VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
VIE PR I V ÉE À L’È R E DU N UMÉR I QUE D U B I G DATA AU SMART DATA
ÉDITO
Le contexte actuel d’hyper-connectivité La révolution de la donnée ne se fera donc
associé à l’émergence de nouvelles pas sans confiance. Pour les organisations,
technologies telles que le data mining, les la perdre c’est prendre le risque de la
objets connectés ou encore l’intelligence non adoption de leurs nouveaux services
artificielle, conduit à une véritable digitaux. Il convient donc de s’adapter et
révolution de la donnée. Celle-ci représente se poser de nouvelles questions : comment
plus que jamais un levier de transformation concilier valorisation de la donnée, respect
numérique et sa valorisation devient un de la vie privée des citoyens et conformité à
enjeu stratégique et prioritaire pour les la réglementation ? Comment passer d’une
organisations. approche « big data » à une approche
« smart data » ? Un équilibre est à trouver.
Jusqu’à présent, l’approche favorisée a
Certains verront dans la situation globale
été la récolte massive et systématique des
une vraie opportunité de faire du respect
données personnelles. Les organisations
de la vie privée un atout. Et vous, comment
sont ainsi parvenues à constituer
allez-vous tirer parti de cette révolution ?
d’importantes bases de données mettant
Quels nouveaux usages allez-vous
à profit l’ensemble de notre écosystème
développer et comment ?
personnel et professionnel connecté. Mais
depuis peu, le paysage réglementaire sur
le sujet du respect de la vie privée évolue.
En découle une prise de conscience inédite
des citoyens et une crise de confiance en
devenir.
Les organisations sont prévenues : après
des années d’acceptation, les citoyens,
conscients de leurs droits, veulent récupérer
la maîtrise de leurs données pour ne les
confier qu’aux tiers choisis.
GÉRÔME BILLOIS- Partner
www.wavestone.com
Dans un monde où savoir se transformer est la clé du succès, Wavestone s’est donné pour
mission d’éclairer et guider les grandes entreprises et organisations dans leurs transformations
les plus critiques avec l’ambition de les rendre positives pour toutes les parties prenantes.
C’est ce que nous appelons « The Positive Way ».
2 3
SOMMAIRE
AUTEURS
Raphaël BRUN Débora DI GIACOMO
Raphaël est Senior Manager Débora est Senior Manager
au sein de la practice au sein de l’équipe Services
Cybersécurité & Confiance Européens. Elle possède une
numérique avec une exper- expérience solide en straté-
tise développée depuis gie IT et business, notam-
plusieurs années en matière ment dans le domaine des
institutions Européennes.
06
de protection des données
Elle travaille sur des sujets
personnelles. Il pilote des programmes de mise en
tels que la digitalisation des services publics, l’inte-
Les citoyens en alerte sur la protection
conformité dans de nombreux secteurs (grande de leur vie privée numérique
distribution, transport, assurance, …) et accom- ropérabilité, l’évaluation de l’impact des politiques
pagne la mise en conformité de plusieurs projets Européennes, des analyses coût-avantages et des
règlementaires auprès de l’état (valorisation des études de faisabilité.
données de santé, fraude dans les transports). debora.digiacomo@wavestone.com
Raphaël a également travaillé à la conception
de processus de gestion des crises cyber et à la
18
conduite d’exercices de crise.
raphael.brun@wavestone.com Une responsabilisation des organisations
à l’échelle mondiale
Damien LACHIVER Anaïs ETIENNE
Anaïs est consultante au sein
Damien est Manager au sein
de la practice Cybersécurité
de la practice Cybersécurité
& Confiance Numérique. Au
& Confiance Numérique avec
38
travers de ses missions et
une expertise en protection
notamment de programmes Aller au-delà du RGPD pour le respect de la vie privée ?
des données et en gestion
de crise cybersécurité. Il
de mise en conformité RGPD De véritables opportunités business
pour de grands comptes,
pilote notamment des pro-
elle a développé une expertise dans la protection
grammes de mise en conformité au règlement
de données à caractère personnel et la gestion
européen RGDP et des projets de simulation de
des risques.
crise cybersécurité.
anais.etienne@wavestone.com
damien.lachiver@wavestone.com
51
Conclusion
Adèle COUDERT Nous tenons à remercier chaleureusement Gwendal
Adèle est consultante au
Le Grand, Tristan Nitot et Benjamin André de nous
sein de la practice Financial
Services. Elle intervient sur avoir accordé trois entretiens venus enrichir cette
des projets de protection publication. Nous remercions également Pascal
des données personnelles Vidal et Nick Prescot pour leur contribution ainsi
et des programmes de mise que tous les consultants Wavestone dont les retours
en conformité au règlement d’expérience ont rendu possible l’élaboration de
européen RGPD. ce document.
adele.coudert@wavestone.com
4 5
LES CITOYENS EN ALERTE
SUR LA PROTECTION
DE LEUR VIE PRIVÉE NUMÉRIQUE
6 7
UNE SECONDE ENQUÊTE INTERNATIONALE Statistiques du sondage
Wavestone commandite régulièrement Cette seconde enquête a été menée
des sondages auprès des citoyens afin de auprès de 3 620 citoyens originaires de
mesurer les tendances en matière de vie six pays à travers le monde : Belgique,
privée. Chine, France, Allemagne, Royaume-Uni, SEXE
Etats-Unis. Ces pays ont été sélectionnés
U n p re m i e r s o n d a g e a fa i t l ’o b j e t dans le but de représenter les éventuelles 51%
d’une étude « la vie privée à l’ère du disparités sur la perception de la vie privée FEMMES
numérique », publiée en 2016. Les dans les pays concernés en fonction de
observations de cette étude ont été mises leur situation socio-économique mais 3620 ÂGE
49%
en relief par un second sondage, mené en aussi de leur cadre réglementaire local. HOMMES
octobre 2018. Cela nous a notamment Les répondants à l’étude sont répartis citoyens
permis de mesurer l’impact de l’entrée de manière homogène selon leur sexe
en vigueur du RGPD sur la sensibilité des et leur tranche d’âge. Il n’y a ainsi pas
citoyens vis-à-vis du respect de leur vie
de sur-représentation de la tranche de NATIONALITÉ
20 à 34 ans, qui pourrait avoir une plus
privée.
grande sensibilité aux problématiques de
protection de la vie privée.
23%
29% 37% 30%
2% 2%
MOINS DE 20 ANS ENTRE 20 ET 34 ANS ENTRE 35 ET 54 ANS ENTRE 55 ET 74 ANS PLUS DE 75 ANS
17% 17% 17% 17% 17% 17%
BELGIQUE CHINE FRANCE ALLEMAGNE ROYAUME-UNI ETATS-UNIS
(N=603) (N=600) (N=605) (N=612) (N=600 ) (N=600)
8 9
U N E P R I S E D E CO N S C I E N C E D E S C I TOY E N S Historiquement, le respect de la vie privée UNE CONFIANCE ENVERS LES TIERS QUI
INÉDITE était intimement lié à la notion de liberté : DÉCROÎT…
liberté de préserver une forme d’anonymat de la population mondiale
Une prise de conscience globale de la Une baisse générale dans le niveau de considère que son niveau de
dans ses activités et de disposer d’une
confiance envers les tiers sur
population capacité à s’isoler pour protéger ses confiance envers les tiers
32% le sujet de la protection de
intérêts. Aujourd’hui, face à une collecte Cette baisse de confiance accordée aux leur vie privée a diminué de-
des sondés déclarent être toujours plus massive de données à tiers peut très bien s’expliquer par la puis l’année dernière
préoccupés par le respect caractère personnel sous toutes ses multiplication des violations de données,
94% de leur vie privée soit une
augmentation de 19% en
formes, les citoyens associent clairement ou a minima par le relais médiatique
la protection de leur vie privée avec la qu’elles rencontrent, comme ce fut le cas
deux ans
maîtrise de leurs données. pour les scandales Facebook/Cambridge
Comme en 2016, les citoyens ont d’abord Analytica et Equifax.
Une prise de conscience inédite ! Les défini le respect de la vie privée comme
résultats de notre enquête tendent à le fait de contrôler « qui obtient des
démontrer que la vie privée est devenue informations sur moi ». Pensez-vous que votre niveau de confiance envers les organisations a changé au cours
un sujet de préoccupation mondial,
de cette dernière année en ce qui concerne l’utilisation de vos données ?
et pas seulement Européen, et que les
attentes qui en découlent sont similaires Avant même de savoir quelles données sont
sur tous les continents. En définitive, nous collectées et pour quels usages, la protection
constatons généralement peu, voire pas de la vie privée est avant tout associée à la ca-
pacité donnée de choisir les tiers qui collectent
Je fais davantage confiance aux organisations 16%
de différence entre les statistiques des
différents pays. Cette sensibilité à la vie
et manipulent leurs informations Mon niveau de confiance est inchangé 44%
privée prend de l’importance d’année en 32%
Je fais moins confiance aux organisations
année et devrait s’inscrire dans la durée,
portée notamment par le durcissement et En définitive, les individus sont prêts à Pas d’opinion 8%
la multiplication des règlementations. partager leurs données personnelles à
des tiers mais cela a un prix : celui de la
Pour les citoyens, la protection de la vie confiance.
privée est liée avant tout à la maîtrise de
leur vie numérique
Pour 2/3 des citoyens, le res-
pect de la vie privée est as-
2/3 similable au respect de la vie
privée sur le net
Dans notre étude de 2016, nous
soulignions l’évolution du sens de la « vie
privée » avec l’émergence du numérique.
10 11
Le RGPD a provoqué une crise de confiance en Europe !
Du fait de la complexité renvoyée, des annonces de fuites maintenant publiques et des scandales associés,
les citoyens sont méfiants.
Pensez-vous que votre niveau de confiance envers les organisations a changé au cours de
cette dernière année en ce qui concerne l’utilisation de vos données ?
2% 13% 3% 2% 3% 10%
9% 9% 7% 9%
7% Je fais beaucoup plus confiance aux organisations
42% 21% Je fais un peu plus confiance aux organisations
48% 48% 44% 40% Mon niveau de confiance est inchangé
Je fais beaucoup moins confiance aux organisations
15% 43% Un quart des citoyens sont des « privacy nouveaux usages digitaux et le
14% 14% 16% 17% Je fais un peu moins confiance aux organisations
absolutists » : quel que soit l’usage fait partage de ses données comme
16% Pas d’opinion
8% 23% 23% 22% 20% de leurs données, ils y sont défavorables contrepartie pour y avoir accès.
16% 12% 5% 5% 7% Autre constat issu de notre sondage,
4% 6%
quel que soit l’usage fait des données, // 30% de la population peut être qua-
BELGIQUE CHINE FRANCE ALLEMAGNE ROYAUME-UNI ÉTATS-UNIS lifiée de « privacy in doubt ». Cette
(N=603) (N=600) (N=605) (N=612) (N=600) (N=600) les proportions de sondés prêts ou pas
au partage de leurs données ne varient catégorie comprend l’intérêt du
que très peu. En conséquence, l’usage partage de ses données pour accé-
Notre étude dresse un bilan sujet notamment grâce à la médiatisation des données n’est probablement pas le der à un service. Cependant, elle a
particulièrement surprenant pour les pays du RGDP, aux efforts d’évangélisation cœur du sujet. L’analyse des résultats du besoin d’un cadre clair lui permet-
Européens. Malgré l’entrée en vigueur des autorités de contrôle, voire même sondage (comme illustré sur le graphique tant d’accorder sa confiance au tiers
du RGPD, une règlementation supposée de leur propre organisation. Ce chiffre ci-dessous) nous permet de distinguer à qui elle les confie. Une conformité
leur redonner confiance, et les efforts peut traduire également une mauvaise aisément trois natures de comportements au RGPD, accompagnée d’une com-
fournis par les organisations pour s’y compréhension des efforts fournis par les vis-à-vis des données. munication claire et transparente
conformer, 68% de nos sondés Européens organisations ou une méfiance de plus en peut constituer ce cadre et ainsi la
// 45% de la population peut être qua-
ne perçoivent aucun changement sur la plus développée envers celles qu’ils voient convaincre de partager ses données.
lifiée de « privacy comfortable ».
maîtrise de leurs données. Pire encore, comme des « boîtes noires » traitant leurs Elle est favorable au partage de
certains ont même le sentiment d’avoir données. Les quelques campagnes de ses données. Cette catégorie n’a // 25% de la population peut être
moins de maîtrise sur leurs données. renouvellement de consentement et les pas attendu l’entrée en vigueur qualifiée de « privacy absolutists ».
Cette crise de confiance traduit une différentes communications autour du du RGPD ou de nouvelles actions Cette catégorie est particulièrement
forme de prise de conscience des RGPD n’auront pas suffi et ceci à juste de communication de la part des réfractaire au partage de ses don-
enjeux autour de la protection de leurs titre : la confiance prend du temps à se organisations pour accepter les nées. Contrairement à la catégorie
données : ils sont mieux sensibilisés au bâtir.
12 13
précédente, une conformité à la catégorie voire même de trouver les Un irritant persiste : la sollicitation qualitatives qui ne soient pas uniquement
règlementation ne sera pas suffisante leviers pour la convaincre de sous- commerciale non désirée centrées sur l’appétence de la personne
pour la convaincre. Il faudra donc crire à des services digitaux consom- pour le contenu transmis. En investissant
réfléchir à d’autres moyens de créer mateurs de données. Quelques pistes dans la protection de la vie privée, les
de nos sondés déclarent organisations pourront se concentrer sur
la confiance. Le vrai challenge pour seront proposées dans la troisième
avoir déjà demandé à
un marketing personnalisé et plus efficace.
les organisations sera alors de limi- partie de cette étude.
1/3 une organisation de ces-
ser de leur envoyer de la Le recours à la collecte systématique
ter la progression de cette troisième
communication d’un consentement clair et éclairé tel
que préconisé par le RGPD constitue une
première piste pour minimiser les plaintes
Malgré le peu d’importance accordée à
et la perte de confiance. Pour aller plus loin,
l’usage fait des données confiées, l’un
proposer une personnalisation plus fine
Veuillez évaluer la pertinence de l’utilisation de vos données personnelles d’entre eux continue néanmoins à irriter
de la relation commerciale, par exemple
dans les situations suivantes : les citoyens : la sollicitation commerciale
en collectant des consentements même
non désirée. Historiquement, les équipes
lorsque le RGPD ne le requiert pas ou en
marketing ont eu tendance à collecter un
permettant un paramétrage plus fin de la «
maximum de données de contact pour avoir
pression relationnelle » exercée, est un levier
25% le plus de chance d’envoyer le bon email à la
26% 28% 23% 28% 27% 23% intéressant pour garder ou établir le lien de
DE « PRIVACY bonne personne. Néanmoins, cette pratique
ABSOLUTISTS »
confiance avec les individus. L’idée est de
a une conséquence majeure : un agacement
véritablement susciter son intérêt, établir
certain des individus sollicités de manière
un dialogue avec ses destinataires pour
30% 35% 32% 30% 29% 27% 28%
répétée.
construire une relation sur la durée.
Cela se traduit concrètement dans les
DE « PRIVACY IN
DOUBT » chiffres : un tiers de nos sondés déclarent
avoir déjà demandé à une organisation de … QUI SE MATÉRIALISE PAR UNE POSTURE
cesser de leur envoyer de la communication. DES CITOYENS PLUS OFFENSIVE POUR
45% 40% 40% 47% 41% 46% 49%
Il s’agit d’ailleurs l’exercice de droit le plus PROTÉGER LEUR VIE PRIVÉE
demandé. L’autorité de contrôle française
confirme ces chiffres et indique que 21%
DE « PRIVACY
COMFORTABLE » des plaintes réceptionnées portent sur de nos sondés déclare avoir
Sollicitation
commerciale via
Suggestions d’achat Publicité Être enregistré
personnalisées en personnalisée en ligne par des caméras
Vos courriels et
SMS sont consultés
Le contenu que vous
partagez sur les
la prospection commerciale, avec une 1/2 déjà exercé ses droits dans
hausse importante de plaintes concernant l’année passée
SMS / mails fonction de votre basée sur votre histo- de sécurité et scannés à des réseaux sociaux faisant
historique d’achat rique de navigation dans des lieux fins d’enquête l’objet d’une analyse la prospection par SMS. Vu de l’individu,
publics antiterroriste à des fins d’enquête cette forte sollicitation à mauvais escient
pour lutter contre a pour impact direct la détérioration
l’évitement fiscal Au-delà d’une simple prise de conscience,
Inapproprié Ni l’un ni l’autre Approprié de la relation de confiance avec le tiers
les citoyens adoptent une posture
concerné, conséquence identifiée en
offensive pour protéger leur vie privée. Les
première position par nos sondés.
citoyens n’acceptent plus l’intrusion des
Il y a un donc un véritable enjeu à organisations dans leur vie privée et ainsi
construire des bases de données marketing sont moins enclins à accepter la collecte
14 15
massive de leurs données. Pour pallier des
années d’acceptation, certains d’entre
eux ont pris les devants et cherchent à « En 2018, la CNIL
en récupérer la maîtrise avec les moyens
qu’ils ont à disposition et notamment ceux
[Commission Nationale
que leur donne le RGPD. Très concrètement, de l’Informatique et des
ils n’hésitent pas à faire valoir leurs droits,
et même à avoir recours à des plaintes
Libertés française] a
collectives lorsque le cadre règlementaire réceptionné un total de
dans lequel ils évoluent le leur permet. 11077 plaintes sur l’année,
Face à la crainte de dépeupler leurs bases soit une augmentation de
de données clients, à date seulement 15%
des organisations ont fait le choix de mener
32% par rapport à l’année
des campagnes de renouvellement des précédente.»
consentements. Les citoyens ont donc tiré
parti du renforcement de la réglementation GWENDAL LE GRAND,
pour retirer spontanément leur accord à la Directeur des technologies
réalisation de certains traitements voire et de l’innovation CNIL
pour demander la suppression pure et
simple de l’intégralité de leurs données. LinkedIn, etc. Pour mettre en évidence
Plus d’un sondé sur deux déclare avoir déjà les dérives et sensibiliser le grand public,
exercé ses droits dans l’année passée : une Privacy International organise également
nette augmentation des demandes qui se annuellement un concours nommé « les
constate également sur le terrain du côté Big Brother Awards » pointant les pires
des organisations. Lorsqu’ils ne sont pas atteintes à la vie privée et aux libertés des
satisfaits de la réponse à leur demande en citoyens.
termes de délais ou de qualité, les citoyens
Clairement, les citoyens et associations
n’hésitent pas non plus à saisir les autorités.
de consommateurs commencent à
Pour gagner en force de frappe et véritablement se saisir du sujet. Et c’est
rationnaliser les coûts, les consommateurs un véritable risque pour les organisations !
se regroupent et mettent en place des Leurs nouveaux services digitaux pourraient
plaintes collectives. Ils sont pour cela ne pas être adoptés par le grand public en
accompagnés par des associations de absence d’un bon niveau de confiance des
consommateurs (les plus connues étant utilisateurs. La preuve : 26% de nos sondés
NOYB, Privacy International, La Quadrature ont arrêté d’utiliser certains services afin
du Net) qui se positionnent comme les de protéger leur intimité numérique et de
défenseurs des droits des citoyens sur garder la maîtrise de leurs données. Dès
leurs données. Ces associations n’hésitent lors, il est impératif de répondre présent en
pas à s’attaquer aux géants du numérique s’attachant à construire ou reconstruire des
comme Google, Amazon, Facebook, relations sur des bases saines.
16 17
UNE RESPONSABILISATION
DES ORGANISATIONS
À L’ÉCHELLE MONDIALE
18 19L E RG P D, L’O CC A S I O N P O U R L E S C’est aussi l’occasion pour les organisations
ORGANISATIONS HORS EUROPE D’ANTICIPER qui ne sont pas directement concernées à
date d’anticiper une potentielle évolution
U N E É VO L U T I O N D E L A R È G L E M E N TAT I O N
de la règlementation au sein de leur pays.
DANS LEUR PAYS
D’une part, parce que le numérique n’a
La protection de la vie privée est devenue pas de frontière, la protection de la vie
un sujet à l’échelle internationale. En 2016, privée exige un cadre mondial harmonisé.
notre rapport présentait un panorama D’autre part, parce qu’il existe une véritable
des cadres juridiques de protection des demande en la matière, autant au niveau des
données à caractère personnel et soulignait citoyens (notre sondage le prouve), qu’au
une véritable évolution ces dernières niveau des organisations elles-mêmes. A
années. Depuis l’entrée de la notion de vie titre d’exemple, le patron d’Apple, Tim Cook,
numérique dans les textes législatifs, les a fait l’apologie du RGPD en début d’année
règlementations se sont multipliées. L’Union dans le cadre d’une tribune dédiée pour
Européenne s’est positionnée comme une Time Magazine1 en demandant notamment
locomotive de cette tendance avec le la mise en place d’une règlementation
RGPD, mais les autres pays ne sont pas en similaire pour les Etats-Unis.
reste et nous assistons à une structuration
Gwendal Le Grand confie d’ores et déjà
globale des règlementations autour des
collaborer avec des autorités internationales
données à caractère personnel.
sur les sujets de la vie privée : « d’autres
Le RGPD s’applique à toutes les autorités cherchent, dans la vague du RGPD,
organisations établies sur le territoire de à se doter également de lois nationales
l’Union Européenne ou dont l’activité cible ou régionales ». Dans son bilan annuel, la
directement des résidents Européens. CNIL indique aussi se rapprocher avec ses
Dès lors, il impose naturellement une homologues d’Asie (APPA) pour « échanger
appropriation de ses concepts et exigences sur l’impact du RGPD dans cette région,
du sujet au-delà des frontières de l’Europe. réfléchir sur les perspectives de coopération
Et le caractère transfrontalier se démontre et le partage d’expertise ». Le but ? « Réussir
rapidement puisque c’est une entreprise la diplomatie de la donnée tant en Europe,
américaine qui a fait l’objet de la plus grosse avec nos homologues du CEPD [Comité
sanction. Google a en effet écopé d’une Européen de Protection des Données],
amende de 50 millions d’euros de la part comme sur le plan international » précise
de l’autorité française de contrôle en janvier Gwendal Legrand.
2019 à la suite d’une plainte collective de ses
Aujourd’hui, tout indique que le RGPD est
citoyens. L’agence de contrôle française fait
en passe de devenir LA référence mondiale
part d’une coopération européenne autour
en termes de cadre règlementaire de
de cette sanction pour déterminer les
protection de données à caractère
principes à mettre en œuvre dans ce cadre.
personnel.
1. http://time.com/collection/davos-2019/5502591/tim-cook-data-privacy/
20 21LE RGPD, UN PREMIER PAS VERS UN NUMÉRIQUE DE
CONFIANCE ?
les assistants personnels, la blockchain, le 2018. Dans ce cadre, nous leur expliquons les
design des interfaces, le partage de données fondamentaux de la loi mais veillons surtout
etc. à répondre à leurs interrogations propres.
La CNIL investit également dans Cela leur permet ensuite de développer leurs
l’accompagnement de startups. Nous activités en respectant le cadre fixé par le
GWENDAL LE GRAND, comme sur le plan international. On discute sommes déjà présents dans les lieux comme RGPD. Pour continuer à les accompagner,
avec un certain nombre d’états ou de station F, nous y proposons des ateliers sur nous venons également de mettre en place
Directeur des technologies régions du monde, qui, dans la vague du le thème de la protection de la vie privée. une rubrique dédiée sur le site https://www.
et de l’innovation, CNIL RGPD, cherchent à se doter également de Cela nous a permis de rencontrer plus de cnil.fr.
[Commission Nationale lois nationales ou régionales. Nous avons 400 représentants de startups sur l’année
notamment travaillé avec des partenaires
de l’Informatique et des asiatiques, avec les Etats-Unis et dans le
Libertés] cadre de la convention 108 du conseil de
l’Europe. Ce sont des travaux qui sont bien
évidemment amenés à se poursuivre.
ROYAUME-UNI ET VIE PRIVÉE, QUELLES
LE RGPD A-T-IL PERMIS LA
PRISE DE CONSCIENCE ESCOMPTÉE ? AU NIVEAU DES CONTRÔLES ET SANCTIONS, QUEL PERSPECTIVES ?
BILAN ET QUELLES PERSPECTIVES ?
Le RGPD est entré en application le 25 mai
2018 et c’est un texte que tout le monde Côte chiffres, l’année dernière environ 300
s’est approprié : les organisations, les contrôles ont été effectués (en ligne, sur NICK PRESCOT, expert relèvent d’infractions pénales. La principale
particuliers et les autorités de protection place ou sur pièces) et on dénombre 11 préoccupation concerne l’éventuel statut de
Cybersécurité & Confiance «pays tiers» du Royaume-Uni après sa sortie
des données. Les citoyens ont tiré parti sanctions en France.
de leurs droits et les ont davantage On le sait, le pouvoir de sanction des autorités Numérique, Wavestone, de l’UE qui réclamerait la mise en place
exercés auprès des organisations. En a sensiblement augmenté avec le RGPD. Royaume-Uni d’un nouvel accord sur le traitement des
résulte une augmentation significative Pendant très longtemps la sanction maximale données. Cela aurait été coûteux à mettre en
du nombre de plaintes : si on regarde les que la CNIL pouvait infliger s’élevait à 150 K€. œuvre dans le cas d’un Brexit sans accord
chiffres, la CNIL a reçu 11077 plaintes sur Ce montant est passé à 3M€ avec la loi pour mais cette hypothèse ne semble pas se
l’année dernière, soit une augmentation une République Numérique en 2016. Il s’élève réaliser. A partir du moment où le Parlement
maintenant à 20M€ ou 4% du CA mondial.
LA PROTECTION DE LA VIE britannique ratifie un accord de retrait, il
de 32% par rapport à l’année précédente .
Il faut garder à l’esprit qu’une procédure PRIVÉE EST-ELLE UNE PRIORITÉ devrait y avoir une période de transition
jusqu’en décembre 2020 pendant laquelle
de sanction prend du temps : une part des POUR LES ORGANISATIONS
QUELS SONT LES SUJETS QUI SUSCITENT LE PLUS DE contrôles aboutit à une mise en demeure.
BRITANNIQUES DEPUIS LA CRÉATION DU RGPD ?
la situation actuelle perdurerait. Après cette
La procédure de sanction est généralement date, il sera nécessaire de mettre en place un
PLAINTES ? nouvel accord sur le traitement des données.
engagée lorsque l’organisme ne s’est pas mis Pour de nombreuses organisations
en conformité à l’issue du délai imparti par la britanniques, l’impact du RGPD a été
À date, les plaintes reçues par la CNIL restent mise en demeure. Cette procédure implique QUELLES SONT LES PERSPECTIVES POUR LES MOIS À
assez « traditionnelles ». Elles sont surtout important car il n’a pas seulement été abordé
elle-même le respect du contradictoire,
liées à la volonté de maitrise des données comme un nouveau standard intra-européen VENIR EN MATIÈRE DE VIE PRIVÉE ?
de manière à ce que l’organisme incriminé de protection des données personnelles. En
à disposition en ligne (déréférencement, puisse se défendre. Les autorités activent raison des liens étroits entre le Royaume- La confidentialité des données à caractère
suppressions de contenu sur des blogs, des progressivement, au fur et à mesure que Uni et les Etats-Unis, il a été vu comme personnel est devenue un concept de plus en
sites de presse ou des réseaux sociaux etc.). les procédures de contrôle se déroulent, les une norme mondiale (de nombreux sièges plus important pour la génération des 18-25
On réceptionne aussi beaucoup de plaintes nouveaux plafonds permis par le RGPD. sociaux Europe/Afrique/Moyen-Orient ans au Royaume-Uni. Les scandales récents
liées à la prospection commerciale et aux En ce qui concerne les contrôles à venir, d’organisations internationales sont établis comme la fuite de 500 millions de comptes
questions RH. Sur ce dernier point, ce sont trois thématiques seront particulièrement au Royaume-Uni). Les organisations ont Facebook et le scandale Cambridge Analytica
en particulier les activités de surveillance concernées en 2019 : les droits des donc investi dans la mise en conformité au ont rendu cette génération beaucoup plus
qui font l’objet de plaintes : surveillance personnes, les sous-traitants et les données RGPD, et elles continuent à travailler pour consciente des données qu’elle partage
au travail, surveillance d’activité ou des mineurs. faire en sorte que celle-ci soit maintenue en ligne. Cette tendance est récente car
vidéosurveillance. On constate également
dans le temps ! la société commence progressivement à
l’émergence de plaintes collectives. Ce sont
prendre conscience des données détenues
notamment des plaintes des associations la INNOVATION ET RGPD, UN MARIAGE POSSIBLE ? par des entreprises tierces mais aussi des
quadrature du net et NOYB (menée par Max
Le pari du législateur européen est de efforts qu’elles font pour les protéger. Par
Schrems) qui ont donné lieu récemment à la LA MENACE DU BREXIT A-T-ELLE UNE INFLUENCE SUR ailleurs, les suites de la fuite de données
plus grosse sanction prononcée à ce jour par concilier innovation et droits des personnes,
la CNIL. en définissant le cadre pour une innovation LES EFFORTS DÉPLOYÉS POUR SE CONFORMER AU qui a touché British Airways en décembre
responsable. RGPD ? 2018 vont être particulièrement scrutées car
En outre, notre site (linc.cnil.fr) traite de elles sont amenées à faire jurisprudence, en
ET À L’INTERNATIONAL, QUEL BILAN ? ces questions des nouvelles technologies Le Brexit, reporté au 31 octobre 2019, ne remet particulier le montant de l’amende infligée
en adhérence avec la protection de la vie pas en cause la mise en œuvre des principes par l’ICO (n.d.l.r. Information Commissioner ’s
Le but est de réussir la diplomatie de la privée. Nous y publions régulièrement des du RGPD au Royaume-Uni, puisqu’il a été Office, l’autorité de contrôle britannique).
donnée avec nos homologues au niveau dossiers sur des thématiques nouvelles : décliné localement dans la loi britannique Il sera intéressant de voir si British
CEPD, groupe des CNIL européennes, de 2018 sur la protection des données. Airways écope d’ une amende de 2% du
Cette législation va même plus loin puisque chiffre d’affaire mondial comme toutes les
certaines infractions liées à la manipulation organisations le craignent !
ou la violation de données personnelles
22 23DES EFFORTS IMPORTANTS MENÉS PAR LES À DAT E , U N E CO N FO R M I T É G LO BA L E P O U R également prioriser la conformité «
visible » pour ne pas attirer l’attention des
ENTREPRISES POUR SE CONFORMER AU RGPD L E S O R G A N I S AT I O N S D U PA N E L M A I S D E S
DÉFIS À VENIR POUR PÉRENNISER LA autorités de contrôle. Paradoxalement, il
est intéressant de noter que, contrairement
DÉMARCHE…
à ce que l’on observe du côté des clients,
Les chiffres le prouvent : les organisations la confiance envers son employeur en ce
du panel se sont saisies du sujet et ont qui concerne l’utilisation de ses données
fait des efforts afin de se mettre en personnelles semble avoir progressé
conformité. L’un des effets positifs de (même faiblement) ces dernières années.
LE NOMBRE DE DPO A INVESTISSEMENT
ces investissements est une meilleure Ceci peut notamment s’expliquer par
TRIPLÉ EN MOYENNE DE 4.9M
compréhension de la donnée au sein de l’attention historique que les organisations
pour les organisations dans
de 5 000 CIL à 16 000 DPO les programmes de mise en leur organisation. Si le niveau de conformité ont attaché à la protection des données
en un an conformité atteint est globalement satisfaisant, deux de leurs collaborateurs, notamment dans
100K 20M points de vigilance sont à souligner : le cadre de l’application du droit du travail
d’euros d’euros ou de la gestion des relations sociales.
Les attentes en termes de protection des
( pour les entreprises du panel)
Il faut traiter pleinement la mise en données étaient donc généralement déjà
conformité du volet RH respectées avant l’arrivée du RGPD, et le
90% 91% 87% niveau de maturité sur le sujet des filières
RH déjà élevé.
des organisations ont mis des organisations ont identifié des organisations ont
des interrogés déclarent
même que la prise en compte Si l’approche initiale choisie peut donc
à jour LEUR FORMULAIRE DE LES CONTRATS À COUVRIR ET lancé des CAMPAGNES DE
de la protection de leur vie sembler pragmatique, en particulier
COLLECTE DE DONNÉES POUR
DEMANDER UN CONSENTEMENT
LES TRANSFERTS DE DONNÉES
EN EXTERNE
SENSIBILISATION À LA VIE
PRIVÉE 30% privée pourrait constituer le pour les organisations B2C, il convient
critère principal de choix de néanmoins de ne pas négliger les données
leur employeur des salariés. La confiance croissante ne
signifie pas pour autant que l’attente
84% 77% Sur le terrain, nous constatons que les des salariés soit moins importante vis-à-
organisations ont souvent pris le parti de vis de leur employeur. Nous retrouvons
des organisations ont un des organisations considèrent concentrer leurs efforts sur les données en effet des proportions similaires
PROCESS POUR NOTIFIER LES avoir DES MESURES DE
VIOLATIONS DE DONNÉES À PROTECTION DES DONNÉES des clients plutôt que sur les données d’interrogés pour lesquels la protection
CARACTÈRE PERSONNEL, A ADAPTÉES des employés. Deux raisons à cela : ne des données est importante au sein même
MINIMA À SON AUTORITÉ DE de leur organisation que ce que l’on voit
pas altérer durablement la relation de
CONTRÔLE
confiance établie avec les clients mais vis-à-vis des organisations tierces.
Présentation du benchmark réalisé auprès de 24 organisations de différents secteurs
6 mois après l’entrée en vigueur du RGPD
Afin d’apprécier les travaux menés par les organisations au regard du respect de la vie privée,
Wavestone a mené un état des lieux auprès de 24 de ses clients français et internationaux.
Pour ce faire, nous avons capitalisé sur les données de nos accompagnements de
programme menés tant sur le périmètre Français qu’international. Le but ? Estimer le
niveau de conformité global des organisations au RGPD et mettre en lumière les principaux
enjeux et les tendances à venir sur la base de notre expérience. Les chiffres qui suivent
sont tirés de ce benchmark.
24 25Il est crucial de maintenir et renforcer la … R E P E N S E R L E SY ST È M E D ’ I N FO R M AT I O N consentement par silo et ne peuvent
relation de confiance avec ses employés AUTOUR DE LA DONNÉE donc pas garantir une complète maî-
pour les organisations. Ceci est d’autant « Le RGPD exige la mise en trise de son utilisation.
L’entrée en vigueur du RGPD a mis le doigt
plus vrai que les données manipulées
par l’employeur peuvent être sensibles
place d’une conformité dite sur un point de douleur des organisations
// La transformation digitale et l’évo-
lution rapide des usages ont poussé
et donc qu’une violation de données des dynamique : il nécessite dites « historiques » : une non maîtrise
les organisations à ouvrir leur sys-
globale de leur système d’information.
employés peut sérieusement entacher la
réputation d’une organisation. Dans le
la réévaluation régulière tème d’information à des partenaires,
à intégrer rapidement de nouvelles
futur, une confiance bien établie pourra des mesures de sécurité Là où les organisations du digital ont
fait de la maîtrise de la donnée et de sa technologies, à développer des logi-
également faciliter l’introduction de pour tout ce qui touche à la valorisation le cœur de leur valeur ajoutée, ciels pour répondre à de nouveaux
nouvelles technologies par les filières RH
dans leurs processus (analyse prédictive protection des données à les questions basiques du RGPD posent
des problèmes fondamentaux aux autres
besoins métier sans prioriser la prise
en compte de la cohérence globale
des carrières, pilotage de l’activité, etc.). caractère personnel. Nous organisations : Quelles données sont de l’architecture. En conséquence
passons d’une logique de collectées ? Où sont-elles stockées ?
Quels traitements sont effectués sur ces
directe, le cycle de vie complet de
la donnée n’est pas maîtrisé, ce qui
Il faut assurer la pérennité de la démarche conformité à un instant T à données ? Combien de compte(s) est-ce complexifie la mise en conformité
au-delà des programmes
un logique d’amélioration qu’un client unique possède réellement ? industrialisée au RGPD.
Sommes-nous en capacité de garantir le
Les processus mis en place au sein des
organisations (réponse aux demandes
continue » bon effacement des données ? Comment
// Très concrètement, dans la plupart
des organisations, il est technique-
d’exercice des droits, méthodologie GWENDAL LE GRAND, redonner aux individus la main sur leurs ment impossible d’automatiser la
privacy-by-design, réalisation d’AIPD…) Directeur des technologies données ? Le manque de maîtrise du SI suppression des données à terme
et de l’innovation CNIL dans sa globalité induit de vraies difficultés de leur durée de conservation ou à
restent encore souvent manuels, il s’agit
maintenant de les industrialiser, les pour les acteurs historiques. la demande, soit pour des contraintes
optimiser et les pérenniser pour s’assurer technologiques, soit pour une diffi-
Plusieurs constats sur le terrain :
que les efforts fournis pour se mettre culté à mesurer l’impact global d’une
en conformité ne seront pas perdus sur // L’architecture du système d’infor- telle suppression. En conséquence, il
la durée. La date butoir du 25 mai 2018 mation est orientée service ou cal- est complexe de mettre en œuvre un
passée, il s’agit maintenant de mettre en quée sur l’organisation interne et processus efficace de traitement des
place une conformité durable mais aussi ne permet donc pas une approche demandes d’exercice de droit ou d’en
de tirer parti plus largement des efforts globale centrée sur la donnée. De garantir le résultat. Par extension, il
produits dans le cadre des programmes ce fait naît un manque de cohérence est complexe de traiter les nouveaux
de mise en conformité. Cela implique mais aussi une perte dans la valori- droits issus du RGPD en particulier la
de répondre à un certain nombre de sation potentielle de la donnée au portabilité et la limitation.
challenges. service du client. À titre d’illustra-
tion, 55% des organisations de notre
panel sont contraintes de gérer le
26 27FOCUS SUR LES DIFFICULTÉS RENCONTRÉES DIFFICULTÉS RENCONTRÉES PAR
LES ENTREPRISES DANS LA MISE EN PLACE DU DROIT
DANS LE TRAITEMENT DES DEMANDES 31%
À L’OUBLI
D’EXERCICE DE DROITS 24%
Respecter les délais de réponse à une demande d’exercice de droit peut s’avérer plus
16% 16%
compliqué qu’anticipé pour certaines organisations. Notre benchmark met en évidence 13%
un écart de maîtrise entre les droits classiques et les nouveaux droits du RGPD. Ainsi, les
droits classiques incluant le droit de modification et le droit d’accès sont considérés comme
maîtrisés pour plus de 3 entreprises sur 4. À l’inverse, le droit d’opposition et les nouveaux
droits tels que le droit à l’effacement, à la limitation et à la portabilité se heurtent notamment
à des complexités techniques et des conflits d’intérêt.
Impossibilité de Impacts Reconstruction Résistance des Incohérence
localiser avec métiers post des données au métiers à la applicative post
précision les suppression fil de l’eau suppression des suppression des
données données données
FOCUS SUR LE DROIT À L’OUBLI
Seulement un tiers des organisations du panel interrogées parvient à garantir la suppression de l’intégralité
des données d’un client dans le cadre du droit à l’oubli. La mise en œuvre de ce droit se heurte à des
complexités techniques. Par ailleurs, les organisations sont également confrontées à une réticence des
métiers à acter la suppression en l’absence de maîtrise des impacts collatéraux éventuels.
L’idéal pour les organisations serait de
multiplier les points de vérité omnicanal.
Autrement dit, l’idéal serait de structurer
COMMENT TRAITEZ-VOUS FOCUS SUR LE DROIT leur système d’information autour
LE DROIT À L'OUBLI ?
D’OPPOSITION de bases de données maîtres faisant
référence pour tous les utilisateurs, qu’il
s’agisse d’applications comme d’humains.
14% La complexité de ce type de demande est intimement
liée à la collecte du consentement. Des interfaces ont Par exemple, si je disposais d’un point de
été mises en place pour permettre la bonne réception
33% des demandes mais elles sont exécutées application vérité unique des informations d’adresse
par application dans la majorité des cas entrainant postale de mes clients, modifier une
mécaniquement des risques d’incohérence.
34% adresse en cas de déménagement pourrait
être répliqué dans mon SI en renseignant
19% s i m p l e m e n t l ’évo l u t i o n d a n s ce t te
base. L’avantage de cette approche est
multiple : les données sont cohérentes,
Accès aux données bloqué mais elle est toujours vraies partout et l’exercice des droits en
présente en base
FOCUS SUR LE DROIT À LA
est largement simplifié.
PORTABILITÉ ET À LA LIMITATION
Le droit à l’oubli n’est pas faisable techniquement
Les données sont partiellement supprimées du SI de Ces deux droits n’ont pas été priorisés au sein des
manière à ce qu’elles ne soient plus visibles du client programmes de mise en conformité RGPD en l’absence
de retours d’expérience et de lignes directrices
Toutes les données sont supprimées
sectorielles. Il est à noter néanmoins que ces droits font
l’objet de peu de demandes à date.
28 29BESOIN DE CONSTRUIRE UN POINT DE VÉRITÉ UNIQUE
PASCAL VIDAL, Expert client au centre des réflexions : Quelles sont • Rendre le client maitre de ses • Sécurisation des accès aux données
les données de mes clients ? Où se trouvent données, en lui donnant accès à clients en fournissant des services de
Cybersécurité & Confiance ces données ? Comment y accéder ? Quels une vue centralisée de ses données contrôle d’accès pour les clients eux-
Numérique, Wavestone traitements appliqués ? personnelles afin de lui permettre mêmes (mot de passe, social login,
d’exercer ses droits (rectification, Single Sign On, multi-facteur, biométrie,
Néanmoins, les entreprises rencontrent des extraction, oubli…). etc.) et les systèmes traitant la donnée.
difficultés dans cette nouvelle approche,
COMMENT EXPLIQUER QUE LES
du fait de la prise en considération d’un Le projet de construction de ce référentiel • Suivi de la conformité des traitements
ENTREPRISES ONT DU MAL historique SI important, et donc peu agile, et d’identités peut s’avérer long, notamment et usages des données clients en
À MAITRISER LES DONNÉES l’ouverture de leur SI à de nouvelles sources pour des entreprises de grande envergure. fournissant au DPO et aux métiers
de données, principalement digitales (ex : Toutefois, il existe aujourd’hui des solutions des tableaux de bord de suivi
CLIENTS ?
réseaux sociaux). clés en main, qui permettent de rapidement des consentements, des données
constituer un tel référentiel : les solutions personnelles référencées ou encore
Pour le comprendre, il faut remonter à Ces difficultés sont symptomatiques d’un « Customer IAM » (gestion des identités et le respect des préférences clients.
l’origine des systèmes d’information des manque essentiel dans le SI des entreprises : accès des clients).
entreprises. Ces derniers, tout comme avoir un point de vérité unique, garant L’ensemble de ces solutions sont
l’entreprise, ont été conçus de sorte à de la gestion transverse des données, le QU’EST-CE QU’UNE SOLUTION CUSTOMER IAM ? inscrites dans une démarche d’agilité et
répondre à des besoins urgents de support référentiel des identités clients. d’interopérabilité (orientées API) de sorte
technique aux fonctions métiers : à chaque Une solution « Customer IAM » vise à à pouvoir s’intégrer de manière transparente
besoin, son application et son référentiel de EN QUOI CONSTRUIRE UN RÉFÉRENTIEL D’IDENTITÉS simplifier et fiabiliser les processus de dans le SI des entreprises.
données en propre (application web, mobile, gestion et la protection des données
CLIENTS VA ACCÉLÉRER LA MISE EN CONFORMITÉ RGPD
programme de fidélité, SAV, logistique, clients, aussi bien pour des clients que des EST-CE QU’UNE SOLUTION CIAM EST LE REMÈDE
boutiques, etc.). DES ENTREPRISES ? prospects.
MIRACLE AUX MAUX RGPD ?
Le référentiel d’identités clients constituera Ces solutions embarquent des accélérateurs
Les entreprises se retrouvent maintenant Non. Bien que ces solutions fournissent
le point central de gestion des données technologiques permettant de créer une
avec un système d’information siloté par des accélérateurs permettant de créer une
clients. Il aura pour rôle de recueillir, couche de gestion et de sécurité des
fonction métier, constitué d’autant de bases couche de gestion et de protection des
centraliser et mettre à disposition ces données, transverse aux silos historiques
clients que d’applications. En d’autres données clients transverses au SI, elles
données à tous les systèmes de l’entreprise, des systèmes d’information.
termes, un système d’information qui ne n’enlèvent en rien la nécessité de définir et
aussi bien physiques que digitaux.
permet pas d’avoir une vue globale des mettre en place une gouvernance globale
données clients, et ainsi de les maitriser. Elles s’articulent autour de trois principales des données clients (processus, sécurité,
Au-delà de ce rôle central, il permettra aux fonctionnalités :
entreprises de plus facilement répondre aux traitements, stockage…).
QUELS ENJEUX POUR LES ENTREPRISES ET COMMENT exigences du RGPD, notamment : • Centralisation et partage des données
LES AIDER À MIEUX MAITRISER LES DONNÉES CLIENTS ? personnelles et consentements
• Savoir quelles données personnelles clients en fournissant un référentiel
À l’ère du RGPD, le principal enjeu des l’entreprise possède et dans quels des identités centralisé en charge de
entreprises est de construire une relation de systèmes, au travers d’une vue synchroniser les données clients dans
confiance avec leurs clients. agrégée des données, qu’on appellera les systèmes du SI, notamment via des
« l’identité client ». Cette identité fera interfaces temps réel pour satisfaire les
Une confiance qui passe à la fois par une office de point de rattachement de contraintes des canaux digitaux.
communication transparente des traitements l’ensemble des données personnelles
réalisés sur les données du client, mais du client et des systèmes y ayant accès.
surtout par le fait de rendre le client maitre
de ses données personnelles et lui en • Fiabiliser les données clients, afin d’en
faciliter l’accès. contrôler leur qualité et de les mettre à
jour dans l’ensemble des systèmes du
Cela impose aux entreprises de repenser leur SI concerné, indépendamment du point
système d’information avec une approche de contact (boutiques, canaux digitaux,
globale, orientée données, en plaçant le service client…).
30 31Vous pouvez aussi lire
