La question mérite d’être posée car l’échéance approche et crée une certaine effervescence mais peu de personnes ont une vision claire de ce qu’est le Règlement (européen) Général pour la Protection des Données personnelles, et par conséquent s’il représente une contrainte ou au contraire une opportunité.
Tout d’abord, il faut définir le point de vue dans lequel l’on se place : en tant qu’individu ou en tant qu’entreprise !
En tant qu’individu, le règlement a pour objectif de mieux protéger nos données personnelles qui sont de plus en plus stockées, partagées… et pas toujours de manière maitrisée comme en témoigne l’actualité de Facebook.
La loi informatique et liberté avait préalablement fixé un cadre, mais il était d’une part franco-français et d’autre part, les amendes étant peu dissuasives, les entreprises prenaient beaucoup (trop) de libertés.
Le RGPD confirme les dispositifs français existants (droit de modification, d’information, consentement …) et en renforce certains comme le consentement qui doit désormais faire référence à une demande compréhensible et dont la finalité est précisée. Nous avons tous reçu des mails commerciaux ou newsletters que nous ne n’avons jamais demandé, voire même pour lesquels nous ne sommes déjà désabonnés. Le RGDP va permettre d’éliminer ces sollicitations peu vertueuses. A titre personnel, nous nous réjouissons que le RGPD définissent de bien meilleures pratiques et garde-fous, et étendu au niveau européen.
Pour les entreprises, la situation est bien différente si on se réfère aux études réalisées, car ce règlement est peu connu ou du moins mal maitrisé. Par exemple, 50% des entreprises ignorent les problématiques induites par la mise en conformité et 36% des entreprises pensent que l’impact IT va être considérable. Pourquoi ? Parce que les entreprises maitrisent mal le RGPD et ses implications, et surtout qu’elles ne savent comment aborder les chantiers à mener ! A leur décharge, le document officiel n’est pas une prose que l’on lit aisément !
Le sujet est d’autant plus subtil pour ne pas dire complexe, qu’il n’est ni uniquement technique, ni uniquement juridique mais un savant mélange des deux.
Ne traiter la mise en conformité que sur l’un des deux sujets est une erreur trop souvent commise ! Cependant, en se faisant accompagner, la mise en conformité n’est pas si complexe et peut même être une opportunité intéressante.
Quelle opportunité me direz-vous ? Premièrement, le fait que le RGPD fixe une règle commune au niveau européen facilite grandement la gestion pour les entreprises travaillant au-delà de nos frontières.
Par ailleurs, pour les processus existants, le fait de les lister et de les analyser permet aussi d’identifier des rationalisations possibles, voire même y inclure une approche plus globale visant à valoriser les données à leur juste valeur.
En effet, la valorisation des données est actuellement difficile, car les processus de collecte ne sont pas suffisamment normés pour permettre d’inscrire au bilan des sociétés le vrai capital dont elle dispose. Notons par exemple le rachat par la FNAC en 2013 de la base de données contenant les coordonnées des 1,6 million de détenteurs de la carte de fidélité des magasins Virgin Megastore, placés en liquidation judiciaire, pour 54000 € ! Autant dire que la FNAC a fait une bonne opération. La mise en conformité est donc l’occasion de mettre en place des processus qui auraient dû l’être bien avant.
L’obligation d’inclure dès la phase de conception d’un processus l’impact sur la gestion des données personnelles (privacy by design) est aussi une approche saine … plutôt que d d’essayer de trouver des solutions palliatives à posteriori. Le fait d’avoir des pratiques marketing et commerciales plus vertueuses pourra aussi être finalement valorisé auprès de ses clients.
Cependant, ne négligeons pas que pour certaines entreprises, la mise en conformité ne sera pas aisée et qu’elle peut même obliger à repenser certaines stratégies commerciales et marketing ! D’un point de vue technique, certains processus comme la suppression des données ne sera pas toujours aussi aisée, notamment dans les sauvegardes.
Alors, en bon normand, je dirais que le verre n’est ni à moitié plein, ni à moitié vide …mais étant d’un naturel positif – qualité que nous partageons avec l’équipe EcoRéseau – le RGPD reste une opportunité d’assainir certaines pratiques !
Cédric Ternois Président de Jalix
Source EcoRéseau Business