[DOSSIER] Révolution de la data : collecter la donnée 4/8

RGPD : la donnée à l’âge de raison

RGPD : la donnée à l’âge de raison

Appliqué dans l’Union européenne depuis le 25 mai 2018, le RGPD engage l’économie de la donnée sur la voie de la maturité.

Le scandale Facebook-Cambridge Analytica est venu à point nommé pour le Règlement général sur la protection des données personnelles (RGPD). Face au tollé déclenché par les révélations sur le siphonnage des données personnelles de 50 millions d’utilisateurs de Facebook par Cambridge Analytica, pester contre le RGPD devenait intenable. La grogne était pourtant montée les semaines précédant l’entrée en application du règlement européen, le 25 mai 2018, particulièrement parmi les PME. Lors d’une rencontre Inria Alumni, le 14 mars 2018, le titre de l’intervention de François Bancilhon, de Side Trade, s’intitulait ainsi « Le RGPD m’a tuer ». L’ancien patron de la start-up C-Radar (ex-Data Publica) pestait contre le fait qu’une PME comme Side Trade tombe sous le coup du RGPD alors qu’elle officie dans le B to B « juste parce qu’elle possède des données personnelles de ses salariés et les noms, titres et adresses électroniques de ses contacts clients ».

Du risque du citoyen au risque d’entreprise

Les entreprises peuvent être impressionnées par ce que Martial Mercier, le directeur général du consultant et éditeur DPMS, estime être « la grande nouveauté apportée par le texte : l’accountability, ou responsabilité ». Selon l’Association pour le management des risques et des assurances de l’entreprise (Amrae), « en confiant à chaque organisation détentrice de données à caractère personnel, la responsabilité de ”sécuriser” celles-ci […], l’Union européenne fait du risque du citoyen un risque d’entreprise ». Ce risque n’est pas à prendre à la légère : le RGPD prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Les entreprises qui ne prenaient pas bien en compte la protection de la vie privée, y compris en termes de cybersécurité, n’ont désormais plus le choix. « La vérité sur le RGPD, c’est aussi la prise de conscience par nombre d’entreprises d’obligations antérieures au RGPD », résume Mounir Mahjoubi, le secrétaire d’État au Numérique.

Sur le fond, ce règlement est très proche de la législation française. « Le RGPD est aligné sur la doctrine de la Cnil [Commission nationale de l’informatique et des libertés, ndlr], qu’il étend à l’Europe », résume un observateur. Une doctrine parmi les plus strictes du Vieux Continent, prônée par l’emblématique et controversée ancienne présidente de la Cnil, ­Isabelle ­Falque-­Pierrotin. Intervenant lors d’un débat du Syntec Numérique, le 13 mars 2018, celle-ci avait lancé : « Est-ce que la protection de la vie privée est une chose du passé ? » Pour comprendre cette question rhétorique et un brin revancharde, il faut se rappeler les déclarations il y a huit ans des patrons de Facebook et Google : le premier assénait que la norme sociale en la matière avait évolué, le second suggérait que ceux qui s’inquiétaient avaient des choses à se reprocher. La pression était intense pour céder du terrain sur la vie privée. L’Europe a réaffirmé avec force qu’il faut la protéger. Pour tous ses citoyens, où que leurs données soient traitées.

Une nécessaire régulation

Qualifiant le texte d’« historique », Gilles Babinet, le digital champion de la France auprès de la Commission européenne, y voit « l’émergence d’une forme de maturité des politiques sur la data ». L’affaire Facebook-Cambridge Analytica illustre la nécessité d’une régulation forte. D’abord en démontrant l’usage de nos données personnelles à l’heure des algorithmes de machine learning : le risque n’est pas juste de recevoir des publicités, mais d’aider à la manipulation d’élections. En révélant que Facebook a permis d’aspirer les données d’un utilisateur et de ses contacts, ce scandale souligne la logique d’une entreprise qui ne vit que par la collecte et la circulation de données personnelles pour la publicité et le marketing. En accusant Facebook d’aspirer l’historique d’appels et de SMS des téléphones sous Android à l’insu des utilisateurs, le média Ars Technica rappelle que nos données personnelles engagent nos familles, amis et collègues.

« Le cas de Facebook illustre le résultat du croisement de la quantité exorbitante de données accumulée par cet acteur et de la promesse du big data selon laquelle les données sont une mine d’or. Que les données circulent à l’insu des usagers, c’est la sanction », analyse Jacques-François Marchandise, le délégué général de la Fing, un think tank sur le numérique. Couplées aux fuites massives de données, de Yahoo à Uber en passant par le site de rencontres extraconjugales Ashley Madison, ces pratiques abusives entament la confiance indispensable à l’économie de la donnée. Même les publicitaires en conviennent. En première ligne face au RGPD, certains y voient d’ailleurs un facteur d’amélioration du ciblage des individus. Plusieurs start-up françaises misent déjà sur le privacy by design, à l’image de Qwant, moteur de recherche sans pistage, de Snips, qui mise sur la reconnaissance vocale embarquée, et de Cozy Cloud, un service cloud axé sur la protection des données personnelles.

Accélérer sa transformation numérique

Embrasser les pratiques prônées par le RGPD peut aussi être l’occasion pour les grandes entreprises d’accélérer leur transition numérique en accédant aux données de leurs clients sur la base d’une relation de confiance. Ce sur quoi mise AccorHotels, explique Fabrice Otaño, son chief data officer. Face à la concurrence de plates-formes comme Booking et Expedia, « l’enjeu est d’offrir une expérience inoubliable au client ». Ce qui passe par la récolte d’un maximum de données personnelles pour pouvoir la personnaliser. « Il nous faut pour cela établir une relation de confiance avec nos clients. On ne peut pas se contenter de leur dire : ”Donnez-nous vos données et vous allez avoir une expérience fantastique”, insiste Fabrice Otaño. Nous devons leur prouver que leurs données seront protégées et nous devons expliciter ce que nous allons en faire, en toute transparence. Cette confiance est au cœur de notre stratégie big data. Et cela devient un avantage comparatif durable par rapport aux disrupteurs sur internet. »

Plus largement, en imposant une cartographie et une gouvernance des données personnelles tout comme la capacité à y accéder à la demande, le RGPD pousse les entreprises à s’organiser, y compris en termes d’architecture du système d’information, autour de cette donnée présentée comme le pétrole du xxie siècle. Emmanuelle Payan, la chief data officer de la Société générale a expliqué, lors du débat du Syntec Numérique, que le chantier de la mise en conformité, démarré en 2016 dans la banque, « a été une formidable occasion d’accélérer l’acculturation des collaborateurs à ce qu’est la donnée : ce que sont les différents types de données, comment on les valorise, comment on recueille le consentement des clients… » Autant de questions qu’un bon nombre de PME se posent sans doute pour la première fois. En poussant les entreprises vers plus de maturité en matière de données tout en mettant le respect de la vie privée au centre du jeu, le RGPD a fait entrer la donnée dans l’âge de raison.

« Le RGPD donne la recette pour générer de la valeur avec les data »


Comment analysez-vous l’arrivée du RGPD ?

Cela traduit l’importance prise parles data dans l’économie. Il faut aujourd’hui réguler cette économie des données pour qu’elle ne se développe pas au détriment des individus. On ne peut pas espérer exploiter des données personnelles comme si c’était le Far West ! En cela, le RGPD met tout le monde au même niveau.

Ne vient-il pas briser l’élan du big data ?

Je ne pense pas. Le RGPD n’interdit pas grand-chose. Ce qu’il dit, c’est comment faire : recueillir le consentement, vérifier qui a accès aux données... Il propose un socle de bonnes pratiques, assez simples, qui permettent de mettre les gens en confiance, donc de pouvoir créer et vendre les produits reposant sur les données personnelles. Au fond, le RGPD donne la recette pour générer de la valeur avec les données.

Pourquoi le sujet semble-t-il inquiéter autant les entreprises ?

Elles n’étaient pas prêtes et ont attendu le dernier moment. Celles qui respectaient la loi française n’étaient pas loin de la conformité au RGPD lors de sa promulgation. Mais peut-être que certaines découvrent qu’il faut un minimum de garanties quand on exploite des données personnelles ? Qu’il faut un suivi et une protection des données, une sorte de SAV, et que cela a un coût ? À elles de voir si cela en vaut la peine.

Les entreprises doivent clarifier leur stratégie en matière de données…

Le RGPD va faire un tri entre celles pour qui la data est accessoire et celles pour qui c’est une réelle source de valeur. C’est la fin de la donnée gadget, place à l’économie de la donnée ! Les entreprises doivent déterminer s’il est vraiment pertinent de se développer dans les données personnelles. Le RGPD va provoquer une maturité du marché. ??

protéger les données personnelles

Qu’est-ce qu’une donnée personnelle ?

C’est une donnée qui permet d’identifier une personne physique directement (nom, photographie du visage…) ou indirectement (date et lieu de naissance, adresse électronique, numéro de téléphone, adresse IP, voix, empreinte rétinienne…). Toutes les personnes sont concernées : clients, fournisseurs, partenaires mais aussi salariés, intérimaires… Un CV archivé dans sa boîte e-mail est ainsi un recueil de données personnelles.

Les sept points clés du RGPD

L’harmonisation Une avancée majeure du RGPD est d’harmoniser la réglementation dans tous les pays européens, même si 50 points restent adaptables nationalement. Un système de coopération européen doit permettre la codécision et éviter un dumping réglementaire.

L’extraterritorialité Grande nouveauté, le règlement s’applique à tout organisme, de quelque nationalité qu’il soit, pour peu qu’il traite des données personnelles d’Européens. En clair, Facebook et Google ne pourront s’abriter derrière la législation américaine.

La responsabilité Toute organisation détentrice de données personnelles a la responsabilité de sécuriser leur traitement de façon à garantir le respect de la vie privée des personnes concernées. Elle doit être en mesure de prouver sa capacité à le faire et doit notifier toute faille ou fuite de données.

Le consentement L’exigence du consentement est renforcée. Pour collecter des données personnelles,il faut demander le consentement libre et éclairé de la personne en lui précisant l’usage visé des données, leur durée de rétention et leur éventuelle communication à des tiers.

Le privacy by design La protection de la vie privée passe par une limitation par défaut du risque. En intégrant cette démarche dès la conception d’une solution, en limitant au minimum les informations collectées et leur durée de rétention, en pseudonymisant les données dès que possible…

La portabilité Les organismes doivent transmettre sur demande d’un individu l’ensemble des données personnelles le concernant sous une forme exploitable. Extension du droit d’accès, ce droit à la portabilité doit favoriser la concurrence en permettant de changer de fournisseur sans perdre ses données.

Les sanctions Le RGPD se montre beaucoup plus menaçant que les réglementations existantes en fixant à 4 % du chiffre d’affaires annuel mondial le plafond des amendes qui peuvent frapper les entreprises en infraction.

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 18 octobre 2019

ÉDITION DU 18 octobre 2019 Je consulte

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Marché d'assurances du BTP CFA Auvergne - Rhône-Alpes.

Association BTP CFA Auvergne Rhône-Alpes

17 octobre

69 - BTP CFA AUVERGNE RHONE ALPES

Prestations de services d'assurances.

EPIC de Bagnoles de l'Orne Tourisme

17 octobre

61 - BAGNOLES DE L'ORNE

Proposé par   Marchés Online

Commentaires

RGPD : la donnée à l’âge de raison

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié