menu-mob.png

Entretien avec un expert : comment anticiper les défis posés par le RGPD et élaborer des stratégies?

 |
January 31 2018

Statistiquement parlant, le vendredi est le jour préféré de la plupart des personnes actives.

Il marque le point final de la semaine, le moment où l'on peut se laisser aller, se détendre et même faire quelques excès. Sauf, bien entendu, le 25 mai 2018, un vendredi un peu particulier...

... cela vous dit quelque chose ? Ça le devrait, car c'est une journée pas comme les autres dans l'histoire de la gestion des données et voici pourquoi.

RGPD.jpg

Le vendredi 25 mai est le jour où le RGPD (Règlement général sur la protection des données) entrera en vigueur.

Le premier vendredi où des sociétés comme la vôtre risqueront une amende allant jusqu'à 4 % de leur chiffre d'affaires. Ce n'est pas ce que l'on appelle un changement mineur.

Nous avons amplement parlé des règles contenues dans le RGPD et de la façon de minimiser les risques qu'il pose (pour en savoir plus, consultez : dealingwithgdpr.stibosystems.com). Mais finalement, c'est l'expérience qui compte et, souvent, il peut être utile d'écouter les conseils des experts qui anticipent ces changements disruptifs.

Nous avons donc interrogé l'un de nos experts, Ditte Brix Andersen, sur quatre questions qui lui sont fréquemment posées lorsqu'elle aborde ce thème avec des entreprises.

1. Quels sont les principaux défis posés par la conformité au RGPD ?

D’après notre expérience, la principale difficulté dans la mise en œuvre de la conformité au RGPD est le travail de fond, basique mais rigoureux, à effectuer au préalable, à savoir le nettoyage des données. 

Pour mettre en pratique les principes du RGPD, la première chose que les entreprises doivent être en mesure de faire est de localiser les données à caractère personnel qu’elles possèdent, ainsi que toutes les informations y afférentes, puis les relier, les gérer et les tenir à jour. C’est un problème que nous avons retrouvé chez tous les clients avec lesquels nous avons collaboré.

Il est nécessaire pour les entreprises que les processus relatifs à ces données fonctionnent, de façon à assurer les nouveaux droits des consommateurs tels que le « droit à l’oubli », à les informer sur le type de données qu’elles détiennent à leur sujet et de la date à laquelle ces données ont été obtenues, et à être en mesure de gérer les consentements pour des contenus spécifiques.

Ceci peut paraître simple mais, pour la plupart des entreprises, c’est une vraie difficulté parce qu'elles ne disposent pas du type de systèmes et de flux de données nécessaire pour gérer la conformité. 

Nous savons que des employés consacrent un temps considérable rien que pour localiser des données. Nous entendons donc fréquemment des récits sur des expériences client catastrophiques dues à la mauvaise qualité des données à cause de systèmes déconnectés et de silos de données.

Relier ces systèmes, localiser et nettoyer les données, puis instituer un cadre de gouvernance afin de les maintenir à un haut niveau de qualité, sera la principale difficulté pour de nombreuses sociétés.

2. Pourquoi les entreprises situées en dehors de l’Union européenne doivent-elles se préoccuper de cette règlementation?

En premier lieu, il est important que toutes les entreprises, européennes ou non, comprennent qu’elles peuvent se trouver soumises aux exigences du RGPD, même si elles ne se situent pas dans l’Union européenne. Effectivement, les sociétés non européennes qui servent des clients européens risquent des amendes ou une atteinte à leur réputation de la même manière que celles au sein de l’Union.

En second lieu, d’après plusieurs experts, il est très probable que d’autres régions suivent l’initiative de l’Union européenne dans un proche avenir et introduisent des règlementations plus strictes sur les données à caractère personnel, à l'image de celles du RGPD. La conformité au RGPD mettrait ces entreprises en pole position, sans compter les autres avantages qu’offre une organisation efficace des données. Une saine gestion des données est justifiée, quelle que soit la raison pour laquelle vous y venez.

En troisième lieu, avec l’introduction du RGPD, la protection des données constituera un avantage significatif par rapport à la concurrence. Dans les marchés mondialisés d’aujourd’hui, les consommateurs ont une plus forte probabilité d’acheter à une société qui leur livre les objets ou services commandés à temps et conformément à leur demande et qui, en outre, s’efforce de protéger leurs données à caractère personnel. D’un point de vue concurrentiel, suivre les avancées des sociétés européennes en matière de protection des données et offrir des services sur les données à caractère personnel alignés sur les nouveaux droits créés par le RGPD constituera un avantage stratégique pour les entreprises situées hors de l’Union européenne. 

3. Quelles stratégies devraient être mises en œuvre par les entreprises pour se mettre en conformité au RGPD d’ici mai 2018 et au-delà?

Tout d’abord, vous ne devez pas considérer le RGPD comme une simple tâche supplémentaire que votre service informatique ou une personne dédiée pourrait résoudre. C’est une mission qui concerne toute l'entreprise et c’est ainsi qu’il faut communiquer à son sujet. L’objectif est d’obtenir que chacun dans la société comprenne la valeur et l’importance d’accorder toute l’attention requise aux informations à caractère personnel. En effet, ce n’est qu’avec ce niveau d’adhésion que vous pourrez espérer vous conformer aux dispositions du RGPD et maintenir cette conformité.

Il y a un principe simple à respecter : vous devez penser à la façon dont vous allez gérer et protéger les données à caractère personnel dans toutes vos activités. Pour chaque nouvelle initiative marketing, nouvelle stratégie ou nouveau produit, vous devez vous demander :

- Est-ce lié d’une façon quelconque aux données à caractère personnel ? 

- Avons-nous pris les mesures nécessaires pour créer des procédures adaptées de protection des données personnelles dans chaque activité ? 

Il en résulte que la protection des données doit faire partie intégrante de l’activité courante de l'entreprise.

Au niveau général de la gestion des données, nous conseillons à tous nos clients de nettoyer leurs données client en effectuant une « détermination d’identité », c'est-à-dire une procédure de gestion des données consistant à identifier une personne à partir de différents ensembles de données et bases de données, qui sont ensuite fusionnés en un même profil centralisé reflétant le profil le plus valide et le plus récent de la personne en question. C’est la première étape vers une gouvernance gérable des données.

Ces données doivent ensuite être liées à différents processus tels que les abonnements à des newsletters, l’historique des achats en ligne et les cookies de campagnes en fonction des nouvelles exigences sur le consentement.

Vous devez également rapprocher ces processus et les relier aux différentes catégories de données concernées. Par exemple, si une personne a accepté de recevoir une newsletter, vous devrez relier son nom et son adresse à son consentement et à son profil client. Cela vous aidera à renseigner l’utilisation que vous faites des données. 

Enfin, vous devez instituer un solide cadre de gouvernance des données, définissant clairement qui a accès à quelles données, qui est responsable de quoi et plus encore. (Nous abordons ces étapes plus en détail dans l'article de blog : Solved! 4 Biggest Personal Data Challenges of the General Data Protection Regulation)

4. Les entreprises peuvent-elles utiliser le RGPD comme tremplin vers une gouvernance globale des données et des pratiques de sécurité plus efficace? 

La réponse brève est « oui » ! Non seulement elles le peuvent, mais elles le doivent. Il n'y a aucun doute, le RGPD est l'occasion unique de nettoyer vos bases de données et de revoir vos processus. Vous aiderez votre entreprise à organiser plus efficacement ses données et à mettre en place des processus à long terme qui lui permettront d’offrir la plus grande valeur ajoutée possible. (Découvrez cette approche dans l'article de blog : Preparing for GDPR – Burden or Opportunity?)

Le RGPD doit être perçu comme un moyen de transformer vos données, qui peuvent être disséminées dans différents systèmes et services (ou, comme j'ai horreur de le dire, sur des fichiers Excel contenus dans un ordinateur quelconque), en actifs générant des revenus.

Et il n'y a pas que les données client qui représentent un réel potentiel. Vous pouvez tirer une valeur énorme de tous les types d'informations, comme les données sur les produits, les lieux et les actifs, à condition de vous y atteler et de les maîtriser.




← Article précédent
Prochain article →