Respect de la loi, limitation des risques de sanction par la CNIL, argument marketing, les raisons ne manquent pas mais ne suffisent pas à expliquer cette démarche proactive.
En effet, ces entreprises se caractérisent à la fois par leur maturité sur le sujet et par la conviction tant à titre personnel que professionnel de leurs dirigeants quant à la nécessité de protéger les données personnelles des individus. C’est aussi pour beaucoup d’entre elles, l’occasion de réfléchir à de nouveaux modèles économiques.
Trois dirigeants ont accepté de nous faire part de leur expérience. Leurs secteurs d’activités n’ont rien en commun, leurs statuts diffèrent (un prestataire de service, un responsable de traitement et un fabriquant de solution), mais ils partagent une même préoccupation : la protection des données et de la vie privée de leurs clients et utilisateurs.
Créé en 2000, le Groupe Oodrive dont le centre de R&D est à Paris, est éditeur pionnier des solutions Cloud en Europe utilisées par plus d’un million d’utilisateurs, 14500 entreprises dont près des deux tiers des sociétés du CAC40.
André Delaforge est « Head of Communication Advisory Committee » de Natural Security Alliance qui représente un écosystème bâti autour du standard d’authentification forte Natural Security. Il associe des banques et des acteurs du commerce, des laboratoires de test et des autorités de certification, des « cards schemes » et des industriels en vue de développer des méthodes d’authentification biométrique sécurisée, simple et respectueuses de la protection des données et de la vie privée.
Lorsque Thomas Fauré a fondé Whaller.com il y a cinq ans, son ambition était de prendre le contrepied de Facebook. Whaller est une plateforme de réseaux sociaux privatifs qui a pour principes de protéger les données et les échanges entre « sphères privées » et de ne pas exploiter pas données personnelles.
Pas vu, pas pris a-t-on coutume d’entendre, d’autant plus que les sanctions de la CNIL sont rares et peu dissuasives.
Pourquoi Whaller a-t-elle choisi de faire de la protection des données une de ses priorités ? L’exploitation des données personnelles constitue le fonds de commerce de tout réseau social. En quoi Whaller.com serait-il différent ?
WHALLER : Nous ne sommes pas gouvernés par "la peur du gendarme", même si nous pensons qu’elle est nécessaire. Notre business model repose sur la vente de réseaux internes aux entreprises.
L’utilisateur est au cœur du réseau Whaller ; notre objectif est de rassurer les internautes et de satisfaire leurs besoins de "réseaux sociaux humains".
Le web doit se réinventer en imaginant de nouveaux modèles économiques, centrés sur les services, et non plus sur l’exploitation des données.
A ce jour, ni la loi française, ni la directive européenne ne prévoient d’obligations ou de sanctions pour les sous-traitants et pour les fabricants de solutions de traitement de données. Alors pourquoi une entreprise comme la vôtre devrait-elle se préoccuper d’une loi dont les obligations concernent d’abord et avant tout ses clients ?
NATURAL SECURITY : Nous constatons au quotidien que la protection des données personnelles est un enjeu essentiel pour les utilisateurs, et cela contrairement aux idées reçues, partout dans le monde. Notre démarche est internationale, cet enjeu nous apparaît à la fois comme un pré-requis mais également comme le plus petit dénominateur commun.
OODRIVE : Pour Oodrive, la protection des données est un élément stratégique !
En effet, aujourd’hui la sécurité et la protection des données personnelles sont les principales préoccupations de nos clients. Les DSI, qui sont nos interlocuteurs, veulent des solutions de partage en Cloud assorties de garanties.
Nos clients nous choisissent non seulement pour la qualité de nos solutions mais aussi et surtout pour nos engagements en matière de sécurité et de confidentialité des données personnelles.
Ce n’est donc pas la peur de la sanction qui nous motive, mais plutôt la satisfaction client.
D’accord, mais au-delà d’une position de principe, comment cela se traduit-il concrètement ?
OODRIVE : Nous avons passé avec succès l’audit de certification Cloud Confidence. Il s’agit d’une démarche de transparence vis-à-vis de nos clients et des données qu’ils nous confient. L’objectif est de leur garantir que nos solutions respectent les principes de la règlementation européenne de protection des données.
Nous avons aussi désigné un CIL qui travaille au quotidien avec les équipes afin de s’assurer de la conformité des projets vis-à-vis de la réglementation et des bonnes pratiques.
NATURAL SECURITY : Nous avons mis en œuvre une démarche de Privacy By Design dès l’origine du projet en 2008, bien avant que ce concept ne soit porté sur le devant de la scène. Nous avons d’ailleurs été désignés « Privacy By Design Ambassador » par l’IPC en Ontario. Nous avons développé un processus de certification reposant sur le test des matériels implémentant notre standard. La conformité en matière de respect de la vie privée et de la protection des données personnelles ainsi que l’implémentation des spécifications par les industriels, est décrite dans les Privacy Rules.
WHALLER : Sur le réseau Whaller, il n’y a pas d’analyse des données personnelles, ni d’exploitation des emails. En outre, Whaller permet à l’utilisateur de garder la maitrise de ses informations.
Ce que vous faites sur Whaller reste sur Whaller.
Nous avons créé une véritable forteresse numérique, un espace de vie et de confort pour nos 45 000 utilisateurs. Simplicité et transparence sont nos maîtres mots parce qu’ils sont le prolongement de la confiance.
Whaller a aussi désigné un CIL et a décidé la mise en place d’une véritable gouvernance de la protection des données personnelles.
Certaines voix se faisant l’écho de puissants lobbies se font entendre, selon lesquelles la protection des données serait un handicap pour l’économie française et européenne. Est-ce aussi votre avis ?
NATURAL SECURITY : Pour nous il s’agit d’abord d’un pré-requis nécessaire à l’implémentation de projets basés sur la biométrie. C’est un élément important de la marque Natural Security et cette démarche est en parfaite cohérence avec l’approche européenne, actuelle et future.
Notre environnement permet à nos clients de développer leur projet en conformité avec les exigences réglementaires, actuelles et futures. Le déploiement d’applications et d’usage s’en trouve simplifié.
OODRIVE : Nous croyons au contraire que cela peut être un réel avantage concurrentiel. Nos clients sont demandeurs de garanties lorsqu’il s’agit de données personnelles. Nous ne craignons pas de dire qu’à la différence des solutions américaines, nous sommes capables de préserver la confidentialité et d’assurer la sécurité des données qui nous sont confiées.
WHALLER : C’est plutôt une opportunité. Le choix de protection des données est le fondement de notre outil. C’est pourquoi nous avons pensé un modèle « Freemium », sans publicité qui permet une démocratisation de l’usage des plateformes de collaboration au sein des organisations.
Nous sommes les seuls à proposer ce service ; 90% de nos fonctionnalités seront gratuitement accessibles à nos utilisateurs.
La réforme européenne de la protection des données devrait aboutir à la fin de cette année. Les sanctions pourraient être considérablement renforcées et les entreprises, y compris les sous-traitants, pourraient avoir de nouvelles obligations. Selon vous, est-ce un frein ou une opportunité pour les entreprises européennes ?
WHALLER : La réforme est nécessaire pour mettre fin aux abus en tous genre mais ne perdons pas de vue que l’internet n’a pas de frontière. Il ne suffit pas d’édicter de nouvelles règles et de renforcer les sanctions. Il faut d’inciter, promouvoir et accompagner les initiatives portant sur de nouveaux modèles. Nous en sommes convaincus.
OODRIVE : Nous sommes tout à fait favorables à cette réforme. Cela va dans le sens de notre démarche. Sans représenter une opportunité directe en termes de business, nos offres et notre positionnement en matière de protection des données devraient s’en trouver renforcés.
NATURAL SECURITY : Pour nous, la réforme européenne représente une source d’opportunités. En responsabilisant les acteurs et en définissant des sanctions plus importantes, ces derniers se trouveront dans l’obligation d’agir en amont du déploiement de solutions.
Nous leur facilitons la tâche en mettant à leur disposition un environnement et des outils pour développer des traitements « Privacy-compliant » comme par exemple le recours à des codes de conduite.
Cet article s’inscrit dans le cadre d’une série d’interviews menée par CIL Consulting auprès d’acteurs impliqués sur le sujet de la protection des données personnelles au sein de leur entreprise.