Survey-Magazine : Pensez-vous que la plupart des entreprises européennes sont en conformité avec le RGPD ?
Rob Perry : Peu d'entreprises peuvent prétendre être « entièrement conformes » ou même seulement être sûres de ce que cela signifie. Il ne suffit pas de cocher une liste de critères attestant que les règles sont respectées. Il s'agit d'être en conformité avec l'esprit du RGPD pour protéger les droits de la personne. La plupart des entreprises auxquelles nous avons affaire tentent de faire de leur mieux pour être en conformité. Cependant, il ne s'agit pas simplement de prendre une mesure à un instant donné, mais de susciter un véritable changement des mentalités et des processus.
La conformité est compliquée par l'augmentation du volume et la variété des données d'entreprise, ainsi que par l'extension de la chaîne d'approvisionnement des informations par laquelle transitent les échanges avec un nombre croissant de fournisseurs, de clients et de partenaires. Au fur et à mesure que le réseau devient plus complexe, il devient plus difficile de retrouver les données personnelles. Et les procédés d'entreprise étendus gérant des volumes toujours plus importants de données font tout sauf faciliter les choses.
Les données identifient les personnes de nombreuses façons, dont certaines ne vont pas forcément de soi. Il ne s'agit pas seulement des noms, des numéros d'identification et des ID d'utilisateurs. Les cookies et les adresses IP peuvent par exemple servir, eux aussi, à déduire l'identité des personnes et doivent donc être gérés en toute confidentialité.
Identifier les données personnelles exige une base de connaissances d'entreprise dédiée aux données, employant des fonctionnalités de reconnaissance de motifs, de marquage et de lignage pour assurer l'identification de toutes les données à caractère personnel et retracer l'origine et l'utilisation de l'ensemble des données à l'intérieur et à l'extérieur de l'entreprise.
Si l'on ajoute à cela la nécessité de signaler rapidement les violations de données, ce qui exige de savoir quelles données sont concernées, on comprend mieux que tant d'entreprises doivent fournir des efforts pour atteindre une conformité totale ; et que celles qui ne disposent pas d'une base de connaissances dédiée à l'analyse des données sont celles qui peinent le plus à se mettre en conformité.
Quelles pratiques exemplaires ou recommandations pouvez-vous partager avec les spécialistes des données marketing pour la gouvernance et la gestion de données ?
Faire de la conformité au RGPD une partie intégrante de la culture d'entreprise est un enjeu commercial qui concerne tout le monde. Si la responsabilité principale de la conformité incombe, certes, au délégué à la protection des données (DPO), tout un chacun doit néanmoins s'engager en faveur de la protection des données personnelles.
Il faut appréhender le RGPD comme une opportunité. C'est une occasion unique de transformer la relation entre votre entreprise et vos clients. Démontrer et communiquer votre démarche de protection des données à caractère personnel peut renforcer les relations avec la clientèle. Aucune entreprise ne souhaite avoir la réputation de ne pas protéger les données de ses clients.
Définissez les connaissances de base concernant les données personnelles actuellement gérées et supprimez les données redondantes et obsolètes. Cela peut paraître surprenant, mais les grandes entreprises n'ont souvent qu'une vague idée des données à caractère personnel qu'elles possèdent déjà et sont susceptibles d'avoir des corpus de données qui ne sont plus utilisés ou qui sont inutilisables dans le cadre du RGPD faute d'intérêt légitime ou de base légale. Un processus de recherche de toutes les données personnelles et de détermination des bases légales d'utilisation est essentiel. Pour la plupart des entreprises, une analyse automatisée des données est capitale pour élaborer et entretenir une telle base de connaissances.
Le recours au RGPD a pour objet de transformer les technologies et processus de gestion des données. Parallèlement à l'élaboration d'un cadre de conformité RGPD, il est possible de mettre en œuvre des pratiques exemplaires de gestion de données qui contribueront à terme à la transformation requise pour rester compétitif dans l'économie de l'information actuelle.
Établissez une gestion centralisée et automatisée des données à
caractère personnel. Un emplacement unique pour suivre la totalité des
utilisations et des activités de gouvernance des données personnelles
est essentiel. Cette exigence de « compréhension des données » inclut :
- un inventaire des données – les données dont vous ignorez
l'existence sont une faille potentielle. L'expansion rapide des données
rend l'automatisation indispensable ;
- des fonctionnalités de recherche et de marquage permettant
d'identifier et de localiser les données privées à la demande ;
- une catégorisation des données en fonction des processus métier
des groupes d'utilisateurs et de la sensibilité associés ;
- la traçabilité des données, afin de comprendre rapidement comment
les données sont déplacées et transformées. Un suivi de bout en bout est
capital pour gérer la confidentialité tout au long du cycle de vie des
données.
Enfin, il convient de réduire au minimum le recours aux données personnelles. Une base de connaissances dédiée à l'analyse des données peut faire le lien entre différents corpus et fournir une source unique pour les données à caractère personnel, afin de limiter leur multiplication au sein de l'entreprise. Moins vous possédez de données personnelles, moins vous risquez la non-conformité. Vous réduisez non seulement le risque de violation du RGPD, mais aussi les coûts de stockage et de traitement des données.
Le RGPD est une occasion unique de transformer la relation entre votre entreprise et vos clients
Pourriez-vous expliquer le concept de « Privacy by design » ?
L'approche « Privacy by Design » consiste à assurer la confidentialité des données tout le long du cycle de vie d'une application, de sa conception à son retrait. C'est une exigence explicite du RGPD. Les lacunes dans le flux des données ou dans le cycle de vie des données engendrent des risques de défaut de conformité et doivent être comblées.
Grâce à l'approche « Privacy by Design », la protection des données n'est plus réactive mais proactive : au lieu de confiner les données personnelles et de gérer les failles, vous mettez en œuvre des stratégies, des mesures et des technologies visant à les éviter. La confidentialité doit être assurée par défaut. L'usage de données à caractère personnel doit faire l'objet d'une demande d'autorisation. Les individus ne doivent pas demander la confidentialité, mais éventuellement y renoncer.
Le respect de la vie privée doit être intégré aux systèmes dès leur conception. Cet aspect ne peut pas être « remis à plus tard ». Dans de nombreux cas, des études d'impact sur la vie privée (EIVP) sont requises pour s'assurer que les procédés mis en place procurent une protection appropriée des données personnelles. Les autorités de surveillance peuvent d'ailleurs demander à consulter les EIVP.