RGPD : pas de droit à l’oubli pour le droit à l’oubli

RGPD : pas de droit à l’oubli pour le droit à l’oubli

  • Jean-Michel Franco
    Jean-Michel Franco is Director of Product Marketing for Talend. He has dedicated his career to developing and broadening the adoption of innovative technologies in companies. Prior to joining Talend, he started out at EDS (now HP) by creating and developing a business intelligence (BI) practice, joined SAP EMEA as Director of Marketing Solutions in France and North Africa, and then lately Business & Decision as Innovation Director. He authored 4 books and regularly publishes articles, presents at events and tradeshows and can be followed on Twitter: @jmichel_franco
  • February 28, 2018

 

Le Règlement européen sur la protection des données (RGPD) renforce considérablement les droits des personnes à disposer de leurs données. De manière très concrète, dès le 25 Mai, jour de son entrée en vigueur, toute personne résidant dans l’Union Européenne et dont une organisation détient des données personnelles pourra invoquer les différents articles du Chapitre 3 du règlement, tels que le 17 (effacement, ou droit à l’oubli) ou le 20 (portabilité des données) du RGPD et avoir ainsi le contrôle sur ses données.

Ces mesures visent à redonner aux personnes le pouvoir sur leurs données personnelles. Refuser ou faillir à y répondre expose les entreprises défaillantes aux peines administratives maximales du RGPD c’est à dire au moins 20 millions d’euros, et au plus 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent.

Que se passera-t-il donc si à partir du 25 mai prochain, des centaines de personnes soumettent ce type demande à la même organisation ? Sera-t-elle en mesure d’y répondre, ou, à défaut, quelle sera sa réponse aux autorités de régulation, ainsi qu’à ses clients?                                                                     

De la prise de conscience à l’action

Beaucoup d’études ont mis en évidence les challenges opérationnels liés au respect de RGPD. Ceux liés aux droits d’accès des personnes apparaissent en tête de liste. C’est lié à leur caractère stratégique, puisque leur non-respect représente non seulement un risque financier, mais aussi un risque lié à la relation client et à la réputation de l’organisation. Mais c’est aussi leur mise en œuvre opérationnelle qui pose problème, notamment pour ce qui concerne le droit à l’oubli et la portabilité des données.

Dans une étude Deloitte , 64% des organisations déclarent n’avoir aucune idée du nombre de requêtes qu’elles recevront de leurs clients, prospects ou employés. Elles pourraient être nombreuses, à l’image des 386 038 demandes reçus par Google en l’espace de 18 mois, faisant suite à une décision de la Cour de justice de l'Union européenne (CJUE) pour la mise en place d’un formulaire de « droit à l’oubli » numérique.

Pour le RGPD, l’activation des droits des personnes suscitera-t-elle un tel engouement ? On peut l’anticiper, comme le montre une enquête où 82% des consommateurs européens estiment qu’ils tireront volontiers parti de leurs nouveaux droits[1]. Face à cette appétence du consommateur, les entreprises semblent y opposer une résistance, puisque seulement 11% des entreprises prévoient d’automatiser les réponses aux demandes de droit à l’oubli. Les autres n’ont soit tout simplement pas prévu de respecter la réglementation (21%), soit comptent procéder manuellement au traitement de chaque requête, que ce soit de manière organisée (42%) ou ad-hoc (26%).

De tels résultats laissent perplexe tant en termes de gestion de la relation client que du fait des coûts engendrés par ce traitement artisanal, mais aussi en termes de sécurité puisqu’un traitement ad-hoc nécessiterait sans doute de donner à un groupe de personnes l’accès exhaustif à des données sensibles.

De la théorie à sa mise en application

La mise en œuvre d’un système d’information pour y parvenir s’impose donc. De manière générale, on estime que le chantier IT représente entre la moitié et les deux tiers des coûts du nouveau règlement. A ce titre, l’intitulé de la réglementation est trompeur car il laisse entendre que la majorité de l’effort consiste à protéger les données, alors que l’enjeu c’est aussi de désenclaver les données. La plupart des organisations n’ont pas une vue exhaustive et intégrée de leurs données client. Or, imaginez votre réaction si, aussitôt après avoir exercé votre droit à l’oubli auprès d’un de vos prestataires, vous receviez un e-mail de promotion sur un tout nouveau produit du fait de l’incapacité du prestataire à avoir procédé à l’effacement de vos données en intégralité ?

Disposer d’une vue à 360° des clients et employés est donc un prérequis pour la conformité avec les droits des personnes. La très grande majorité des organisations ne disposent pas encore de cette vue à 360°, le temps est donc compté pour la mettre en œuvre. Le data lake est l’environnement moderne pour y parvenir au plus vite.

Une illustration concrète d’une telle mise en œuvre se trouve dans ce webinaire. Au travers d’une démonstration, il évoque le type d’approche et de plate-forme à constituer pour gérer le droit à l’oubli, la portabilité des données, de même que la gestion du consentement.

Regagner la confiance des consommateurs

L’enjeu du RGPD, c’est d’établir une relation de confiance autour des données personnelles. Une façon d’y arriver est permettre aux utilisateurs de reprendre la main sur leurs données. Certaines entreprises en ont saisi les enjeux, au point de faire de leur portail d’accès aux données personnelles un axe clé de leur communication, comme l’a fait récemment Facebook à Bruxelles, ou à l’instar du Grand Lyon, de la MAIF, d’Orange et de quelques autres, autour de la Fing et de son projet MesInfos. Mais c’est l’exception plutôt que la règle. Face aux lois en vigueur qui autorisaient déjà certains droits d’accès, la plupart des entreprises répondent par des mécanismes d’un autre âge, par exemple en contraignant leur client à envoyer un courrier postal à leur service juridique pour obtenir une copie, sur papier, de leurs données personnelles.

RGPD met la barre réglementaire bien plus haut. Mais surtout, elle met en évidence les nouvelles exigences des clients, citoyens et employés, face à leurs données personnelles dans un monde numérique. Au-delà des risques financiers, l’impact d’un non-respect des droits sur leurs relations client l’est encore plus. Finalement, le RGDP est une parfaite opportunité pour permettre à l’entreprise de se rapprocher de ses clients, qui n’auront alors aucune raison d’exercer leur droit à l’oubli.

[1] GDPR : show me the data, A PEGA ebook.

Participer aux discussions

0 Comments

Laisser un commentaire

Your email address will not be published. Required fields are marked *