RGPD : se conformer sans y être tenu… pour l’instant

Votre entreprise est-elle prête à se conformer au règlement général de protection des données (RGPD) de l’UE, entré en vigueur le 25 mai dernier ? Vos dirigeants sont-ils convaincus de cette nécessité ? Ils en seraient bien inspirés, selon Lisa Loftis, Principal Management Consultant, Customer Intelligence chez ‎SAS.

De nombreuses entreprises répondent négativement à ces deux questions, ce qui n’est pas encourageant.

En termes de préparation, les nouvelles ne sont pas beaucoup plus positives qu’il y a un an, surtout dans les entreprises non-européennes. En mai 2017, Gartner donnait l’alerte en constatant que jusqu’à 50 % des entreprises concernées par cette obligation réglementaire ne seraient pas 100 % conformes avant la fin 2018. Un récent sondage de SAS confirmait l’absence de progrès : en avril 2018, SAS signalait que seulement 46 % des entreprises internationales interrogées prévoyaient d’être prêtes à la date limite (seulement 30% aux États-Unis et 53% pour l’UE).

Plus inquiétant encore est la compréhension limitée de l’impact potentiel de cette loi. Dans son rapport  « 2017 Risk:Value », NTT Security constate qu’en moyenne, seules 40 % des entreprises dans le monde s’estiment concernées par le RGPD (75 % des répondants américains et 61 % des britanniques considérant qu’ils n’en seraient pas impactés). De plus, l’étude de SAS révèle que 64 % des entreprises américaines étaient indifférentes ou ignorantes des effets de cette directive ; l’UE et le Royaume-Uni s’en tirent un peu mieux puisque respectivement 67 % et 70 % des répondants déclarent en comprendre les implications.

Indépendamment de la situation géographique, penser que cette réglementation ne s’appliquera pas à votre entreprise est une erreur pour plusieurs raisons. Tout d’abord, bien qu’elle vise à protéger les résidents de l’UE, elle a une portée mondiale : toute entreprise stockant des données personnelles sur des résidents de l’UE est directement concernée – et probablement plus étroitement que ce qu’en supposait l’opinion générale. Un sondage réalisé par Vanson Bourne pour le compte de Compuware auprès de DSI de grandes entreprises révèle que 52 % des entreprises américaines possèdent des données sur des citoyens de l’UE, ce qui les soumet de facto aux exigences légales de GDPR. Ce nombre est encore plus élevé si l’on y ajoute le nombre d’expatriés américains résidant en Europe, mais qui sont toujours clients de sociétés américaines (car ils détiennent par exemple une maison, des comptes bancaires et cartes de crédit… aux États-Unis).

 

L’attente du consommateur prend du pouvoir

 

Parallèlement, les attentes du consommateur doivent être prises en compte. Même si l’application de la loi en dehors de l’UE prendra du temps, il y a fort à parier que les utilisateurs n’hésiteront pas à exercer les droits que leur accorde ce règlement, chaque fois qu’ils le pourront.

Un sondage conduit par SAS auprès d’adultes britanniques a mis en évidence à quel point les consommateurs sont désireux de reprendre le contrôle de leurs données personnelles : près de la moitié des répondants ont déclaré qu’ils prévoyaient d’exercer ces droits et se sont déclarés informés sur ces droits. De plus :

  • 64 % sont favorables au « droit d’accès » (par exemple, obtenir une copie de leurs données personnelles détenues par l’entreprise).
  • 62 % sont favorables au « droit d’effacement » – ou « droit à l’oubli » – (par exemple, demander que leurs données personnelles soient supprimées de certains systèmes).
  • 59 % sont favorables au « droit de rectification ». (En d’autres termes, si leurs données personnelles sont inexactes ou incomplètes, ils peuvent demander à ce qu’elles soient corrigées.)
  • 56 % sont favorables au « droit d’opposition » (contester le fait que leurs données soient utilisées à des fins de marketing et de profilage).
  • 54 % sont favorables au « droit à la limitation du traitement » de leurs données, s’ils en contestent l’exactitude, et pour d’autres raisons.
  • 43 % sont favorables aux « droits relatifs à la prise de décision automatisée et au profilage ». (En d’autres termes, le droit de demander une intervention humaine s’ils ne sont pas d’accord avec une décision automatisée.)

La saga de Facebook et de Cambridge Analytica illustre parfaitement le poids des attentes des consommateurs dans l’extension de la portée des réglementations telles que le RGPD.

Le 2 mai, moins de deux mois après la révélation par le New York Times de l’ampleur des abus de Cambridge Analytica, la société était forcée de se déclarer en faillite aux États-Unis et en Grande-Bretagne car « la controverse avait découragé quasiment tout client potentiel. »

Pour sa part, Facebook voyait sa valeur en bourse plonger de près de 100 milliards de dollars par rapport à son plus-haut du 2 février dernier (elle a depuis récupéré une grande partie de cette perte). La société doit faire face à des poursuites émanant de plus de 37 États sur l’utilisation abusive des données, et la Federal Trade Commission qui mène une enquête pourrait requérir des amendes pouvant atteindre 2 milliards de dollars.

Pour Cambridge Analytica et Facebook, ces conséquences sont sans doute aussi importantes qu’elles l’auraient été si elles avaient été soumises au règlement européen de protection des données.

 

Des entreprises protègent les données – même sans y être tenues

 

Cependant, au milieu de ces mauvaises nouvelles, quelques mouvements positifs autour de la protection des données redonnent un certain optimisme.

Facebook a par exemple annoncé qu’il se conformera au RGPD (qu’il y soit tenu ou non) et a lancé des outils permettant à ses utilisateurs de savoir exactement quelles sont les applications qui collectent des données. La société a également prévenu tous les utilisateurs dont les données ont été envoyées à Cambridge Analytica. En outre, elle collabore activement avec les développeurs d’applications qui collectent des données, pour garantir la conformité aux réglementations sur le consentement et l’utilisation des données. Enfin, elle a mis en place un paramètre permettant aux utilisateurs de refuser de recevoir des publicités ciblées via l’analyse de leurs données personnelles.

D’autres signes indiquent que les entreprises commencent également à s’en soucier. Au cours des dernières semaines, j’ai reçu plus de 50 emails (j’ai arrêté de compter à 50) provenant de tous secteurs d’activités – des médias sociaux aux éditeurs en ligne, en passant par des fabricants de produits de fitness et des agences de voyage. Bien que de forme différente, ces emails ont un dénominateur commun : ils annoncent tous l’actualisation de leurs politiques de confidentialité et la plupart publient un ensemble assez détaillé de nouvelles règles dont les plus complètes couvrent des sujets tels que :

  • Les types de données personnelles collectées et leurs modes d’utilisation.
  • Les motifs légitimes de traitement de vos données personnelles et leur durée de conservation.
  • Les règles de sécurité de l’information et comment les données sont protégées.
  • Les tiers avec lesquels les données sont partagées.
  • Les droits des utilisateurs quant à leurs données personnelles et les modalités d’exercice de ces droits.

Ces efforts constituent une première étape qu’il convient de saluer.

Au bout du compte, plongez-vous attentivement dans les mesures édictées par le règlement européen sur la protection des données car, que cela vous plaise ou non, elles s’appliqueront tôt ou tard à votre entreprise … et peut-être même plus tôt que prévu.

 

**************************

Lisa Loftis Principal Management Consultant, Customer Intelligence – SAS Best Practices – ‎SAS.

Lisa Loftis, de l’équipe SAS Best Practices, a rejoint SAS en 2010. Son domaine d’expertise couvre la connaissance client, la gestion de l’expérience client et le marketing numérique. Elle a co-signé l’ouvrage «Building the Customer-Centric Enterprise ».

**************************

 

En complément :

Un livre blanc de SAS détaillant les retours d’expérience d’entreprises sur le chemin de la conformité à GDPR,

Les raisons qui poussent les GAFAM à se conformer à GDPR.