GDPR : checklist des priorités à faire atterrir le 25 mai prochain

À deux mois de la date butoir, comment faire le tri parmi les différents chantiers liés à l’entrée en vigueur du GDPR ? La priorité doit aller aux sujets visibles : ceux qui constituent une opportunité de se démarquer en termes de relation client, voire de se positionner comme un précurseur. Explications.

Le 25 mai 2018 signera l’entrée en vigueur du GDPR (General Data Protection Regulation), le Règlement Général sur la Protection des Données chargé de réguler et rendre plus
homogènes au niveau européen les pratiques en termes de collecte, d’exploitation et de droit d’accès aux données à caractère personnel.

Que signifie cette échéance pour toutes les entreprises amenées à manipuler des données client ? À partir du 25 mai, celles qui ne peuvent pas justifier d’une feuille de route visant à assurer leur mise en conformité s’exposeront à des sanctions renforcées, prononcées par des autorités de contrôle de moins en moins indulgentes. Rappelons en effet que sur le fond, la protection des données personnelles était déjà largement encadrée en France par la loi Informatique et libertés.

Faut-il pour autant raisonner uniquement en termes de risque ? Au-delà de la contrainte réglementaire, l’entrée en vigueur du GDPR signifie que la gestion des données personnelles est devenue un enjeu de différenciation et d’amélioration de la relation client. Plutôt que de simplement procéder à quelques ajustements rapides visant à assurer une conformité de façade, les deux mois qui nous séparent du 25 mai devraient aussi et surtout être mis à profit pour faire atterrir des chantiers générateurs de valeur. Les différents sujets liés au GDPR recèlent en effet de vraies opportunités à court et moyen terme.

Gestion du consentement : un axe de communication stratégique

Prenons par exemple la gestion du consentement, qui compte parmi les exigences les plus flagrantes depuis le point de vue du client, même si elle existait bien avant le GDPR. Qu’il s’agisse d’un prospect ou d’un client, son consentement explicite est désormais indispensable pour toute collecte et utilisation de données personnelles. Il existe cependant des exceptions, assez nombreuses et fréquentes, notamment dans le cas des traitements considérés comme « légitimes » par le règlement. Ce consentement doit également pouvoir modifier ou supprimer simplement les consentements accordés pour toute utilisation faite de ses informations.

Pour garantir un consentement « éclairé », le GDPR impose une forme de transparence quant à la finalité des traitements réalisés sur les données à caractère personnel. L’entreprise doit donc être en mesure d’expliquer à ses clients comment et pourquoi elle exploite ces informations ou à quel tiers elle est susceptible de les confier.

Des mentions légales agréables à lire

Conséquence ? Il va falloir préparer des éléments de langage spécifiques, modifier ses mentions légales et établir un plan de communication adapté. Au-delà de l’effort à fournir, on dispose surtout d’une opportunité d’établir un contact direct : une occasion en or en termes de relation client. Dans l’assurance, par exemple, où les échanges se limitent souvent au renouvellement tacite d’un contrat et à la déclaration de sinistres, la mise en place d’un consentement conforme pourrait s’accompagner d’une stratégie de rebond commercial, voire de recueil d’informations.

A l’heure où la quantité doit laisser la place à la qualité en termes de marketing, tous les supports deviennent des axes de communication potentiels, même les plus formels. Un exemple ? La prochaine fois que vous faites vos courses, arrêtez-vous quelques instants pour observer les pots de yaourt Michel et Augustin. Comme sur tout produit alimentaire, on y trouve le détail des ingrédients entrant dans la composition, mais la liste est tournée de telle façon que ces « mentions légales » deviennent un argument marketing, avec le ton décalé qui a contribué à la notoriété de la marque.

Dans un autre registre, France Télévisions accompagne ses pages dédiées à la gestion des données personnelles d’une vidéo illustrant les dérives possibles, avec un internaute dont le mot de passe et le numéro de carte bancaire se retrouvent divulgués lors d’émissions à grande audience. En fin de séquence, un message explique que les données recueillies sur les sites du groupe ne servent qu’à proposer une expérience personnalisée, lui suggérant ainsi de renseigner son profil. Même sans ressort humoristique, la communication autour de la gestion du consentement est une excellente opportunité d’envoyer un signal positif au client et de mettre en avant un service ou une proposition de valeur.

Information des personnes : proposer son standard au marché

Dans la même veine, les chantiers de conformité liés au GDPR se prêtent aussi à des formes de communication plus indirectes. C’est particulièrement vrai dans des secteurs comme la banque ou l’assurance, où l’on sait que le reste à faire dépasse largement le jalon virtuel du 25 mai 2018. L’entrée en vigueur du règlement va donner de la visibilité à des sujets tels que le droit à l’effacement, à la rectification ou à la portabilité des données à caractère personnel. Là encore, le fait de traiter ces sujets en avance de phase par rapport au reste du marché aide à faire de la contrainte une opportunité intéressante.

Prenons l’exemple de la portabilité des données à caractère personnel, droit qui confère au client la possibilité de demander que lui soient restituées toutes les données conservées par l’entreprise à son sujet. La question n’est pas triviale ! Il faut dans un premier temps faire le tri parmi les données détenues par l’entreprise et séparer celles qui ont été fournies par le client de celles qui ont été collectées et agrégées depuis des sources tierces. Ensuite, il convient de déterminer un format de restitution adapté avec des données lisibles, une mise en forme pertinente et des explications claires sur le cadre réglementaire. Idem pour le droit à l’oubli ou l’accès aux données à des fins de rectification : chacun de ces sujets implique d’avoir établi un certain nombre de modalités pratiques et les éléments de communication associés.

En pratique, il est peu probable que les demandes de portabilité affluent en masse dès le 25 mai. À première vue, la gestion de la portabilité n’est donc pas forcément une priorité. La traiter rapidement constitue cependant une belle occasion de faire parler de soi tout en envoyant, là encore, un signal positif au client. Se positionner rapidement sur le sujet va en effet permettre de communiquer sur sa démarche et pourquoi pas de proposer au marché des éléments de standardisation ou soutenir la création de labels qui serviront d’indicateurs de confiance aux clients comme aux partenaires potentiels.

La confiance comme pilier de la relation client

En matière de conformité, il y a le savoir-faire… et le faire savoir ! Prioriser les sujets visibles revient donc à faire des exigences de transparence un atout. Il se révèlera d’autant plus indispensable que le marché tend vers une relation client personnalisée qu’il est désormais impossible de mettre en place sans le consentement du principal intéressé. En définitive, les exigences réglementaires et les besoins marketing ou commerciaux convergent. Ces premiers chantiers réalisés avec l’entrée en vigueur du GDPR comme ligne de mire ne représentent donc qu’une première étape, mais une première étape importante. Ouvrir une discussion ouverte autour des données personnelles, c’est en effet s’engager sur une trajectoire au long cours vers le privacy by design et montrer que la feuille de route GDPR de l’entreprise n’est pas qu’un recueil de bonnes intentions.

The following two tabs change content below.

Matthieu Henry d’Aulnois

Consulting Manager chez Sopra Steria Consulting
Transformation program management and organisation optimisation are part of my DNA. The GDPR is currently my beautiful playground.

Derniers articles parMatthieu Henry d’Aulnois (voir tous)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *