Comment faire du GDPR et des risques associés une opportunité ?
Présentant la solution GDPR de dFakto au salon parisien Stratégies Client de Paris, qui s’est tenu à la mi-avril, Axel Cleven, Customer Advocate & Digital Strategist, pose un regard critique sur l’état d’avancement des organisations.
A peine trois exposants mentionnant clairement le GDPR, le nouveau règlement européen sur la protection des données, sur les 118 que le salon Stratégie Clients de Paris accueillait récemment. Un signe, de toute évidence. «La conformité de toutes les datas issues de profilage intensif n’était pas encore vraiment d’actualité ! D’ailleurs, lors de la conférence que j’ai donnée sur le GDPR, deux personnes seulement, sur une soixantaine, avaient démarré leur assessment -ou gap analysis. C’est très nettement moins bien que dans la plupart des rencontres auxquelles je participe régulièrement sur le sujet en Belgique et au Luxembourg», observe Axel Cleven, actif auprès de dFakto qui propose la solution de gouvernance et de conformité GDPR 1-2-3.
Une situation d’autant plus regrettable que le salon parisien offre une perspective unique en Europe sur le secteur de la relation client, désormais étendue à l’expérience client sous toutes ses formes, en particulier digitales. Les visiteurs ont pu y découvrir beaucoup de solutions focalisées sur le parcours omnicanal du client sans omettre une pléthore de stands vantant les mérites des chatbots et autre pseudo intelligence artificielle.
Tout et n’importe quoi sur le GDPR
«Heureusement, certaines personnes mettent leur énergie à expliquer ce que le GDPR génère en termes de nouveaux comportements à adopter au regard de la protection des données, poursuit Axel Cleven. J’ai ainsi eu le plaisir de faire la connaissance de l’énergique avocat parisien spécialisé, Robert Haas, qui a également fait une conférence au cours de laquelle il a relevé nombre d’incohérence dans le discours de certains exposants, très mal informés, qui du coup, colportent à tout vent de fausses vérités des plus dommageables. Une participante lui a ainsi demandé ce qu’elle devait faire face au GDPR dès lors qu’elle vend des packs d’adresses e-mail sans aucune forme de consentement. Maître Haas lui a clairement suggéré de changer de business !»
Après avoir connu plusieurs vagues technologiques, mais surtout suivi de très près le bug de l’an 2000 et lancer la portabilité des numéros lorsqu’il travaillait chez Oracle Consulting, Axel Cleven assure que le GDPR, en tant que nouvelle obligation légale, représente une opportunité de marché gigantesque puisque toutes les entreprises -européennes ou non- qui possèdent des données sur des sujets européens, sont visées. De là, une nouvelle ruée vers l’or… et l’exploitation de la crédulité des dirigeants d’entreprise !
Beaucoup de sociétés hors europe, call center oblige
Au salon, toujours, nombre de prestataires de solutions et de services de call center. Paradoxalement, les prestataires localisés hors Europe étaient bien plus sensibilisés aux conséquences que pourra avoir le nouveau règlement sur leur business. En fait, précise Axel Cleven, lorsque les donneurs d’ordre européens (data controllers) réalisent qu’ils sont responsables de l’entièreté du parcours des données, y compris sur l’infrastructure de leur sous-traitants (data processors) étrangers, ils ont l’obligation de vérifier la conformité de ceux-ci ! «Tous ces acteurs ‘nearshore’ de call centers et autres, développement informatique, marketing digital, etc, savent bien qu’ils doivent se mettre aux normes pour garder leurs clients européens. Ils sont, eux, déjà bien plus avertis que leurs donneurs d’ordre !»
Axel Cleven : «Le premier stimulant des entreprises face au GDPR sera le nombre de requêtes, auxquelles elles doivent répondre dans les 30 jours, qu’elles recevront dès le 25 mai prochain et par la suite…»
Alors que le salon se déroulait, l’affaire Cambridge Analytica – Facebook battait son plein. Non seulement, estime Axel Cleven, elle a réveillé les dociles sénateurs américains, les sociétés américaines mais aussi les citoyens européens, Marc Zukergerg ayant déclaré vouloir appliquer à la lettre le GDPR. «A mes yeux, le premier stimulant des entreprises face au GDPR sera le nombre de requêtes, auxquelles elles doivent répondre dans les 30 jours, qu’elles recevront dès le 25 mai prochain et par la suite, le deuxième étant les conséquences d’un data breach mal géré et pour lequel rien n’aurait été anticipé, prévu…» Plus les citoyens européens exerceront leurs nouveaux droits, plus les entreprises s’y conformeront rapidement. Sans compter que les autorités, sans être agressives, souhaitent clairement maintenir la pression et le GDPR en tête des priorités.
Quels sont les risques liés au GDPR ?
«Au contraire des prestataires qui jouent sur la peur des amendes, je ne pense pas que ce soit cela le vrai danger immédiat pour les entreprises. A mon sens, si une organisation est exposée, c’est-à-dire qu’elle possède des données sensibles sur une grande quantité de citoyens et qu’elle est sujette à recevoir régulièrement de nombreuses requêtes de data subject, alors, le premier impact sera de l’ordre de la productivité.» Qui, en effet, est déjà organisé pour traiter des centaines de demandes de data subjects par mois ? Qui a organisé et attribué ces tâches (avec plusieurs itérations potentielles) en interne ? Un DPO va-t-il se contenter d’un fichier Excel, d’e-mails ou d’appels téléphoniques pour gérer le suivi des demandes ? «Imaginez une organisation décentralisée multilingue… Sans une gouvernance en place et un outil approprié, l’impact de ses traitements va sérieusement entamer la productivité des employés pour, au final, impacter négativement les résultats de l’organisation…»
Si cette entreprise ne gère pas les requêtes avec célérité, trois risques vont rapidement s’enchaîner, analyse encore Axel Cleven. Le premier : un buzz négatif qui peut entacher la réputation de l’entreprise -avec un impact financier immédiat, façon Facebook. Ce risque en attire directement deux autres. D’abord, la perte potentielle de certains contrats avec des partenaires soucieux de ne pas être liés à cette notoriété négative. Ensuite, le plus grave, de se retrouver, à l’issue des plaintes, dans le radar des autorités, voire en tête de liste pour un audit et une sanction.
Par ailleurs, entre data controller (fournisseur) et data processor (client), la tension monte. Qui est responsable de quoi ? Avec le GDPR, les data controllers vont de plus en plus remettre leur relation en jeu. Cher fournisseur, êtes-vous conforme oui ou non ? Si ce n’est le cas, la poursuite de la relation sera aussitôt remise en cause.
«J’ajouterais encore un risque supplémentaire pour les organisations qui traînent à se mettre en conformité : le manque crucial de ressources spécialisées ! La demande croissante d’assessment déborde déjà la plupart des acteurs actuellement formés. Et je ne parle même pas de solutions méthodologiques de gouvernance et logicielles pour se mettre en conformité, mais bien de ressources humaines, de DPO. A mon sens, dès à présent, si les organisations se réveillent, il y a déjà un manque de capacité généralisé côté fournisseur…»
A entendre Axel Cleven, la formation à la protection des données, à la sécurité informatique, aux aspects juridiques, à la sensibilisation interne, à l’adoption de bonnes pratiques de gouvernance va nécessiter un effort largement au-delà des capacités existantes.
Le GDPR, un tsunami qui génère une ruée vers l’or
Tout le monde s’y met ! Des bureaux d’avocats, de consulting et de sécurité, de toutes tailles et de tous pays ont compris que derrière le GDPR il y a une immense opportunité de marché. Et chaque ruée vers l’or a toujours généré le meilleur comme le pire.
«Le risque dont je parle ici est de ne plus trouver de ressources professionnelles sur le marché pour mettre et maintenir les organisations en conformité avec le GDPR, qui n’est qu’un début ! Vous voulez un site web bien référencé qui va vous amener des centaines de client par mois, le tout gratuitement ou pour 50 EUR par mois ? Vous connaissez ? Il en va de même pour le GDPR. Vous espérez une mise en conformité pour 50 EUR par mois et être à l’abri des risques ?» Et de poursuivre : «Je reste stupéfait du manque de maturité général. Si vous traitez des données sensibles et si vous ne voulez pas mettre votre entreprise en péril, n’attendez pas une minute de plus !»
Pour les premiers pas, il existe des sites officiels qui permettent déjà de se faire une idée de ce que le GDPR induit pour l’organisation. Ensuite, si nécessaire, faire appel à des professionnels avant qu’ils ne soient submergés par les demandes… Ne nous leurrons pas : la loi de l’offre et de la demande ne manquera pas de faire monter les prix !
Le GDPR, une extraordinaire opportunité !
«Pour finir, à mes yeux, le GDPR constitue une immense opportunité pour les organisations les plus agiles et promptes. En étant conformes les premières, il est évident qu’elles pourront d’une part démontrer à leurs clients -les data subjects- qu’elles les respectent en utilisant leurs données à bon escient avec un consentement explicite et, d’autre part, elles prendront des contrats à leurs concurrents, ne fut-ce que par les appels d’offres publics qui vont de facto inclure la conformité GDPR pour la sélection des fournisseurs.»
Via le GDPR, la Commission européenne induit la mise en oeuvre d’une gouvernance à tout niveau. C’est un immense pas en avant au regard des pratiques abusives qui font le beurre de toutes sortes d’entreprises qui vivent au détriment de la protection des données et du respect de la vie privée.
Et Axel Cleven de conclure : «Il était temps de mettre un peu d’ordre dans le monde de la protection des données privées. Vous ne trouvez pas ?»
