Sélectionner une page

Le 25 mai 2021, le Règlement Général sur la Protection des Données fête ses trois ans. L’occasion d’en faire un tour d’horizon : comment les entreprises s’adaptent-elles ? comment cela évolue-t-il ? quels sont les nouveaux enjeux et opportunités ?

Le RGPD, c’est-à-dire ?

Il y a un peu plus de trois ans, ces quatre lettres sont apparues et étaient redoutées partout en Europe. En effet, les sanctions induites en cas de non-respect pouvant aller jusqu’à 20 millions d’Euros ou 4% du CA forçaient à agir rapidement. Dès lors, il était urgent, pour les entreprises d’abord de comprendre ce que RGPD signifiait et d’établir un plan d’action pour s’y conformer.

Ainsi, riche de 99 articles, ce règlement qui veille à protéger les données personnelles se déploie en trois axes principaux :

  • Le consentement : toute donnée personnelle collectée qui n’est pas obligatoire doit faire l’objet d’une autorisation volontaire et éclairée de la part du sujet. Ce consentement doit donc être collecté, conservé et le sujet peut le modifier à tout moment.
  • Le droit des sujets : une liste de droits donnés à toute personne ayant partager ses données à une autorité tierce qui doit être en mesure d’y répondre (droit à l’oubli, droit de consultation, droit à la correction, droit à la portabilité…)
  • Le principe du « Privacy by design » visant à limiter la collecte et la rétention des données, à adopter des mesures strictes pour protéger ces dernières et à faire preuve de transparence en cas de faille de sécurité ou d’exposition.

Afin de s’adapter à ces règles, il convient pour chaque entité disposant de données personnelles de réaliser les opérations suivantes :

  1. Etablir un registre des données personnelles : cela a pour but d’identifier l’objet de la collecte des données ainsi que la localisation de ces dernières et les personnes y ayant accès
  2. Nommer un Data Protector Officer (DPO), une personne responsable et garante de la protection des données
  3. Mettre en place une gestion du consentement
  4. Garantir le respect du droit des sujets
  5. Limiter et sécuriser les données personnelles collectées

En trois ans, le mot s’est démocratisé et son principe dépasse également les frontières de l’Europe. De nombreux pays ont envisagé ou envisagent la mise en place de mesures de protection des données. Par exemple, le California Consumer Privacy Act a été instauré en 2018 aussi et malgré le Brexit, le Royaume-Uni réfléchit à renforcer sa réglementation.

De 2018 à aujourd’hui, quel bilan ?

Globalement, l’ensemble de la population est beaucoup plus sensibilisé à ce principe de protection de données. Chacun souhaite pouvoir avoir le contrôle de ses propres données. Pareillement, lorsqu’une entreprise subit une fuite de données ou est accusée d’actes frauduleux vis-à-vis du RGPD. L’information se propage rapidement et donne lieu à de nombreux débats et discussions.

Le 18 mai dernier, la CNIL a publié son rapport 2020 et ses chiffres sont, à ce sujet équivoques :

  • 13 585, c’est le nombre de plaintes reçues en un an, soit +62,5% depuis l’entrée en vigueur du RGPD
  • 138 millions d’Euros, c’est le montant total des 11 amendes prononcées (sur 247 contrôles réalisés)

Le nombre de DPO augmente, les audits des données personnelles collectées se perfectionnent et la mise en place de stratégie de gestion transverse se diffuse. Mais il n’en reste pas moins que le chemin à parcourir est encore long pour de nombreuses entreprises. En effet, 37 % d’entre elles affirment ne pas être encore conformes au règlement (d’après la 3ème édition du baromètre RGPD proposée par Data Legal Drive)

Depuis 2018, une nouvelle règle majeure a aussi été instaurée, celle relative à la gestion des cookies sur les sites internet. Ces derniers doivent, d’une part, expliquer clairement quelles sont les données collectées et à quelle fin. D’autre part, offrir la possibilité d’accepter ou refuser la collecte ou l’ajout de cookies en fonction des finalités. Depuis le début de l’année, une accélération de mise en conformité est observée. Mais malgré tout, 47 % d’entre eux ne le sont pas encore complétement.

De nouvelles perspectives ?

Ainsi depuis trois ans, les entités ont réalisé des efforts considérables et entrepris de réelles démarches afin de veiller à la protection des données personnelles. Cela est incontestable. Face à un règlement inflexible et aux lourdes sanctions possibles, c’est souvent à marche forcée que les entreprises réalisent ce projet. Autrement dit, sans le RGPD, il y a fort à parier que la collecte des données privées n’aurait cesser de croitre sans être ni nécessaire, ni justifiée, ni réellement sécurisée.

Pour autant, il apparait que ces démarches, certes contraignantes ouvrent la voie à de nouvelles opportunités.

Améliorer l’image

D’abord, être en conformité avec la loi permet de travailler et d’œuvrer plus sereinement en faisant disparaître la crainte de la sanction et de ses effets dévastateurs, ceux qu’une amende peut produire sur l’activité d’une entreprise. Au-delà de cette considération évidente, cela a aussi un effet bénéfique sur l’image d’une entreprise respectueuse du RGPD. Ayant connaissance de cela, un individu est rassuré d’être client d’une marque qui veille au respect de ses droits individuels et qui œuvre à protéger les données qu’il a décidé de partager.

Améliorer la qualité des données

Ensuite, il est évident que la mise en conformité d’une entreprise a souvent nécessité des investissements. Il a fallu réaliser des audits, se doter de nouveaux outils pour gérer les consentements ou renforcer la sécurité IT par exemple. Les structures ont aussi dû se réorganiser et modifier leurs habitudes. Toutes ces tâches et les coûts liés ne faisaient pas partie des priorités purement opérationnelles. Pour autant, cela peut s’avérer être des leviers de croissance. D’une part, en établissant son registre de données personnelles, l’entreprise a pu identifier celles qui avaient une valeur ajoutée dans son activité. Cela lui a permis de purger son référentiel de données personnelles tout en affinant ses stratégies commerciales. Ce travail de nettoyage apparaissait souvent comme nécessaire d’un point de vue business mais sans cesse reporté en raison d’un ROI difficilement mesurable.

Avec des données «propres» et des objectifs clairs, l’entreprise parvient à améliorer son reporting client et peut définir des KPI plus précis. Dans un environnement où l’intelligence artificielle devient un axe d’aide à la décision. Cela révèle l’importance aussi opérationnelle de la démarche de clean contrainte par ce règlement européen.

Améliorer la relation et l’expérience client

Enfin, aussi paradoxal que cela puisse paraitre, il est possible de collecter des données personnelles plus nombreuses et surtout plus qualitatives grâce au RGPD. Cela offre plus de transparence vis-à-vis du client. Ce dernier, plus alerte sur les enjeux de protection de données. Il peut enfin connaitre quelles sont les finalités d’utilisation des données qu’il est amené à partager avec une entreprise. Cette transparence renforce la confiance et donc la fidélité client. En effet, dès lors qu’un client identifie le bénéfice qu’il pourra obtenir en partageant ses informations. Il sera plus enclin voire tout à fait volontaire pour le faire. Par exemple, indiquer sa date de naissance pour recevoir de la communication de partenaires de la marque le jour J n’a pas le même impacte que si cela lui donne droit à une promotion individualisée.

Ces données plus qualitatives et centrées sur des finalités claires améliorent de facto la relation client. Dès lors, il est plus aisé pour une marque de personnaliser l’expérience client. C’est donc un cercle vertueux qui peut se mettre en place où la marque comme le client peuvent en tirer profit.

Abonnez-vous à notre newsletter pour suivre nos dernières actualités

Inscrivez-vous