GDPR… Une question de data management et de gouvernance
GDPR : SAS, maître de l’analytique, démontre l’importance du data management et de la gouvernance des données pour identifier et protéger les données personnelles.
Opportunité ou contrainte ? Telle est la question des entreprises au sujet du GDPR, la future réglementation européenne sur la protection des données. A ses clients, SAS tient le langage de l’opportunité. Mardi 21 février, le chef de file de l’analytique a attiré plus d’une cinquantaine d’entreprises sur cette thématique à Bruxelles. Un formidable succès que Michel Philippens, Analytics & Decision Management Consultant, SAS Belux, explique : «identifier et protéger les données personnelles de vos clients vous renforcera; vous serez plus fort et plus agile dans votre stratégie de données.»
Selon la nouvelle réglementation générale de protection des données, chaque consommateur et citoyen a le droit de connaître l’usage qui est fait de ses données, et a également le droit de faire supprimer à sa demande toute information le concernant. La mise en conformité requiert des équipes, process et outils adaptés qui fourniront une visibilité instantanée sur le détail des données client disponibles, leur lieu de stockage, et le respect de la réglementation dans leur sauvegarde et leur traitement.
Se préparer, sans plus attendre
«Certes, il y a une échéance, mais il y a surtout une formidable opportunité d’y voir plus clair, de mettre de l’ordre dans les données et de mettre en place une véritable gouvernance», poursuit Michel Philippens. Concrètement, les questions qui reviennent le plus souvent ont trait, justement à cette gouvernance -quelle gouvernance des données et procédures mettre en place pour être en conformité avec la loi ? Comment identifier les données sensibles ? Comment gérer les accès aux données clients ? Comment respecter le droit à l’oubli ? Autant de questions à laquelle les responsables marketing et clients, les gestionnaires de données et les responsables de la conformité doivent se préparer.
Selon le GDPR, il s’agit de données permettant d’identifier un individu, directement ou indirectement. Cette définition relativement large devrait encore s’élargir avec le temps. Autrement dit, les facteurs comme les adresses IP et les données de géolocalisation, qui servent à identifier une personne, seront également concernés par la nouvelle loi.
Cette définition du concept de données personnelles donne le ton de la nouvelle législation : les données sont considérées comme des ressources de valeur pour lesquelles les réglementations se durcissent. Cela va bien évidemment de pair avec les tendances technologiques actuelles, comme le cloud, les réseaux sociaux, le mobile et l’IoT, où la collecte et l’analyse des données deviennent des facteurs de différenciation stratégiques.
Quatre axes de changement selon SAS
Si la législation actuelle a jeté les fondements de la protection des données, le GDPR s’apprête à bâtir au-dessus un solide édifice. Ces dernières années ont été marquées par différentes évolutions en matière de protection des données personnelles (notamment l’invalidation du «Safe Harbor»), ce qui a contribué au battage médiatique autour du GDPR. Résultat, cette nouvelle réglementation suscite beaucoup d’interrogations dans nombre d’entreprises, ce qui n’est pas justifié, selon Kalliopi Spyridaki, responsable de la stratégie pour la protection des données personnelles pour l’Europe chez SAS : «Les règles sont désormais plus strictes, mais les principes de base sont les mêmes depuis de nombreuses années. Le GDPR a davantage pour but de réviser les procédures de conformité que de recommencer à zéro.»
Pour Kalliopi Spyridaki, quatre éléments fondamentaux qui vont changer avec le GDPR. D’abord, un renforcement des contrôles. Les autorités chargées de la protection des données auront plus de moyens et uniront leurs efforts au sein d’un nouveau comité paneuropéen pour poser de nouvelles contraintes. «Le seul niveau de sanction comparable en Europe est en fait celui de la législation sur la concurrence. Ce n’est peut-être pas le principal motif de mise en conformité, mais c’est certainement une bonne raison de faire preuve de vigilance…»
Deuxième évolution, la responsabilisation des entreprises. Le GDPR responsabilise les entreprises vis-à-vis de la protection des données personnelles. La charge de la preuve leur incombera lorsqu’il s’agira de savoir si elles protègent les données personnelles, par quels moyens et avec quelle efficacité. La procédure actuelle d’obtention de l’autorisation de traiter les données est relativement formalisée : quel type de données traitez-vous ? Les communiquez-vous à des tiers ? À l’avenir, il s’agira plus de montrer comment les processus métier sont organisés que d’obtenir une autorisation de façon formelle.
Troisième évolution, le «Privacy-by-design». Chaque entreprise devra dans un premier temps se livrer à un exercice de cartographie des flux de données. L’ensemble des collaborateurs seront impliqués car le concept de protection de la vie privée dès la conception -le «privacy-by-design»- exige que tous les services se penchent sur leurs données et leur traitement. Après avoir identifié l’emplacement et l’utilisation précise des données personnelles, il faudra les protéger correctement. «Avec la nouvelle loi, poursuit Kalliopi Spyridaki, l’idée est d’observer les données sous l’angle de leur confidentialité, du développement produit au client final en passant par la chaîne logistique. Ce qui veut dire, encore, aller davantage dans le détail. SAS est particulièrement bien placé pour aider ses clients à identifier et gérer les flux de données, et donc à se conformer au GDPR.»
Enfin, la priorité au client. Le nouveau règlement fait la part belle à l’individu en plaçant le client au centre de la protection des données personnelles. Par exemple, le droit à la portabilité des données prévoit que lorsque les clients souhaiteront changer de fournisseur de messagerie, ils pourront transférer l’ensemble de leurs données au nouveau prestataire. Les particuliers peuvent déjà demander la suppression de leurs données personnelles mais le GDPR va plus loin en instaurant le fameux «droit à l’oubli». «Au-delà de la conformité, c’est l’attitude des entreprises vis-à-vis de la confidentialité des informations qui constituera le plus gros bouleversement, insiste Kalliopi Spyridaki. Le respect de la vie privée devient de plus en plus une considération commerciale. Il sera bientôt indispensable pour gagner la confiance du client et acquérir un avantage concurrentiel, car les clients accordent énormément d’importance à la confidentialité des données. Ils sont également très attachés à la simplicité et à la transparence des procédures pour faire valoir leurs droits.»
Besoin d’harmonisation
Pour SAS, le GDPR n’est qu’une étape -majeure, certes. D’autres innovations autour des données et du respect de la vie privée suivront. Ce qui donnera inévitablement lieu à d’autres règles pour aider les gens à faire confiance à ces innovations. «La protection et la confidentialité des données amorcent actuellement un tournant, estime encore Michel Philippens. Comparé au secteur plus classique des services financiers, par exemple, le secteur des données est clairement sous-réglementé car il s’agit d’un marché émergent. D’ici quelques années, il s’imposera, lui aussi, comme un marché mature bien réglementé.»
L’Europe est à l’avant-garde de la législation sur le respect de la vie privée, mais d’autres régions du monde ont également atteint un niveau de réglementation comparable. «Il est beaucoup plus facile de transférer des données à des juridictions qui garantissent un niveau de protection adéquat des données. On observe dans les économies émergentes attachées à l’économie des données, notamment en Asie et en Amérique latine, une tendance à vouloir reproduire la nouvelle réglementation GDPR. Par ailleurs, au sein même de l’Union européenne, le GDPR apportera plus de transparence et conduira à l’harmonisation des règles», conclut Kalliopi Spyridaki.
