GDPR : Cap sur la confiance (du) client

Avec le GDPR (General Data Protection Regulation), la collecte et l’exploitation des données personnelles seront harmonisées et régulées dans les pays de l’Union européenne. Objectif : restaurer la confiance des individus dans le traitement de leurs données. Cette confiance retrouvée est un réel enjeu business pour les entreprises en voie de « GDPR compliance ».

Il n’existe pas d’économie numérique viable sans confiance. Or, 72 % des Européens craignent l’usage abusif des données personnelles, rappelle Viviane Reding, ex-commissaire européenne à la justice, aux droits fondamentaux et à la citoyenneté. Face à ces deux constats, l’Union européenne répond avec ces quatre lettres : GDPR (General Data Protection Regulation). Le règlement européen de protection des données personnelles, dont l’entrée en application est prévue le 25 mai 2018, met en avant les notions de transparence vis-à-vis de la personne concernée dans l’utilisation de ses données, depuis leur collecte jusqu’à leur suppression en passant par leur traitement et leur archivage.

LIRE AUSSI : [ARTICLE] SÉCURITÉ DES DONNÉES : QUELS SONT LES IMPACTS DU GDPR ADOPTÉ PAR L’UNION EUROPÉENNE ?

Pourquoi la transparence dans la gestion des données personnelles est un facteur différenciant ?

Côté collecte justement, le recueil du consentement du client, avec la loi Informatique et Libertés, se voulait clairement identifié avec des modèles de mentions CNIL (Commission nationale Libertés et Informatique). Pourtant qui, un jour, a reçu une mise à jour de ces mentions ? Le GDPR rendra cette actualisation obligatoire pour tout nouvel usage.

Si un particulier souscrit par exemple un contrat automobile chez un assureur, il signera un consentement à lutilisation de ses données via son contrat (identité, coordonnées et permis de conduire). Si demain ce même assureur lui propose dinstaller un tracker de bonne conduite dans son véhicule, il devra faire signer à son client de nouvelles mentions CNIL pour consentir à cette nouvelle finalité de lutilisation de ses données, comme des analyses statistiques pouvant l’aider dans sa conduite.

Source : Viviane Reding, ex-commissaire européenne à la justice, aux droits fondamentaux et à la citoyenneté

Pour l’entreprise, c’est le moyen de se démarquer de la concurrence et de communiquer sur ses bonnes pratiques. En développant la confiance clients – via par exemple une charte ou une communication sur les engagements en la matière, voire sur la construction dun label au sein dun secteur d’activité – les entreprises amélioreront leur image et se positionneront comme des acteurs de confiance. Un élément décisif dans le développement du business et répondant à une forte attente des individus.

Le label “GDPR compliant” : un atout de taille ?

Source : Baromètre “Usages Mobiles” (EBG – Open)

Nous pouvons imaginer que dès mai 2018, les comparateurs d’assurances ou les moteurs de recherche mettront en avant les sociétés certifiées « GDPR compliant ». Les consommateurs iront plus facilement cliquer sur celles-ci, plus fiables à leurs yeux. D’autant que la transparence ne s’arrête pas aux frontières de l’organisation, elle touche aussi les sous-traitants. Et toute entreprise se doit de faire appel à des partenaires présentant des garanties suffisantes en matière de protection des données personnelles. Si un des sous-traitants ne respecte pas ses obligations, c’est alors l’ensemble de la chaîne qui se trouve en défaut et la notoriété de la marque est alors impactée.

Une approche de la conformité par les risques

Alors comment engager un tel programme de transformation ? Il est important, en amont de chaque projet, de bien définir les ambitions. Est-ce que l’entreprise veut simplement se mettre en conformité ou bien aller plus loin pour définir d’autres axes autour de la personnalisation de la relation client ? Il est possible de faire en sorte que ces nouvelles exigences servent différents axes de l’entreprise autour de la stratégie d’amélioration de lexpérience client (exhaustive, globale et actualisée) ou de sa déclinaison sur la politique de gouvernance des données.

Poser les fondations de la mise en conformité passe par un diagnostic avec une approche par les risques. En moins de deux mois, cette méthode a l’avantage de se focaliser sur les données à risques (coordonnées bancaires, numéro de sécurité sociale, données dinfraction, de difficultés sociales et de condamnation et géolocalisation en temps réel) et les plus sensibles (santé, données génétiques et biométriques, origine raciale ou ethnique, appartenance syndicale, convictions politiques, obédience religieuse, orientation sexuelle…), et de fournir une vision globale sur les zones de vigilance.

À chaque exigence identifiée (cartographie des données, tenue et mise à jour du registre des traitements, désignation d’un DPO…) est attribué un scoring : quelle est dabord la hauteur de la marche à franchir pour atteindre la conformité ? Quelles sont les priorités ? Combien cela va-t-il coûter ? De quelles compétences ai-je besoin ? L’approche par les risques permet de prioriser les travaux, cest-à-dire de lancer en premier les quick wins, puis de prendre le temps de cadrer les chantiers les plus onéreux en définissant une trajectoire pluri annuelle de mise en conformité.

Dès l’entrée en vigueur du GDPR, la CNIL sera attentive à toutes les feuilles de route qui lui seront soumises (cest le principe daccountability prôné par le GDPR), tout comme les clients seront sensibles aux pratiques de bonne conduite par les entreprises. Deux bonnes raisons d’intégrer dès aujourd’hui la protection des données personnelles à tous vos programmes de transformation, et ainsi être en totale adéquation avec le privacy by design, une autre pierre angulaire du règlement européen.

 

The following two tabs change content below.

Matthieu Henry d’Aulnois

Consulting Manager chez Sopra Steria Consulting
Transformation program management and organisation optimisation are part of my DNA. The GDPR is currently my beautiful playground.

Derniers articles parMatthieu Henry d’Aulnois (voir tous)

2 réflexions sur “GDPR : Cap sur la confiance (du) client

  1. Bonjour Matthieu,

    Une petite question : est-ce que selon toi le GDPR est porteur de business uniquement pour le conseil, ou également pour les activités de développement et d’intégration de systèmes ?

    En tout cas merci pour ce billet très instructif !

    • Bonjour Jean-François,

      Quelques exigences GDPR nécessitent de lourds travaux de développement IT, comme la mise en place de dispositif d’expurgation de données dans les applicatifs qui traitent des Données à Caractère Personnel (DCP).

      Je pense également à la portabilité des données qui nécessite d’avoir une vision instantanée des données qu’une personne physique a confiées à l’entreprise. Enfin, la limitation de traitement, où certaines DCP doivent être retirées de tout traitement, à la demande d’une personne pendant une durée déterminée.

      Ces exigences sont plus ou moins prioritaires en fonction des entreprises et des secteurs d’activité.

      Pour l’intégration de systèmes, il peut y avoir du business si une entreprise souhaite se doter de nouvelles solutions informatiques pour tracker les DCP dans leur environnement applicatif

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *