3 solutions pour être RGPD compatible le 25 mai 2018
À quelques mois de l'entrée en vigueur du règlement sur la protection des données personnelles, l'inquiétude est de mise. Feuille de route pour se mettre en ordre de marche.
Tic, tac... Le règlement sur la protection des données personnelles (RGPD en français et GDPR en anglais) entrera en vigueur le 25 mai 2018. À quelque 5 mois de son application, il semble donc (plus qu') urgent de se mettre en conformité avec ce texte qui impacte la façon dont les marques gèrent les données de leurs clients européens. Une série de mesures techniques et organisationnelles doivent ainsi être envisagées, parmi lesquelles la nomination d'un délégué à la protection des données (DPO), l'état des lieux du traitement des data en cours, ou encore la sécurisation des données (pseudonymisation et chiffrement).
Car le coût à payer en cas de manquement aux exigences est lourd : de 10 millions d'euros (ou 2 % du chiffre d'affaires mondial annuel), en cas d'absence de DPO ou de registre de données à jour, par exemple, à 20 millions d'euros (ou 4 % du chiffre d'affaires global) pour les marques n'ayant pas prévu de traitement pour les données sensibles ou ayant transféré des données hors de l'Union européenne. Sans compter les sanctions opérationnelles - à l'instar de l'obligation d'effacer certaines données -, ainsi que l'inchiffrable risque de détériorer sa réputation de marque et la confiance de ses clients. Si les géants américains, Google, Facebook et autre Amazon, grands collecteurs de données des citoyens européens, devraient être les premiers contrôlés - et le cas échéant, ils risquent d'être sanctionnés, "pour l'exemple" -, toutes les marques sont concernées et il leur appartient de saisir l'opportunité d'une remise à plat de leurs data. Pour se mettre en ordre de marche, il peut être bon d'envisager un rétroplanning ou une feuille de route, récapitulatif des principales étapes obligatoires, par exemple. Et d'allouer, bien sûr, les moyens humains et financiers nécessaires pour assurer la réussite du projet. Nombre de prestataires se sont déjà positionnés pour aider les entreprises à être "GDPR compliant", en temps et en heure : voici les solutions de trois d'entre eux.
1/ Formation, cartographie et monitoring de données sensibles... avec Coheris
"Tous nos clients nous parlent de la RGPD, mais pour la plupart se disent mal informés et ne savent pas par où commencer", glisse Lucette Gaillard, directrice marketing de Coheris, éditeur de solutions logicielles dans les domaines du CRM et de la business analytics. La professionnelle conseille, en premier lieu, "de se familiariser avec la réglementation générale sur les données personnelles, dans les grandes lignes". Puis de nommer un DPO (ou un représentant RGPD pour les petites entreprises), de cartographier les données personnelles récoltées et les traitements associés, et enfin de mettre à jour le lieu de stockage des data et le cheminement pour les retrouver. "Le RGPD met l'accent sur la finalité du traitement, explique Solen Bienaise, consultante data scientist au sein de Coheris. Les marques doivent donc être sûres, et pouvoir prouver, que toutes les données récoltées ont une utilité." Sont-elles transférées hors UE ? quel est le niveau de sécurité ? y a-t-il des données sensibles dans mon CRM ?... Autant de questions auxquelles Coheris se propose de répondre via le lancement de quatre offres mixant consulting et solutions logicielles. Au programme: une formation pratique d'une journée et une cartographie des données personnelles et sensibles Mais aussi une fonctionnalité intégrée au CRM pour que les clients soient "RGPD compatibles" et un module "RGPD Text-control", afin d'identifier les données sensibles ou interdites dans les commentaires libres d'une application.
2/ Remise à plat de sa collecte de données... avec ESV Digital
Le RGPD, une fatalité ? "Il s'agit du bon moment pour prendre du recul et balayer les problématiques de données au sein de l'entreprise", note, au contraire, Stanislas di Vittorio, CEO ESV Digital. Car il en va de l'image de la marque. "Une faille sur la sécurité devra être notifiée par la marque à tous ses clients, explique Stanislas di Vittorio. Les conséquences peuvent être dramatiques." La feuille de route conseillée par ESV Digital ? En priorité, nommer un DPO et constituer un registre de traitement des données, mais aussi faire le point sur la situation des sous-traitants, responsables avec la marque - nouveauté du RGPD - du bon traitement des données à caractère personnel. La division conseil d'ESV Digital propose ainsi des audits de marques et des formations pour constituer une roadmap des mesures techniques et organisationnelles à déployer.
3/ Un programme technologique en 3 étapes... avec DBI (Havas Group)
"Le RGPD oblige à repenser la gouvernance de la donnée dans les entreprises; c'est une chance de redonner confiance aux consommateurs dans le traitement fait par les marques de leurs data", explique Arnaud Schmite, secrétaire général du pôle media d'Havas Group. Pour les aider à faire du règlement une opportunité, DBi, agence de conseil d'Havas Group, a donc conçu, avec One Trust, un "programme technologique". Celui-ci se découpe en 3 étapes, précise Christopher Caussin, head of DBi France: "initier" (se former, nommer un DPO, évangéliser l'entreprise), "diagnostiquer" et "mettre en oeuvre". "La phase de diagnostic correspond aurecensement des data exploitées, des traitements et des acteurs impliqués, relève-t-il, mais, aussi à la collecte du consentement, à la mesure des risques ou encore à la suppression des collectes de données non utiles."
Après le diagnostic, DBI propose donc des recommandations sur l'évaluation des risques associés au traitement, sur l'optimisation des tags et sur la priorisation des chantiers. "La tendance des dernières années a été de placer trop de tags sur les sites ou de multiplier l'utilisation de solutions, de retargeting par exemple, sans besoin réel, fait part Christopher Caussin. Il est temps de changer de stratégie." Pour un acteur du retail BtoC, DBi a ainsi procédé au retrait de 20% de tags obsolètes.
Pour aller plus loin :
- Comment se préparer au RGPD ?
- Quelle est la maturité des marques sur la protection des données ?
- Fiche métier : Data Protection Officer
- 4 points du règlement sur la protection des données personnelles à anticiper
Sur le même thème
Voir tous les articles Marketing Client