VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone

La page est créée Jacques Royer
 
CONTINUER À LIRE
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
VIE PR I V ÉE À L’È R E
DU N UMÉR I QUE
D U B I G DATA AU SMART DATA
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
ÉDITO

                                                                                                     Le contexte actuel d’hyper-connectivité         La révolution de la donnée ne se fera donc
                                                                                                     associé à l’émergence de nouvelles              pas sans confiance. Pour les organisations,
                                                                                                     technologies telles que le data mining, les     la perdre c’est prendre le risque de la
                                                                                                     objets connectés ou encore l’intelligence       non adoption de leurs nouveaux services
                                                                                                     artificielle, conduit à une véritable           digitaux. Il convient donc de s’adapter et
                                                                                                     révolution de la donnée. Celle-ci représente    se poser de nouvelles questions : comment
                                                                                                     plus que jamais un levier de transformation     concilier valorisation de la donnée, respect
                                                                                                     numérique et sa valorisation devient un         de la vie privée des citoyens et conformité à
                                                                                                     enjeu stratégique et prioritaire pour les       la réglementation ? Comment passer d’une
                                                                                                     organisations.                                  approche « big data » à une approche
                                                                                                                                                     « smart data » ? Un équilibre est à trouver.
                                                                                                     Jusqu’à présent, l’approche favorisée a
                                                                                                                                                     Certains verront dans la situation globale
                                                                                                     été la récolte massive et systématique des
                                                                                                                                                     une vraie opportunité de faire du respect
                                                                                                     données personnelles. Les organisations
                                                                                                                                                     de la vie privée un atout. Et vous, comment
                                                                                                     sont ainsi parvenues à constituer
                                                                                                                                                     allez-vous tirer parti de cette révolution ?
                                                                                                     d’importantes bases de données mettant
                                                                                                                                                     Quels nouveaux usages allez-vous
                                                                                                     à profit l’ensemble de notre écosystème
                                                                                                                                                     développer et comment ?
                                                                                                     personnel et professionnel connecté. Mais
                                                                                                     depuis peu, le paysage réglementaire sur
                                                                                                     le sujet du respect de la vie privée évolue.
                                                                                                     En découle une prise de conscience inédite
                                                                                                     des citoyens et une crise de confiance en
                                                                                                     devenir.

                                                                                                     Les organisations sont prévenues : après
                                                                                                     des années d’acceptation, les citoyens,
                                                                                                     conscients de leurs droits, veulent récupérer
                                                                                                     la maîtrise de leurs données pour ne les
                                                                                                     confier qu’aux tiers choisis.
                                                                                                                                                     GÉRÔME BILLOIS- Partner

                                                                   www.wavestone.com
    Dans un monde où savoir se transformer est la clé du succès, Wavestone s’est donné pour
mission d’éclairer et guider les grandes entreprises et organisations dans leurs transformations
     les plus critiques avec l’ambition de les rendre positives pour toutes les parties prenantes.
                                                C’est ce que nous appelons « The Positive Way ».

                                     2                                                                                                          3
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
SOMMAIRE
AUTEURS

                      Raphaël BRUN                                              Débora DI GIACOMO
                        Raphaël est Senior Manager                             Débora est Senior Manager
                        au sein de la practice                                 au sein de l’équipe Services
                        Cybersécurité & Confiance                              Européens. Elle possède une
                        numérique avec une exper-                              expérience solide en straté-
                        tise développée depuis                                 gie IT et business, notam-
                        plusieurs années en matière                            ment dans le domaine des
                                                                               institutions Européennes.

                                                                                                                 06
                        de protection des données
                                                                               Elle travaille sur des sujets
personnelles. Il pilote des programmes de mise en
                                                      tels que la digitalisation des services publics, l’inte-
                                                                                                                      Les citoyens en alerte sur la protection
conformité dans de nombreux secteurs (grande                                                                          de leur vie privée numérique
distribution, transport, assurance, …) et accom-      ropérabilité, l’évaluation de l’impact des politiques
pagne la mise en conformité de plusieurs projets      Européennes, des analyses coût-avantages et des
règlementaires auprès de l’état (valorisation des     études de faisabilité.
données de santé, fraude dans les transports).        debora.digiacomo@wavestone.com
Raphaël a également travaillé à la conception
de processus de gestion des crises cyber et à la

                                                                                                                 18
conduite d’exercices de crise.
raphael.brun@wavestone.com                                                                                            Une responsabilisation des organisations
                                                                                                                      à l’échelle mondiale

                      Damien LACHIVER                                           Anaïs ETIENNE
                                                                           Anaïs est consultante au sein
                     Damien est Manager au sein
                                                                           de la practice Cybersécurité
                     de la practice Cybersécurité
                                                                           & Confiance Numérique. Au
                     & Confiance Numérique avec

                                                                                                                 38
                                                                           travers de ses missions et
                     une expertise en protection
                                                                           notamment de programmes                    Aller au-delà du RGPD pour le respect de la vie privée ?
                     des données et en gestion
                     de crise cybersécurité. Il
                                                                           de mise en conformité RGPD                 De véritables opportunités business
                                                                           pour de grands comptes,
                     pilote notamment des pro-
                                                      elle a développé une expertise dans la protection
grammes de mise en conformité au règlement
                                                      de données à caractère personnel et la gestion
européen RGDP et des projets de simulation de
                                                      des risques.
crise cybersécurité.
                                                      anais.etienne@wavestone.com
damien.lachiver@wavestone.com

                                                                                                                 51
                                                                                                                      
                                                                                                                      Conclusion
                      Adèle COUDERT                       Nous tenons à remercier chaleureusement Gwendal
                      Adèle est consultante au
                                                          Le Grand, Tristan Nitot et Benjamin André de nous
                      sein de la practice Financial
                      Services. Elle intervient sur       avoir accordé trois entretiens venus enrichir cette
                      des projets de protection           publication. Nous remercions également Pascal
                      des données personnelles            Vidal et Nick Prescot pour leur contribution ainsi
                      et des programmes de mise           que tous les consultants Wavestone dont les retours
                      en conformité au règlement          d’expérience ont rendu possible l’élaboration de
européen RGPD.                                            ce document.
adele.coudert@wavestone.com

                                                      4                                                                                 5
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
LES CITOYENS EN ALERTE
      SUR LA PROTECTION
DE LEUR VIE PRIVÉE NUMÉRIQUE

              6                7
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
UNE SECONDE ENQUÊTE INTERNATIONALE                                         Statistiques du sondage

Wavestone commandite régulièrement                     Cette seconde enquête a été menée
des sondages auprès des citoyens afin de               auprès de 3 620 citoyens originaires de
mesurer les tendances en matière de vie                six pays à travers le monde : Belgique,
privée.                                                Chine, France, Allemagne, Royaume-Uni,                                                SEXE
                                                       Etats-Unis. Ces pays ont été sélectionnés
U n p re m i e r s o n d a g e a fa i t l ’o b j e t   dans le but de représenter les éventuelles                                                                                                                51%
d’une étude « la vie privée à l’ère du                 disparités sur la perception de la vie privée                                                                                                                 FEMMES
numérique », publiée en 2016. Les                      dans les pays concernés en fonction de
observations de cette étude ont été mises              leur situation socio-économique mais            3620                                          ÂGE
                                                                                                                                                                                49%
en relief par un second sondage, mené en               aussi de leur cadre réglementaire local.                                                                                  HOMMES
octobre 2018. Cela nous a notamment                    Les répondants à l’étude sont répartis          citoyens
permis de mesurer l’impact de l’entrée                 de manière homogène selon leur sexe
en vigueur du RGPD sur la sensibilité des              et leur tranche d’âge. Il n’y a ainsi pas

citoyens vis-à-vis du respect de leur vie
                                                       de sur-représentation de la tranche de                                                NATIONALITÉ
                                                       20 à 34 ans, qui pourrait avoir une plus
privée.
                                                       grande sensibilité aux problématiques de
                                                       protection de la vie privée.

                                                                                                                  23%

                                                                                                                                    29%                       37%                   30%
                                                                                                                  2%                                                                                      2%
                                                                                                            MOINS DE 20 ANS    ENTRE 20 ET 34 ANS       ENTRE 35 ET 54 ANS     ENTRE 55 ET 74 ANS   PLUS DE 75 ANS

                                                                                                                     17%            17%              17%             17%          17%               17%

                                                                                                                    BELGIQUE        CHINE           FRANCE         ALLEMAGNE   ROYAUME-UNI      ETATS-UNIS
                                                                                                                    (N=603)        (N=600)          (N=605)         (N=612)      (N=600 )        (N=600)

                                                       8                                                                                                       9
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
U N E P R I S E D E CO N S C I E N C E D E S C I TOY E N S        Historiquement, le respect de la vie privée           UNE CONFIANCE ENVERS LES TIERS QUI
INÉDITE                                                           était intimement lié à la notion de liberté :         DÉCROÎT…
                                                                  liberté de préserver une forme d’anonymat                                                                             de la population mondiale
Une prise de conscience globale de la                                                                                   Une baisse générale dans le niveau de                           considère que son niveau de
                                                                  dans ses activités et de disposer d’une
                                                                                                                                                                                        confiance envers les tiers sur
population                                                        capacité à s’isoler pour protéger ses                 confiance envers les tiers
                                                                                                                                                                            32%         le sujet de la protection de
                                                                  intérêts. Aujourd’hui, face à une collecte            Cette baisse de confiance accordée aux                          leur vie privée a diminué de-
                     des sondés déclarent être                    toujours plus massive de données à                    tiers peut très bien s’expliquer par la                         puis l’année dernière
                     préoccupés par le respect                    caractère personnel sous toutes ses                   multiplication des violations de données,
      94%            de leur vie privée soit une
                     augmentation de 19% en
                                                                  formes, les citoyens associent clairement             ou a minima par le relais médiatique
                                                                  la protection de leur vie privée avec la              qu’elles rencontrent, comme ce fut le cas
                     deux ans
                                                                  maîtrise de leurs données.                            pour les scandales Facebook/Cambridge
                                                                  Comme en 2016, les citoyens ont d’abord               Analytica et Equifax.
Une prise de conscience inédite ! Les                             défini le respect de la vie privée comme
résultats de notre enquête tendent à                              le fait de contrôler « qui obtient des
démontrer que la vie privée est devenue                           informations sur moi ».                                      Pensez-vous que votre niveau de confiance envers les organisations a changé au cours
un sujet de préoccupation mondial,
                                                                                                                               de cette dernière année en ce qui concerne l’utilisation de vos données ?
et pas seulement Européen, et que les
attentes qui en découlent sont similaires                           Avant même de savoir quelles données sont
sur tous les continents. En définitive, nous                        collectées et pour quels usages, la protection
constatons généralement peu, voire pas                              de la vie privée est avant tout associée à la ca-
                                                                    pacité donnée de choisir les tiers qui collectent
                                                                                                                           Je fais davantage confiance aux organisations          16%
de différence entre les statistiques des
différents pays. Cette sensibilité à la vie
                                                                    et manipulent leurs informations                              Mon niveau de confiance est inchangé                                        44%
privée prend de l’importance d’année en                                                                                                                                                            32%
                                                                                                                               Je fais moins confiance aux organisations
année et devrait s’inscrire dans la durée,
portée notamment par le durcissement et                           En définitive, les individus sont prêts à                                               Pas d’opinion     8%
la multiplication des règlementations.                            partager leurs données personnelles à
                                                                  des tiers mais cela a un prix : celui de la
Pour les citoyens, la protection de la vie                        confiance.
privée est liée avant tout à la maîtrise de
leur vie numérique

                    Pour 2/3 des citoyens, le res-
                    pect de la vie privée est as-
       2/3          similable au respect de la vie
                    privée sur le net

Dans notre étude de 2016, nous
soulignions l’évolution du sens de la « vie
privée » avec l’émergence du numérique.

                                                             10                                                                                                        11
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
Le RGPD a provoqué une crise de confiance en Europe !
  Du fait de la complexité renvoyée, des annonces de fuites maintenant publiques et des scandales associés,
  les citoyens sont méfiants.

           Pensez-vous que votre niveau de confiance envers les organisations a changé au cours de
           cette dernière année en ce qui concerne l’utilisation de vos données ?

 2%               13%        3%           2%            3%            10%

  9%                          9%           7%            9%
                                                                       7%             Je fais beaucoup plus confiance aux organisations

 42%               21%                                                                Je fais un peu plus confiance aux organisations
                             48%          48%           44%           40%             Mon niveau de confiance est inchangé

                                                                                      Je fais beaucoup moins confiance aux organisations
 15%               43%                                                                                                                     Un quart des citoyens sont des « privacy          nouveaux usages digitaux et le
                             14%           14%          16%           17%             Je fais un peu moins confiance aux organisations
                                                                                                                                           absolutists » : quel que soit l’usage fait        partage de ses données comme
 16%                                                                                  Pas d’opinion
                   8%        23%          23%           22%           20%                                                                  de leurs données, ils y sont défavorables         contrepartie pour y avoir accès.

 16%               12%       5%           5%             7%                                                                                Autre constat issu de notre sondage,
             4%                                                        6%
                                                                                                                                           quel que soit l’usage fait des données,      //   30% de la population peut être qua-
BELGIQUE           CHINE    FRANCE      ALLEMAGNE    ROYAUME-UNI    ÉTATS-UNIS                                                                                                               lifiée de « privacy in doubt ». Cette
 (N=603)          (N=600)   (N=605)       (N=612)      (N=600)       (N=600)                                                               les proportions de sondés prêts ou pas
                                                                                                                                           au partage de leurs données ne varient            catégorie comprend l’intérêt du
                                                                                                                                           que très peu. En conséquence, l’usage             partage de ses données pour accé-
Notre étude dresse un bilan                            sujet notamment grâce à la médiatisation                                            des données n’est probablement pas le             der à un service. Cependant, elle a
particulièrement surprenant pour les pays              du RGDP, aux efforts d’évangélisation                                               cœur du sujet. L’analyse des résultats du         besoin d’un cadre clair lui permet-
Européens. Malgré l’entrée en vigueur                  des autorités de contrôle, voire même                                               sondage (comme illustré sur le graphique          tant d’accorder sa confiance au tiers
du RGPD, une règlementation supposée                   de leur propre organisation. Ce chiffre                                             ci-dessous) nous permet de distinguer             à qui elle les confie. Une conformité
leur redonner confiance, et les efforts                peut traduire également une mauvaise                                                aisément trois natures de comportements           au RGPD, accompagnée d’une com-
fournis par les organisations pour s’y                 compréhension des efforts fournis par les                                           vis-à-vis des données.                            munication claire et transparente
conformer, 68% de nos sondés Européens                 organisations ou une méfiance de plus en                                                                                              peut constituer ce cadre et ainsi la
                                                                                                                                           //   45% de la population peut être qua-
ne perçoivent aucun changement sur la                  plus développée envers celles qu’ils voient                                                                                           convaincre de partager ses données.
                                                                                                                                                lifiée de « privacy comfortable ».
maîtrise de leurs données. Pire encore,                comme des « boîtes noires » traitant leurs                                               Elle est favorable au partage de
certains ont même le sentiment d’avoir                 données. Les quelques campagnes de                                                       ses données. Cette catégorie n’a        //   25% de la population peut être
moins de maîtrise sur leurs données.                   renouvellement de consentement et les                                                    pas attendu l’entrée en vigueur              qualifiée de « privacy absolutists ».
Cette crise de confiance traduit une                   différentes communications autour du                                                     du RGPD ou de nouvelles actions              Cette catégorie est particulièrement
forme de prise de conscience des                       RGPD n’auront pas suffi et ceci à juste                                                  de communication de la part des              réfractaire au partage de ses don-
enjeux autour de la protection de leurs                titre : la confiance prend du temps à se                                                 organisations pour accepter les              nées. Contrairement à la catégorie
données : ils sont mieux sensibilisés au               bâtir.

                                                       12                                                                                                                         13
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
précédente, une conformité à la                                         catégorie voire même de trouver les                                       Un irritant persiste : la sollicitation              qualitatives qui ne soient pas uniquement
   règlementation ne sera pas suffisante                                   leviers pour la convaincre de sous-                                       commerciale non désirée                              centrées sur l’appétence de la personne
   pour la convaincre. Il faudra donc                                      crire à des services digitaux consom-                                                                                          pour le contenu transmis. En investissant
   réfléchir à d’autres moyens de créer                                    mateurs de données. Quelques pistes                                                                                            dans la protection de la vie privée, les
                                                                                                                                                                         de nos sondés déclarent          organisations pourront se concentrer sur
   la confiance. Le vrai challenge pour                                    seront proposées dans la troisième
                                                                                                                                                                         avoir déjà demandé à
                                                                                                                                                                                                          un marketing personnalisé et plus efficace.
   les organisations sera alors de limi-                                   partie de cette étude.
                                                                                                                                                            1/3          une organisation de ces-
                                                                                                                                                                         ser de leur envoyer de la        Le recours à la collecte systématique
   ter la progression de cette troisième
                                                                                                                                                                         communication                    d’un consentement clair et éclairé tel
                                                                                                                                                                                                          que préconisé par le RGPD constitue une
                                                                                                                                                                                                          première piste pour minimiser les plaintes
                                                                                                                                                     Malgré le peu d’importance accordée à
                                                                                                                                                                                                          et la perte de confiance. Pour aller plus loin,
                                                                                                                                                     l’usage fait des données confiées, l’un
                                                                                                                                                                                                          proposer une personnalisation plus fine
     Veuillez évaluer la pertinence de l’utilisation de vos données personnelles                                                                     d’entre eux continue néanmoins à irriter
                                                                                                                                                                                                          de la relation commerciale, par exemple
     dans les situations suivantes :                                                                                                                 les citoyens : la sollicitation commerciale
                                                                                                                                                                                                          en collectant des consentements même
                                                                                                                                                     non désirée. Historiquement, les équipes
                                                                                                                                                                                                          lorsque le RGPD ne le requiert pas ou en
                                                                                                                                                     marketing ont eu tendance à collecter un
                                                                                                                                                                                                          permettant un paramétrage plus fin de la «
                                                                                                                                                     maximum de données de contact pour avoir
                                                                                                                                                                                                          pression relationnelle » exercée, est un levier
    25%                                                                                                                                              le plus de chance d’envoyer le bon email à la
                        26%                    28%                  23%                 28%                 27%                    23%                                                                    intéressant pour garder ou établir le lien de
 DE « PRIVACY                                                                                                                                        bonne personne. Néanmoins, cette pratique
ABSOLUTISTS »
                                                                                                                                                                                                          confiance avec les individus. L’idée est de
                                                                                                                                                     a une conséquence majeure : un agacement
                                                                                                                                                                                                          véritablement susciter son intérêt, établir
                                                                                                                                                     certain des individus sollicités de manière
                                                                                                                                                                                                          un dialogue avec ses destinataires pour
   30%                  35%                    32%                  30%                 29%                 27%                    28%
                                                                                                                                                     répétée.
                                                                                                                                                                                                          construire une relation sur la durée.
                                                                                                                                                     Cela se traduit concrètement dans les
DE « PRIVACY IN
    DOUBT »                                                                                                                                          chiffres : un tiers de nos sondés déclarent
                                                                                                                                                     avoir déjà demandé à une organisation de             … QUI SE MATÉRIALISE PAR UNE POSTURE
                                                                                                                                                     cesser de leur envoyer de la communication.          DES CITOYENS PLUS OFFENSIVE POUR
   45%                  40%                    40%                  47%                  41%                46%                    49%
                                                                                                                                                     Il s’agit d’ailleurs l’exercice de droit le plus     PROTÉGER LEUR VIE PRIVÉE
                                                                                                                                                     demandé. L’autorité de contrôle française
                                                                                                                                                     confirme ces chiffres et indique que 21%
 DE « PRIVACY
COMFORTABLE »                                                                                                                                        des plaintes réceptionnées portent sur                                 de nos sondés déclare avoir
                     Sollicitation
                   commerciale via
                                         Suggestions d’achat      Publicité         Être enregistré
                                          personnalisées en personnalisée en ligne par des caméras
                                                                                                       Vos courriels et
                                                                                                      SMS sont consultés
                                                                                                                             Le contenu que vous
                                                                                                                                partagez sur les
                                                                                                                                                     la prospection commerciale, avec une                       1/2         déjà exercé ses droits dans
                                                                                                                                                     hausse importante de plaintes concernant                               l’année passée
                     SMS / mails          fonction de votre basée sur votre histo-    de sécurité      et scannés à des    réseaux sociaux faisant
                                          historique d’achat rique de navigation    dans des lieux      fins d’enquête      l’objet d’une analyse    la prospection par SMS. Vu de l’individu,
                                                                                        publics          antiterroriste      à des fins d’enquête    cette forte sollicitation à mauvais escient
                                                                                                                              pour lutter contre     a pour impact direct la détérioration
                                                                                                                               l’évitement fiscal                                                         Au-delà d’une simple prise de conscience,
     Inapproprié    Ni l’un ni l’autre         Approprié                                                                                             de la relation de confiance avec le tiers
                                                                                                                                                                                                          les citoyens adoptent une posture
                                                                                                                                                     concerné, conséquence identifiée en
                                                                                                                                                                                                          offensive pour protéger leur vie privée. Les
                                                                                                                                                     première position par nos sondés.
                                                                                                                                                                                                          citoyens n’acceptent plus l’intrusion des
                                                                                                                                                     Il y a un donc un véritable enjeu à                  organisations dans leur vie privée et ainsi
                                                                                                                                                     construire des bases de données marketing            sont moins enclins à accepter la collecte

                                                                   14                                                                                                                                15
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
massive de leurs données. Pour pallier des
années d’acceptation, certains d’entre
eux ont pris les devants et cherchent à                « En 2018, la CNIL
en récupérer la maîtrise avec les moyens
qu’ils ont à disposition et notamment ceux
                                                       [Commission Nationale
que leur donne le RGPD. Très concrètement,             de l’Informatique et des
ils n’hésitent pas à faire valoir leurs droits,
et même à avoir recours à des plaintes
                                                       Libertés française] a
collectives lorsque le cadre règlementaire             réceptionné un total de
dans lequel ils évoluent le leur permet.               11077 plaintes sur l’année,
Face à la crainte de dépeupler leurs bases             soit une augmentation de
de données clients, à date seulement 15%
des organisations ont fait le choix de mener
                                                       32% par rapport à l’année
des campagnes de renouvellement des                    précédente.»
consentements. Les citoyens ont donc tiré
parti du renforcement de la réglementation                               GWENDAL LE GRAND,
pour retirer spontanément leur accord à la                        Directeur des technologies
réalisation de certains traitements voire                             et de l’innovation CNIL
pour demander la suppression pure et
simple de l’intégralité de leurs données.         LinkedIn, etc. Pour mettre en évidence
Plus d’un sondé sur deux déclare avoir déjà       les dérives et sensibiliser le grand public,
exercé ses droits dans l’année passée : une       Privacy International organise également
nette augmentation des demandes qui se            annuellement un concours nommé « les
constate également sur le terrain du côté         Big Brother Awards » pointant les pires
des organisations. Lorsqu’ils ne sont pas         atteintes à la vie privée et aux libertés des
satisfaits de la réponse à leur demande en        citoyens.
termes de délais ou de qualité, les citoyens
                                                  Clairement, les citoyens et associations
n’hésitent pas non plus à saisir les autorités.
                                                  de consommateurs commencent à
Pour gagner en force de frappe et                 véritablement se saisir du sujet. Et c’est
rationnaliser les coûts, les consommateurs        un véritable risque pour les organisations !
se regroupent et mettent en place des             Leurs nouveaux services digitaux pourraient
plaintes collectives. Ils sont pour cela          ne pas être adoptés par le grand public en
accompagnés par des associations de               absence d’un bon niveau de confiance des
consommateurs (les plus connues étant             utilisateurs. La preuve : 26% de nos sondés
NOYB, Privacy International, La Quadrature        ont arrêté d’utiliser certains services afin
du Net) qui se positionnent comme les             de protéger leur intimité numérique et de
défenseurs des droits des citoyens sur            garder la maîtrise de leurs données. Dès
leurs données. Ces associations n’hésitent        lors, il est impératif de répondre présent en
pas à s’attaquer aux géants du numérique          s’attachant à construire ou reconstruire des
comme Google, Amazon, Facebook,                   relations sur des bases saines.

                                                  16                                              17
VIE PRIVÉE À L'ÈRE DU NUMÉRIQUE - DU BIG DATA AU SMART DATA - Wavestone
UNE RESPONSABILISATION
  DES ORGANISATIONS
 À L’ÉCHELLE MONDIALE

           18            19
L E RG P D, L’O CC A S I O N P O U R L E S                       C’est aussi l’occasion pour les organisations
ORGANISATIONS HORS EUROPE D’ANTICIPER                            qui ne sont pas directement concernées à
                                                                 date d’anticiper une potentielle évolution
U N E É VO L U T I O N D E L A R È G L E M E N TAT I O N
                                                                 de la règlementation au sein de leur pays.
DANS LEUR PAYS
                                                                 D’une part, parce que le numérique n’a
La protection de la vie privée est devenue                       pas de frontière, la protection de la vie
un sujet à l’échelle internationale. En 2016,                    privée exige un cadre mondial harmonisé.
notre rapport présentait un panorama                             D’autre part, parce qu’il existe une véritable
des cadres juridiques de protection des                          demande en la matière, autant au niveau des
données à caractère personnel et soulignait                      citoyens (notre sondage le prouve), qu’au
une véritable évolution ces dernières                            niveau des organisations elles-mêmes. A
années. Depuis l’entrée de la notion de vie                      titre d’exemple, le patron d’Apple, Tim Cook,
numérique dans les textes législatifs, les                       a fait l’apologie du RGPD en début d’année
règlementations se sont multipliées. L’Union                     dans le cadre d’une tribune dédiée pour
Européenne s’est positionnée comme une                           Time Magazine1 en demandant notamment
locomotive de cette tendance avec le                             la mise en place d’une règlementation
RGPD, mais les autres pays ne sont pas en                        similaire pour les Etats-Unis.
reste et nous assistons à une structuration
                                                                 Gwendal Le Grand confie d’ores et déjà
globale des règlementations autour des
                                                                 collaborer avec des autorités internationales
données à caractère personnel.
                                                                 sur les sujets de la vie privée : « d’autres
Le RGPD s’applique à toutes les                                  autorités cherchent, dans la vague du RGPD,
organisations établies sur le territoire de                      à se doter également de lois nationales
l’Union Européenne ou dont l’activité cible                      ou régionales ». Dans son bilan annuel, la
directement des résidents Européens.                             CNIL indique aussi se rapprocher avec ses
Dès lors, il impose naturellement une                            homologues d’Asie (APPA) pour « échanger
appropriation de ses concepts et exigences                       sur l’impact du RGPD dans cette région,
du sujet au-delà des frontières de l’Europe.                     réfléchir sur les perspectives de coopération
Et le caractère transfrontalier se démontre                      et le partage d’expertise ». Le but ? « Réussir
rapidement puisque c’est une entreprise                          la diplomatie de la donnée tant en Europe,
américaine qui a fait l’objet de la plus grosse                  avec nos homologues du CEPD [Comité
sanction. Google a en effet écopé d’une                          Européen de Protection des Données],
amende de 50 millions d’euros de la part                         comme sur le plan international » précise
de l’autorité française de contrôle en janvier                   Gwendal Legrand.
2019 à la suite d’une plainte collective de ses
                                                                 Aujourd’hui, tout indique que le RGPD est
citoyens. L’agence de contrôle française fait
                                                                 en passe de devenir LA référence mondiale
part d’une coopération européenne autour
                                                                 en termes de cadre règlementaire de
de cette sanction pour déterminer les
                                                                 protection de données à caractère
principes à mettre en œuvre dans ce cadre.
                                                                 personnel.

1. http://time.com/collection/davos-2019/5502591/tim-cook-data-privacy/

                                                                 20                                                21
LE RGPD, UN PREMIER PAS VERS UN NUMÉRIQUE DE
CONFIANCE ?
                                                                                                     les assistants personnels, la blockchain, le             2018. Dans ce cadre, nous leur expliquons les
                                                                                                     design des interfaces, le partage de données             fondamentaux de la loi mais veillons surtout
                                                                                                     etc.                                                     à répondre à leurs interrogations propres.
                                                                                                     La    CNIL     investit    également    dans             Cela leur permet ensuite de développer leurs
                                                                                                     l’accompagnement        de   startups.  Nous             activités en respectant le cadre fixé par le
                     GWENDAL LE GRAND,            comme sur le plan international. On discute        sommes déjà présents dans les lieux comme                RGPD. Pour continuer à les accompagner,
                                                  avec un certain nombre d’états ou de               station F, nous y proposons des ateliers sur             nous venons également de mettre en place
                     Directeur des technologies   régions du monde, qui, dans la vague du            le thème de la protection de la vie privée.              une rubrique dédiée sur le site https://www.
                     et de l’innovation, CNIL     RGPD, cherchent à se doter également de            Cela nous a permis de rencontrer plus de                 cnil.fr.
                     [Commission Nationale        lois nationales ou régionales. Nous avons          400 représentants de startups sur l’année
                                                  notamment travaillé avec des partenaires
                     de l’Informatique et des     asiatiques, avec les Etats-Unis et dans le
                     Libertés]                    cadre de la convention 108 du conseil de
                                                  l’Europe. Ce sont des travaux qui sont bien
                                                  évidemment amenés à se poursuivre.
                                                                                                     ROYAUME-UNI ET VIE PRIVÉE, QUELLES
                     LE RGPD A-T-IL PERMIS LA
PRISE DE CONSCIENCE ESCOMPTÉE ?                   AU NIVEAU DES CONTRÔLES ET SANCTIONS, QUEL         PERSPECTIVES ?
                                                  BILAN ET QUELLES PERSPECTIVES ?
Le RGPD est entré en application le 25 mai
2018 et c’est un texte que tout le monde          Côte chiffres, l’année dernière environ 300
s’est approprié : les organisations, les          contrôles ont été effectués (en ligne, sur                             NICK PRESCOT, expert                relèvent d’infractions pénales. La principale
particuliers et les autorités de protection       place ou sur pièces) et on dénombre 11                                                                     préoccupation concerne l’éventuel statut de
                                                                                                                         Cybersécurité & Confiance           «pays tiers» du Royaume-Uni après sa sortie
des données. Les citoyens ont tiré parti          sanctions en France.
de leurs droits et les ont davantage              On le sait, le pouvoir de sanction des autorités                       Numérique, Wavestone,               de l’UE qui réclamerait la mise en place
exercés     auprès  des  organisations.    En     a sensiblement augmenté avec le RGPD.                                  Royaume-Uni                         d’un nouvel accord sur le traitement des
résulte    une   augmentation   significative     Pendant très longtemps la sanction maximale                                                                données. Cela aurait été coûteux à mettre en
du nombre de plaintes : si on regarde les         que la CNIL pouvait infliger s’élevait à 150 K€.                                                           œuvre dans le cas d’un Brexit sans accord
chiffres, la CNIL a reçu 11077 plaintes sur       Ce montant est passé à 3M€ avec la loi pour                                                                mais cette hypothèse ne semble pas se
l’année dernière, soit une augmentation           une République Numérique en 2016. Il s’élève                                                               réaliser. A partir du moment où le Parlement
                                                  maintenant à 20M€ ou 4% du CA mondial.
                                                                                                                         LA PROTECTION DE LA VIE             britannique ratifie un accord de retrait, il
de 32% par rapport à l’année précédente .
                                                  Il faut garder à l’esprit qu’une procédure                             PRIVÉE EST-ELLE UNE PRIORITÉ        devrait y avoir une période de transition
                                                                                                                                                             jusqu’en décembre 2020 pendant laquelle
                                                  de sanction prend du temps : une part des                              POUR LES ORGANISATIONS
QUELS SONT LES SUJETS QUI SUSCITENT LE PLUS DE    contrôles aboutit à une mise en demeure.
                                                                                                     BRITANNIQUES DEPUIS LA CRÉATION DU RGPD ?
                                                                                                                                                             la situation actuelle perdurerait. Après cette
                                                  La procédure de sanction est généralement                                                                  date, il sera nécessaire de mettre en place un
PLAINTES ?                                                                                                                                                   nouvel accord sur le traitement des données.
                                                  engagée lorsque l’organisme ne s’est pas mis       Pour     de     nombreuses      organisations
                                                  en conformité à l’issue du délai imparti par la    britanniques, l’impact du RGPD a été
À date, les plaintes reçues par la CNIL restent   mise en demeure. Cette procédure implique                                                                  QUELLES SONT LES PERSPECTIVES POUR LES MOIS À
assez « traditionnelles ». Elles sont surtout                                                        important car il n’a pas seulement été abordé
                                                  elle-même le respect du contradictoire,
liées à la volonté de maitrise des données                                                           comme un nouveau standard intra-européen                VENIR EN MATIÈRE DE VIE PRIVÉE ?
                                                  de manière à ce que l’organisme incriminé          de protection des données personnelles. En
à disposition en ligne (déréférencement,          puisse se défendre. Les autorités activent         raison des liens étroits entre le Royaume-              La confidentialité des données à caractère
suppressions de contenu sur des blogs, des        progressivement, au fur et à mesure que            Uni et les Etats-Unis, il a été vu comme                personnel est devenue un concept de plus en
sites de presse ou des réseaux sociaux etc.).     les procédures de contrôle se déroulent, les       une norme mondiale (de nombreux sièges                  plus important pour la génération des 18-25
On réceptionne aussi beaucoup de plaintes         nouveaux plafonds permis par le RGPD.              sociaux        Europe/Afrique/Moyen-Orient              ans au Royaume-Uni. Les scandales récents
liées à la prospection commerciale et aux         En ce qui concerne les contrôles à venir,          d’organisations internationales sont établis            comme la fuite de 500 millions de comptes
questions RH. Sur ce dernier point, ce sont       trois thématiques seront particulièrement          au Royaume-Uni). Les organisations ont                  Facebook et le scandale Cambridge Analytica
en particulier les activités de surveillance      concernées en 2019 : les droits des                donc investi dans la mise en conformité au              ont rendu cette génération beaucoup plus
qui font l’objet de plaintes : surveillance       personnes, les sous-traitants et les données       RGPD, et elles continuent à travailler pour             consciente des données qu’elle partage
au    travail,   surveillance   d’activité   ou   des mineurs.                                       faire en sorte que celle-ci soit maintenue              en ligne. Cette tendance est récente car
vidéosurveillance. On constate également
                                                                                                     dans le temps !                                         la société commence progressivement à
l’émergence de plaintes collectives. Ce sont
                                                                                                                                                             prendre conscience des données détenues
notamment des plaintes des associations la        INNOVATION ET RGPD, UN MARIAGE POSSIBLE ?                                                                  par des entreprises tierces mais aussi des
quadrature du net et NOYB (menée par Max
                                                  Le pari du législateur européen est de                                                                     efforts qu’elles font pour les protéger. Par
Schrems) qui ont donné lieu récemment à la                                                           LA MENACE DU BREXIT A-T-ELLE UNE INFLUENCE SUR          ailleurs, les suites de la fuite de données
plus grosse sanction prononcée à ce jour par      concilier innovation et droits des personnes,
la CNIL.                                          en définissant le cadre pour une innovation        LES EFFORTS DÉPLOYÉS POUR SE CONFORMER AU               qui a touché British Airways en décembre
                                                  responsable.                                       RGPD ?                                                  2018 vont être particulièrement scrutées car
                                                  En outre, notre site (linc.cnil.fr) traite de                                                              elles sont amenées à faire jurisprudence, en
ET À L’INTERNATIONAL, QUEL BILAN ?                ces questions des nouvelles technologies           Le Brexit, reporté au 31 octobre 2019, ne remet         particulier le montant de l’amende infligée
                                                  en adhérence avec la protection de la vie          pas en cause la mise en œuvre des principes             par l’ICO (n.d.l.r. Information Commissioner ’s
Le but est de réussir la diplomatie de la         privée. Nous y publions régulièrement des          du RGPD au Royaume-Uni, puisqu’il a été                 Office, l’autorité de contrôle britannique).
donnée avec nos homologues au niveau              dossiers sur des thématiques nouvelles :           décliné localement dans la loi britannique              Il sera intéressant de voir si British
CEPD, groupe des CNIL européennes,                                                                   de 2018 sur la protection des données.                  Airways écope d’ une amende de 2% du
                                                                                                     Cette législation va même plus loin puisque             chiffre d’affaire mondial comme toutes les
                                                                                                     certaines infractions liées à la manipulation           organisations le craignent !
                                                                                                     ou la violation de données personnelles

                                                  22                                                                                                    23
DES EFFORTS IMPORTANTS MENÉS PAR LES                                                                          À DAT E , U N E CO N FO R M I T É G LO BA L E P O U R       également prioriser la conformité «
                                                                                                                                                                                     visible » pour ne pas attirer l’attention des
          ENTREPRISES POUR SE CONFORMER AU RGPD                                                                          L E S O R G A N I S AT I O N S D U PA N E L M A I S D E S
                                                                                                                         DÉFIS À VENIR POUR PÉRENNISER LA                            autorités de contrôle. Paradoxalement, il
                                                                                                                                                                                     est intéressant de noter que, contrairement
                                                                                                                         DÉMARCHE…
                                                                                                                                                                                     à ce que l’on observe du côté des clients,
                                                                                                                         Les chiffres le prouvent : les organisations                la confiance envers son employeur en ce
                                                                                                                         du panel se sont saisies du sujet et ont                    qui concerne l’utilisation de ses données
                                                                                                                         fait des efforts afin de se mettre en                       personnelles semble avoir progressé
                                                                                                                         conformité. L’un des effets positifs de                     (même faiblement) ces dernières années.
                            LE NOMBRE DE DPO A                        INVESTISSEMENT
                                                                                                                         ces investissements est une meilleure                       Ceci peut notamment s’expliquer par
                                  TRIPLÉ                            EN MOYENNE DE 4.9M
                                                                                                                         compréhension de la donnée au sein de                       l’attention historique que les organisations
                                                                pour les organisations dans
                         de 5 000 CIL à 16 000 DPO              les programmes de mise en                                leur organisation. Si le niveau de conformité               ont attaché à la protection des données
                                 en un an                                conformité                                      atteint est globalement satisfaisant, deux                  de leurs collaborateurs, notamment dans
                                                              100K                              20M                      points de vigilance sont à souligner :                      le cadre de l’application du droit du travail
                                                             d’euros                          d’euros                                                                                ou de la gestion des relations sociales.
                                                                                                                                                                                     Les attentes en termes de protection des
                                                                                ( pour les entreprises du panel)
                                                                                                                         Il faut traiter pleinement la mise en                       données étaient donc généralement déjà
                                                                                                                         conformité du volet RH                                      respectées avant l’arrivée du RGPD, et le
           90%                                   91%                                               87%                                                                               niveau de maturité sur le sujet des filières
                                                                                                                                                                                     RH déjà élevé.
       des organisations ont mis           des organisations ont identifié                      des organisations ont
                                                                                                                                              des interrogés déclarent
                                                                                                                                              même que la prise en compte            Si l’approche initiale choisie peut donc
      à jour LEUR FORMULAIRE DE              LES CONTRATS À COUVRIR ET                        lancé des CAMPAGNES DE
                                                                                                                                              de la protection de leur vie           sembler pragmatique, en particulier
      COLLECTE DE DONNÉES POUR
     DEMANDER UN CONSENTEMENT
                                            LES TRANSFERTS DE DONNÉES
                                                    EN EXTERNE
                                                                                              SENSIBILISATION À LA VIE
                                                                                                       PRIVÉE                  30%            privée pourrait constituer le          pour les organisations B2C, il convient
                                                                                                                                              critère principal de choix de          néanmoins de ne pas négliger les données
                                                                                                                                              leur employeur                         des salariés. La confiance croissante ne
                                                                                                                                                                                     signifie pas pour autant que l’attente
                               84%                                     77%                                               Sur le terrain, nous constatons que les                     des salariés soit moins importante vis-à-
                                                                                                                         organisations ont souvent pris le parti de                  vis de leur employeur. Nous retrouvons
                           des organisations ont un              des organisations considèrent                           concentrer leurs efforts sur les données                    en effet des proportions similaires
                          PROCESS POUR NOTIFIER LES                  avoir DES MESURES DE
                           VIOLATIONS DE DONNÉES À                 PROTECTION DES DONNÉES                                des clients plutôt que sur les données                      d’interrogés pour lesquels la protection
                           CARACTÈRE PERSONNEL, A                          ADAPTÉES                                      des employés. Deux raisons à cela : ne                      des données est importante au sein même
                          MINIMA À SON AUTORITÉ DE                                                                                                                                   de leur organisation que ce que l’on voit
                                                                                                                         pas altérer durablement la relation de
                                   CONTRÔLE
                                                                                                                         confiance établie avec les clients mais                     vis-à-vis des organisations tierces.

Présentation du benchmark réalisé auprès de 24 organisations de différents secteurs
6 mois après l’entrée en vigueur du RGPD

Afin d’apprécier les travaux menés par les organisations au regard du respect de la vie privée,
Wavestone a mené un état des lieux auprès de 24 de ses clients français et internationaux.
Pour ce faire, nous avons capitalisé sur les données de nos accompagnements de
programme menés tant sur le périmètre Français qu’international. Le but ? Estimer le
niveau de conformité global des organisations au RGPD et mettre en lumière les principaux
enjeux et les tendances à venir sur la base de notre expérience. Les chiffres qui suivent
sont tirés de ce benchmark.
                                                           24                                                                                                                  25
Il est crucial de maintenir et renforcer la                                                 … R E P E N S E R L E SY ST È M E D ’ I N FO R M AT I O N        consentement par silo et ne peuvent
relation de confiance avec ses employés                                                     AUTOUR DE LA DONNÉE                                              donc pas garantir une complète maî-
pour les organisations. Ceci est d’autant            « Le RGPD exige la mise en                                                                              trise de son utilisation.
                                                                                            L’entrée en vigueur du RGPD a mis le doigt
plus vrai que les données manipulées
par l’employeur peuvent être sensibles
                                                     place d’une conformité dite            sur un point de douleur des organisations
                                                                                                                                                        //   La transformation digitale et l’évo-
                                                                                                                                                             lution rapide des usages ont poussé
et donc qu’une violation de données des              dynamique : il nécessite               dites « historiques » : une non maîtrise
                                                                                                                                                             les organisations à ouvrir leur sys-
                                                                                            globale de leur système d’information.
employés peut sérieusement entacher la
réputation d’une organisation. Dans le
                                                     la réévaluation régulière                                                                               tème d’information à des partenaires,
                                                                                                                                                             à intégrer rapidement de nouvelles
futur, une confiance bien établie pourra             des mesures de sécurité                Là où les organisations du digital ont
                                                                                            fait de la maîtrise de la donnée et de sa                        technologies, à développer des logi-
également faciliter l’introduction de                pour tout ce qui touche à la           valorisation le cœur de leur valeur ajoutée,                     ciels pour répondre à de nouveaux
nouvelles technologies par les filières RH
dans leurs processus (analyse prédictive             protection des données à               les questions basiques du RGPD posent
                                                                                            des problèmes fondamentaux aux autres
                                                                                                                                                             besoins métier sans prioriser la prise
                                                                                                                                                             en compte de la cohérence globale
des carrières, pilotage de l’activité, etc.).        caractère personnel. Nous              organisations : Quelles données sont                             de l’architecture. En conséquence

                                                     passons d’une logique de               collectées ? Où sont-elles stockées ?
                                                                                            Quels traitements sont effectués sur ces
                                                                                                                                                             directe, le cycle de vie complet de
                                                                                                                                                             la donnée n’est pas maîtrisé, ce qui
Il faut assurer la pérennité de la démarche          conformité à un instant T à            données ? Combien de compte(s) est-ce                            complexifie la mise en conformité
au-delà des programmes
                                                     un logique d’amélioration              qu’un client unique possède réellement ?                         industrialisée au RGPD.
                                                                                            Sommes-nous en capacité de garantir le
Les processus mis en place au sein des
organisations (réponse aux demandes
                                                     continue »                             bon effacement des données ? Comment
                                                                                                                                                        //   Très concrètement, dans la plupart
                                                                                                                                                             des organisations, il est technique-
d’exercice des droits, méthodologie                                  GWENDAL LE GRAND,      redonner aux individus la main sur leurs                         ment impossible d’automatiser la
privacy-by-design, réalisation d’AIPD…)                       Directeur des technologies    données ? Le manque de maîtrise du SI                            suppression des données à terme
                                                                  et de l’innovation CNIL   dans sa globalité induit de vraies difficultés                   de leur durée de conservation ou à
restent encore souvent manuels, il s’agit
maintenant de les industrialiser, les                                                       pour les acteurs historiques.                                    la demande, soit pour des contraintes
optimiser et les pérenniser pour s’assurer                                                                                                                   technologiques, soit pour une diffi-
                                                                                            Plusieurs constats sur le terrain :
que les efforts fournis pour se mettre                                                                                                                       culté à mesurer l’impact global d’une
en conformité ne seront pas perdus sur                                                      //    L’architecture du système d’infor-                         telle suppression. En conséquence, il
la durée. La date butoir du 25 mai 2018                                                           mation est orientée service ou cal-                        est complexe de mettre en œuvre un
passée, il s’agit maintenant de mettre en                                                         quée sur l’organisation interne et                         processus efficace de traitement des
place une conformité durable mais aussi                                                           ne permet donc pas une approche                            demandes d’exercice de droit ou d’en
de tirer parti plus largement des efforts                                                         globale centrée sur la donnée. De                          garantir le résultat. Par extension, il
produits dans le cadre des programmes                                                             ce fait naît un manque de cohérence                        est complexe de traiter les nouveaux
de mise en conformité. Cela implique                                                              mais aussi une perte dans la valori-                       droits issus du RGPD en particulier la
de répondre à un certain nombre de                                                                sation potentielle de la donnée au                         portabilité et la limitation.
challenges.                                                                                       service du client. À titre d’illustra-
                                                                                                  tion, 55% des organisations de notre
                                                                                                  panel sont contraintes de gérer le

                                                26                                                                                                27
FOCUS SUR LES DIFFICULTÉS RENCONTRÉES                                                                                                       DIFFICULTÉS RENCONTRÉES PAR
                                                                                                                                                 LES ENTREPRISES DANS LA MISE EN PLACE DU DROIT

               DANS LE TRAITEMENT DES DEMANDES                                                                                             31%
                                                                                                                                                                   À L’OUBLI

                     D’EXERCICE DE DROITS                                                                                                                     24%

 Respecter les délais de réponse à une demande d’exercice de droit peut s’avérer plus
                                                                                                                                                                                    16%                16%
 compliqué qu’anticipé pour certaines organisations. Notre benchmark met en évidence                                                                                                                                      13%
 un écart de maîtrise entre les droits classiques et les nouveaux droits du RGPD. Ainsi, les
 droits classiques incluant le droit de modification et le droit d’accès sont considérés comme
 maîtrisés pour plus de 3 entreprises sur 4. À l’inverse, le droit d’opposition et les nouveaux
 droits tels que le droit à l’effacement, à la limitation et à la portabilité se heurtent notamment
 à des complexités techniques et des conflits d’intérêt.

                                                                                                                                    Impossibilité de       Impacts           Reconstruction      Résistance des       Incohérence
                                                                                                                                     localiser avec      métiers post        des données au       métiers à la      applicative post
                                                                                                                                      précision les      suppression           fil de l’eau     suppression des     suppression des
                                                                                                                                        données                                                     données             données
                                       FOCUS SUR LE DROIT À L’OUBLI

Seulement un tiers des organisations du panel interrogées parvient à garantir la suppression de l’intégralité
   des données d’un client dans le cadre du droit à l’oubli. La mise en œuvre de ce droit se heurte à des
  complexités techniques. Par ailleurs, les organisations sont également confrontées à une réticence des
        métiers à acter la suppression en l’absence de maîtrise des impacts collatéraux éventuels.

                                                                                                                                                                                          L’idéal pour les organisations serait de
                                                                                                                                                                                          multiplier les points de vérité omnicanal.
                                                                                                                                                                                          Autrement dit, l’idéal serait de structurer
                                    COMMENT TRAITEZ-VOUS                                                                          FOCUS SUR LE DROIT                                      leur système d’information autour
                                     LE DROIT À L'OUBLI ?
                                                                                                                                     D’OPPOSITION                                         de bases de données maîtres faisant
                                                                                                                                                                                          référence pour tous les utilisateurs, qu’il
                                                                                                                                                                                          s’agisse d’applications comme d’humains.
                                                           14%                                                  La complexité de ce type de demande est intimement
                                                                                                                liée à la collecte du consentement. Des interfaces ont                    Par exemple, si je disposais d’un point de
                                                                                                                été mises en place pour permettre la bonne réception
                                         33%                                                                     des demandes mais elles sont exécutées application                       vérité unique des informations d’adresse
                                                                                                                  par application dans la majorité des cas entrainant                     postale de mes clients, modifier une
                                                                                                                      mécaniquement des risques d’incohérence.
                                                                 34%                                                                                                                      adresse en cas de déménagement pourrait
                                                                                                                                                                                          être répliqué dans mon SI en renseignant
                                               19%                                                                                                                                        s i m p l e m e n t l ’évo l u t i o n d a n s ce t te
                                                                                                                                                                                          base. L’avantage de cette approche est
                                                                                                                                                                                          multiple : les données sont cohérentes,
                           Accès aux données bloqué mais elle est toujours                                                                                                                vraies partout et l’exercice des droits en
                           présente en base
                                                                                                                              FOCUS SUR LE DROIT À LA
                                                                                                                                                                                          est largement simplifié.
                                                                                                                            PORTABILITÉ ET À LA LIMITATION
                           Le droit à l’oubli n’est pas faisable techniquement

                           Les données sont partiellement supprimées du SI de                                      Ces deux droits n’ont pas été priorisés au sein des
                           manière à ce qu’elles ne soient plus visibles du client                              programmes de mise en conformité RGPD en l’absence
                                                                                                                    de retours d’expérience et de lignes directrices
                           Toutes les données sont supprimées
                                                                                                                sectorielles. Il est à noter néanmoins que ces droits font
                                                                                                                           l’objet de peu de demandes à date.

                                                      28                                                                                                                       29
BESOIN DE CONSTRUIRE UN POINT DE VÉRITÉ UNIQUE

                     PASCAL VIDAL, Expert           client au centre des réflexions : Quelles sont    •    Rendre le client maitre de ses                   •    Sécurisation des accès aux données
                                                    les données de mes clients ? Où se trouvent            données, en lui donnant accès à                       clients en fournissant des services de
                     Cybersécurité & Confiance      ces données ? Comment y accéder ? Quels                une vue centralisée de ses données                    contrôle d’accès pour les clients eux-
                     Numérique, Wavestone           traitements appliqués ?                                personnelles afin de lui permettre                    mêmes (mot de passe, social login,
                                                                                                           d’exercer ses droits (rectification,                  Single Sign On, multi-facteur, biométrie,
                                                    Néanmoins, les entreprises rencontrent des             extraction, oubli…).                                  etc.) et les systèmes traitant la donnée.
                                                    difficultés dans cette nouvelle approche,
                     COMMENT EXPLIQUER QUE LES
                                                    du fait de la prise en considération d’un         Le projet de construction de ce référentiel           •    Suivi de la conformité des traitements
                     ENTREPRISES ONT DU MAL         historique SI important, et donc peu agile, et    d’identités peut s’avérer long, notamment                  et usages des données clients en
                     À MAITRISER LES DONNÉES        l’ouverture de leur SI à de nouvelles sources     pour des entreprises de grande envergure.                  fournissant au DPO et aux métiers
                                                    de données, principalement digitales (ex :        Toutefois, il existe aujourd’hui des solutions             des   tableaux   de   bord   de   suivi
                     CLIENTS ?
                                                    réseaux sociaux).                                 clés en main, qui permettent de rapidement                 des   consentements,    des    données
                                                                                                      constituer un tel référentiel : les solutions              personnelles référencées ou encore
Pour le comprendre, il faut remonter à              Ces difficultés sont symptomatiques d’un          « Customer IAM » (gestion des identités et                 le respect des préférences clients.
l’origine des systèmes d’information des            manque essentiel dans le SI des entreprises :     accès des clients).
entreprises. Ces derniers, tout comme               avoir un point de vérité unique, garant                                                                 L’ensemble     de    ces    solutions   sont
l’entreprise, ont été conçus de sorte à             de la gestion transverse des données, le          QU’EST-CE QU’UNE SOLUTION CUSTOMER IAM ?              inscrites dans une démarche d’agilité et
répondre à des besoins urgents de support           référentiel des identités clients.                                                                      d’interopérabilité (orientées API) de sorte
technique aux fonctions métiers : à chaque                                                            Une solution « Customer IAM » vise à                  à pouvoir s’intégrer de manière transparente
besoin, son application et son référentiel de        EN QUOI CONSTRUIRE UN RÉFÉRENTIEL D’IDENTITÉS    simplifier et fiabiliser les processus de             dans le SI des entreprises.
données en propre (application web, mobile,                                                           gestion et la protection des données
                                                    CLIENTS VA ACCÉLÉRER LA MISE EN CONFORMITÉ RGPD
programme de fidélité, SAV, logistique,                                                               clients, aussi bien pour des clients que des          EST-CE QU’UNE SOLUTION CIAM EST LE REMÈDE
boutiques, etc.).                                   DES ENTREPRISES ?                                 prospects.
                                                                                                                                                            MIRACLE AUX MAUX RGPD ?
                                                    Le référentiel d’identités clients constituera    Ces solutions embarquent des accélérateurs
Les entreprises se retrouvent maintenant                                                                                                                    Non. Bien que ces solutions fournissent
                                                    le point central de gestion des données           technologiques permettant de créer une
avec un système d’information siloté par                                                                                                                    des accélérateurs permettant de créer une
                                                    clients. Il aura pour rôle de recueillir,         couche de gestion et de sécurité des
fonction métier, constitué d’autant de bases                                                                                                                couche de gestion et de protection des
                                                    centraliser et mettre à disposition ces           données, transverse aux silos historiques
clients que d’applications. En d’autres                                                                                                                     données clients transverses au SI, elles
                                                    données à tous les systèmes de l’entreprise,      des systèmes d’information.
termes, un système d’information qui ne                                                                                                                     n’enlèvent en rien la nécessité de définir et
                                                    aussi bien physiques que digitaux.
permet pas d’avoir une vue globale des                                                                                                                      mettre en place une gouvernance globale
données clients, et ainsi de les maitriser.                                                           Elles s’articulent autour de trois principales        des données clients (processus, sécurité,
                                                    Au-delà de ce rôle central, il permettra aux      fonctionnalités :
                                                    entreprises de plus facilement répondre aux                                                             traitements, stockage…).
 QUELS ENJEUX POUR LES ENTREPRISES ET COMMENT       exigences du RGPD, notamment :                    •    Centralisation et partage des données
LES AIDER À MIEUX MAITRISER LES DONNÉES CLIENTS ?                                                          personnelles     et     consentements
                                                    •    Savoir quelles données personnelles               clients en fournissant un référentiel
À l’ère du RGPD, le principal enjeu des                  l’entreprise possède et dans quels                des identités centralisé en charge de
entreprises est de construire une relation de            systèmes,     au    travers   d’une    vue        synchroniser les données clients dans
confiance avec leurs clients.                            agrégée des données, qu’on appellera              les systèmes du SI, notamment via des
                                                         « l’identité client ». Cette identité fera        interfaces temps réel pour satisfaire les
Une confiance qui passe à la fois par une                office de point de rattachement de                contraintes des canaux digitaux.
communication transparente des traitements               l’ensemble des données personnelles
réalisés sur les données du client, mais                 du client et des systèmes y ayant accès.
surtout par le fait de rendre le client maitre
de ses données personnelles et lui en               •    Fiabiliser les données clients, afin d’en
faciliter l’accès.                                       contrôler leur qualité et de les mettre à
                                                         jour dans l’ensemble des systèmes du
Cela impose aux entreprises de repenser leur             SI concerné, indépendamment du point
système d’information avec une approche                  de contact (boutiques, canaux digitaux,
globale, orientée données, en plaçant le                 service client…).

                                                    30                                                                                                 31
Vous pouvez aussi lire