Le RGPD peut-il aider les entreprises de l'Iot ? la réponse est oui

En matière de RGPD, prendre le sujet au sérieux ne devrait pas représenter une menace ou une contrainte mais bel et bien une opportunité, notamment pour les entreprises dont l’activité est liée à des projets IoT. Voilà pourquoi

Le Règlement Général sur la Protection des Données (RGPD), qui entre en vigueur ce vendredi 25 mai, est au cœur de l’actualité. Les récentes discussions agitées à propos de ce règlement européen sont aussi la preuve que le grand public s’intéresse à ce que deviennent les informations qu’ils ont contribué à fournir. Probablement parce qu’ils sont à présent mieux informés sur le sujet, et sur les conséquences potentielles de fuites et autres brèches de sécurité pour eux-mêmes.

Pour toutes les entreprises qui n’ont pas encore appliqué le règlement, il est sérieusement temps de se pencher sur la façon dont elles traitent, stockent, utilisent et valorisent les données acquises directement ou indirectement. Prendre le sujet au sérieux ne devrait pas représenter une menace ou une contrainte mais bel et bien une opportunité, notamment pour les entreprises dont l’activité est liée au développement de l’Internet des Objets (IoT). Voilà pourquoi :

Tout d'abord, individuellement : le RGPD amène de nombreux acteurs à repenser tous les aspects de leurs activités en définissant ce qui est important de ce qui ne l'est pas. Une première chose est à retenir du RGPD, est qu'il oblige les entreprises à repenser leur entreprise avec le client à l'esprit et à se recentrer sur le cœur du service proposé. Se demander "à qui le service est-il destiné ?", "dans quel but est-il conçu ?", "de quelles informations avons-nous réellement besoin ?", "quel est le risque pour mon utilisateur final ?", et "quel est le risque ultime pour l'entreprise si jamais les choses devaient mal tourner ?", fait plus pour l'entreprise que "juste" penser aux processus de production des services et produits et aux aspects purement technologiques. Il est bon que les entreprises se rappellent qu'elles conçoivent des produits et services pour satisfaire leurs clients, et non pour produire des processus supplémentaires. Effectuer ce travail, alors même que les entreprises en sont encore à leurs premiers pas dans l’IoT, peut réellement les aider à identifier les opportunités à tirer de tel ou tel type de donnée, et donc à se développer.

Ensuite collectivement : le RGPD force les entreprises à considérer leurs activités comme un ensemble. C’est la chance de repenser la manière dont est organisée l'entreprise et de regarder d'où le danger peut provenir. Souvent, quand la sécurité est au cœur des préoccupations, on embauche un spécialiste, point final. Le risque est alors que les entreprises se focalisent uniquement sur la sécurité et délaissent les autres aspects. C'est précisément lorsque des "incidents" se produisent que l’on constate que les entreprises sont en mode silo et que la sécurité ne concernait que la personne en charge du sujet – et pas le responsable des achats, de la communication ou du marketing, alors même que précisément, ils sont également concernés, car à la source de la donnée ou l’utilisant.

Autre configuration potentiellement dangereuse : lorsque les entreprises collaborent, elles s’ouvrent les unes aux autres et de facto créent des points de fragilité à différentes étapes de leur projet. La brèche peut alors provenir d'un prestataire de service, d’un fournisseur ou d’un partenaire dont les normes de sécurité sont inférieures ou simplement différentes, voire simplement d'un employé qui n’était pas conscient des dangers potentiels. Aborder la sécurité comme un sujet global, intégré à tous les processus et traité horizontalement, aide, même une petite entreprise, car les sanctions prévues dans le règlement du RGPD peut tuer une structure du fait des fortes amendes encourues. Alors oui, cela invite les entreprises à repenser leurs activités sous un angle beaucoup plus holistique.

RGPD a aussi un autre avantage : parce que les amendes sont lourdes, les problèmes liés à la sécurité des données arrivent enfin sur la table du Comex. L'expert en sécurité est soudain quelqu'un d'important et il devient essentiel d’en avoir un, quelle que soit la taille de l'entreprise. Fantastique opportunité pour les experts et entreprises de sécurité certes, mais plus généralement, c’est aussi l’opportunité d’éduquer et de générer des discussions pour plus de compréhension des enjeux au sein de chaque département de l'entreprise, ce qui contribuera à "désiloter" et fluidifier l'organisation. Le sujet RGPD contribue ainsi à ajouter de la valeur à l'entreprise - en la rendant plus adaptable, résiliente, digne de confiance en tant que partenaire ou fournisseur, en un mot, plus solide. Il contribuera également à l'élaboration de normes de sécurité collectivement plus élevées en travaillant de concert avec les partenaires de l’entreprise.

Le règlement RGPD porte un dernier avantage, peut-être le plus important : il contribue à construire des écosystèmes métiers et commerciaux plus forts et plus souples.

Les entreprises capables de collaborer avec d’autres grâce à des standards de sécurité sinon uniformisés au moins interopérables permettront de mettre en place des projets IoT plus solides et plus sûrs, et de gagner collectivement la confiance de leurs clients. Car si le RGPD oblige les entreprises à mieux connaître leurs propres partenaires pour éviter les failles de sécurité, cette connaissance commune sera également précieuse lorsque les entreprises partageront leurs données les unes avec les autres ; car c’est là que résident les plus belles opportunités business en termes de services pour les utilisateurs.

Les entrepreneurs français et les conseils d'administration des grandes entreprises ont parfois tendance à caricaturer les questions de réglementation dans les affaires - en expliquant qu’elles les empêchent de grandir, que les lois et les procédures de sécurité sont des entraves, qu’elles vont à l’encontre de leur bon développement. Selon moi, c’est tout l’inverse que représente le règlement RGPD qui doit être perçu comme une opportunité de rendre l'entreprise plus durable, en l’encouragent à faire ce qui est logique, à rechercher l'efficacité et ce qui est important pour le client. Le RGPD n'apporte pas juste plus de sécurité pour l’utilisateur final et l’entreprise en général. Il représente des normes de sécurité accrues, qui forcent à se concentrer sur ce qui est essentiel et qui conduiront forcément vers une vague d’innovation utile c’est à dire d'innovation avec du sens. Il va notamment permettre à l'écosystème portant les projets IoT de mûrir plus rapidement et plus sûrement. Le RGPD stimule ce que l’industrie de l’IoT peut offrir de mieux.