Archives par mot-clé : securite.fm

Le RGPD : Les 3 erreurs du Règlement Général de Protection des Données

Le RGPD, c’est demain ! La Commission européenne avait parfaitement raison de déclarer dans son évaluation sur le Règlement Général de Protection des Données de l’Union européenne qu’il s’agissait « du changement le plus important dans le règlement sur la confidentialité des données depuis 20 ans ». Toute entreprise doit se conformer au RGPD, mais ne devrait pas perdre de vue l’objectif ultime : permettre et gérer davantage d’interactions et d’activités numériques.

Tout d’abord, le RGPD, le nouveau règlement exige que les entreprises s’engagent à mener des contrôles de conformité systématiques de leur fonctionnement actuel et prévisionnel. En un mot, évaluer les données de l’entreprise ; où sont-elles stockées ; et comment sont-elles utilisées. Compte tenu de l’importance de la réglementation, de sa vaste portée et de ses importantes pénalités potentielles, toute multinationale doit appliquer ce règlement et y parvenir de façon positive.

En observant le marché en collaboration avec des clients, des partenaires, des analystes et des autorités de régulation sur les programmes numériques et le RGPD en lui-même, on constate des bonnes pratiques et des pratiques que l’on peut qualifier de mauvaises. Voici les trois « erreurs du RGPD » : des actions menées sous les auspices du RGPD qui peuvent être directement placées dans le panier des « mauvaises pratiques ».

Erreur n° 1 : Négliger le client

L’objectif ultime du RGPD est de permettre davantage d’activités numériques. Le RGPD confère aux particuliers de l’UE des droits plus forts, appliqués de façon uniforme, qui leur octroient un meilleur contrôle de leurs données et une protection leur vie privée à l’ère numérique. Par définition, le RGPD est une réglementation centrée sur le client. En général, les entreprises qui réussissent dans le secteur numérique ont un regard extrêmement pointu sur leurs clients. Une partie de cette vue perçante est constituée des données numériques qu’elles possèdent de leurs clients, et de leur gestion et leur exploitation.

Le RGPD offre l’occasion d’examiner comment les données des clients, la vie privée et la confiance font partie de l’expérience client globale (segment par segment, marché par marché). En général, les organismes centrés sur le client conduisent déjà de très bonnes pratiques relatives aux données de leurs clients, qui sont gérées par les sections commerciales de l’entreprise. Ces entreprises exploitent leurs données clients avec beaucoup de soin et d’attention, et suivent fort probablement déjà les pratiques exemplaires du RGPD bien avant que la réglementation ne soit appliquée.

Si le RGPD ne reçoit pas l’attention, l’implication et le cautionnement de la direction commerciale, cela peut être un signe que l’entreprise ne comprend pas vraiment le RGPD et ses objectifs. Celles qui sont impliquées dans le projet RGPD devraient s’assurer que le client est au cœur de leur programme et d’obtenir un bon niveau de soutien et de patronage commercial.

Erreur n° 2 : Se concentrer uniquement sur la conformité plutôt que sur la transformation numérique

Certaines mises en œuvre du RGPD sont conçues pour être simplement conformes à la nouvelle réglementation, mais ceci est loin d’être optimal. L’objectif primordial du RGPD est de faciliter et de permettre davantage d’interactions et d’activités numériques au sein du marché unique. À ce titre, il est un peu incongru qu’une entreprise n’aligne pas étroitement son flux de travail RGPD avec ses programmes numériques essentiels. Les entreprises doivent comprendre l’implication complète du RGPD et s’assurer que les parties commerciales de l’entreprise supervisent intégralement ces initiatives, non limité à seulement leurs équipes informatiques pour vérification de conformité.

Il y a un certain nombre d’avantages à harmoniser le RGPD avec les programmes de transformation numérique, compte tenu que l’objectif ultime du RGPD est ciblé sur le marché numérique. Dans cette optique, les objectifs réglementaires et commerciaux peuvent être parfaitement alignés et complémentaires. En outre, les entreprises peuvent utiliser ce haut niveau de contrôle, obtenu grâce au RGPD, comme une occasion pour non seulement conduire le programme RGPD mais permettre un contrôle qualité de pointe, voire une amélioration, du programme numérique de l’entreprise.

Erreur n° 3 : Se concentrer sur les pénalités du RGPD, plutôt que sur les KPI

Un choix de direction consiste à mener des initiatives RGPD en utilisant une logique étroite de conformité et de mise en évidence des sanctions potentiellement importantes : par exemple jusqu’à 20 millions d’Euros, ou 4% du chiffre d’affaires mondial du groupe (si supérieur). Dans cette approche, une entreprise cocherait la case « conformité réglementaire » et exposerait les 20 millions d’euros/4 % du CA en tant que raison d’être dans le document de lancement du projet. Cela conduirait la gestion informatique et le reste de l’entreprise à une définition peu ambitieuse des priorités et des ressources allouées. Cette logique de projet est un signe que ni le client ni l’optimisation de l’exploitation numérique sont au cœur du projet RGPD.

Une étroite conformité avec le RGPD n’ajoutera pas nécessairement un seul euro au résultat financier ; ni l’amélioration de la satisfaction de la clientèle ; ni un impact sur tout autre indicateur de performance critique que l’entreprise pilote en ce qui concerne son activité numérique. Cependant, un programme RGPD bien intégré dans l’entreprise, en gardant en point de mire l’amélioration des opérations et des interactions numériques, pourrait être complémentaire au programme numérique. Avec cet objectif plus large, il peut être comparé à une analyse de rentabilité pour le déploiement des ressources et des investissements. Par exemple, si vous devez déterminer la portée et la nature de vos données client, vous devriez utiliser le RGPD en tant que moyen pour s’assurer que vous soyez à jour et parvenir à une vue à 360° de votre clientèle. Vous assurez ainsi à la fois conformité et connaissance globale du client, créant par conséquence de nouvelles perspicacités ou actions en ce qui concerne la clientèle, et les interactions numériques et les transactions qui en découlent.

Bref, il existe un lien cohérent entre ces 3 échecs : le RGPD est considéré comme un exercice de conformité réglementaire plutôt qu’une partie intégrante des objectifs commerciaux de l’entreprise. Les entreprises se doivent d’être aux normes, mais l’occasion est plus ambitieuse et le RGPD peut être une aubaine pour la transformation numérique de l’entreprise. Ne gaspillez pas votre effort RGPD seulement sur la conformité. (Par Perry Krug, Principal Architect, Couchbase).

A noter que vous pouvez retrouver, dans le podcast Securite.fr, un numéro spécial dédié au RGPD.