Attention, le GDPR n'est pas uniquement une problématique de données "personnelles"

Le GDPR, frein à l'exploitation des données ? Ce règlement devrait au contraire être perçu comme une opportunité décisive de remettre de l’ordre dans les processus internes de traitement de l’information. L’écueil caractéristique pour les entreprises serait de considérer GDPR uniquement sous l’angle des données à caractère personnel. En effet, le volume croissant de données (doublement tous les 18 mois), l’amélioration des capacités d’analyse, de traitement et de croisement transforment toute donnée en potentiel donnée à caractère personnel (DCP).  Dès lors, pourquoi se limiter au seul cas des DCP lorsque les conditions sont réunies pour traiter l’ensemble des données transitant par l'informatique de l’entreprise ?

Repenser sa politique de gestion des données

Pour réussir ce pari, il est déterminant pour les entreprises de ne pas se contenter d’une simple mise en conformité statique et d’un audit réglementaire, mais d’inclure GDPR de manière pérenne dans sa politique de gestion des données. La réglementation devient alors une opportunité pour créer de la valeur à partir des données, agissant comme un effet d’aubaine pour les entreprises. Les modèles d’affaires s’appuie en effet de plus en plus sur la capacité des entreprises à collecter des données de qualité et à les exploiter. Elles forment alors un actif stratégique. Mais seules les entreprises dotées d’une gouvernance propre à la donnée y réussissent. Selon Le Gartner, 90% des entreprises prévoient de mettre en place un Chief Data Officer d’ici 2019.

L’enjeu crucial de GDPR repose donc sur une vision partagée de la donnée qui mêle à la fois capacité de protection, mais également d’identification des moyens de valoriser cette “matière première”. En adoptant une culture data, l’entreprise n’est plus dans une position attentiste, mais dans une vision dynamique qui organise, contrôle la donnée de manière régulière.

mobilisation transversale

Le succès de cette démarche reposera sur la mobilisation des directions IT, mais aussi celle des métiers, garants des données et de leur exploitation. Par exemple, la cartographie des traitements des DCP, préalable à l’établissement des registres sur le principe d’accountability (l’entreprise doit pouvoir à tout moment apporter la preuve du respect de ses obligations au règlement), nécessitera un travail conjoint avec les services et les entités qui traitent des DCP. Le nouveau Règlement impose la mise en place d’un DPO (Data Protection Officer), nous pensons qu’il doit s’installer dans une démarche agile et coordonnée avec une politique de données portées par le COMEX, seul moyen pour transformer la conformité en levier de valeur.

Quelques entreprises pionnières ont ainsi déjà commencé à mettre en oeuvre ces chantiers : établir la liste des traitements par finalité principale, les types de données traitées et leur durée de conservation, identifier les sous-traitants impliqués à chaque étape, vers qui et où sont transmises puis stockées les données.

instaurer une chaine de confiance

Ce changement de paradigme devra s’appuyer sur une acculturation de l’entreprise autour de la data. Le basculement vers l’intangible des modèles d’affaires (exemple de valorisation boursière de deux modèles de location de véhicule : l’un, Hertz,possédant sa propre flotte de véhicules valorisé à 7 Mds de dollars, l’autre Uber servant de plateforme d’intermédiation et valorisé à 60 Mds de dollars) rendra de plus en plus prégnant le souci de conformité des données de la part des autorités de régulation, que ce soit la CNIL ou des autorités de la concurrence.

L’effort engagé va donc bien au delà d’un énième projet de mise en conformité réglementaire : les dirigeants doivent traiter cette démarche comme un investissement, qui instaure une chaîne de confiance liant l’ensemble des parties prenantes, des clients finaux aux sous-traitants (prestataires de service tout XaaS confondus, plateformes de gestions des données et autres hébergeurs) en passant par l’ensemble des collaborateurs et services de l’entreprise.

Les bénéfices à la clé : une gestion plus transparente et efficace de la donnée collectée puis éventuellement restituée, une meilleure gestion de la connaissance et de la relation client qui se veut différenciante aujourd’hui quelque soit le secteur d’activité.

Julien Mendoza, Consultant chez Devoteam Management Consulting et professeur d’économie numérique et Alexandre Henon senior Consultant en Transformation Digitale chez Devoteam Management Consulting

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.