RGPD : Un règlement contraignant plein d’opportunités

Les entreprises sont confrontées aujourd’hui aux défis d’une croissance exponentielle du nombre et du volume des données personnelles conservées, à un éparpillement de celles-ci dans de nombreux silos au sein des systèmes d’information, et d’une absence de visibilité tant quant à leur emplacement ou nature qu’à leurs usages ou à la désignation d’une personne ou d’une entité responsable de ceux-ci.

Le nouveau Règlement Général sur la Protection des Données personnelles, connu également sous son acronyme anglais GDPR ou français RGPD, va contraindre à revoir en profondeur la gouvernance et les pratiques des entreprises en matière de gestion des données personnelles. Au-delà des nouvelles obligations ou de l’extension de celles existantes auxquelles les organisations seront soumises lorsque de son entrée en vigueur le 25 mai prochain, le règlement pose dès aujourd’hui un certain nombre de problèmes aux équipes informatiques. En effet, il constitue pour les équipes IT un véritable challenge en termes d’identification des données, de catégorisation, de gestion, de stockage, de protection ou de traçabilité de l’usage et des consentements associés, problématiques qui relèvent finalement exclusivement de la technologie, et non de considération réglementaire ou juridique, puisqu’on ne parle que d’informations gérées dans des bases de données et exploitées par des traitements informatiques.

Nous aimons croire qu’une entreprise entrepose les données personnelles de ses clients dans des systèmes parfaitement inviolables, que celles-ci sont identifiées, tracées et protégés à tout instant, et que les droits d’usage, politiques de rétention ou processus d’archivage, d’anonymisation ou de suppression sont parfaitement définis. Mais la réalité est autre. 

Du fait de l’empilement des systèmes au fil des ans, de nombreuses entreprises font face aujourd’hui au fait qu'aucun système ne centralise toutes ces données, voire que personne ne sait plus où se trouvent les données, imposant de consulter chaque silo pour procéder à ce recensement. Or l'une des dispositions du GDPR est le renforcement de l'exigence d'effacement des données personnelles, qui constitue un véritable défi dans la situation décrite précédemment : comment une entreprise peut-elle s'assurer qu'elle est en conformité avec GDPR avec ces problèmes d'infrastructure ? L’enjeu est de taille, car si un client vous demande de supprimer ses données, à quel point êtes-vous certain de pouvoir le faire ?Pour les petites entreprises, la difficulté est moindre puisque le nombre de systèmes traitant les données personnelles se limitent souvent à un ou deux, mais la complexité croît exponentiellement avec la taille de l’entreprise, et les nouveaux cas d’usage utilisant des informations provenant des objets connectés ou de périphériques distants qui collectent des données sont des adjuvants de complexité.

Comment dès lors répondre à ces nouveaux enjeux de GDPR ? La solution idéale consisterait à créer une base de données centrale qui regrouperait toutes les données, les sécuriserait, les relierait toutes ensemble et comprendrait chaque document et élément soumis au système, ainsi que les données qui y sont liées. Cela signifie qu'une demande d'effacement pourrait supprimer non seulement les données en elles-mêmes, mais aussi les éléments qui y sont liés. Mais cette tâche serait monumentale en utilisant des systèmes traditionnels qui ne peuvent gérer que des données structurées dans un modèle de données prédéfini et relativement figé. C’est là qu’une plateforme de gestion des informations nouvelle génération qui puisse prendre en charge plusieurs formes et modèles de données structurées et non structurées devient une alternative séduisante.

Il n’est évidemment pas question de décommissionner les systèmes traditionnels existants, mais de les mettre en conformité au GDPR en consolidant leurs données et/ou leurs métadonnées, c’est-à-dire la connaissance des données de chaque système, de leurs dépendances et de leurs "propriétaires", dans un hub central de données afin de gérer un ensemble hétérogènes de sources de données. La gestion dans ce hub des éléments relatifs aux traitements et aux consentements, avec des capacités de traçabilité, de représentation visuelle, d’exposition y compris vers les clients, de recherche et de reporting permet de constituer une solution intégrée agile, performante et industrielle grâce à une plateforme opérationnelle multi-modèle.

De prime abord, GDPR ne semble qu’une longue suite de contraintes plus ou moins nouvelles. Mais c’est aussi une formidable opportunité. En effet, les organisations publiques et privées peuvent utiliser les changements informatiques nécessaires à la mise en conformité avec GDPR pour améliorer la qualité et la gouvernance de leurs données personnelles et construire une vision à 360 degrés des employés, clients ou citoyens. Le volume et la variété de données qu’elles doivent absorber sont considérables. En rassemblant et en identifiant toutes les données personnelles qu’elles possèdent, comment et pourquoi ces données sont utilisées, et les points communs entre les ensembles de données, elles vont pouvoir acquérir automatiquement et centraliser des informations précieuses. Ceci va leur permettre de créer de nouvelles applications et de nouveaux services plus ciblés qui pourront être exploités pour donner à toutes leurs équipes, du marketing à la vente en passant par le service ou la relation client, une vision commune des clients et des prospects, ce que l’on nomme un golden record qui regroupe tout ce qui concerne ces derniers.

Aujourd’hui, de nombreuses organisations ont déjà mis en place une forme de golden record pour leurs clients. Cependant, cela se limite généralement à quelques attributs importants concernant le client (nom, adresse, etc.). Mais chaque golden record, véritable enregistrement de référence unique, pourrait inclure bien plus, comme des données comportementales, sociales, transactionnelles, descriptives et de produits / services provenant de sources multiples, y compris des systèmes CRM, des bases de données analytiques qui enregistrent les clics / recherches des utilisateurs, des systèmes d'enregistrement de site Web, bases de données marketing, du social…

Avec ce nouveau règlement, toutes les données sur un client devront obligatoirement être répertoriées, suivies, surveillées et protégées. GDPR offre donc la possibilité d'étendre les systèmes golden record existants en incluant l'intégralité des données pour une personne physique. De nombreuses organisations vont ainsi pouvoir réellement bénéficier des atouts du Big Data en considérant un ensemble de données complet, cohérent et adapté à l’usage déclaré auprès du tiers qui y aura consenti.

Avec une vue à 360 degrés de leurs données, les organisations peuvent augmenter leurs revenus et réduire le taux de désabonnement en étant plus à même d'identifier et de gérer les interactions client et de cibler les individus avec des offres contextuelles plus personnalisées sur plusieurs canaux. De plus, la satisfaction du client peut être améliorée en donnant aux représentants en contact avec les clients toutes les informations spécifiques dont ils ont besoin pour répondre à une demande ou à une réclamation de manière précise, pertinente, rapide et adaptée.

Nous sommes à une croisée de chemins. Compte tenu du contexte des obligations que le GDPR va nous imposer, il n’existe en fait que deux options viables pour les entreprises. Il faut soit arrêter de collecter des donnée et supprimer systématiquement et complètement tous les fichiers qui ne peuvent pas être pris en compte, soit optimiser les systèmes existants en installant une plateforme intégrée capable de connaître, recenser, répertorier, lier, surveiller, distribuer, protéger, monitorer et auditer en quasi temps réel de façon transverse toutes les données existant dans tous les systèmes d’une entreprise et tous les usages soumis à consentement qui en sont fait.