L'efficacité, la dimension oubliée des projets RGPD
Aborder la nouvelle réglementation européenne sur la protection des données personnelles sous le seul angle de la conformité, c’est faire l’impasse sur ce qui va réellement donner les moyens à l’entreprise de respecter ses obligations dans la durée : l’efficacité des dispositifs et systèmes mis en place pour sécuriser, contrôler et rendre compte de l’usage des données.
Porteur de nouvelles obligations pour les entreprises à compter de mai 2018, le "dossier RGPD" (Règlement Général sur la Protection des Données) est trop souvent appréhendé de manière administrative, comme une simple refonte des formulaires CNIL, ou encore comme la mise en place d’un dispositif organisationnel et documentaire visant à prouver la conformité à la réglementation. D’autres entreprises estiment, à tort, que la mise en œuvre des normes ISO 270001 suffit à garantir la conformité RGPD de leur infrastructure d’information. Le défaut de ces approches est de ne pas faire le lien entre les exigences du RGPD, l’obligation de s’y conformer et la réalité opérationnelle de l’entreprise. Or aujourd’hui celle-ci est totalement dépendante des systèmes d’information et des processus qui, à tous les niveaux de l’organisation, captent et exploitent les données, notamment les données clients. Ne prendre en compte que le volet "conformité" du dossier RGPD revient à laisser dans l’ombre la question cruciale de l’efficacité ou, pire, à entretenir l’idée que ce qui est conforme est forcément efficace. Il n’en est évidemment rien : les premières ceintures de sécurité (sans enrouleur) étaient certes conformes à la réglementation, mais n’étaient ni pratiques ni efficaces…Les choix d'architecture conditionnent l'efficacité
Par exemple :
Gérer le référentiel client de manière centralisée permet d’avoir un point de vérité unique, mais aussi un seul point de contrôle de la qualité des données clients et de l’utilisation faite de ces données. C’est beaucoup plus efficace que de chercher à maîtriser ces dimensions au niveau de chaque application utilisant ou traitant des données clients.
Centraliser la gestion des consentements/préférences clients et mettre en place une passerelle unique d’accès à ces informations pour l’ensemble des applications, permet de s’assurer que toutes les communications sortantes respectent la version la plus récente du consentement de chaque client pour chaque canal de contact. On élimine ainsi non seulement la gestion et le contrôle des consentements canal par canal, mais aussi les incohérences, voire les infractions qui peuvent en résulter.Segmenter les applications utilisatrices de données clients, en fonction de critères tels que le nombre d’utilisateurs, le niveau d’exposition, de sensibilité, etc., permet de créer des clusters et de gérer les règles au niveau du cluster et non plus au niveau de chaque application. Une architecture construite selon ces principes renforce l’efficacité des équipes IT en facilitant l’instauration de règles communes et l’automatisation des processus de contrôle des données et de leurs usages. C’est aussi un gage de productivité et de sécurité pour les équipes métiers qui sont protégées en amont des risques de mésusage des données au regard du RGPD et de la politique data de l’entreprise.