RGPD, ou comment transcender la contrainte pour créer de la valeur
Entré en vigueur il y a tout juste deux ans, le RGPD a incontestablement permis une profonde prise de conscience de la valeur et des enjeux de la data. Cependant, ce texte fondateur, encore jeune, semble déjà dépassé.
Un gisement de valeur révélé, mais déjà confisqué ?
Alors qu’il incarne les enjeux économiques, sécuritaires, voire géopolitiques de l’ensemble des traces que nous laissons, le RGPD n’arrive-t-il pas trop tard ? Depuis de nombreuses années, la collecte des données est au cœur du modèle économique de certaines entreprises. Ce sont les GAFAM, les géants de l’e-commerce, les réseaux sociaux ou encore les "data brokers", à qui l’exploitation rapide, massive et intelligente des données a conféré un pouvoir aujourd’hui redouté par certains citoyens et de nombreux États. Cette exploitation parfois abusive des données peut certes paraître effrayante, mais s’est insinuée dans notre quotidien et est devenue une nouvelle normalité, sans être remise en cause par les consommateurs !
Une éthique de la donnée plus lisible, mais insuffisante ?
Le recueil du consentement, au même titre que la contractualisation, établit une relation explicite entre l’utilisateur du service et l’entreprise qui lui fournit ce service. C’est une lecture "sociale" de la donnée. Dans la vision économique, chaque individu est propriétaire des données qui le concernent et, à ce titre, peut choisir de les céder contre rémunération, service, ou à titre gracieux (par exemple, des données de santé pour faire avancer la recherche médicale), ou de les garder confidentielles et accessibles par lui seul. Dans la vision ouverte, la data est intrinsèquement un bien commun : elle appartient à tous et est accessible à tous, librement, sur des plateformes dédiées. La data en self-service permettra d’améliorer nos décisions et choix d’investissements.
Consécration du Data Protection Officer… et avènement du Chief Data Officer 2.0 ?
En ancrant la protection des données dans l’agenda stratégique des entreprises, le RGPD a consacré la fonction de Data Protection Officer (DPO). C’est lui qui met en musique la conformité en matière de données personnelles et épaule le dirigeant à qui le RGPD confère une lourde responsabilité, à travers certaines dispositions telles que la solidarité juridique de l’entreprise avec son fournisseur de traitement de données, ou encore le renversement de la charge de la preuve en faveur de l’utilisateur (c’est à l’entreprise de prouver qu’elle n’a pas enfreint la loi). Pourtant, le RGPD contribue également à transformer le rôle du Chief Data Officer.
Valoriser la donnée en respectant la réglementation
En charge, entre autres, de la valorisation des données, il doit prendre en compte la réglementation, dès les prémices d’implémentation des cas d’usages, en étant vigilant à la manière d’enrichir les données internes avec des données externes – via des contractualisations avec des "data brokers". Tout en se conformant à la réglementation, par des procédés de pseudonymisation et d’anonymisation des données à caractère personnel, il doit favoriser les conditions de valorisation en interne, mais également en externe, des données de l’entreprise, en mettant par exemple en œuvre de nouveaux débouchés commerciaux exploitant les données analysées et enrichies.
L’opportunité d’une meilleure traçabilité, en théorie seulement ?
Comme souvent, la réglementation est l’occasion de créer une dynamique qui transcende la contrainte pour créer de la valeur. Le RGPD doit conduire les entreprises vers davantage de transparence et à une concurrence plus juste au niveau mondial, le RGPD s’appliquant à n’importe quelle entreprise qui utilise des données personnelles de résidents européens. Cependant, la marche à franchir peut être importante, d’autant qu’il existe un temps incompressible d’adaptation des systèmes et des personnes.