Le R.O.I du RGPD
Le RGPD est souvent vécu par les entreprises comme un empilement de contraintes supplémentaires. Mais finalement, il est vecteur de création de valeurs pour peu que l'on s'y attarde. Bilan du RGPD, 1 an après sa mise en application.
Le RGPD (Règlement Général sur la Protection des Données) est certainement l’un des acronymes les plus employés sur ces douze derniers mois dans le monde des affaires mais pas seulement.
Cette nouvelle législation s’applique depuis le 25 Mai 2018 non seulement au sein de la Communauté Européenne à tout organisme public ou privé ou association qui traite des données personnelles mais elle protège également l’exploitation des données personnelles des résidents européens par toute organisation quel que soit sa localisation géographique.
La CNIL a dernièrement publié son bilan d’activité sur 2018 et a évoqué une réelle prise de conscience collective, tant des professionnels que des particuliers avec quelques chiffres clés :
- 11077 plaintes reçues soit une augmentation 32% vs 2017, une tendance qui se confirme sur 2019. Plus de la moitié de ces plaintes concernent la diffusion de données sur internet et l’utilisation des données par le secteur marketing/ commerce (notamment pour la prospection).
- 17000 DPO désignés auprès de la CNIL pour accompagner la conformité
- 8 millions de visites du site internet de la CNIL (+80%)
- 310 contrôles réalisés et 11 sanctions prononcées pour un montant avoisinant les 1,2 millions d’euros, une goutte d’eau comparé aux sanctions déjà prononcées en 2019, notamment à l’encontre de Google (50 millions d’euros).
La Présidente de la CNIL, Marie-Laure Denis a d’ailleurs indiqué que 2018 avait été une année de transition et que la CNIL fera preuve de davantage de fermeté.
Si un certain nombre de professionnels jouent encore dangereusement avec le "pas vus pas pris", d’autres par contre ont su rebondir sur la nouvelle réglementation pour en tirer profit.
Au-delà de la motivation première d’éradiquer tout risque de sanction, le R.O.I (Retour sur investissement) de la mise en conformité de sa structure au RGPD se joue sur plusieurs tableaux :
Le premier, pour une organisation, est d’abords et avant tout de rassurer ses clients (ou patients, adhérents, usagers…), prospects, collaborateurs ou donneurs d’ordre. Il s’agit de tisser ou d’ancrer un véritable lien de confiance entre les responsables de traitement et les personnes "fichées". On parle d’ailleurs souvent d’un contrat de confiance. Ce point est sans nul doute l’élément essentiel, socle de relations commerciales fructueuses et équilibrées. Le RGPD est ainsi créateur de Confiance.
Deuxième gain pour les acteurs économiques, l’optimisation de leur efficacité, tant commerciale qu’organisationnelle. Le RGPD implique une meilleure maîtrise des données personnelles collectées, tant au niveau de la quantité (minimisation), de la transparence vis-à-vis de la personne concernée (consentement, droits de la personne, finalité) que de la durée d’exploitation de ces données (stockage limité au strict nécessaire). Les bases de données commerciales de prospects ont dû être requalifiées sur la base du consentement des personnes et ont donc subi une cure d’amaigrissement. Mais, cela permet à l’organisation de disposer d’une base de prospects plus appétents et donc d’organiser des campagnes marketing avec un meilleur taux de transformation. Moins de données à conserver c’est aussi par exemple, plus de place sur les serveurs, un gain non négligeable pour les DSI. Le RGPD est aussi créateur d’efficience.
L’émergence de nouveaux services gravitant dans la galaxie du RGPD est une troisième source de bénéfice. C’est le cas par exemple des compagnies d’assurance qui ont développé un certain nombre de nouveaux produits pour protéger les entreprises. Les start-up ne sont pas non plus en reste et ont développé des prestations intéressantes de cloud sécurisé, de monétisation des données personnelles, d’alternatives aux géants américains de réseaux sociaux etc… Sans oublier qu’un client mécontent peut tout à fait exiger le respect du droit à la portabilité de ses données vers un concurrent. Le RGPD est donc créateur d’innovations.
Enfin et non des moindres, Un des profits directs de la mise en œuvre du RGPD est l’amélioration de la sécurité du patrimoine informationnel de l’entité. La sécurisation des sites internet, des stockages de données, de la confidentialité, de la diffusion d’une meilleure "cyber éducation" tant des collaborateurs des organisations que des individus est nette de bénéfices face aux violations de données. La CNIL a publié à ce sujet en opendata sur data.gouv.fr qu’elle a recensé sur 10 mois d’application de la nouvelle réglementation pas moins de 1650 violations de données. 60% proviennent d’actions malveillantes (externes ou internes). Le RGPD est créateur de sécurisation.
Confiance, efficience, innovations et sécurisation sont 4 piliers du retour sur investissement de la mise en œuvre en œuvre du RGPD. On pourrait y ajouter d’une façon globale qu’il a remis sur un même niveau de concurrence les entreprises européennes puisque il s’impose aux entreprises situées hors de l’union Européenne dès lors qu’elles ciblent des individus européens pour leur fournir des biens ou services.