Attention, le GDPR n'est pas uniquement une problématique de données "personnelles"
Le General Data Protection Regulation (GDPR), nouveau règlement européen en matière de protection des données à caractère personnel (DCP) entrera en vigueur fin mai 2018. Il sera applicable à toutes les entreprises collectant, stockant, et traitant ce type de données. Cependant, à tout juste 12 mois de sa mise en application, les dernières études viennent abonder le constat suivant : non seulement la majorité des entreprises en France ne sont pas encore prêtes, mais surtout elles n’ont pas encore entamé les démarches nécessaires. Malgré le poids des sanctions (jusqu’à 4% du CA mondial), la mise en conformité est perçue comme un frein à l’exploitation des données, eldorado de la nouvelle économie.
Le GDPR, frein à l'exploitation des données ? Ce règlement devrait au contraire être perçu comme une opportunité décisive de remettre de l’ordre dans les processus internes de traitement de l’information. L’écueil caractéristique pour les entreprises serait de considérer GDPR uniquement sous l’angle des données à caractère personnel. En effet, le volume croissant de données (doublement tous les 18 mois), l’amélioration des capacités d’analyse, de traitement et de croisement transforment toute donnée en potentiel donnée à caractère personnel (DCP). Dès lors, pourquoi se limiter au seul cas des DCP lorsque les conditions sont réunies pour traiter l’ensemble des données transitant par l'informatique de l’entreprise ?
Repenser sa politique de gestion des données
Pour réussir ce pari, il est déterminant pour les entreprises de ne pas se contenter d’une simple mise en conformité statique et d’un audit réglementaire, mais d’inclure GDPR de manière pérenne dans sa politique de gestion des données. La réglementation devient alors une opportunité pour créer de la valeur à partir des données, agissant comme un effet d’aubaine pour les entreprises. Les modèles d’affaires s’appuie en effet de plus en plus sur la capacité des entreprises à collecter des données de qualité et à les exploiter. Elles forment alors un actif stratégique. Mais seules les entreprises dotées d’une gouvernance propre à la donnée y réussissent. Selon Le Gartner, 90% des entreprises prévoient de mettre en place un Chief Data Officer d’ici 2019.
L’enjeu crucial de GDPR repose donc sur une vision partagée de la donnée qui mêle à la fois capacité de protection, mais également d’identification des moyens de valoriser cette “matière première”. En adoptant une culture data, l’entreprise n’est plus dans une position attentiste, mais dans une vision dynamique qui organise, contrôle la donnée de manière régulière.
mobilisation transversale
Le succès de cette démarche reposera sur la mobilisation des directions IT, mais aussi celle des métiers, garants des données et de leur exploitation. Par exemple, la cartographie des traitements des DCP, préalable à l’établissement des registres sur le principe d’accountability (l’entreprise doit pouvoir à tout moment apporter la preuve du respect de ses obligations au règlement), nécessitera un travail conjoint avec les services et les entités qui traitent des DCP. Le nouveau Règlement impose la mise en place d’un DPO (Data Protection Officer), nous pensons qu’il doit s’installer dans une démarche agile et coordonnée avec une politique de données portées par le COMEX, seul moyen pour transformer la conformité en levier de valeur.
Quelques entreprises pionnières ont ainsi déjà commencé à mettre en oeuvre ces chantiers : établir la liste des traitements par finalité principale, les types de données traitées et leur durée de conservation, identifier les sous-traitants impliqués à chaque étape, vers qui et où sont transmises puis stockées les données.
instaurer une chaine de confiance
Ce changement de paradigme devra s’appuyer sur une acculturation de l’entreprise autour de la data. Le basculement vers l’intangible des modèles d’affaires (exemple de valorisation boursière de deux modèles de location de véhicule : l’un, Hertz,possédant sa propre flotte de véhicules valorisé à 7 Mds de dollars, l’autre Uber servant de plateforme d’intermédiation et valorisé à 60 Mds de dollars) rendra de plus en plus prégnant le souci de conformité des données de la part des autorités de régulation, que ce soit la CNIL ou des autorités de la concurrence.
L’effort engagé va donc bien au delà d’un énième projet de mise en conformité réglementaire : les dirigeants doivent traiter cette démarche comme un investissement, qui instaure une chaîne de confiance liant l’ensemble des parties prenantes, des clients finaux aux sous-traitants (prestataires de service tout XaaS confondus, plateformes de gestions des données et autres hébergeurs) en passant par l’ensemble des collaborateurs et services de l’entreprise.
Les bénéfices à la clé : une gestion plus transparente et efficace de la donnée collectée puis éventuellement restituée, une meilleure gestion de la connaissance et de la relation client qui se veut différenciante aujourd’hui quelque soit le secteur d’activité.
Julien Mendoza, Consultant chez Devoteam Management Consulting et professeur d’économie numérique et Alexandre Henon senior Consultant en Transformation Digitale chez Devoteam Management Consulting
Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.
3Commentaires
Réagir
