3 septembre 2018 1021 mots, 5 min. de lecture

RGPD : j’ai envoyé 20 demandes le 26 Mai 2018. Voici les résultats.

Par Pierre-Nicolas Schwab Docteur en marketing, directeur de IntoTheMinds
Le 26 mai 2018, j’ai envoyé une vingtaine de demandes à diverses entreprises afin d’accéder à mes données et ai profité de l’occasion pour poser des questions sur leurs traitements algorithmiques, les données acquises auprès de tierces parties, …. Plus […]

Le 26 mai 2018, j’ai envoyé une vingtaine de demandes à diverses entreprises afin d’accéder à mes données et ai profité de l’occasion pour poser des questions sur leurs traitements algorithmiques, les données acquises auprès de tierces parties, ….
Plus de 2 mois après l’envoi de ce mailing j’ai pensé qu’il était temps d’en tirer les premières conclusions. Je dois dire que je suis positivement surpris par la qualité des réponses que j’ai reçues de la plupart des entreprises. Pour certaines d’entre elles toutefois il est vite apparu que répondre aux clients de manière exhaustive (ou répondre tout court) n’était pas une priorité.

Commençons par les conclusions : qu’ai-je découvert d’étonnant ?

Si certaines réponses m’ont positivement surpris par leur qualité j’ai été assez déçu par un certain nombre d’entre elles.
Les entreprises qui en savent le plus sur moi (Facebook, Spotify, Pinterest et les autres réseaux sociaux) n’ont pas répondu à mes questions et m’ont simplement fourni une copie de mes données brutes. A première vue ces données ne présentaient rien d’extraordinaire, rien d’inhabituel. Comme je sais ce que je fais sur les réseaux sociaux et que je n’ai pas une mémoire de moineau rien ne m’a particulièrement surpris.
J’aurais aimé voir comment mes données sont traitées, triturées mais bien sûr aucun des réseaux sociaux ne m’a donné ce genre d’informations (bien que cela fasse explicitement partie de ma demande).

Seules les entreprises locales ont répondu à mes questions. Les réponses que j’ai reçues ne concernaient que des données structurées et toutes les données non structurées (documents, conversations, courriels) ont été omises par l’ensemble des sociétés interrogées (bien que des données personnelles y soient contenues).
Seules 2 entreprises (sur 20 interrogées) peuvent se targuer d’avoir parfaitement répondu à mes questions. Seules 3 entreprises (une assurance complémentaire, une grande banque et une société d’assurance automobile) n’ont pas répondu dans le délai de 30 jours.

Voici les résultats en détails. Pour des raisons de confidentialité, je ne donne pas le nom des entreprises concernées, sauf pour les entreprises actives dans les médias sociaux.

Niveau 1 : les entreprises qui s’en foutent ou qui font tout pour éviter de répondre.

Sur les 20 lettres que j’ai envoyées, seulement 3 n’ont pas encore reçu de réponse.
La première société (mon assurance maladie complémentaire) m’avait très opportunément envoyé un formulaire à signer impérativement avant l’entrée en vigueur du GDPR (sous peine de ne plus pouvoir me rembourser). Sauf que leur empressement à me faire signer n’a pas été suivi du même empressement à me répondre. J’attends toujours.
La deuxième entreprise (une banque) a exigé que je prenne rendez-vous dans une de leurs filiales pour m’identifier avant qu’ils puissent répondre à mes questions. Cette méthode d’identification est un excellent moyen de dissuasion et une barrière qui leur assurera de ne traiter que peu de demandes (vous en connaissez beaucoup vous des gens qui peuvent s’absenter en plein milieu de leur journée de travail pour se rendre à la banque ?). Pour la petite histoire je me suis rendu dans une des 3 banques indiquées et j’attends toujours.
La troisième entreprise est mon assurance automobile.

Niveau 2 : les entreprises qui vous envoient un fichier et basta

Tous les géants de l’Internet (Twitter, Facebook, Pinterest) auxquels j’ai envoyé mes demandes ont répondu rapidement avec une copie de mes données. Mais toutes les questions que j’avais posées sont restées sans réponse. Et j’ai eu beau leur répondre que j’attendais des réponses à mes autres questions rien n’y a fait. Je peux me brosser pour avoir une réponse.
Leur vraie préoccupation est de réduire autant que possible les coûts liés au GDPR en automatisant le processus autant que possible ce qui implique bien entendu que tout ce qui sort du cadre passe à la trappe.
Dans cette catégorie se trouve également un data broker qui, malgré une réponse approfondie à mes questions, a botté en touche lorsque je lui ai demandé d’où venaient les données qu’il avait sur moi et s’il avait vérifié que ces dernières avaient été collectées légalement. Il a invoqué son « intérêt légitime » pour justifier son absence de contrôle. Un peu facile mais tellement efficace surtout quand l’autorité de contrôle (que j’ai saisie) n’a pas vraiment le temps ni les moyens de s’occuper des demandes des citoyens (voir mon autre billet à ce sujet).

Niveau 3 : des réponses détaillées mais des données incomplètes

Dans cette catégorie se trouvent toutes les entreprises qui ont fourni des réponses à mes questions mais qui n’ont pas été en mesure de me fournir une liste exhaustive des données à caractère personnel qu’elles avaient sur moi.
Une banque, par exemple, malgré des contacts répétés dans le passé et une myriade de documents envoyés pour obtenir une offre de crédit, n’avait rien d’autre que ma date de naissance dans ses bases de données. Ça sent l’absence d’une base de données centralisée. Sans doute également les données non structurées ne sont-elles pas analysées ce qui expliquerait pourquoi si peu a été retrouvé sur ma personne.

Niveau 4 : la grande classe

Dans cette catégorie ne figurent que 2 sociétés : un courtier en crédits et une société de publipostage. Toutes deux ont fourni des informations détaillées sur l’usage qu’elles faisaient de mes données, leur origine et une vue exhaustive de ces dernières.
Le courtier en crédit en particulier (qui est d’ailleurs le seul à avoir envoyé sa réponse par recommandé) a clairement fait un effort pour conserver un ensemble le plus juste possible de mes données à caractère personnel et a répondu de manière parfaite à toutes mes questions, sans en occulter aucune.



Publié dans Marketing.

Donnez votre avis

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *