[ARTICLE] RGPD, 1 an après : les grandes entreprises ont-elles pris le pli de ce changement ?

2019-05-27T14:09:25+00:0025 mai 2019|
article_booster_DRH_acteur_transformation

Sésame ou entrave à la transformation des entreprises, le RGPD (Règlement général de protection des données) tant débattu, tant redouté ou acclamé fête aujourd’hui un an de mise en vigueur. Comment les entreprises assujetties aux mesures se sont-elles transformées en frondeuses de la protection des données ? 2Spark fait le bilan des succès et des limitations face cette nouvelle conformité chez les grandes entreprises.

La donnée personnelle mérite plus d’attention

L’essor du Big data et sa monétisation par les entreprises de tout bord ont fait du RGPD une véritable campagne de responsabilisation des entreprises, vis-à-vis de leurs clients ainsi que de leurs collaborateurs. Sous cette mesure, on entrevoit l’ambition de propulser l’Europe vers le haut du podium en matière de protection de données. Au travers des médias et de la mise en vigueur de mesures de collecte de consentement, le RGPD a aussi joué le rôle d’éducateur des consommateurs sur la valeur de leurs données personnelles. Selon une étude IFOP, 81% des français ont connaissance du concept de la donnée personnelle, chez les dirigeants d’entreprise ce taux monte à 85%. Cependant, seulement 46% des sondés avait connaissance des droits défendus par le RGPD. Parmi le détail des mesures, deux préoccupations l’emportent : le droit à l’effacement des données (droit à l’oubli) et une meilleure information sur l’usage des entreprises des données personnelles.

Pour palier à ce déficit d’informations et pour engager tous les collaborateurs des entreprises, du centre vers les extrémités, sur ce sujet au combien important, 2Spark a conçu un contenu sur étagère dédié au Règlement sur la protection des données. En 1 minute par jour, tous les jours et deux questions, les messages clés du RGPD sont ainsi naturellement assimilés sur la durée.

Le RGPD a-t-il fait des dégâts ?

Oui ! Selon la CNIL (Commission nationale de l’informatique et des libertés), on compte 2044 violations de données et 11 900 plaintes déposées en un an, soit une augmentation de 32,5% par rapport à l’année 2017. Par ailleurs, c’est à la France que revient la sanction record d’un montant de cinquante millions d’euros, infligée par la CNIL au géant du web : Google. Cela est peu surprenant compte tenu du fait que les mesures de protection des données visent à ébranler la monétisation des données personnelles des utilisateurs, responsable de l’essor économique des Gafa. Même si Google agit à tort, toute entreprise dont l’activité touche de près ou de loin à la data, l’or noir de notre ère, devra faire preuve d’exemplarité et de conformité. Même si l’entreprise de Mountain View a effectué un recours, il faut savoir que l’amende représente une infime partie des revenus du géant du web. En 2020, la CNIL aura le choix d’augmenter la sanction à 4% du chiffre d’affaire, bien supérieur à la sanction annoncée (plus de cinq milliards de dollars), ainsi décrochant peut-être un nouveau record.

Des diverses répressions recensées en un an, se détache une majorité de plaintes concernant la diffusion des données sur internet et leur utilisation à des fins commerciales (marketing et prospection). Cette situation oppose directement les entreprises aux internautes, de plus en plus informés comme le montrent les chiffres du sondage IFOP mentionné plus haut. Peuvent-elles nourrir un lien de confiance avec leurs clients et usagers tout en contribuant à la croissance de leur activité par la collection de données, ou est-ce prendre ses désirs pour des réalités ?

Le RGPD entrave-t-il l’activité des entreprises ?

Lors de la mise en conformité au RGPD, les entreprises en contact avec la donnée de leurs clients ou usagers se retrouvent à faire le tri dans leur politique de confidentialité. Celles-ci doivent assurer que chaque donnée a été obtenue avec le consentement de son propriétaire. De plus, l’acquisition et l’utilisation des données doit servir une finalité précise et comprendre une durée de traitement et de conservation clairement déterminée. Enfin, les entreprises devront renoncer à ces informations dans le cadre du droit à l’oubli ou de la portabilité des données. Ces exigences qui ajoutent des difficultés au traitement de la data.

Les entreprises se retrouvent face à un dilemme en trois points, comment concilier la protection des propriétaires de la donnée (clients, usagers ou même collaborateurs) avec les besoins de ceux qui la manipulent (collaborateurs et tiers) et ceux à destination de qui elles sont collectées (l’entreprise elle-même et ses partenaires) ? Oui, le RGPD ajoute des bâtons dans les roues des entreprises friandes de data, mais il ne s’agit pas de diaboliser l’analyse de données et son exploitation. En revanche, il est capital de protéger les individus desquels elle provient.

Entre en jeu l’anonymisation, en hachant les données, ou en les brouillant, les mêlant à des données publiques ou des techniques proches de l’encryption, il est possible de préserver leur utilité tout en respectant la vie privée de leurs propriétaires. Cependant, l’anonymisation est considérée comme insuffisante par certains, d’ailleurs Netflix avait été épinglé pour avoir mal dissimulé les données de ses utilisateurs dans le cadre d’un concours en 2016.

David Lacombled, auteur français et président de La villa numeris, point du doigt le caractère régulateur et pénalisant du RGPD. D’après lui, le règlement crée une situation où les entreprises se voient contraintes de mettre en place des processus qui parfois vont à l’encontre de leur activité économique, les mettant en opposition directe aux consommateurs, de plus en plus conscients de la valeur marchande de leur données. Selon lui l’Europe est capable de mieux :

“La vie et les droits de l’homme sont des notions sacrées, dont on voit bien que les préserver est un combat d’actualité, n’ont pas la même signification et la même valeur sur d’autres continents. Ce sera sans doute un avantage, si l’on peut dire, pour eux dans l’augmentation technologique de l’homme. C’est un point de force pour nous afin de proposer un modèle alternatif de développement du numérique, libre et ouvert.”

D’autres, comme Isabelle Querné, de chez Agile gap conseil, voient de réels R.O.I. dans la mise en oeuvre du RGPD et l’occasion d’initier un changement au sein des entreprises. Notamment, revoir les processus de traitement des données personnelles, en les centralisant sur un logiciel SIRH par exemple, est l’occasion d’optimiser l’efficacité du travail. Un point non négligeable, le règlement permet aussi de renforcer la confiance au sein de l’écosystème. Par la mise en conformité, les entreprises procèdent à la sécurisation de ses propres informations auprès de leurs équipes en interne et de leurs partenaires. Enfin, le fait que le règlement s’étende au travers l’Europe et concernent toutes entreprises mondiales lorsqu’elles s’intéressent aux données de ressortissants de l’Union Européenne, encadre la concurrence.

Un dernier point à prendre en considération avant de soupirer face au chemin vers la conformité des données personnelles, le RGPD favorise l’essor d’entreprises innovantes qui se sont attaquées à l’enjeu de la protection de la data d’autrui. C’est le cas du moteur de recherche français Qwant qui vise à allier éducation des utilisateurs et soutient les entreprises qui jouent le jeu.

Comment le projet de transformation peut-il porter la conformité au RGPD ?

Depuis l’entrée en vigueur de la mesure, la CNIL préconise six étapes vers la conformité :

  1. Désigner un délégué à la protection des données (interne ou externe)
  2. Délimiter l’étendue de l’utilisation des données personnelles dans le cadre de l’activité
  3. Mener une étude de risques auxquels s’expose l’entreprise (fuite ou violation de la protection). L’analyse d’impact sur la protection des données (Privacy Impact Assessment), doit être effectuée idéalement avant d’initier le traitement de la donnée
  4. Bien identifier les priorités du processus de la mise en conformité
  5. Organiser l’activité en interne vers la mise en conformité
  6. Créer un dossier interne de conformité RGPD avec les dossiers de traitement de données, les personnes dont les données sont traitées (avec preuve de leur consentement) et les contrats usant de la data, afin de définir la responsabilité de chacun.

Rapidement, on a vu émerger des solutions issues du principe de privacy by design. C’est-à-dire, un système de traitement des données personnelles directement intégré à l’environnement informatique, qui dès sa conception prend en charge la protection de la data qu’il sera amené à manipuler.

« On a enfin commencé à admettre que les données personnelles des utilisateurs, mais aussi des clients, étaient un actif », conclut Jean-Marc Manach, journaliste spécialisé dans la protection informatique et le darknet.

En outre, le fameux adage des adeptes de l’informatique : “Le problème est entre la chaise et le clavier” s’applique à la conformité au RGPD. Car c’est sur l’humain qu’il faut travailler les mesures de protection de données. Après tout, c’est bien au travers d’un comportement utilisateur à risques qu’un hacker pourra s’infiltrer dans le système pour voler de la data. L’intime conviction de 2Spark est qu’il est essentiel d’engager les collaborateurs, qui lorsqu’ils sont informés et attentifs, peuvent faire rempart contre le piratage.

Le RGPD est un vecteur de transformation digitale profonde

Lors du salon Viva Technology 2019, Cathy Andriau, DGA directrice de solutions business, a mis en lumière la transformation de Media Poste. En accueillant avec anticipation la mise en place du RGPD l’entreprise dès mai 2016, l’entreprise a pu ajouter une corde à son arc en décrochant la certification ISO 27001 : 2013 (norme internationale de sécurité des systèmes d’information de l’ISO et la CEI.)

Cathy Andriau relate une transformation exemplaire, portée par le Comex qui a réuni deux unités sous une même mission : le commerce et le juridique.

“L’objectif était de continuer de développer notre business data tout en protégeant l’entreprise d’un possible risque de non-conformité, avec les menaces de sanctions afférentes”, explique-t-elle en plantant le décor.

L’accent a été mis sur la documentation des process et le renforcement de la protection des données lors des échanges avec les partenaires et les clients. Des audits ont également été menés auprès des partenaires clés.

Puisque la certification implique un audit des salariés, il était essentiel d’embarquer les collaborateurs dans ce projet d’envergure. Ces derniers ont bénéficié de formations aux données personnelles, ont signé une clause de confidentialité dans le cadre de tout contrat de travail touchant à la commercialisation de données personnelles et les règles de départ de salariés ont été resserrées pour veiller à l’intégrité des bases de données. Aujourd’hui, la certification est gage de confiance auprès des clients dans le traitement de la data, chose essentielle à Media Poste, acteur principal de la communication de proximité.

Cathy Andriau explique que dans un premier temps, le succès du projet réside dans l’engagement total du Comex et la déclinaison du projet au travers des diverses entités. Dans un deuxième temps, la communication régulière sur l’avancée du projet a également contribué au succès de la transformation : “cela permet de créer une communauté « data » soudée autour d’un objectif commun”, révèle-t-elle. Cette communauté a pris à bras le corps la mission de faire évoluer les engagements et continue de se réunir régulièrement pour s’efforcer à rester en première ligne de la data sécurisée. Encore une corde supplémentaire à son arc, Mediapost a décroché le Label Privacy Protection Pact du SNCD en février 2019. Grâce à un projet de transformation inscrit dans la continuité, les entreprises peuvent faire du RGPD un atout de taille.

Cédric Dussolliet, Data Protection Officer chez Adequasys, abonde dans ce sens.

“Il appartient aussi aux RH de mettre en œuvre les stratégies de formation/sensibilisation afin que la protection des données fasse partie de « l’ADN » des entreprises de demain.”

Avec la prise de conscience accrue de la population sur les règlements de protection de données, les entreprises qui communiquent sur la conformité et leur engagement à respecter la vie privée des collaborateurs et de celles de leurs clients, ne manqueront pas de mettre en avant leurs atouts de recrutement et de fidélisation des collaborateurs.

La solution 2Spark use de l’anonymisation des données pour fournir aux managers un suivi du déploiement de la transformation au fil de l’eau tout en respectant les données personnelles de chacun. Dans le cadre d’une introduction de nouvelles informations comme le traitement des données personnelles, l’outil engage et stimule les collaborateurs vers des comportements et méthodes de travail conformes au RGPD, en interne, mais aussi auprès des clients.

Le RGPD est entré en vigueur voilà un an et a bouleversé bien des organisations, cependant l’évolution est perpétuelle. Puisqu’un prochain règlement européen intitulé le “e-privacy” est à paraître dans un avenir proche. Enfin, d’autres pays emboîtent le pas à l’Europe, c’est le cas du Canada qui vient d’annoncer une régulation visant à renforcer la protection des données privées de ses citoyens.

Découvrir la solution 2Spark

| Free-lance Community manager

Maï Trébuil
Rédactrice de contenus en freelance spécialisée dans la culture numérique, Maï pose son regard et sa plume sur l'évolution du monde du travail et les acteurs qui changent la donne. Pour 2Spark, elle plonge dans la transformation des entreprises et ses enjeux.