[EXCLUSIF] Avec le GDPR (General Data Protection Regulation), la collecte et l’exploitation des données personnelles seront harmonisées et régulées dans les pays de l’Union européenne. Objectif : restaurer la confiance des individus dans le traitement de leurs données. Cette confiance retrouvée est un réel enjeu business pour les entreprises en voie de « GDPR compliance ».
Il n’existe pas d’économie numérique viable sans confiance. Or, 72 % des Européens craignent l’usage abusif des données personnelles, rappelle Viviane Reding, commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté. Face à ces deux constats, l’Union européenne répond avec ces quatre lettres : GDPR (General Data Protection Regulation). Le règlement européen de protection des données personnelles, dont l’entrée en application est prévue le 25 mai 2018, met en avant les notions de transparence vis-à-vis de la personne concernée dans l’utilisation de ses données, depuis leur collecte jusqu’à leur suppression en passant par leur traitement et leur archivage.
La transparence dans la gestion des données personnelles : un facteur différenciant
Côté collecte justement, le recueil du consentement du client, avec la loi Informatique et Libertés, se voulait clairement identifié avec des modèles de mentions CNIL (Commission nationale Libertés et Informatique). Pourtant qui, un jour, a reçu une mise à jour de ces mentions ? Le GDPR rendra cette actualisation obligatoire pour tout nouvel usage. Si un particulier souscrit par exemple un contrat automobile chez un assureur, il signera un consentement à l’utilisation de ses données via son contrat (identité, coordonnées et permis de conduire). Si demain ce même assureur lui propose d’installer un tracker de bonne conduite dans son véhicule, il devra faire signer à son client de nouvelles mentions CNIL pour consentir à cette nouvelle finalité de l’utilisation de ses données, comme des analyses statistiques pouvant l’aider dans sa conduite.
Pour l’entreprise, c’est le moyen de se démarquer de la concurrence et de communiquer sur ses bonnes pratiques. En développant la confiance clients – via par exemple une charte ou une communication sur les engagements en la matière, voire sur la construction d’un label au sein d’un secteur d’activité – les entreprises amélioreront leur image et se positionneront comme des acteurs de confiance. Un élément décisif dans le développement du business et répondant à une forte attente des individus.
Les entreprises labélisées « GDPR compliant » seront plus compétitives
Nous pouvons imaginer que dès mai 2018, les comparateurs d’assurances ou les moteurs de recherche mettront en avant les sociétés certifiées « GDPR compliant ». Les consommateurs iront plus facilement cliquer sur celles-ci, plus fiables à leurs yeux. D’autant que la transparence ne s’arrête pas aux frontières de l’organisation, elle touche aussi les sous-traitants. Et toute entreprise se doit de faire appel à des partenaires présentant des garanties suffisantes en matière de protection des données personnelles. Si un des sous-traitants ne respecte pas ses obligations, c’est alors l’ensemble de la chaîne qui se trouve en défaut et la notoriété de la marque est alors impactée.
Une approche de la conformité par les risques
Alors comment engager un tel programme de transformation ? Il est important, en amont de chaque projet, de bien définir les ambitions. Est-ce que l’entreprise veut simplement se mettre en conformité ou bien aller plus loin pour définir d’autres axes autour de la personnalisation de la relation client ? Il est possible de faire en sorte que ces nouvelles exigences servent différents axes de l’entreprise autour de la stratégie d’amélioration de l’expérience client (exhaustive, globale et actualisée) ou de sa déclinaison sur la politique de gouvernance des données.
Poser les fondations de la mise en conformité passe par un diagnostic avec une approche par les risques. En moins de deux mois, cette méthode a l’avantage de se focaliser sur les données à risques (coordonnées bancaires, numéro de sécurité sociale, données d’infraction, de difficultés sociales et de condamnation et géolocalisation en temps réel) et les plus sensibles (santé, données génétiques et biométriques, origine raciale ou ethnique, appartenance syndicale, convictions politiques, obédience religieuse, orientation sexuelle…), et de fournir une vision globale sur les zones de vigilance. À chaque exigence identifiée (cartographie des données, tenue et mise à jour du registre des traitements, désignation d’un DPO…) est attribué un scoring : quelle est d’abord la hauteur de la marche à franchir pour atteindre la conformité ? Quelles sont les priorités ? Combien cela va-t-il coûter ? De quelles compétences ai-je besoin ? L’approche par les risques permet de prioriser les travaux, c’est-à-dire de lancer en premier les quick wins, puis de prendre le temps de cadrer les chantiers les plus onéreux en définissant une trajectoire pluri annuelle de mise en conformité.
Dès l’entrée en vigueur du GDPR, la CNIL sera attentive à toutes les feuilles de route qui lui seront soumises (c’est le principe d’accountability prôné par le GDPR), tout comme les clients seront sensibles aux pratiques de bonne conduite par les entreprises. Deux bonnes raisons d’intégrer dès aujourd’hui la protection des données personnelles à tous vos programmes de transformation, et ainsi être en totale adéquation avec le privacy by design, une autre pierre angulaire du règlement européen.
A lire sur Alliancy :
>> Dossier Banque / Assurance – L’open banking : un exercice imposé à tous