RGPD et CCPA : pourquoi le droit d’accès aux données reste-il le talon d’Achille des organisations en matière de protection des données et de confiance des clients – Partie 1

RGPD et CCPA : pourquoi le droit d’accès aux données reste-il le talon d’Achille des organisations en matière de protection des données et de confiance des clients – Partie 1

  • Jean-Michel Franco
    Jean-Michel Franco is Director of Product Marketing for Talend. He has dedicated his career to developing and broadening the adoption of innovative technologies in companies. Prior to joining Talend, he started out at EDS (now HP) by creating and developing a business intelligence (BI) practice, joined SAP EMEA as Director of Marketing Solutions in France and North Africa, and then lately Business & Decision as Innovation Director. He authored 4 books and regularly publishes articles, presents at events and tradeshows and can be followed on Twitter: @jmichel_franco
  • CCPA, RGPD.

Ce blog est le premier d'une série consacrée aux demandes d'accès aux données par les personnes concernées (DSAR) et à son importance pour regagner la confiance des clients.

 

En décembre 2019, nous avons publié notre deuxième étude sur la protection des données, et cette année encore, les résultats sont sans appel : 18 mois après l'entrée en vigueur du RGPD, 58% des entreprises interrogées n’excellent pas en matière de confidentialité des données. Le point concerne le droit d'accès, qui donne aux individus le droit d'obtenir une copie de leurs données personnelles. Cela est préoccupant pour les entreprises, et pas seulement depuis que :

  • Les régulateurs ont indiqué que les demandes d'accès aux données des personnes concernées (DSAR) sont à l'origine de nombreuses plaintes qu'ils reçoivent et ont commencé à infliger des amendes en conséquence ;
  • Le non-respect de cette exigence a un impact direct et négatif sur les relations avec les clients.

 

En ciblant les entreprises qui n'ont pas répondu à notre premier sondage il y a un an, nous avons également montré que seulement 32 % des entreprises qui n’ont pas réussi en 2018 ont depuis réglé le problème. On y voit certes un progrès mais cela laisse également entendre que le respect de cette exigence pourrait être plus difficile que prévu, alors que de nombreuses organisations pourraient être submergées par ces demandes jusqu'à un point où elles ne parviennent pas à les satisfaire de manière professionnelle, et en respectant les délais imposés par la législation. Les organisations encourent des difficultés à matérialiser correctement la protection des données ; cependant, elles la prennent très au sérieux. Selon une récente enquête LinkedIn, le responsable de la protection des données (DPO) est, avec le spécialiste de l'intelligence artificielle, la fonction qui connaît la plus forte croissance en Europe.

 

Dans ce premier post, je vais expliquer ce qu'est le DSAR et pourquoi il est si important pour les organisations.

 

Qu'est-ce que le DSAR ?

La plupart des réglementations sur la protection des données telles que le RGPD en Europe, CCPA en Californie, PIPEDA au Canada, PDPA à Singapour, LGPD au Brésil, DPA aux Philippines, et PoPI en Afrique du Sud, incluent des droits d'accès aux données qui donnent aux individus le contrôle sur leurs données personnelles. Les individus, appelés personnes concernées (selon la réglementation, il peut s'agir de consommateurs, de parties prenantes dans une relation B2B, d'employés, de membres d’associations etc.) peuvent faire une demande d'accès verbalement ou par écrit. Les organisations ont un délai limité pour répondre à cette demande (un mois avec le RGPD, 45 jours avec CCPA, 15 jours avec LGPD) et ne peuvent généralement pas facturer de frais pour cette demande.

 

Pourquoi une entreprise devrait-elle se soucier des droits d'accès des personnes concernées ?

Il existe une idée fausse selon laquelle la confidentialité des données n'est qu'une question de gouvernance, de risque et de conformité. En effet, avec la montée de réglementations telles que le RGPD ou CCPA et les amendes qu'elles peuvent déclencher en cas de violation, la confidentialité des données a maintenant attiré l'attention des dirigeants.

 

Mais avant tout, la confidentialité des données concerne les relations avec les clients et la transformation numérique : le véritable défi consiste à utiliser efficacement les données des clients tout en les protégeant selon leurs préférences en matière de confidentialité. Les organisations devraient s'en soucier non seulement parce qu'elle est réglementée, mais aussi parce que leurs clients les y incitent. Une enquête de Pega a montré que 82 % des consommateurs Européens se réjouissent de leurs nouveaux droits en matière de protection des données, notamment le droit de savoir quelles données les organisations ont à leur sujet et d'en avoir le contrôle.

 

Faire face à la augmentation des demandes

Les clients exercent leurs droits d'accès aux données et, par conséquent, les organisations font face à une augmentation des demandes, et feront face à encore plus de demandes lorsque CCPA entrera en vigueur en 2020 : une enquête de Cap Gemini indique qu'un tiers des organisations ont reçu plus de 1000 demandes (dont 50% sont des organisations américaines). De son côté, l’ICO, l'organisme de protection des données et d’information du Royaume-Uni, a révélé que 46 % des plaintes reçues jusqu'à présent autour du RGPD sont liées à ce sujet.

 

Pour donner suite à ces plaintes, des amendes sont également infligées. La plus forte amende recensée à ce jour a été infligée à une entreprise de livraison de denrées alimentaires en ligne pour non-respect des droits des personnes concernées par l’autorité de réglementation allemande. En outre, l'ONG autrichienne NOYB (None Of Your Business), qui milite en faveur de la protection des données, a déposé une vague de plaintes contre 8 sociétés de streaming, dont Amazon Prime, Apple Music, Soundcloud, Spotify, Youtube, ainsi que 3 plus petites entreprises.  Enfin, nous ne sommes qu'au début d'une vague d'actions de groupe, où un collectif de clients pourrait poursuivre des organisations lorsqu'elles ne respectent pas leur droit à la vie privée, notamment en ne répondant pas à leurs demandes d'accès aux données. Le RGPD permet cela dans une certaine mesure, alors que CCPA pourrait donner une plus grande ampleur à cette situation dans un pays où les recours collectifs sont devenus monnaie courante. 

 

Il est important également de noter que répondre aux DSAR est un travail coûteux, long et très difficile à réaliser, à moins que les organisations ne rationalisent le processus d'exécution et ne les automatisent grâce à des technologies modernes de gestion des données, comme un catalogue de données, des solutions d’intégration de données et des centres de confidentialité. Gartner estime que répondre à une seule demande coûte en moyenne 1406 dollars et que seulement 15% des organisations peuvent y répondre en moins d'une semaine.  Avec l’augmentation des demandes, les coûts associés explosent et vous ne pouvez plus les gérer comme un processus manuel ad hoc.

 

Le deuxième post portera sur l’expérience client et sur les processus DSAR qui peuvent parfois se révéler compliqués.

Pour plus d'informations sur la mise en conformité en matière de confidentialité des données, lisez ce guide pratique.

 

Participer aux discussions

0 Comments

Laisser un commentaire

Your email address will not be published. Required fields are marked *