Des obligations pour l’entreprise, des droits pour les individus
Le RGPD, ou Règlement Général sur la Protection des Données, est un règlement européen qui entrera en vigueur le 25 mai prochain. Prenant en compte l'évolution des technologiques et des usages depuis plus de 20 ans, il remplacera un cadre juridique obsolète.
Ce règlement impose tout d’abord des obligations pour les entreprises. Les principales : assurer un haut niveau de sécurité et de confidentialité des données, tenir à jour un registre des traitements qui les exploitent, mener régulièrement des analyses d’impact, notifier dans les trois jours toute violation des données personnelles, ou encore, obtenir le consentement de l'utilisateur.
Parallèlement ou en corolaire, le RGPD offre de nouveaux droits aux individus : droit à obtenir une information claire et exhaustive sur les données personnelles détenues par l'entreprise et la façon dont elles sont exploitées (avec des mesures particulières pour les mineurs), droit à la portabilité de ces données (d'une entreprise vers une autre), droit à l'oubli, réparation en cas de préjudice.
Un chantier obligatoire et à forte valeur ajoutée
De prime abord, un projet RGPD ressemble fort à une contrainte supplémentaire qui représente une importante charge de travail. L'entreprise doit cartographier les données personnelles détenues par elle-même et ses sous-traitants, ainsi que les traitements qui les exploitent. Et cela, pour chaque utilisateur et système d’information (CRM, RH, système comptable...). Elle doit ensuite réaliser une analyse d'impact et de risques selon le type de données, afin d'identifier les plus sensibles et celles qui pourraient être exploitées illégalement par l'entreprise ou qui risqueraient d'être piratées.
Ce travail de cartographie peut être effectué a priori, ce qui consiste à mettre à jour en continu un référentiel chapeautant les différents systèmes d’information. A défaut, des outils de scan permettent de construire a posteriori ce référentiel ou de fournir une photographie à l’instant t.
L’occasion de mieux valoriser les données personnelles...
Au-delà de l'obligation légale, ce travail est l'occasion d'en tirer profit. Car si l'entreprise a collecté et accumulé des données personnelles, c'était bien dans une optique business, par exemple pour chercher à améliorer la qualité de la relation client, augmenter le panier moyen ou à délivrer de nouveaux services. Le travail de cartographie est ainsi l'occasion d'identifier les données et traitements que l'on pourrait mieux valoriser, et d’imaginer les données que l'on pourrait à l'avenir collecter, ainsi que les traitements susceptibles de les exploiter dans le respect de la réglementation. Il s’agira typiquement d'optimiser le parcours client ou de proposer des services innovants, souvent synonymes de nouveaux business modèles.
… et de communiquer avec les clients pour instaurer la confiance
La mise en œuvre du consentement représente également une opportunité. Elle est en effet l'occasion de communiquer avec l'utilisateur du service, l’acheteur du produit ou l’adhérent, afin de l’informer sur la façon dont ses données sont utilisées. On lui précisera également qu’un soin particulier est pris pour sécuriser ses données, donc pour préserver sa vie privée. Par les interactions qu’elle déclenchera, cette démarche de communication sera l'occasion d'initier de nouveaux parcours clients, de reprendre contact avec des clients dormants et surtout d’instaurer la confiance, donc d'améliorer l'image de l'entreprise.
Au-delà du chantier initial, la mise en conformité avec le RGPD prendra la forme d’une démarche continue. Il est donc d'autant plus pertinent de la coupler dès le départ avec l'amélioration des processus de collecte et d’exploitation des données mis en place dans une optique business. Et de fait, les futurs projets seront d'emblée pensés dans le cadre du RGPD.
Le RGPD, ou Règlement Général sur la Protection des Données, est un règlement européen qui entrera en vigueur le 25 mai prochain. Prenant en compte l'évolution des technologiques et des usages depuis plus de 20 ans, il remplacera un cadre juridique obsolète.
Ce règlement impose tout d’abord des obligations pour les entreprises. Les principales : assurer un haut niveau de sécurité et de confidentialité des données, tenir à jour un registre des traitements qui les exploitent, mener régulièrement des analyses d’impact, notifier dans les trois jours toute violation des données personnelles, ou encore, obtenir le consentement de l'utilisateur.
Parallèlement ou en corolaire, le RGPD offre de nouveaux droits aux individus : droit à obtenir une information claire et exhaustive sur les données personnelles détenues par l'entreprise et la façon dont elles sont exploitées (avec des mesures particulières pour les mineurs), droit à la portabilité de ces données (d'une entreprise vers une autre), droit à l'oubli, réparation en cas de préjudice.
Un chantier obligatoire et à forte valeur ajoutée
De prime abord, un projet RGPD ressemble fort à une contrainte supplémentaire qui représente une importante charge de travail. L'entreprise doit cartographier les données personnelles détenues par elle-même et ses sous-traitants, ainsi que les traitements qui les exploitent. Et cela, pour chaque utilisateur et système d’information (CRM, RH, système comptable...). Elle doit ensuite réaliser une analyse d'impact et de risques selon le type de données, afin d'identifier les plus sensibles et celles qui pourraient être exploitées illégalement par l'entreprise ou qui risqueraient d'être piratées.
Ce travail de cartographie peut être effectué a priori, ce qui consiste à mettre à jour en continu un référentiel chapeautant les différents systèmes d’information. A défaut, des outils de scan permettent de construire a posteriori ce référentiel ou de fournir une photographie à l’instant t.
L’occasion de mieux valoriser les données personnelles...
Au-delà de l'obligation légale, ce travail est l'occasion d'en tirer profit. Car si l'entreprise a collecté et accumulé des données personnelles, c'était bien dans une optique business, par exemple pour chercher à améliorer la qualité de la relation client, augmenter le panier moyen ou à délivrer de nouveaux services. Le travail de cartographie est ainsi l'occasion d'identifier les données et traitements que l'on pourrait mieux valoriser, et d’imaginer les données que l'on pourrait à l'avenir collecter, ainsi que les traitements susceptibles de les exploiter dans le respect de la réglementation. Il s’agira typiquement d'optimiser le parcours client ou de proposer des services innovants, souvent synonymes de nouveaux business modèles.
… et de communiquer avec les clients pour instaurer la confiance
La mise en œuvre du consentement représente également une opportunité. Elle est en effet l'occasion de communiquer avec l'utilisateur du service, l’acheteur du produit ou l’adhérent, afin de l’informer sur la façon dont ses données sont utilisées. On lui précisera également qu’un soin particulier est pris pour sécuriser ses données, donc pour préserver sa vie privée. Par les interactions qu’elle déclenchera, cette démarche de communication sera l'occasion d'initier de nouveaux parcours clients, de reprendre contact avec des clients dormants et surtout d’instaurer la confiance, donc d'améliorer l'image de l'entreprise.
Au-delà du chantier initial, la mise en conformité avec le RGPD prendra la forme d’une démarche continue. Il est donc d'autant plus pertinent de la coupler dès le départ avec l'amélioration des processus de collecte et d’exploitation des données mis en place dans une optique business. Et de fait, les futurs projets seront d'emblée pensés dans le cadre du RGPD.