Toute personne résidant dans l’Union Européenne et dont votre organisation détient des données personnelles (par exemple un employé, un client ou un prospect) pourra invoquer les différents articles du Chapitre 3 du règlement, tels que le 15 (droit d’accès), 16 (rectification), 17 (effacement, ou droit à l’oubli) ou 20 (portabilité des données) du RGPD et avoir ainsi le contrôle sur ses données.
En procédant ainsi, le requérant vous engage à un certain nombre d’actions sur les données qui lui sont associées, dans un délai d'un mois maximum à compter de la réception de sa demande. Dans le cas du droit à l’oubli, votre organisation devra aussi prouver qu’elle a effectivement procédé à la suppression de toutes les données au travers de ses systèmes d’information, ainsi que celles partagées avec des tiers. Ces mesures visent à redonner aux personnes le pouvoir sur leurs données personnelles. Refuser ou faillir à y répondre expose les entreprises défaillantes aux peines administratives maximales du RGPD c’est à dire au moins 20 millions d’euros, et au plus 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent.
Que se passera-t-il donc si à partir du 25 mai prochain, des centaines de personnes soumettent ce type demande à votre organisation ? Sera-t-elle en mesure d’y répondre, ou, à défaut, quelle sera sa réponse aux autorités de régulation, ainsi qu’à vos clients, prospects ou employés ?
De la prise de conscience à l’action
Beaucoup d’études ont alerté sur un manque de prise de conscience d’un grand nombre d’organisations quant au respect de cette nouvelle réglementation. Mais elles sont aussi de plus en plus nombreuses à avoir nommé un Data Protection Officer (ou délégué à la protection des données), rôle que la réglementation rend le plus souvent obligatoire. Les entreprises mesurent alors les risques, évaluent le chemin à parcourir pour les maîtriser, puis prennent alors le sujet à bras le corps. Une étude réalisée par IDC France pour le Syntec Numérique estime dès lors que la mise en conformité avec le RGPD aura généré en 2017 670 millions d’euros de dépenses en logiciels et services. Elle représentera plus d’un 1 milliard d’euros en 2018, et autant en 2019 pour les retardataires.
Le droit d’accès aux données personnelles apparait alors le plus souvent en tête des priorités. C’est lié à son caractère stratégique, car le non-respect de ces droits représente non seulement un risque financier, mais aussi un risque lié à la relation client et à la réputation de l’organisation. Mais c’est aussi et surtout lié à la relative complexité de sa mise en œuvre opérationnelle, notamment pour le droit à l’oubli, et pour la portabilité des données : selon le RGPD, l’organisation se doit de transmettre les données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine, et le cas échéant de les communiquer directement à une autre organisation. Dans une étude Deloitte , 64% des organisations déclarent n’avoir aucune idée du nombre de requêtes qu’elles recevront de leurs clients, prospects ou employés. Elles pourraient bien être nombreuses, à l’image des 386 038 demandes reçus par Google en l’espace de 18 mois, faisant suite à une décision de la Cour de justice de l'Union européenne (CJUE) pour la mise en place d’un formulaire de « droit à l’oubli » numérique.
Pour le RGPD, l’activation des droits des personnes suscitera-t-elle un tel engouement ? On peut l’anticiper, comme le montre une enquête où 82% des consommateurs européens ont déclaré qu'ils prévoyaient tirer parti de leurs nouveaux droits[1]. Le paradoxe est que, face à cet engouement, seulement 11% des entreprises prévoient d’automatiser les réponses aux demandes de droit à l’oubli. Les autres n’ont soit tout simplement pas prévu de respecter la réglementation (21%), soit comptent procéder manuellement au traitement de chaque requête, que ce soit de manière organisée (42%) ou ad-hoc (26%). De tels résultats laissent perplexe du fait des coûts engendrés par ce traitement manuel, mais aussi en matière de sécurité car cela implique également de donner à un groupe de personnes, l’accès exhaustif à des données sensibles au travers de toutes les applications où elles se situent (CRM, ERP, …). Cela augmente ainsi les risques de sécurité, à l’opposé des objectifs du RGPD.
De la théorie à sa mise en application
La mise en œuvre d’un système d’information pour y parvenir s’impose donc. De manière générale, on estime que le chantier IT représente entre la moitié et les deux tiers des coûts du nouveau règlement. A ce titre, l’intitulé de la réglementation est trompeur car il laisse entendre que la majorité de l’effort consiste à protéger les données, alors que l’enjeu c’est aussi de désenclaver les données. La plupart des organisations n’ont pas une vue exhaustive et intégrée de leurs données client : les systèmes qui référencent des données clients sont mal intégrés les uns avec les autres. Or, imaginez votre réaction en tant que client si, aussitôt après avoir exercé votre droit à l’oubli auprès d’un prestataire, vous receviez un e-mail de promotion sur un tout nouveau produit du fait de l’incapacité du prestataire à avoir connecté les données de son système marketing vous concernant à celles de son CRM ?
Disposer d’une vue à 360° des clients et employés est donc un prérequis pour la conformité avec les droits des personnes comme le droit à l’oubli, à l’accès, à la rectification, ou à la portabilité. Pour les entreprises qui disposent déjà de ce type de système, si tant est que leur couverture soit vraiment exhaustive, respecter les droits de la personne est une chose simple à réaliser. Mais pour la très grande majorité des organisations qui ne disposent pas encore de cette vue à 360°, le temps est compté pour la mettre en œuvre. Le data lake est l’environnement moderne pour y parvenir au plus vite, en s’appuyant sur des plates-formes d’intégration, de gestion de la qualité et de dédoublonnage, de data stewardship, de gestion des masters data et masking des données.
Grace à ces nouvelles plates-formes, l’automatisation des requêtes de droits d’accès de la personne s’avère simple à réaliser, d’autant qu’elles peuvent se mettre en œuvre de manière progressive : consolidation des données dans un hub en lecture seule dans un premier temps pour répondre aux droits d’accessibilité et de portabilité, puis prise en compte des besoins de traitements plus complexes comme la propagation des mises à jour au travers des applications de front office pour les droits de rectification ou droits à l’oubli. Plus l’échéance approche, plus les entreprises devront s’appuyer sur des solutions packagées, prêtes à l’emploi, d’où l’intérêt croissant pour les solutions cloud (en s’assurant alors de conserver la maîtrise de la localisation des données et de la maîtrise de la relation contractuelle avec l’opérateur cloud qui tient alors le rôle de « data processor » pour vos données personnelles).
Regagner la confiance des consommateurs
L’enjeu du RGPD, c’est aussi d’amener les utilisateurs à avoir confiance dans les organisations avec lesquelles ils partagent leurs données. Une façon d’y arriver est de leur donner l’opportunité de prendre la main, et d’être transparent, sur le traitement de leurs informations avec des options leur permettant d’activer leurs droits de manière autonome.
Des fonctionnalités de droit à l’oubli en ligne ou la portabilité sont déjà proposées par certaines entreprises, dont Twitter, Lindekin ou Facebook mais c’est l’exception plutôt que la règle. La loi jusque-là en vigueur dans certains pays européens, dont la France, autorise déjà certains droits comme les droits d’accès, de rectification et d’opposition aux données personnelles, mais la consultation des informations légales sur ce sujet, que la CNIL impose de publier, révèlent le plus souvent des mécaniques d’un autre âge pour y répondre. Lorsqu’un point de contact pour exercer ces droits est indiqué dans les mentions légales sur le respect de la vie privée (ce que la loi impose), il n’est que très rarement en self-service. Le plus souvent, y compris pour certains grands leaders du numérique, il s’agit d’une adresse postale ! Désormais, le RGPD impose que les données soient communiquées sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement. Mais au-delà des exigences règlementaires, on peut s’interroger sur l’impact que peuvent avoir de telles pratiques à l’heure où les entreprises souhaitent se différencier grâce au numérique et gagner la confiance des consommateurs. Le droit à l’oubli ou à la portabilité des données personnelles devraient donc être parmi les principaux sujets de préoccupation des entreprises à moins de 6 mois de l’entrée en vigueur du RGDP.
Les organisations risquent fort de se retrouver devant le fait accompli et remédier précipitamment à la difficulté de répondre correctement et dans les délais à ces demandes. Au-delà des risques financiers bien plus importants qu’avec la précédente loi, l’impact d’un non-respect des droits sur leurs relations client et employé l’est encore plus. Finalement, le RGDP est une parfaite opportunité pour permettre à l’entreprise de se rapprocher de ses clients, qui n’auront alors aucune raison d’exercer leur droit à l’oubli malgré la possibilité qui leur est désormais offerte.