Le Règlement général sur la protection des données : transformer la contrainte en opportunité

Peut-être est-ce le coût élevé qu'implique le non-respect du Règlement général sur la protection des données (GDPR) de l'Union européenne (UE) qui a attiré votre attention. Ou alors l'imminence de l'échéance à laquelle les entreprises vont devoir se mettre en conformité, voire tout le battage médiatique autour de la protection et de la confidentialité des données.

Au premier abord, les aspects décourageants du GDPR vous ont sans doute laissé perplexe. Mais si vous parvenez à surmonter vos craintes pour satisfaire aux multiples exigences de ce règlement, vous découvrirez qu'il recèle en fait une mine d'opportunités. Examinons les implications du Règlement général sur la protection des données, les acteurs concernés et les avantages que vous pouvez en retirer.

Qu'est-ce que le GDPR ?

L'Union européenne a adopté le GDPR en remplacement de la Directive européenne sur la protection des données de 1995. Ce nouveau règlement renforce considérablement la protection des données à caractère personnel en responsabilisant chaque entreprise. Par rapport à l'ancienne directive, il élargit la définition des données personnelles, place l'individu au centre du dispositif, renforce les contrôles et augmente les amendes en cas de non-respect.

Ces dernières années, plusieurs développements en matière de protection des données ont largement contribué au battage médiatique autour du GDPR. C'est le cas, par exemple, de l'invalidation de l'accord sur la sphère de sécurité (Safe Harbor), un mécanisme régissant les transferts de données entre l'UE et les États-Unis, qui a été remplacé par le « Bouclier de Protection des Données » (Privacy Shield). À l'approche de l'échéance du 25 mai 2018, certaines entreprises commencent sérieusement à s'inquiéter de leur conformité au Règlement sur la protection des données personnelles, notamment au vu des sanctions financières en cas de violation, qui peuvent atteindre 22 millions de dollars ou 4 % du chiffre d'affaires annuel mondial (le chiffre le plus élevé étant retenu).

Qui est concerné par le Règlement général sur la protection des données ?

Ne vous y trompez pas : ce n'est pas parce que votre entreprise n'est pas basée dans un pays de l'UE qu'elle échappe aux exigences de GDPR. Cette législation de grande envergure s'applique à tout établissement qui traite les données personnelles d'individus vivant dans l'Union européenne. Il peut s'agir d'un employé résidant en Allemagne, mais travaillant pour une société à New York, ou encore d'un client en Irlande qui effectue une transaction en ligne avec un commerçant basé en Californie.

Une définition révisée des données à caractère personnel

Selon le Règlement général sur la protection des données, les données à caractère personnel sont celles qui permettent, directement ou indirectement, d'identifier un individu. Les facteurs comme les adresse IP ou les données de géolocalisation, qui permettent d'identifier une personne, relèvent désormais de la protection des données personnelles. Il s'agit là d'une définition très large, qui est appelée à s'étendre encore avec le temps. 

Quelles sont les principales nouveautés de GDPR ?

La nouvelle définition des données à caractère personnel est révélatrice du ton général de cette loi. Dans le cadre de GDPR, les données personnelles sont considérées comme un précieux actif. En conséquence, les exigences et obligations qui les entourent se durcissent.

Cela va bien évidemment de pair avec les tendances technologiques actuelles comme le cloud computing, les big data et l'Internet des objets, où la collecte et l'analyse des données deviennent des différenciateurs stratégiques. Reconnaissant cet état de fait, le GDPR de l'UE ne fait que se mettre en phase avec la réalité.

Examinons les quatre principaux changements que la nouvelle loi apporte à la protection des données personnelles.

Renforcement des contrôles 

Avec le nouveau Règlement général sur la protection des données, les contrôles vont se durcir. Les autorités chargées de la protection des données disposeront de plus de ressources et de pouvoirs et uniront leurs efforts au sein d'un nouveau comité paneuropéen émettant des avis contraignants. Il y a à peine 10 ans, la confidentialité des données ne figurait pas encore parmi les préoccupations majeures en matière de conformité juridique. Aujourd'hui, elle constitue l'une des grandes priorités des entreprises de toutes tailles et tous secteurs. 

Responsabilisation des entreprises 

Le Règlement général sur la protection des données rend les entreprises responsables de la protection des données à caractère personnel. C'est à elles qu'il incombe de prouver qu'elles appliquent cette protection, par quels moyens et avec quelle efficacité. Cette démarche implique de mettre en place des mesures de sécurité afin de prévenir toute faille et de réagir rapidement en avertissant les personnes et les autorités concernées en cas de violation. À l'avenir, la protection des données relèvera davantage d'une bonne organisation de vos processus métier que d'une autorisation formelle à traiter des données. Il est utile de disposer d'une personne (un délégué à la protection des données, par exemple) qui soit compétente en matière de protection des données et sache appliquer la loi.

Selon vos activités de traitement, le GDPR vous imposera peut-être de nommer une personne à ce poste. Au-delà des obligations légales, il sera tout aussi important de s'assurer que cette personne comprenne que ces données constituent un actif stratégique de l'entreprise. Il est recommandé de disposer d'un délégué à la protection des données capable d'inspirer le changement au sein de l'établissement – non seulement dans un souci de conformité, mais aussi pour intégrer la protection des données personnelles, et la gouvernance des données en général, dans les impératifs métier.

« Privacy by design » 

Le principe de protection de la vie privée dès la conception (« privacy by design ») exige que tous les services de l'entreprise se penchent sur leurs données et leur traitement. Ainsi, la première étape consiste à cartographier les flux de données à l'échelle de l'entreprise. Après avoir identifié l'emplacement et l'usage précis des données personnelles, il convient de les protéger de façon adéquate. Avec la nouvelle loi, l'idée est d'observer les données sous l'angle de leur confidentialité, du développement produit au client final en passant par la chaîne logistique. La protection de la vie privée dès la conception présuppose également une plus grande transparence autour des données et de leurs transferts.

Priorité au client 

Au-delà de la conformité, c'est l'attitude vis-à-vis de la confidentialité des informations qui constituera le plus gros bouleversement apporté par la nouvelle législation. En effet, le GDPR donne du pouvoir aux individus en les plaçant au centre de la protection des données. Par exemple, le droit à la portabilité des données signifie que les clients devraient pouvoir, sans aucune contrainte, changer de fournisseur de services et transférer toutes leurs données au nouveau prestataire. De plus, GDPR renforce le droit du consommateur à demander à une société de supprimer les informations qui le concernent en instaurant le « droit à l'oubli ».

Quatre façons d'utiliser GDPR comme différenciateur 

Si vous prenez du recul pour examiner les changements radicaux de GDPR, il est évident que les règles sont désormais plus strictes et plus complexes, mais les principes de base sont les mêmes depuis de nombreuses années. Pour nombre d'entreprises, le Règlement général sur la protection des données représentera davantage une occasion de revoir les procédures de conformité en place que d'en créer de nouvelles. Quelles que soient les implications pour votre entreprise, GDPR s'accompagne de nombreuses opportunités intéressantes. 

Innovation

Les entreprises s'inspirant de GDPR pour favoriser l'innovation pourraient ainsi devancer leurs concurrents sur un nouveau marché créé par les exigences-mêmes de cette réglementation. Songez au développement de nouveaux services ou produits garantissant aux clients que leurs données personnelles sont gérées et conservées en toute sécurité. Prenez, par exemple, des initiatives telles que les espaces sécurisés dédiés aux données personnelles. Ces applications en mode cloud permettent aux particuliers de conserver leurs données personnelles et d'en contrôler les droits d'accès.

Vous pourriez également imaginer de nouveaux usages des données qui ne contreviennent pas à la législation sur la protection de la vie privée. Un exemple intéressant est celui d'une entreprise proposant un compteur de personnes de nouvelle génération qui aide les commerçants à mieux connaître leurs clients sans collecter de données personnelles. La solution consiste en un sol intelligent qui recueille des images des chaussures des clients, afin d'analyser les pas qu'ils effectuent. Ces images, combinées à plusieurs couches de machine learning et d'intelligence artificielle, permettent au système de comptabiliser automatiquement les clients. Plus surprenant encore : le système est capable de classer les gens selon différentes catégories démographiques en fonction de leurs chaussures et de leur démarche. Il peut même déterminer les réactions aux étalages des magasins. 

Transparence = confiance

Une gestion correcte de la confidentialité constitue un avantage concurrentiel. Nous sommes tous plus susceptibles de faire confiance à un fournisseur de services qui attache de l'importance à notre vie privée (au-delà de la simple conformité légale) et fait preuve de transparence quant à l'utilisation de nos données. Les exigences de GDPR vous offrent l'occasion de revoir votre stratégie d'information des clients sur la collecte et le traitement de leurs données. Cette transparence contribuera à vous assurer la confiance et la fidélité de votre clientèle.

L'expérience d'une grande banque néerlandaise nous a appris ce qu'il ne fallait pas faire. Il y a quelques années, elle a annoncé le lancement d'un projet de big data impliquant l'utilisation des données des clients à des fins de diffusion de publicités ciblées. Elle en a dûment informé ses clients, mais sans leur exposer l'intérêt de la démarche. Par ailleurs, les clients ne pouvaient pas choisir s'ils souhaitaient ou non participer au projet. Résultat : cela a eu l'effet inverse au but recherché et, après de nombreuses réactions négatives, y compris dans les médias, la banque a décidé de retirer le projet.

Donner du pouvoir au consommateur

Le nouveau règlement sur la protection des données place les consommateurs aux commandes. Si vous jouez le jeu sans réserve, les clients vous considèreront comme un fervent défenseur de la protection de la vie privée.

GDPR renforce les droits actuels des consommateurs et en introduit de nouveaux. En outre, le consentement de la personne est érigé en fondement juridique principal pour le traitement des données à caractère personnel. Cette habilitation des individus à décider si leurs données personnelles doivent être traitées et par quel moyen constitue un véritable casse-tête. Il est en effet difficile de concevoir ou de revoir des programmes de conformité à la protection des données personnelles de telle sorte que tous les droits accordés aux individus dans GDPR puissent s'exercer de façon satisfaisante.

Avec GDPR, la protection des données personnelles va faire évoluer la culture des entreprises. Mais il s'agit également d'une question stratégique. En donnant du pouvoir à votre client, vous en donnez aussi à votre entreprise dans un marché concurrentiel.

Une stratégie pour la gestion et la gouvernance des données

La protection des données personnelles doit dorénavant intégrer la stratégie de données de l'organisation. Pour être conforme, il vous faut mettre en place de solides politiques de gestion et de gouvernance des données. Au-delà du périmètre des données personnelles, le Règlement général sur la protection des données vous donne l'occasion de réévaluer ces politiques pour l'ensemble de vos données. Extrêmement utile, ce processus offre de surcroît le moyen de traduire un projet de mise en conformité légale à la fois vaste et coûteux en bénéfices concrets.

Les données représentent l'actif le plus important de votre entreprise, et leur volume ne cesse d'augmenter. La mise en place de politiques solides vous aidera non seulement à vous mettre en conformité, mais aussi à tirer le meilleur parti de vos données.

Le Règlement général sur la protection des données (GDPR) : au-delà de la conformité

Changer de perspective pour appréhender le Règlement général sur la protection des données comme une opportunité plutôt qu'une contrainte ne se fera pas du jour au lendemain. Toutefois, vous gagnerez à adopter une démarche proactive. Vous serez ainsi préparé aux éventuelles prochaines lois de l'UE sur la localisation des données, la confidentialité des communications ou encore la propriété des données. Et vous serez en mesure de parvenir à un équilibre entre votre besoin de mieux connaître vos clients et la nécessité de protéger leurs données personnelles. C'est le moment idéal pour acquérir une meilleure compréhension de toutes les données de votre entreprise et pour élaborer une stratégie complète de gestion des données, qui vous permettra d'aborder sereinement l'échéance de mai 2018 et les suivantes.

À propos de l'auteur

Responsable de la stratégie pour la protection des données personnelles chez SAS Europe, Kalliopi Spyridaki a rejoint SAS en 2007. Son rôle consiste à fournir à SAS et à ses clients un éclairage sur les questions relatives à la protection des données et à la confidentialité. Elle s'efforce de faire le lien entre politiques publiques, aspects juridiques et considérations commerciales pour s'assurer que SAS et ses clients restent à l'avant-garde en Europe dans le domaine en pleine mutation du respect de la vie privée. Avant de rejoindre SAS, elle a occupé plusieurs postes dans le conseil en affaires publiques, au sein d'une association professionnelle européenne, dans des cabinets d'avocats européens et grecs, à la Commission européenne et au ministère grec des affaires étrangères. Titulaire d'un diplôme en droit de l'Université d'Athènes, en Grèce, elle est membre du barreau d'Athènes depuis 2003.