Certains nouveaux aspects du règlement général de l’Union européenne sur la protection des données (RGPD), adopté le 14 avril dernier, vont très probablement se révéler problématiques pour les entreprises.
L’objectif de ce règlement, qui entrera en vigueur en 2018, est de redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne. Les derniers ajouts et récentes modifications vont entraîner de profonds changements en matière de collecte et de traitement des données et auront probablement un impact global sur le fonctionnement des entreprises.
Remplaçant la directive actuelle sur la protection des données, le RGPD étend la portée de la protection pour couvrir les données détenues non seulement par les personnes morales ou physiques européennes, mais également par les entreprises ou organismes non européens qui traitent les données de citoyens européens. La définition des données à caractère personnel couvre désormais toute une série de détails comprenant les informations personnelles habituelles, mais aussi des éléments tels que les photographies et les données des réseaux sociaux. D’autres défis liés au « droit à l’oubli » et au droit du citoyen à demander l’accès à ses données obligeront toutes les organisations à examiner de près leurs politiques relatives aux données des clients.
De nouveaux articles de ce règlement imposent, par exemple, d’obtenir un consentement explicite pour la collecte et l’exploitation de ces données. Des amendes ou sanctions sévères sont prévues en cas d’infraction. L’amende maximale s’élève désormais à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel (la valeur la plus élevée étant retenue), ce qui représente un coût colossal pour la plupart des organisations. Le RGPD confère au responsable de la protection des données un rôle beaucoup plus important en raison de l’impact des amendes ou sanctions potentielles en cas d’infraction.
Les enjeux de la protection des données
L’analyse de l’impact de ce nouveau règlement met en évidence un certain nombre de problèmes immédiats relatifs aux données auxquels les organisations seront confrontées. En voici quelques-uns qui donnent un aperçu de l’ampleur du défi à relever :
1. Trouver les données des clients
L’identification de toutes les données clients est un défi majeur pour tout établissement. Elles peuvent résider au sein de systèmes différents et se présenter sous diverses formes. Il peut s’agir, par exemple, de données figurant dans un journal d’application qui capture les détails d’une session utilisateur exécutée par l’intermédiaire d’une application Web, des flux de réseaux sociaux générés lorsqu’un client émet une demande de service, les systèmes analytiques qui capturent le parcours du client sur le site Web d’un établissement, d’appels des clients au centre de contact pour formuler une demande ou de la capture d’un document papier provenant d’un client notifiant son changement d’adresse. Outre les systèmes transactionnels traditionnels, d’autres systèmes liés à l’engagement client sont également concernés. La montée en puissance de l’omnicanal signifie que les clients peuvent communiquer par le biais de n’importe quel canal et support approprié. Le cas échéant, une empreinte numérique est généralement stockée pour enregistrer ce fait, faciliter la résolution rapide des éventuels problèmes et disposer d’une preuve d’activité. Toutes ces empreintes, pour tous les types d’engagement, sont à identifier par les entreprises.
2. Accessibilité des données par les clients
Les clients seront en droit de demander à une entreprise de leur fournir tous les détails de toutes les informations détenues à leur sujet. Bien qu’il s’agisse de la même question que celle soulevée ci-dessus, la différence ici est que ces informations vont au-delà de l’entreprise, ce qui implique de tenir compte de la sécurité de ces données, tout en représentant un exercice coûteux à réaliser s’il est effectué manuellement. Cet exercice est d’autant plus périlleux que si des informations détenues par l’entreprise sont omises, celle-ci s’expose à une sanction et démontre qu’elle ne contrôle pas les données de ses clients.
3. Que faire lorsque les données des clients ont été identifiées ?
Une fois toutes les données des clients identifiées, encore faut-il savoir comment les utiliser. Mais si un client accepte que ses données soient stockées et utilisées, il est important de savoir que ce consentement peut ne s’appliquer qu’à certaines parties des données et non à d’autres. Cette complexité supplémentaire signifie que les organisations doivent déterminer comment traiter au mieux l’utilisation des données non couvertes par le consentement, tout en préservant l’intégrité transactionnelle et financière de leurs activités.
4. Exercice du droit à l’oubli
La clause du RGPD relative au « droit à l’oubli » oblige les établissements à supprimer de leurs systèmes toutes les données d’un client si celui-ci le demande. S’il est impossible d’estimer le nombre de clients qui exerceront ce droit, l’intérêt des médias pour ce sujet contribuera à la popularisation du « droit à l’oubli ». Pour supprimer les données résidant dans plusieurs systèmes et sous diverses formes, les entreprises ont deux options : se plier à un exercice manuel extrêmement long et coûteux (en prenant le risque de ne pas supprimer toutes les données) ou recourir à l’automatisation de ce processus afin de l’industrialiser. Quelle que soit l’option choisie, il convient d’examiner de près le temps, le coût et les risques associés à chacune d’elles et de mettre en place les solutions adéquates.
Le RGPD impose un contrôle poussé et continu des données clients. Pour les entreprises, mettre en place une véritable stratégie de gouvernance des données devient un impératif majeur car les conséquences de non-conformité sont potentiellement importantes. Pour respecter les différents critères de cette réglementation, il faut avant tout savoir où les données résident et effectuer un suivi précis des flux des données avec des solutions logicielles existantes, sans lesquelles il serait difficile de respecter cette réglementation. Un premier état des lieux sur la gestion des données au sein d’une organisation est un point de départ pour développer une vision éclairée sur les ajustements stratégiques à mettre en place et assurer la sécurité, la vie privée et la gouvernance d’une organisation tout en évitant les risques.
Un délai de deux ans peut sembler long, mais les entreprises doivent se tenir prêtes. Sans quoi, elles s’exposent à de lourdes conséquences financières qui pourront ternir leur réputation et leur image.