Comment les nouvelles législations sur les données personnelles changent la donne pour les entreprises
En synthèse :
- Les données sont devenues l’un des actifs les plus critiques des entreprises… mais aussi des consommateurs.
- De l’Union européenne aux États-Unis et même à la République populaire de Chine, les législateurs du monde entier ont adopté des cadres juridiques contraignants pour réglementer la manière dont les organisations recueillent et traitent les informations personnelles.
- Ces nouveaux cadres juridiques ne sont pas seulement l’affaire des data scientists ou des responsables informatiques. Ils affectent en réalité l’ensemble des services et des activités, tous secteurs confondus.
On entend souvent dire que l’information, c’est le pouvoir. Au cours des dernières années, les entreprises et les organisations à travers le monde ont pris conscience de la valeur des données qu’elles contrôlent (et notamment celles relatives à leurs consommateurs), et elles ont trouvé de nouveaux moyens de les exploiter et de les monétiser. Cette tendance a fait naître des inquiétudes quant à l’éventualité d’utilisation abusive des données personnelles : les consommateurs sont devenus plus prudents lorsqu’il s’agit de partager leurs données, et les législateurs sont intervenus pour mettre en place des réglementations spécifiques. Les différents textes de loi relatifs à la protection des données personnelles qui sont désormais en vigueur dans le monde entier soulèvent de nouveaux défis pour les entreprises – mais aussi de nouvelles opportunités.
L’impact des lois sur la protection des données personnelles sur les entreprises, tous secteurs d’activité confondus, ne doit en aucun cas être sous-estimé. Embaucher un référent de la protection des données (Data Privacy Officer, DPO) est loin d’être suffisant pour relever l’ensemble des défis posés : les chefs d’entreprise doivent en réalité réévaluer et éventuellement adapter un certain nombre de leurs stratégies.
Adopté en 2016, le Règlement général sur la protection des données de l’Union européenne a été la première loi significative en matière de protection et de confidentialité des données. L’objectif premier du RGPD était d’améliorer le contrôle et les droits des individus sur leurs données personnelles, et notamment sur le transfert de données hors de l’Espace économique européen.
Pensé comme la loi sur la protection des données la plus stricte au monde, le RGPD européen repose sur sept principes clés :
- Licéité, loyauté, transparence : les données doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée
- Limitation des finalités : les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités
- Minimisation des données : les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
- Exactitude : elles doivent être exactes et, si nécessaire, tenues à jour
- Limitation de la conservation : vous ne devez conserver les données sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
- Intégrité et confidentialité : les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel (par exemple, en utilisant l’encryptage).
- Responsabilité : le responsable du traitement des données est chargé de pouvoir démontrer la conformité au RGPD de l’ensemble de ces principes.
Cette initiative européenne n’a pas tardé à faire des émules. Bien que les États-Unis ne disposent pas d’une politique unifiée à l’échelle fédérale en matière de protection de la vie privée, des États comme la Californie, la Virginie ou encore le Colorado ont récemment adopté leur propre législation sur la protection des données afin d’étendre les droits et la protection de leurs résidents.
Un élan en faveur de la confidentialité et de la protection des données qui a même atteint la Chine, où a récemment été approuvée une loi sur la protection des informations personnelles (Personal Information Protection Law, PIPL) qui prévoit un contrôle strict des transferts transfrontaliers de données.
Ces nouvelles contraintes juridiques ne sont pas à prendre à la légère, comme en témoignent les amendes de plusieurs centaines de millions qui ont été infligées à des entreprises telles qu’Amazon ou Facebook pour leurs pratiques de traitement et de stockage des données personnelles.
En un mot, pratiquement toutes les activités d’une entreprise sentent l’effet du RGPD et des réglementations assimilées.
L’impact sur les chaînes d’approvisionnement ne saurait être sous-estimé, dans la mesure les entreprises doivent réexaminer et possiblement infléchir leurs pratiques de partage des données avec leurs écosystèmes de fournisseurs, sous-traitants et distributeurs tiers.
Les responsables de l’innovation et du développement de produits doivent tenir compte d’exigences totalement nouvelles, sous peine d’être exclus de certains marchés. Les lois sur la confidentialité des données sont d’ailleurs la raison pour laquelle Google a dû renoncer à lancer une app de selfies dans certains États américains.
Les activités de publicité et de marketing sont évidemment affectées : il faut non seulement documenter le stockage et l’utilisation des données relatives aux clients, mais aussi leur permettre d’accepter ou de refuser le recueil et le traitement des informations. Les mêmes défis s’appliquent à toute entreprise qui vend des produits, des services ou des contenus en ligne – à l’heure où les activités d’e-commerce électronique et de marketing doivent également se préparer à la disparition annoncée des cookies tiers des navigateurs Web.
Les employés doivent être sensibilisés et formés aux nouvelles bonnes pratiques.
Et les entreprises opérant dans des secteurs d’activité spécifiques (par exemple les prestataires de services de santé) doivent se conformer à des dispositions spécifiques encore plus strictes.
Autre effet majeur des réglementations sur la confidentialité des données pour les entreprises, quels que soient le secteur et l’emplacement : une aversion accrue au risque technologique. En effet, toute atteinte aux données ou toute fuite s’accompagne désormais de lourdes conséquences juridiques et risquent de ternir l’image de marque – sans parler des préjudices financiers et opérationnels. En conséquence de quoi les fournisseurs de produits et services technologiques sont de plus en plus interrogés sur leur capacité à produire des certifications en matière de gestion de la sécurité de l’information.
Cependant, les réglementations sur la protection des données ne soulèvent pas uniquement des défis ou des problèmes. Elles peuvent également être considérées comme de nouvelles opportunité de refonder la gestion et la gouvernance des données sur des bases plus solides. Elles offrent l’occasion d’améliorer l’évaluation et la maîtrise des risques liés aux données et d’optimiser l’architecture informatique – levier de renforcement de l’efficacité opérationnelle et de réduction des coûts.
Enfin, le respect de ces nouvelles normes est également susceptible de renforcer la confiance des consommateurs.
Valerie Zeller
Valérie Zeller est Chief Marketing Officer de Sciforma. Ses intérêts : la transformation digitale, la gestion du changement, l'exécution des stratégies d’entreprise. Partagez et commentez sur twitter: @valeriezeller