des lois encadrant celle-ci, une nouvelle industrie se structure.
En 2019, dans un livre qui fit grand bruit The age of surveillance capitalism, Shoshana Zuboff, professeur à la Harvard Business School, écrivait que nous vivions à l'âge du capitalisme de la surveillance, sous l'influence des Gafam et de leur modèle économique basé sur la collecte des données utilisateurs. Mais au fil des scandales liés à l'exploitation de ces données, et surtout depuis le vote du RGPD en 2016, un autre modèle économique se met en place sur la toile : un capitalisme de la protection de la vie privée.
Car la loi européenne a fait des émules, conduisant de nombreux pays à adopter leur propre législation sur le traitement des données personnelles. "Le RGPD a ricoché dans le monde entier. Aux Etats-Unis, le California Consumer Privacy Act (CCPA) a également eu un impact significatif. Plusieurs Etats américains ont suivi en adoptant leur propre régulation, de la Virginie au Colorado, et les rumeurs autour de l'adoption d'une loi fédérale vont bon train. Dans le reste du monde, nous continuons de voir émerger de nouvelles régulations, pour lesquelles nos clients comptent sur notre assistance, du LGP au Brésil en passant par le PIPL chinois et le PIPEDA canadien", affirme Andrew Clearwater, chief trust officer de OneTrust, une entreprise basée à Atlanta qui s'est donné pour mission d'aider ses clients à naviguer parmi la jungle des régulations encadrant collecte et traitement des données. Fondée en 2016, année où le RGPD a été voté, OneTrust affirme aujourd'hui compter plus de 10 000 clients à travers le monde, dont plus de la moitié des entreprises du Fortune 500. Sa valorisation est estimée à 5,3 milliards de dollars.
Naviguer sur une mer de régulations
Similaires dans l'esprit, les lois citées par Andrew Clearwater diffèrent dans les détails, posant un véritable casse-tête aux entreprises multinationales, qui doivent en permanence se tenir au courant des dernières régulations, d'autant que ces lois tendent également à évoluer après leur entrée en application. En novembre 2020, neuf mois après l'entrée en vigueur du CCPA, la Californie a ainsi voté la proposition 24, modifiant la loi pour assurer un plus grand contrôle aux Californiens sur leurs données personnelles. Flairant une opportunité, de nombreuses entreprises ont construit leur modèle d'affaires sur l'assistance aux entreprises, pour leur permettre de rester à jour sans être contraintes d'y consacrer d'énormes ressources en interne.
"Nous sommes nés avec cette nouvelle ère mettant la confidentialité et la protection des données personnelles au premier plan", confie Sarah Hospelhorn, directrice du marketing produit chez BigID, un concurrent de OneTrust, également né en 2016. "BigID a au départ été créée pour aider les entreprises à identifier les données personnelles en leur possession, afin de pouvoir répondre aux clients qui souhaiteraient accéder à toutes leurs données détenues par l'entreprise, comme le RGPD leur en donne le droit. Au fil des années, nous avons ajouté d'autres services, dont un outil pour surveiller la façon dont les données sont traitées, comme l'exige l'article 30 du RGPD. Ou encore de quoi gérer la rétention des données, pour les supprimer automatiquement après une certaine date, ou encore s'assurer de ne pas donner accès à des données confidentielles lors d'une fusion-acquisition..."
Des investisseurs toujours plus enthousiastes
Fort de son expertise accumulée depuis 2016, BigID a levé 30 millions de dollars en avril 2021, portant sa valorisation estimée à 1,25 milliard de dollars. Elle n'est pas la seule à attirer l'œil des investisseurs. En 2017, l'International Association of Privacy Professionals, une association à but non lucratif, dénombrait 44 jeunes pousses spécialisées dans la gestion des données personnelles. On en compte désormais 230 listées sur Crunchbase, qui ont reçu plus de 3 milliards de dollars de la part des investisseurs.
Outre l'approche généraliste de OneTrust et BigID, citons également d'autres prestataires plus spécialisés, comme NuLink, une start-up suédoise qui propose des outils permettant aux développeurs de mettre en place de bonnes pratiques autour de la protection des données personnelles. Ou encore Anonyome Labs, une plateforme permettant aux entreprises d'échanger avec leurs clients sans que ceux-ci n'aient à communiquer des informations personnelles.
Vers un capitalisme éthique ?
Si les lois comme le RGPD ont contribué à lancer l'industrie, cette dernière ne se contente pas d'aider les entreprises à respecter ces régulations. "Notre mission est de mettre en place à destination des entreprises la toute première plateforme centrée sur la confiance, ce qui inclut le respect de la vie privée, mais aussi la RSE, l'éthique, la gouvernance, la transparence… Toutes ces dimensions ne peuvent plus être traitées en silo, et notre ambition est de permettre à nos clients de les inscrire dans leur ADN", résume Andrew Clearwater.
Ces jeunes pousses voient dans le respect de la vie privée des utilisateurs l'émergence d'un nouveau paradigme, marqué par l'essor des entreprises à mission, dans lequel les consommateurs attendent des entreprises certains engagements éthiques. Comme le résume Sarah Hospelhorn, "les consommateurs savent que leurs données personnelles sont une monnaie d'échange, et privilégient donc les entreprises à qui ils peuvent faire confiance."