Les entreprises évaluent mal aujourd’hui la portée de la réglementation RGPD qui redonne aux individus le pouvoir et la valeur liés à leurs données. Les PME s’exposent à de lourdes amendes en cas de non-respect. Et pourtant, ce Règlement général de la protection des données constitue une véritable opportunité pour les entreprises pour accélérer leur transformation numérique, gérer leurs actifs immatériels et trouver de nouveaux modèles économiques. Alors autant jouer ces atouts.
Les entreprises n’ont pas toutes mesuré l’enjeu du RGPD. Le texte change profondément les pratiques et redonne aux individus le pouvoir lié aux données qu’ils ont générées. Ce qui a pour effet de transformer radicalement l’ensemble des organisations autour des individus. Une illustration. Société Générale, pour répondre aux enjeux, « se transforme en profondeur pour mieux valoriser et protéger la donnée qui est un actif stratégique ». La banque est désormais totalement organisée autour de la donnée. Elle assure sa collecte, sa protection, sa gestion, son partage et sa circulation avec des acteurs partenaires au sein de son écosystème pour enrichir la donnée. Donc désormais au cœur de la stratégie.
Mais ce n’est pas encore le cas pour la très grande majorité des entreprises. Le texte impose pourtant de remettre les données dans les mains des individus. Qu’est-ce que ça signifie ? Que toute personne (y compris en b to b) au sein des entreprises clientes ou fournisseurs, partenaires… a le pouvoir de reprendre le contrôle de ses données et déposséder l’entreprise de l’exploitation de cette richesse. Le RGPD reconfigure ainsi les flux de collecte et de diffusion de données autour de l’individu.
De nouveaux droits qui changent la relation commerciale
Les personnes possèdent de nombreux droits qui transforment l’entreprise. Par exemple, le recueil de consentement impose la clarté et la loyauté dans la manière de traiter les données personnelles. Cette réglementation modifie substantiellement l’approche commerciale, l’organisation et les modèles économiques qui reposent sur l’utilisation de données (lire dans ce n° page 24). Une jeune entreprise spécialisée dans la publicité en ligne vient ainsi de disparaître. Elle avait fondé une partie de ses revenus sur la collecte de données des internautes sans leur délivrer une clarté suffisante sur leur utilisation finale. Les sociétés Engie et EDF viennent d’être mises en demeure pour défaut de consentement éclairé des clients.
Autre exemple. Le droit à la portabilité des données devient une arme redoutable. Il reste mal appréhendé par les entreprises. Ce nouveau droit revient à restituer les données aux individus mais également à l’obligation de les transmettre, si la personne le souhaite, aux concurrents ou à de nouveaux entrants aux services innovants. Concrètement, le RGPD comme la Directive des services de paiements 2 (DSP2) dans les services financiers, donne aux clients le droit d’autoriser l’accès de leurs données aux fintechs à même de proposer aux consommateurs de nouveaux services sur mesure à valeur ajoutée. Exemple typique : j’autorise Bankin’, service de banque en ligne, à puiser dans les bases de données de ma banque pour me présenter mes avoirs, mes comptes, et de me proposer des placements et des solutions. Ce que sait désormais faire ma banque, mais avec un temps de retard ! Si le client le demande, les entreprises sont donc obligées de partager les données !
Inverser la charge de la preuve
Autre difficulté majeure du passage au RGPD : les entreprises ne sont pas concernées de la même manière. Pourquoi ? Parce que l’impact du RGPD ne dépend pas de la taille de l’entreprise ou du secteur d’activité, elle dépend de l’utilisation des données dans son activité. Or, les entreprises n’ont pas toujours conscience de la quantité de données qu’elles utilisent ou du traitement qu’elles opèrent.
Dans l’e-commerce, les données personnelles occupent une place importante. Avant, une déclaration à la Cnil suffisait. Le contrôle était a priori. Aujourd’hui, l’analyse permanente de la conformité est au centre du processus. L’entreprise doit se montrer en capacité de prouver le respect du RGPD avec un contrôle a posteriori. Elle gère sa conformité. C’est comme si les automobilistes devaient aujourd’hui prouver qu’ils respectent constamment toutes les limitations de vitesse lors d’un contrôle. Le RGPD inverse la charge de la preuve. Le RGPD transfère la responsabilité à chaque entreprise, aidée le cas échéant par son délégué à la protection des données, de recourir à telle ou telle donnée, de procéder à tel ou tel traitement pour atteindre ses propres objectifs. La démarche impose ainsi une remise à plat de la stratégie.
Même un coiffeur…
Nombre d’entreprises utilisent au quotidien les données personnelles pour gérer des opérations, souscrire une offre, réaliser un paiement, vérifier des opportunités… La collecte et le traitement des données des individus reposent donc au cœur de la transformation et des interactions entre clients ou partenaires.
Les enjeux sont devenus multiples : améliorer la connaissance client, optimiser et faciliter les processus, ériger les données en socle de décision et actif stratégique pour créer de la valeur avec les parties prenantes.
Mais avant, il convient de connaître les données disponibles dans l’entreprise et celles qui sont strictement nécessaires à l’activité. Certaines petites entreprises ignorent qu’elles doivent tenir un registre des données collectées. Par exemple, un système de prise de rendez-vous chez un coiffeur qui donnerait lieu à l’édition de couponing ou qui assurerait la gestion des contacts impose la tenue d’un registre de traitements des données qui doit préciser les finalités de la collecte.
Les établissements doivent réaliser ou actualiser l’inventaire de l’ensemble de leurs données, bases de données, applications, périphériques, fournisseurs, sous-traitants… pour scanner ces actifs et leurs localisations. Ce sont des monceaux de travail-homme pour les plus grandes structures, d’échanges ou de tris irréalisables par des machines. Une fois cette étape franchie, le RGPD va révéler tout son potentiel : accélérer l’automatisation de certaines tâches, faciliter l’introduction de l’intelligence artificielle et de l’apprentissage automatique pour améliorer la commercialisation ou la personnalisation, mais aussi maintenir la conformité. L’entreprise choisira de conserver les données à ses propres fins ou de les enrichir avec des partenaires pour créer de nouveaux services innovants.
Sécuriser l’ensemble des interactions
Le RGPD impose un degré de sécurité de protection des données en internes ou en externe, sur tous les canaux de circulation. D’où l’obligation d’instaurer de nouvelles pratiques organisationnelles et de repenser l’accès aux multiples catégories de données. La mise en conformité va redéfinir les périmètres de sécurité et les responsabilités de chacun dans l’organisation ou dans l’écosystème. Elle donne aussi l’opportunité de savoir de quelles manières il est possible d’optimiser l’exploitation des ressources en internes et en externe avec les parties prenantes.
La prise en compte de la protection dès la conception d’un produit ou service doit devenir systématique dans l’entreprise pour abaisser considérablement les risques et les coûts. La démarche de Privacy By Design (en français respect de la vie privée dès la conception) limite les informations indésirables et facilite la restitution des données aux clients comme les échanges qui sont des socles de confiance.
Certaines entreprises ont mis en place des instances de dialogue avec l’ensemble des services pour concevoir un produit ou un service robuste et le plus ajusté possible. Ce qui au final favorise les chances de succès de séduire la clientèle avec une offre adaptée et conforme aux textes réglementaires. L’élaboration de tableaux de bord vise à connaître le niveau des risques et de sécurité et donc à améliorer le pilotage global de l’entreprise.
Le consentement reste la condition de la réussite
Un autre chantier majeur devient la vérification de la légalité de l’exploitation des données, le recueil et la répudiation de consentement. Le client ou le prospect doit recevoir des informations claires, loyales et éclairées sur l’utilisation de ses données personnelles. Les entreprises devront savoir transformer ces contraintes de refonte de procédures et de contrats en opportunités de communications commerciales. Exemple, Crédit Agricole ou AXA ont mis en place une charte des données et une communication particulièrement claire et efficace auprès des individus. Forts de telles actions, les groupes se sont rapprochés de leurs clients en transformant ces formalités obligatoires en opportunités commerciales.
De la communication de masse à la communication dédiée
Le RGPD impose en outre de passer d’une logique de communication de masse à une communication interpersonnelle pour collecter de nouvelles informations avec le consentement des personnes. Le dispositif génère un échange permanent de qualité par le bon canal et au bon moment pour correspondre aux attentes de l’individu.
Les entreprises dotées par exemple de CRM en profitent pour personnaliser davantage les produits et les services, tout en augmentant la transparence, socle de la confiance. L’avantage a de quoi devenir important à terme. Certaines structures comme Brave et son navigateur, des entreprises telles que la MAIF ou encore de nombreuses start-up comme Cloud ont profité de ces axes réglementaires pour créer des services très innovants autour de la sécurité et du respect des données personnelles.
Que les entreprises s’appuient donc sur le RGPD pour utiliser les données personnelles et proposer des produits dédiés en conformité avec la réglementation. Contrairement aux a priori, les PME possèdent les moyens de décortiquer les données de leurs clients sous plusieurs aspects, bien au-delà de ce qui était possible auparavant, avec le consentement desdits clients. À elles d’inventer de nouveaux modèles et des innovations fondés sur la protection et la confiance.
Patrice Remeur