[Tribune]Traitement des données personnelles en 2020 : tendances et opportunités à saisir
Certes, la nécessité de se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD) est actée et aujourd'hui adressée par la plupart des sociétés. Cependant, elle reste un sujet de toutes les attentions en 2020.
Je m'abonneRèglements sur la protection des données personnelles : 2020 l'année des records
Même si le RGPD est entré en vigueur il y a maintenant presque deux ans, de nombreuses organisations luttent encore pour se conformer à cette législation - malgré la perspective d'amendes. D'après une enquête de Capgemini en septembre dernier, moins d'une organisation sur trois s'y conformait pleinement[1]. Jusque-là, les autorités officielles de contrôle du RGPD sont restées relativement bienveillantes envers les entreprises, afin de leur laisser le temps de se mettre en conformité. Mais les audits s'accélèrent et, au vu du nombre de sinistres et de vols autour de la data en 2019, il y a fort à parier que pour certains l'addition va être salée. Ainsi, alors qu'en 2018, seules 19 amendes avaient été infligées, les autorités de contrôle européennes ont déjà sanctionné en 2019 179 contrevenants pour un total de 143.250.090 euros[2]. British Airways, après le piratage de données financières de centaines de milliers de clients en 2018 s'est, par exemple, vu infliger une amende record de 204 millions d'euros par l'organisme britannique de protection des données personnelles (ICO). Le 1er février 2020 c'est l'opérateur télécoms italien TIM qui a dû verser 27 millions d'euros pour traitement illicite de données à caractère personnel dans le cadre d'activités promotionnelles et activation de contrats non sollicités. L'histoire ne fait que commencer!
La protection des données, un sujet global, mais les entreprises sont-elles prêtes?
Autre phénomène avec lequel il faudra composer : celui de l'extension d'une régulation internationale autour de la protection des données personnelles. Les entreprises qui exportent ou disposent de filiales dans le monde sont aujourd'hui impactées par les différentes réglementations qui se mettent en place dans d'autres états. La Californie (avec son CCPA), le Brésil, l'Inde et le Canada se sont récemment dotés de leur propre réglementation afin de protéger les citoyens et de responsabiliser les entreprises qui traitent leurs données personnelles. Si bien que sous peu la quasi-totalité des individus et des entreprises à l'échelle mondiale sera bientôt couverte par au moins une de ces lois. D'ici 2023, les renseignements personnels de 65 % de la population mondiale seront protégés en vertu de réglementations modernes en cette matière, comparativement à 10 % aujourd'hui[3]. Les entreprises vont donc devoir apprendre à jongler entre ces différents environnements législatifs, afin de garantir leur conformité en tout lieu et à tout moment.
Du big data à la minimal data
La compliance avec le RGPD s'accompagne d'un autre défi, qui va s'accentuer en 2020 : la nécessité d'adopter une approche minimaliste de la donnée et de mettre davantage l'accent sur la qualité de la donnée, plutôt que la quantité. En effet, toute information collectée, personnelle ou non, doit faire l'objet d'un traitement. Si une donnée personnelle ne présente pas d'intérêt pour l'activité de l'entreprise, elle ne doit donc pas être conservée. Ce présupposé va forcer les entreprises à limiter la collecte de data pour ne conserver que celles qui ont un réel impact sur sa performance. Cette approche minimaliste de la collecte et du traitement de la donnée va, en parallèle, leur permettre de réduire leur exposition aux risques cyber et aux sanctions de la CNIL. En effet, d''ici 2020, les données personnelles archivées représenteront le plus grand risque pour 70 % des organisations[4]. Reste que les cyber-attaques n'ont fait que mettre en exergue le non respect des réglementations.
Lire aussi : RGPD : quel impact sur la gestion des clients ?
Toutefois, rien n'est inéluctable et une fois ces constats posés, force est de constater que les réglementations en cours auront un impact positif sur l'image des entreprises et leur relation avec leurs clients. Elles permettront de regagner la confiance des consommateurs en leur garantissant un environnement sécurisé et conforme à leurs attentes en matière de respect de leurs données personnelles.
Repenser sa stratégie pour opter pour le privacy by design
À tout moment, une entreprise doit pouvoir prouver la validité de ses consentements dans le cadre de la récupération de données personnelles. Cela signifie qu'elle doit savoir constamment et précisément où ceux-ci sont stockés, mais aussi garantir qu'ils respectent la durée de stockage autorisée. Cela implique pour l'entreprise de disposer d'une vision à 360° de ses données et de mettre en place une gouvernance réactive. En cas de contrôle, elle devra en effet apporter la preuve de sa conformité dans des délais très réduits.
Ce processus nécessite une approche Privacy By Design du parcours client avec, notamment, la mise en place d'un " profiling " progressif. Ainsi, plutôt que de collecter en une seule fois toutes les informations d'un client, ce dernier aura la possibilité de fournir à l'entreprise uniquement les données utiles au traitement de sa demande à un instant " T " de son parcours.
Les plates-formes CIAM (Customer Identity Access Management), permettent de piloter efficacement la collecte et le traitement des données. Axées dès leur conception sur la confidentialité et la conformité au RGPD, ainsi qu'aux autres législations internationales, elles satisfont à toutes les exigences réglementaires essentielles touchant au respect de la vie privée. Elles sont capables d'apporter rapidement la preuve de validité des consentements, leur origine comme la chronologie de chaque modification apportée par le client. Ces plates-formes garantissent également un usage transparent des données, puisque les clients ont accès à un centre de préférences de consentement pour agir sur leur confidentialité.
La confiance est la nouvelle valeur pivot
Ainsi, en redonnant aux consommateurs un contrôle direct et une vision transparente sur leurs données personnelles, les plates-formes CIAM permettent aux marques de renforcer la confiance et la satisfaction, de réduire les risques de violation de la réglementation et de garantir une utilisation sûre des informations d'identification client.
En faisant preuve de transparence et de fluidité à chaque étape, l'entreprise gagne la confiance de l'utilisateur et lui donne envie de partager plus de données avec elle. Enfin, la marque peut également mettre en place un système de gratification (réduction, participation à des événements privés...) activable chaque fois qu'un client consent à lui livrer une donnée sur lui.
Lire aussi : La data, atout ou menace pour le retail ?
Data : moins de données pour moins de risque
L'un des aspects fondamentaux du RGPD est le concept de minimisation des données. Les entreprises ne doivent pas détenir plus de données que ce dont elles ont besoin pour effectuer une tâche spécifique. Il est temps que les entreprises changent d'approche en privilégiant les first-party et zero-party data, dont la source est vérifiable et qui offrent de meilleures performances. L'IAM permet d'avoir un contrôle centralisé sur l'accès aux informations des employés, clients et partenaires. Il peut être utilisé pour déterminer la durée de l'accès, mais aussi le temps durant lequel seront conservées ces informations. Cela permet la suppression opportune et défendable des informations relatives aux comptes d'utilisateurs. Le CIAM contribuera à réduire ce risque de cybersécurité tout en respectant les exigences de minimisation des données.
[1] source : https://www.capgemini.com/fr-fr/news/rapport-sur-la-rgpd/
[2] source : EY - 2019, l'année des premières amendes RGPD à sept chiffres
[3] source : Gartner - Predicts 2020: Barriers Fall as Technology Adoption Grows
[4] source : Gartner : The State of Privacy and Personal Data Protection, 2019-2020 - Publié le 15 avril 2019 - ID G00376084