D’après la CNIL, le RGPD a été l’occasion pour les particuliers de prendre conscience des risques liés à l’utilisation de leurs données personnelles. L'instance de surveillance a enregistré 3 767 plaintes en mai 2018 contre 2 294 à la même période en 2017.
Même si on peut considérer que 50% des entreprises environ ont initié leur mise en conformité avec le RGPD, aucune n’est en mesure de la revendiquer à 100%, principalement pour des raisons liées à des technologies inadaptées et à des ressources difficiles à trouver. Pourtant, alors que certaines d’entre elles sont pointées du doigt par la CNIL pour leur non-respect des règles du RGPD, des solutions existent, qui sont en mesure de les aider à accélérer ce processus.
RGPD : 6 mois après, toujours aucune conformité à 100%
Le mois de mai dernier signait l’entrée en vigueur du règlement européen sur la protection des données personnelles, obligeant les entreprises à mettre en place toute une série de mesures autour du consentement, du droit à la rectification et à la portabilité, de la sécurité ou encore de la gouvernance.
Contrairement à ce que l’on aurait pu présager, les plus avancées en la matière ne sont pas nécessairement issues de la sphère Tech. En réalité, ce sont plutôt celles dont le modèle économique était déjà construit autour de nombreuses règles de conformité (qualité, fiscalité…) et qui étaient donc habituées à gérer ce type d’obligation.
Répondre à certaines exigences du RGPD pose en effet de nombreux problèmes aux entreprises. C’est notamment le cas pour tout ce qui touche au consentement et à la durée de conservation des données. La plupart des logiciels BtoB, installés bien en amont de la nouvelle réglementation, ne prennent pas en compte ces standards autour de la protection des informations personnelles. Ils nécessitent donc d’être intégrés à la démarche de conformité. Or, si l’on prend le cas d’une banque gérant 300 applicatifs, le coût de la mise en conformité peut être estimé pour chacun à 10 000 €, et ce, uniquement pour ce qui relève de l’application relative à la durée de conservation : une situation ingérable, tant au niveau de l’organisation que d’un point de vue financier.
Dans le même esprit, prenons l’exemple d’un logiciel traitant à la fois la facturation et la gestion de la relation client, ce qui n’est pas rare. Là encore, la mise en conformité nécessite 2 traitements différents sur les durées de conservation, qui sont de 3 à 5 ans pour les données liées aux CRM et de 10 ans pour celles liées à la facturation. Tout ça dans un même outil ! On comprend facilement que l’équation soit particulièrement complexe à résoudre.
Pour cette raison notamment, aucune entreprise à ce jour, même parmi les plus avancées au regard du RGPD, n’est en mesure de respecter la totalité des règles sur l’ensemble de ses applicatifs.
Encore de très nombreux défis à relever
L’enjeu n’est donc pas d’atteindre une conformité totale à court terme, ni même de relever un défi réglementaire, mais bien de donner aux marques l’opportunité de construire une véritable relation de confiance avec leurs consommateurs, d’améliorer la personnalisation de l’expérience client et, donc, d’augmenter la performance business.
Pour y parvenir, la première chose à faire est de raisonner par priorité, en identifiant les points fondamentaux à travailler pour limiter les risques tant pour l’utilisateur que pour l’activité de l’entreprise.
Parmi ces priorités, il sera judicieux de placer la sécurité des données, qui draine dans son sillage des enjeux d’agilité comme de coût. L’objectif sera de gérer les complexités de la sécurité des data en interne, mais aussi de mieux anticiper le risque. Les entreprises qui donnent encore à leurs utilisateurs la possibilité de partager des comptes ou de se connecter avec des adresses mails génériques oublient un peu vite que la valeur des données personnelles qu’elles collectent est désormais bien supérieure à celle de leurs données financières.
Autre point à prioriser : l’optimisation de la gouvernance. En effet, la conduite du changement représente entre 60 et 70% du défi à relever. Les entreprises doivent donc se poser la question de la conformité dès la conception d’un produit, ce qui nécessite de faire travailler ensemble la recherche, le marketing, le juridique, le commercial et les éventuels partenaires ou sous-traitants. Une mauvaise gouvernance fait courir à l’entreprise le risque d’ouvrir en grand la voie à de nombreuses plaintes et d’attirer l’attention de la CNIL.
Enfin, pour orchestrer cette mise en conformité, les entreprises devront recruter ou faire appel aux services d’un DPO (Data Protection Officers). Cette compétence rare et donc chère est pourtant clé dans la mise en place des audits et plans d’actions autour de la conformité au RGPD. Cette ressource va permettre de faire les arbitrages, qui aideront progressivement l’entreprise à être en accord avec la loi, mais surtout à organiser le maintien des règles mises en place au fil du temps…
Recourir au CIAM pour accélérer sa mise en conformité
Pour résoudre certaines difficultés liées aux exigences techniques du RGPD, les entreprises peuvent choisir de déployer des outils dédiés, mais ceux qui sont réellement efficaces s’avèrent rares et souvent onéreux.
Toutefois les entreprises peuvent envisager des alternatives et recourir aux solutions CIAM (gestion des accès et identités clients) pour faciliter leur mise en conformité. Grâce au CIAM, elles sont à même de centraliser les consentements et d’intégrer les données partagées des profils dans un écosystème global afin de les utiliser au cas par cas. Ces données jusqu’alors dispersées, stockées dans plusieurs référentiels et au sein de différents départements, sont désormais unifiées et centralisées par profil client, ce qui permet aux marques de collecter des informations fiables, complètes et confidentielles, nécessitant une sécurisation obligatoire. Cette approche permet de garder la trace de l’ensemble des données clients et d’être ainsi en conformité avec le RGPD mais également d’historiser ces données (très utile en cas d’audit de la CNIL). Ainsi, les entreprises, qui recourent au CIAM, profitent d’une vision centralisée et fiable de leurs data clients.
Véritable coffre-fort des identités clients, le CIAM apporte une meilleure gouvernance des données personnelles. Il constitue un référentiel sur lequel les entreprises vont pouvoir s’appuyer, puisque les applications métiers sauront quelles données clients utiliser dans le cadre de leurs campagnes de communication, marketing ou commerciales. Enfin, le CIAM devient un outil pour le DPO, qui facilite sa prise de fonction et son rôle.
Si, à ce jour, aucune sanction n’a été prononcée par la CNIL pour un défaut de conformité, plusieurs entreprises ont été publiquement mises en demeure. Un mode d’action plutôt rare venant de cet organisme de contrôle, qui se montre habituellement plus discret. En exposant sur la place publique les sociétés les plus désinvoltes en matière de respect des données personnelles, la CNIL espère sans doute inciter les autres à accélérer leur mise en conformité. Le CIAM apparaît ainsi comme une voie à privilégier pour ne pas prendre le risque de se faire épingler !
