RGPD : Transformer la contrainte en opportunité

Article rédigé par Nathalie Rackovic – Périclès Services et David Bois – Périclès Consulting

Le 6 mai 2018, le règlement général sur la protection des données entre en vigueur en France et toutes les organisations gérant des données personnelles de citoyens européens devront être en conformité. Si les enquêtes récentes prouvent que la majorité des organisations ne sont pas encore prêtes, il n’est cependant pas trop tard pour entamer la démarche. Mieux, RGPD se révèle comme une formidable opportunité pour mieux maitriser l’efficacité de votre système d’information et pour améliorer votre politique de relation client.

Les fondamentaux du RGPD

Le RGPD s’inscrit dans la continuité des réglementations sur la protection des données personnelles accompagnant l’évolution des technologies du 21^ème siècle et doit être perçu comme une évolution de la loi « Informatique et Libertés » de 1978.  L’objectif de ce nouveau règlement européen est double : il doit tout d’abord permettre un meilleur encadrement des transferts internationaux de données personnelles (et in fine assurer une meilleure protection des données) et permettre une réduction des divergences entre états membres de l’Union Européenne. Toutes les organisations publiques ou privées, européennes ou non, gérant des données personnelles de citoyens européens sont concernées et devront mettre en place des processus pour mieux encadrer les pratiques en termes de traitement des données.

Les changements apportés par le RGPD

Un des principaux changements apportés par cette nouvelle réglementation est relatif à la responsabilité des entités manipulant les données (acquisition, collecte, modification, destruction, etc.). Dorénavant, les sous-traitants de l’organisation responsable du traitement de données seront eux aussi soumis aux obligations induites par le RGPD. Les organisations devront respecter le principe d’obligation de documentation ou « accountability » : les traitements à risques (concernant des données sensibles) devront obligatoirement faire l’objet d’une étude d’impacts et chaque traitement devra être inscrit dans un registre mentionnant les finalités du traitement, les catégories de personnes concernées ou encore les catégories de données personnelles. Enfin, le RGPD apporte deux nouveautés majeures en termes de protection des données :

• “Privacy by design”, la sécurité des données doit être réfléchie dès la conception d’un nouveau service ou produit
• “Security by default”, le système d’information doit être sécurisé tout au long de la chaîne de traitements des données et son état de sécurité doit pouvoir être connu à tout moment

Devenir conforme en 5 étapes

Le Groupe Périclès propose une démarche de mise en conformité basée sur son analyse du texte de loi et des recommandations de la CNIL ainsi que sur ses nombreuses expériences en matière de pilotage de projet réglementaire et SI :

• Désigner un DPO (Data Protection Officer) qui sera le pilote de la mise en conformité et le relais entre les différents acteurs (IT, métiers et régulateur)
• Cadrer la démarche et identifier les priorités
• Cartographier l’ensemble des traitements de données
• Gérer les risques à travers des études d’impacts
• Organiser les nouveaux processus en interne et accompagner le changement

Il sera par ailleurs nécessaire de documenter l’ensemble de la démarche afin de respecter le principe d’accountability évoqué précédemment.

Si cette nouvelle réglementation peut s’avérer contraignante pour les organisations dans un contexte réglementaire déjà bien chargé (MIF2, PRIPS2) il faut surtout voir le RGPD comme une opportunité. Ce dernier est en effet autant un outil pour faire évoluer son système d’information vers plus de transparence et plus de sécurité qu’une nouvelle manière d’appréhender la relation client.

Les opportunités RGPD

Coté SI, cela doit tout d’abord être l’occasion de recenser les applications « hors la loi », de mettre un terme au « Shadow IT » et ainsi d’être mieux protéger notamment face aux cyberattaques. Le RGPD est par ailleurs une excellente occasion  pour faire changer les mentalités et rappeler à l’ensemble des collaborateurs l’importance de la sécurité informatique. Enfin, la nouvelle réglementation met en lumière l’importance des données et amène à se poser la question de l’exploitation de ces dernières. La cartographie des traitements va permettre de recenser l’ensemble des données traitées par l’entreprise et à l’heure du Big Data et du Machine Learning cela peut déboucher sur des innovations de processus, d’offres et de services, avec à la clé des opportunités de croissance et de différenciation.

Le RGPD doit par ailleurs être l’occasion pour les entreprises de regagner la confiance de leurs clients. Donner aux utilisateurs un meilleur contrôle de leurs données est un premier pas pour construire une relation de confiance avec eux ces derniers étant, au mieux, pas au courant, au pire, insatisfait de la gestion de leurs données personnelles. Les nouvelles obligations formulées par la règlementation doivent permettre de réhumaniser la relation client à l’heure du digital et la mise en conformité peut alors devenir un facteur de différenciation. Enfin, l’application du principe de « privacy by default » sera l’occasion de repenser le parcours client et l’expérience utilisateur sous l’angle de la protection de données notamment en intégrant le principe obligatoire de consentement systématique à la collecte.

Il n’est pas trop tard pour se mettre en conformité avec le RGPD et encore moins pour envisager cette contrainte en opportunité pour votre organisation. Vous souhaitez être accompagné dans votre démarche RGPD ?

Périclès Group et le Cercle LAB proposent deux ateliers-formations « pragmatiques et inspirants », alternant exposés pédagogiques et témoignages d’assureurs autour de leurs propres expériences en matière de gestion des données personnelles.

• Atelier RGPD 1 : “Devenir conforme” – 18 janvier 2018, de 14h00 à 18h00
• Atelier RGPD 2 : “Saisir la contrainte RGPD et la transformer en opportunité” – Le 25 janvier ou le 14 mars 2018 (2 sessions disponibles), de 14h00 à 18h00

Cliquez ici pour vous inscrire.