Dans sa lettre, O. Magnan-Saurin indique 2 fois qu'il ne remet pas en cause le fond de la procédure. Mais de petits indices laissent penser qu'il n'a pas forcément saisi ce fond : il indique que les données collectées par Fidzup sont des données "non nominatives et anonymes".
Si c'était bien le cas, la loi Informatique et Libertés (seule applicable à la procédure de 2017 contre Fidzup) n'aurait pas trouvé à s'appliquer. Les données collectées sont bel et bien des données personnelles : c'est bien sûr tout leur intérêt pour les clients de Fidzup !
Mais Fidzup n'est pas seul : tout l'écosystème publicitaire utilise la feuille de vigne de la "donnée anonyme" supposément utilisée, faisant allègrement l'amalgame entre donnée nominative et donnée non nominative pour en déduire un caractère personnel.
Résumons donc : une startup fondée sans s'être interrogée sur le droit applicable et les écueils éventuels (ou l'ayant fait, mais ayant tablé sur le "ça n'arrive qu'aux autres") rencontre des difficultés réglementaires. Le choc.
Première indication qu'il s'agit sûrement de la première hypothèse : le récit du contrôle. 4 agents, c'est beaucoup : c'est plutôt 2, habituellement. Malgré cela, l'entreprise semble gérer seule le contrôle, sans faire appel à son avocat, impression renforcée par leur confiance.
Des mois se passent, et Fidzup, initialement confiant, ne semble pas prendre la mesure de ce qui se passe. Ils attendent, concentrés sur d'autres sujets, ce qui est compréhensible, mais sans avocat qui pourrait décrypter la situation, la CNIL passe dans leur angle mort.
La défense habituelle du monde publicitaire "le RGPD n'est pas clair, personne ne sait ce qu'il faut faire" ne les aide pas : le texte n'est pas simple, mais cet argument est une rationalisation de procrastination. Dans d'autres industries, les programmes de conformité avancent.
Donc, auto-aveuglée, Fidzup va vite, trop vite, et s'emballe sans réaliser que la CNIL n'est pas une institution facile et qu'elle n'aime pas le monde publicitaire (pour des raisons qu'on pourra explorer une autre fois). Comme disait Audiard, "le réveil sera pénible"...
Un autre point important de cette publication est une critique qu'il n'a pas tort de faire à la CNIL : au lieu de s'attaquer de front à tous les acteurs (plus d'une dizaine), elle en a choisi quelques-uns, pas forcément ceux avec les reins les plus solides d'ailleurs.
La suite est encore plus baroque : même en lisant seulement les mises en demeure dans leur ordre chronologique, on se rend compte que la CNIL découvre le secteur du drive-to-store et ses pratiques (qui ne sont pas équivalentes chez tous les acteurs)...
Finalement, Fidzup rentre dans des échanges avec la CNIL, qui durent et qui durent. N'oublions pas qu'à cette époque, la CNIL est encore elle-même en train de travailler dur pour se transformer non aidée par le gvt qui n'a pas vraiment modernisé la loi à temps...
Sur la fin, le CEO de Fidzup se trompe un peu : il reproche à la CNIL d'avoir changé d'approche pour passer à une vision sectorielle plus consensuelle. C'est vrai que la CNIL a un peu changé de stratégie, mais pour plusieurs raisons.
En contrôlant Vectaury, la CNIL se rend enfin compte qu'elle ne peut pas vraiment aller plus loin, car elle doit moderniser sa délibération cookies de 2013 si elle veut vraiment avoir un impact. Elle doit avancer là-dessus seule, d'autant plus que #ePrivacy est encore loin...
Le processus change alors du tout au tout : d'une logique de contrôle, la CNIL passe à une logique de consensus. Je comprends que ça choque ce CEO, mais derrière le consensus apparent, la route n'est pas finie et la stratégie de la CNIL n'est pas terminée...
Car elle est très consciente que de nombreux acteurs continuent en mode #BusinessAsUsual le "drive-to-store". Google et Apple ont davantage impacté les acteurs de ce secteur de la localisation publicitaire, en restreignant les accès à la géolocalisation dans leurs OS.
Ce qui n'est pas sans malice non plus : les GAFA savent jouer de leur taille pour paraître impressionnants aux régulateurs européens mal outillés par leurs gouvernements, tout en écrasant par leurs avantages de plateforme les acteurs européens du sujet.
Il y a beaucoup à apprendre, pour tout le monde, de cette histoire. Les entreprises européennes, y compris les startups, doivent davantage se soucier du droit et de la régulation, car arrivées à une certaine taille, cela leur sera opposé et pourra causer leur échec.
Les autorités de protection des données ne peuvent plus non plus ignorer que leurs actions peuvent déstabiliser des secteurs entiers en en bouleversant la concurrence, même si leurs actions sont fondées juridiquement.
Espérons que tout le monde en tire les leçons et grandisse.
Espérons que tout le monde en tire les leçons et grandisse.
