GDPR : quand une contrainte de conformité devient un atout pour les entreprises européennes
En mai 2016, la CNIL publie un règlement européen sur la protection des données personnelles. Cette mesure vient compléter et mettre à jour la précédente directive datant de 1995. Le Règlement Général sur la Protection des Données (GDPR en anglais) entrera en vigueur le 25 mai 2018 dans les 28 pays de l’Union Européenne, avec des sanctions pouvant aller jusqu’à 20 M€ ou 4% du chiffre d’affaires de l’entreprise concernée. Les données faisant aujourd’hui partie des ressources les plus précieuses pour les entreprises, l’application du GDPR ouvre le débat : les entreprises peuvent-elles trouver un bénéfice commercial tout en se mettant en conformité ?
Une mise en conformité cousue main
La loi informatique et liberté définit cinq grands principes à respecter lors du cycle de vie de la donnée : collecte, traitement et conservation. Le premier principe définit la « finalité » (objectifs) de la collecte de données, ceux-ci doivent respecter les droits et libertés des individus. Le deuxième principe est le principe de pertinence des données ; il répond au premier dans le sens où il n’est autorisé de collecter uniquement les données nécessaires à la « finalité ». Le troisième principe est celui de la conservation. En effet, une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver. En plus des principes d’utilisation, le GDPR confère un certain nombre de droits aux tiers, il s’agit du quatrième principe. Le respect des droits des personnes ayant renseigné des données personnelles : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation. Le dernier principe est crucial, il s’agit de la sécurité des données.
L’un des moyens les plus efficaces pour réussir la mise en conformité de l’entreprise consiste à intégrer les problématiques de gestion des données personnelles dès la conception du projet, « Privacy by Design« . Il faut pour cela « inscrire la conformité et la sécurité au cœur de la structure organisationnelle et de la culture d’entreprise ». La mise en conformité des entreprises sous-entendra de réaliser une approche par les risques opérationnels : personnel autorisé, emplacement de stockage, sécurité, formation du personnel… etc. Le programme de conformité du GDPR induit des impacts opérationnels majeurs au sein de l’entreprise. Ce programme est divisé en quatre axes de transformations techniques :
- Privacy by design: Garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception.
- Accountability: S’assurer que les entreprises mettent en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
- Notification: Notifier à la CNIL une violation de données personnelles.
- Consentement et portabilité: Clarifier le consentement du tiers à l’exploitation de ses données personnelles et lui conférer le droit à la portabilité de desdites informations.
En parallèle, un travail d’interprétation de la réglementation est nécessaire afin de définir de manière claire les enjeux légaux et techniques du règlement.
Sécurité et conformité, un facteur de différenciation
Le GDPR est un programme de conformité (analyse réglementaire, guidelines, accountability, etc.) mais aussi et surtout de nombreux projets business visant à faire évoluer les modalités de la relation client et la conception de projets digitaux.
En allant au-delà de ces impacts opérationnels, les entreprises pourront tirer des atouts majeurs de différenciation auprès de leurs clients.
Selon une étude Harris Interactive pour la Caisse des Dépôts, en 2016, le pourcentage de confiance des utilisateurs français dans l’usage d’internet est seulement de 37% (en baisse de 3 points depuis 2015). Ce chiffre met en lumière le paradoxe toujours plus présent entre l’usage et la confiance.
Sur les sites, des fournisseurs affichent déjà leur future compatibilité avec le GDPR. Il sera rapidement possible de constater un écrémage des acteurs qui ne seront pas conformes permettant ainsi de créer une distinction concurrentielle basée sur l’efficacité de la protection des données personnelles et de la conformité au règlement.
En parallèle, en délivrant un titre de confiance « Label Gouvernance de la CNIL », le GDPR se place en véritable atout marketing et communication pour les entreprises européennes. A terme, l’application du GDPR permettra aux entreprises d’offrir aux internautes un cadre de confiance renforcé et clarifié, qui à l’ère de la digitalisation représente un facteur clé de succès. Il reste donc aux sociétés européennes à consolider leur communication auprès des clients sur leur politique de cyber-sécurité des données personnelles.
Plus de sérénité pour les entreprises européennes
Pour les organismes publics ou entreprises dont l’activité de base nécessite un traitement de données personnelles, le texte de la CNIL prévoit la désignation d’un pilote, appelé « Délégué à la Protection des Données » ou DPO. Le délégué est présenté par la CNIL comme un atout majeur pour « comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux ».
Les tâches à la charge du DPO, le placent en véritable chef d’orchestre de la conformité en matière de protection des données personnelles : point de contact avec la CNIL, information et conseil en vertical, contrôle… etc. La fonction du délégué telle que présentée dans le JO est claire et lisible pour l’entreprise.
Par ailleurs, le pilotage continu réalisé par une personne formée et dédiée à ce projet, permet d’apporter aux dirigeants européens plus de sérénité.
Des économies et de la création de valeur
Aujourd’hui le constat est simple : les entreprises européennes doivent travailler avec 28 lois de protection des données différentes. Cette parcellisation constitue un fardeau administratif et économique pour les TPE de l’Union Européenne lorsqu’elles souhaitent accéder à de nouveaux marchés. Selon le rapport 2016 de la Commission Européenne, le coût de notification en cas d’utilisation des données auprès des autorités européennes s’élève à 130 millions d’euros par an. En supprimant cette obligation de notification (intra-européen), l’application du GDPR permettra une économie de gestion administrative et financière (selon le même rapport une économie globale visée de 2,3 millions d’euros par an).
Par ailleurs, il est important de rappeler que 90% des entreprises et particuliers membres de l’UE souhaitaient mettre en place une harmonisation réglementaire paneuropéenne.
Dans le cadre de cette uniformisation des réglementations sur la gestion des données personnelles, il est également important de prendre en compte la notion de libre circulation au sein de l’Union Européenne. Le bénéfice pour les entreprises sera de renforcer tout en sécurisant le partage et l’accès aux données personnelles (sous réserve du respect des conditions données par la CNIL).
Depuis qu’une économie à part-entière est née autour de la connaissance, la donnée est devenue un « actif stratégique » permettant d’acquérir ou de conserver un avantage vis-à-vis de ses concurrents. La donnée permet aux sociétés d’optimiser leurs activités : acquisitions, rétention, ciblage, tarification optimale, etc. Comprenant les enjeux capitaux reposant sur les bases d’information, il n’est pas étonnant d’observer le développement croissant de bourses de la donnée sur les marchés.
Le DGRP permettra aux bases de données européennes, par leur difficulté d’obtention pour les marchés hors UE, de continuer à prendre de plus en plus de valeur. En effet, selon une étude, les données personnelles européennes pourraient valoir près d’un billion d’euros d’ici à 2020.
Sécurité pour les internautes, confiance, sérénité, création de valeur… il semblerait que le GDPR ait tout bon. Verdict en mai 2018 !