GDPR : un avantage concurrentiel ?

En créant un cadre de confiance, le GDPR (règlement européen pour la protection des données à caractère personnel) va contraindre toutes les entreprises traitant des données de citoyens européens a se doter d’une véritable « Data Gouvernance » qui donnera pour les plus habiles un avantage concurrentiel certain.

Une réelle politique de Data Privacy peut faire évoluer les mentalités. Les entreprises et leurs partenaires ainsi que de nombreuses administrations vont prendre conscience de l’attachement des consommateurs-clients-utilisateurs… à leurs données personnelles.

Au delà des sanctions financières (jusqu’à 4% du CA) en cas de non conformité, les organisations vont devoir faire face à des « class action » de leurs clients. Une première en Europe. Elles ont donc tout intérêt  à se doter très rapidement en moyens humains et techniques pour se placer en conformité. Cette conformité pourrait amener bon nombre d’entreprises à traiter désormais le client via ses données comme un co-créateur de valeur. C’est un des avantages méconnus du GDPR.

Des échanges plus sécurisés via des standards identiques dans 28 pays

Une certitude : la relation client va évoluer avec la mise en place du nouveau cadre de confiance définit par l’interprétation que feront les entreprises des 99 articles du GDPR.

Un exemple des avantages du GDPR pour le « business » peut être pris dans le cadre de relations entre partenaires. En définissant un cadre de référence sur le traitement des données à caractère personnel pour les 28 pays de l’Union Européenne, Bruxelles compte faciliter les échanges entre entreprises européennes. Ces dernières disposent avec le GDPR de standards de conformité identiques. Dans un autre domaine, celui de la lutte anti corruption, la loi Sapin 2 définit des processus similaires. Le régulateur qui semble comme souvent « inquiéter » les acteurs au regard des lourdes sanctions qu’ils peuvent encourir peut vraisemblablement stimuler leur « business ».

Reste a réaliser les projets GDPR. Car il s’agit bien de projets voir de plusieurs : juridiques, organisationnels et techniques. Avec le GDPR, des notions nouvelles apparaissent comme le “privacy in design”. Pour les futurs DPO (Délégué à la Protection des Données ex CIL), la réalisation d’un audit général de l’existant s’impose pour recenser et réaliser l’inventaire technique via des outils spécifiques.

Ainsi, si une entreprise compte 100 traitements sensibles, il faut environ compter 500 à 1000 jours/hommes pour réaliser l’audit de premier niveau qui devra s’accompagner d’un EIVP (étude d’impact sur la vie privée) ou PIA (Privacy impact assessment). Et ce n’est qu’un début. D’autres développements attendent les managers IT, les métiers et les nouveaux DPO comme les projets Accountability. La CNIL précise : « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».

Idem pour un autre volet du GDPR : le « Privacy by design ». En clair, responsables de traitement et sous-traitants doivent appréhender la problématique des données personnelles dès la conception d’un projet impliquant des données à caractère personnel. Solutions DLP, chiffrement et data gouvernance bienvenues !

Autre volet, le “Privacy by default”: chaque acteur devra veiller à limiter les traitements de données, par défaut, à ce qui est strictement nécessaire. Une définition de juriste un peu floue pour des ingénieurs mais qui comme les autres devrait assurer dans sa mise en application, une cohérence nouvelle dans le cadre de traitement et d’échanges de données à caractère personnel concernant les citoyens européens.

Article invité de Jean-Philippe Bichard – www.cyberisques.com – Journaliste IT Cybersécurité / Data Protection
Follow @JPBICHARD//platform.twitter.com/widgets.js
Follow @SophosFrance//platform.twitter.com/widgets.js