Un an après, comment le RGPD permet-il de créer de la valeur ?

Entretien avec Florence Bonnet, directrice TNP experte en protection des données.

Avant de parler de création de valeur, ne devrait-on pas d’abord aborder les difficultés rencontrées par les entreprises dans le déploiement du RGPD ?

Florence Bonnet : 60 % des entreprises se disent prêtes par rapport à la mise en œuvre du RGPD.

Le RGPD (Règlement Général sur la Protection des Données) a pour objectif de protéger les personnes des risques liés au traitement de leurs données personnelles. C’est une approche différente de celle de la sécurité du système d’information. Tant dans ses fondements que dans sa mise en œuvre, cette nouvelle réglementation implique un changement de culture.

A ce sujet, rappelons que la direction informatique était jusqu’à présent responsable de la sécurité des données. Avec le RGPD, chaque directeur d’établissement, chaque responsable de “Business Units” doit veiller à son niveau à gérer les risques sur la vie privée liés auxc traitements et à l’application effective des mesures de protection des données personnelles qu’elles soient juridiques ou techniques.

La mise en place d’une gouvernance de la protection des données avec des rôles et des responsabilités clairs, un processus d’escalade et une chaine de validation bien définis ne sont pas toujours évidents en raison non seulement du manque de ressources et de sensibilisation sur le sujet.

La transposition opérationnelle des exigences du RGPD, oblige les organisations à faire évoluer leur système d’information voire à investir dans de nouvelles solutions technologiques afin de s’assurer de leur conformité dans le temps. La suppression des données personnelles tout comme leur anonymisation sont des sujets complexes en pratique.

Pouvez-vous nous expliquer ce que recouvre la notion de “RGPD lineage” ?

F. B. : Le “RGPD lineage” correspond à une cartographie des liens dans le système d’information. Il permet de visualiser le cycle de vie de la donnée personnelle en vue de répondre aux questions suivantes : de quelle source provient la donnée ? qui en est le destinataire ? sous quelle forme est-elle accessible ? ….

La finalité du “RGPD lineage” est de faciliter les processus de protection des données : droits d’accès, droit à l’oubli, portabilité, gestion des durées de conservation…

Pensez-vous que les entreprises puissent retirer des bénéfices de la mise en œuvre du RGPD ?

F. B. : Le RGPD représente d’abord un enjeu en termes de confiance.

Rappelons quelques constats. Plus de 60 % des Français pensent que les entreprises font un usage détourné de leurs données et 38 % les suspectent de les revendre. Les études montrent que la réaction des personnes face à une utilisation détournée de leurs données est beaucoup plus importante que face à une faille de sécurité. Il est intéressant de noter que le manque de transparence, l’absence de consentement et la violation des règles du RGPD font de plus en plus l’objet de dénonciations sur les réseaux sociaux.

Des chercheurs ont démontré que la mise en place de mesures de protection des données permettait de réduire la perception du risque liée à la transmission de ses données personnelles. Cela augmente la confiance des clients et donc la quantité et la qualité des informations qu’ils sont prêts à divulguer.

Ensuite, nous constatons chaque jour avec nos clients qu’un bon niveau de conformité est indéniablement un avantage concurrentiel en B2B. Pouvoir justifier d’une démarche de Privacy by Design” ou de certification, crée un avantage concurrentiel pour les éditeurs de solutions et pour les prestataires de services qui traitent ou qui fournissent des données.

On peut aussi imaginer que si le consommateur est à même de paramétrer ses choix concernant l’utilisation de données personnelles le concernant, il sera d’autant plus attentif à une publicité ciblée a priori plus pertinente.

Il a aussi été démontré que lorsque les entreprises étaient préparées à la gestion des violations de données personnelles, les coûts liés à ces incidents étaient moins élevés.

J’ajoute que le niveau de protection des données est de plus en plus présent parmi les critères d’évaluation des entreprises et de leurs produits et services. Ce mouvement devrait prendre de l’ampleur dans les années à venir et il n’est pas utopique d’imaginer que le niveau de protection des données aura un impact sur la valorisation d’une entreprise.

Quelles sont les prochaines étapes ?

F. B. : Pour garantir leur conformité de manière pérenne, les entreprises devraient s’appuyer sur les technologies, s’engager dans des démarches de certification et adhérer à des codes de bonne conduite tels que prévus par le RGPD.

On voit également apparaitre de nouveaux besoins en dehors de l’Union Européenne dans des organisations soumises pour partie au RGPD mais aussi à d’autres législations de protection des données, avec la volonté de déployer un niveau homogène de protection des données au niveau mondial.

De leur côté, les autorités de régulation pourraient chercher à développer des coopérations entre elles, sur le modèle de la CNIL et de l’autorité de la concurrence en France ou du Financial Conduct Authority (“FCA”) et de l’ICO au Royaume-Uni par exemple.

Enfin, je pense que l’IoT (Internet of Things) associé au big data, à l’IA (Intelligence Artificielle) et à la blockchain représente un énorme enjeu pour nos démocraties, notamment dans le cadre des smart cities.

Pour le Gartner par exemple, l’un des risques les plus importants auxquels les entreprises seront confrontées au cours des prochaines années résiderait dans l’atteinte à la vie privée des personnes due à l’utilisation de blockchains publiques. 

Comment le cabinet TNP accompagne-t-il ses clients dans la mise en œuvre du RGPD ?

F. B. : TNP a une offre RGPD de bout en bout, depuis la phase de diagnostic jusqu’à la mise en œuvre opérationnelle des mesures de conformité et de sécurité.

Cette offre passe, notamment, par l’intégration de la protection des données dès la conception des projets, par défaut et tout au long du cycle de vie (“Privacy by Design”), par un accompagnement dans la transformation des systèmes d’information et dans l’aide au choix et eu déploiement de nouvelles solutions technologiques tant pour la gestion de la conformité que pour la cartographie et la gouvernance des données ou la sécurité.

A ce sujet, pour la 3ème année consécutive, TNP a réalisé un benchmark des outils pour les DPO (Data Protection Officer) et les CDO (Chief Data Officer).

Inscrivez-vous à notre évènement jeudi 23 mai de 18h à 20h.

Auteur: Florence BONNET

Partager cet article :