L'efficacité, la dimension oubliée des projets RGPD
Aborder la nouvelle réglementation européenne sur la protection des données personnelles sous le seul angle de la conformité, c’est faire l’impasse sur ce qui va réellement donner les moyens à l’entreprise de respecter ses obligations dans la durée : l’efficacité des dispositifs et systèmes mis en place pour sécuriser, contrôler et rendre compte de l’usage des données.
Porteur de nouvelles obligations pour les entreprises à compter de mai 2018, le "dossier RGPD" (Règlement Général sur la Protection des Données) est trop souvent appréhendé de manière administrative, comme une simple refonte des formulaires CNIL, ou encore comme la mise en place d’un dispositif organisationnel et documentaire visant à prouver la conformité à la réglementation. D’autres entreprises estiment, à tort, que la mise en œuvre des normes ISO 270001 suffit à garantir la conformité RGPD de leur infrastructure d’information. Le défaut de ces approches est de ne pas faire le lien entre les exigences du RGPD, l’obligation de s’y conformer et la réalité opérationnelle de l’entreprise. Or aujourd’hui celle-ci est totalement dépendante des systèmes d’information et des processus qui, à tous les niveaux de l’organisation, captent et exploitent les données, notamment les données clients. Ne prendre en compte que le volet "conformité" du dossier RGPD revient à laisser dans l’ombre la question cruciale de l’efficacité ou, pire, à entretenir l’idée que ce qui est conforme est forcément efficace. Il n’en est évidemment rien : les premières ceintures de sécurité (sans enrouleur) étaient certes conformes à la réglementation, mais n’étaient ni pratiques ni efficaces…Les choix d'architecture conditionnent l'efficacité
L’enjeu est de s’assurer que les multiples systèmes utilisant des données clients (e-Commerce, Marketing Automation, CRM, système de fidélisation...) protègent effectivement les données personnelles contre tout usage abusif ou contraire à la réglementation, dans les faits et dans la durée. Le système d’information et les processus métiers étant voués à évoluer, cela suppose de faire des choix d’architecture IT respectant des principes qui ont fait leurs preuves.
Par exemple :
Gérer le référentiel client de manière centralisée permet d’avoir un point de vérité unique, mais aussi un seul point de contrôle de la qualité des données clients et de l’utilisation faite de ces données. C’est beaucoup plus efficace que de chercher à maîtriser ces dimensions au niveau de chaque application utilisant ou traitant des données clients.
Centraliser la gestion des consentements/préférences clients et mettre en place une passerelle unique d’accès à ces informations pour l’ensemble des applications, permet de s’assurer que toutes les communications sortantes respectent la version la plus récente du consentement de chaque client pour chaque canal de contact. On élimine ainsi non seulement la gestion et le contrôle des consentements canal par canal, mais aussi les incohérences, voire les infractions qui peuvent en résulter.Segmenter les applications utilisatrices de données clients, en fonction de critères tels que le nombre d’utilisateurs, le niveau d’exposition, de sensibilité, etc., permet de créer des clusters et de gérer les règles au niveau du cluster et non plus au niveau de chaque application. Une architecture construite selon ces principes renforce l’efficacité des équipes IT en facilitant l’instauration de règles communes et l’automatisation des processus de contrôle des données et de leurs usages. C’est aussi un gage de productivité et de sécurité pour les équipes métiers qui sont protégées en amont des risques de mésusage des données au regard du RGPD et de la politique data de l’entreprise.
Par exemple :
Gérer le référentiel client de manière centralisée permet d’avoir un point de vérité unique, mais aussi un seul point de contrôle de la qualité des données clients et de l’utilisation faite de ces données. C’est beaucoup plus efficace que de chercher à maîtriser ces dimensions au niveau de chaque application utilisant ou traitant des données clients.
Centraliser la gestion des consentements/préférences clients et mettre en place une passerelle unique d’accès à ces informations pour l’ensemble des applications, permet de s’assurer que toutes les communications sortantes respectent la version la plus récente du consentement de chaque client pour chaque canal de contact. On élimine ainsi non seulement la gestion et le contrôle des consentements canal par canal, mais aussi les incohérences, voire les infractions qui peuvent en résulter.Segmenter les applications utilisatrices de données clients, en fonction de critères tels que le nombre d’utilisateurs, le niveau d’exposition, de sensibilité, etc., permet de créer des clusters et de gérer les règles au niveau du cluster et non plus au niveau de chaque application. Une architecture construite selon ces principes renforce l’efficacité des équipes IT en facilitant l’instauration de règles communes et l’automatisation des processus de contrôle des données et de leurs usages. C’est aussi un gage de productivité et de sécurité pour les équipes métiers qui sont protégées en amont des risques de mésusage des données au regard du RGPD et de la politique data de l’entreprise.
Au delà du RGPD, quels sont les enjeux liés à la data ?
La réglementation, en l’occurrence RGPD, n’est qu’un aspect du dispositif de gestion et de gouvernance à mettre en œuvre pour créer de la valeur à partir des données (en particulier des données personnelles devenues indispensables au marketing, à la vente et à la relation client. La data n’est en effet plus une ressource mais un asset stratégique à appréhender dans sa globalité. Si l’entreprise n’a pas de stratégie de valorisation de cet actif, si elle n’a pas de vision claire de ses besoins en matière de données ; si elle n’a rien mis en œuvre pour développer la culture data de ses collaborateurs, ni édicté de règles de gouvernance garantissant la disponibilité, la sécurité, la qualité et la traçabilité de la donnée) elle construit sa conformité RGPD sur du sable, sans fondation, sans lien avec l’opérationnel, et devra, en outre, reconduire ses efforts à chaque évolution réglementaire. Si, au contraire, elle associe au projet RGPD, la Direction juridique, le DPO2, la DSI, les services utilisateurs des données clients, elle se donne les moyens de construire une organisation minimisant les risques spécifiques liés aux données personnelles, sécurisant leur utilisation à des fins productives, et à même de répondre efficacement aussi bien aux demandes d’audit externes qu’aux besoins en données des différents départements.
Aucun outil n'assure à lui seul la conformité RGPD
Les sujets réglementaires génèrent toujours une abondante communication de la part des fournisseurs de solutions. Tous mettent en avant la conformité RGPD de leurs logiciels, qu’il s’agisse de solutions de gestion de référentiels, de transport de l’information ou de restitution/reporting. Dans 80% des cas, ces allégations sont abusives et il est essentiel de comprendre que la juxtaposition de solutions labellisées "conforme RGPD" ne garantit en rien la conformité globale de l’organisation. En revanche, certaines solutions, calées sur les attentes de la CNIL, apportent une aide réelle en mettant les entreprises en capacité de fournir les rapports d’audit requis par la réglementation. D’un point de vue opérationnel, le RGPD concerne tellement d’outils et de processus, qu’il est illusoire, tant dans la phase de mise en conformité que pour le maintien de cette conformité, d’espérer qu’un seul outil réponde à l’ensemble des besoins. L’identification des outils appropriés dépend fondamentalement de la nature des données, de leur utilisation au sein de l’organisation et des choix d’architecture. Les entreprises qui embrassent l’ensemble de ces dimensions valoriseront durablement leur investissement dans la mise en conformité. Celles qui se limitent aux aspects normatifs et administratifs font une dépense inefficace – sans valeur ajoutée et sans retombée à long terme pour l’organisation.