Ateliers

Comment exploiter la data dans les parcours client ? Quels enjeux pour la sécurité ?

De gauche à droite, Pierre-Philippe Cormeraie, Béatrice Chavanel, Maryse Mougin, Fabienne Granovsky et Paul Poupet.
Publié le 19/10/2017

La data, oui, mais pour quel usage ? Jusqu’où peut-on aller alors que l’Europe s’apprête à durcir ses positions ? Fabienne Granovsky (FGConseil.fr), Béatrice Chavanel (SNCF Gares & Connexions), Pierre-Philippe Cormeraie (Groupe BPCE) et Paul Poupet (Seed-Up) expliquent les enjeux et partagent leur expérience. Un Atelier du Hub proposé par La Poste et animé par Maryse Mougin, Directeur de l’Expérience Client.

Fabienne Granovsky

Dans le cadre du nouveau Règlement Général de la Protection des Données (RGPD), dont la mise en place est prévue le 25 mai 2018, le premier message à faire passer est le suivant, selon Fabienne Granovsky (photo ci-dessus et bio ci-dessous) : « La donnée à caractère personnel, ou DCP, appartient avant tout à la personne concernée. Elle n’appartient pas à l’entreprise, qui ne fait que la mettre à disposition pour une durée déterminée, dans des conditions déterminées. »

En Europe, la data représente 70 milliards d’euros, pour une valeur économique globale de 350 milliards d’euros en incluant les effets secondaires. « La data vaut donc son pesant d’or, et les autorités européennes se sont préoccupées en premier lieu de la sécurité de ces données, explique Fabienne Granovsky. Aujourd’hui en effet, une faille de sécurité est identifiée toutes les 90 minutes. Entre le moment où elle est identifiée et celui où elle est corrigée, 109 jours se sont écoulés, en moyenne. Et si une faille de sécurité concernant vos données a été identifiée, êtes-vous forcément au courant ? Parfois oui, parfois non, ce qui n’est pas juste car ce sont vos données qui ont été volées. Il fallait donc faire évoluer les règles d’usage de la data. »

Les 5 piliers du RGPD

Le premier constituant du RGPD, l’analyse d’impact, est axé sur la sécurité. « Vous n’avez pas le droit, dans le cadre du RGPD, de mettre en œuvre un traitement pour lequel il y aurait un risque sur les DCP, sans faire préalablement une analyse d’impact. »

Le deuxième pilier est le « privacy by design ». « Quand vous concevez initialement une base de données, vous devez collecter le minimum de données possible en regard de la finalité envisagée. Par exemple, si votre programme de fidélité requiert une date de naissance pour fêter l’anniversaire de votre client, avez-vous réellement besoin de son année de naissance ? Peut-être ne devez-vous collecter que le jour et le mois. »

Le troisième pilier est l’accountability, qui signifie en quelque sorte « Tous responsables ! ». « Nous sommes responsables des traitements de la data et nous devons être en mesure de le prouver, explique Fabienne Granovsky. Précédemment, dans le cadre de la loi Informatique et libertés, une déclaration à la Cnil suffisait pour être en conformité. Désormais, c’est à vous l’entreprise de prouver que vous êtes conforme au règlement européen. Et cette conformité, vous êtes tenu de la mettre à jour au fil de l’eau, selon les évolutions de votre base de données. »

Le quatrième pilier concerne les failles de sécurité, qui sont désormais rigoureusement encadrées.

Enfin, le cinquième pilier, « celui qui fait trembler tout le monde », concerne les sanctions. Elles atteignent 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise, le montant le plus élevé étant retenu.

À travers ces cinq piliers, « l’idée est de redonner à chaque citoyen européen les moyens de reprendre le contrôle de ses données personnelles, avec un droit étendu à la protection. Ce qui fait plutôt plaisir puisque ce sont mes données qui sont collectées : la moindre des choses est que je sache où elles sont, ce que l’on fait avec, combien de temps on les garde, etc. Ensuite, il s’agit de simplifier l’environnement réglementaire en unifiant le règlement intérieur de l’UE : en matière de data, les frontières n’existent plus, nous sommes tous soumis aux mêmes obligations. Enfin, l’idée est de faciliter la libre circulation des données personnelles au sein de l’UE, dans le but peut-être d’un futur cloud européen : nos données sont aujourd’hui principalement stockées aux États-Unis et nous tentons ainsi de les faire revenir en Europe. »

Les obligations des entreprises

Côté entreprise, les obligations relatives à la data sont considérablement alourdies. « Tout d’abord, il n’y aura plus de déclaration de traitement auprès de la Cnil, précise Fabienne Granovsky. Les rapports avec la Cnil et les numéros d’autorisation continueront cependant pour tout ce qui est autorisation de traitement, liée aux données sensibles. L’entreprise devra tenir un registre pour décrire chaque traitement, et préciser qui sont les acteurs impliqués dans ce traitement. »

Les analyses d’impact deviennent obligatoires, sauf si l’entreprise fournit la preuve que cela n’est pas nécessaire. « L’analyse d’impact est requise lorsqu’il existe un risque pour la personne, et s’il n’y en a pas, encore faut-il le justifier, puisque nous sommes dans le cadre de l’accountability. »

Les mentions d’informations vont devoir être complètement réécrites : « Les personnes devront être clairement informées sur leurs droits, sur la façon dont leurs données sont exploitées, pour combien de temps, etc. Ces mentions deviennent donc extrêmement détaillées. »

Les entreprises vont devoir rédiger des modèles de recueil du consentement des personnes concernées, et elles seront tenues d’historiser ces recueils de consentement comme autant de preuves.

Ensuite, les rapports avec les sous-traitants évoluent : « Auparavant, le responsable de traitement, celui qui initiait les programmes, les finalités et les moyens, était seul responsable. Dorénavant, les sous-traitants font face à la même responsabilité que le responsable de traitement. Ils sont d’ailleurs eux aussi dans l’obligation de tenir un registre. Ils ont des lettres de mission et de vrais engagements avec leur responsable de traitement, qui les impliquent dans le respect des droits des personnes. »

Enfin, des procédures internes doivent être établies en cas de violation des données, incluant la notification aux personnes concernées, en passant par ce qu’on appelle désormais l’autorité de contrôle, nouvelle dénomination de la Cnil. « Aussi, les preuves que les personnes ont donné leur consentement doivent être conservées, car un grand nombre de traitements vont reposer sur la base du consentement. Je pense par exemple aux données sensibles comme la data relative à la santé ou aux appartenances politiques, religieuses, etc. »

Au final, tout cela peut paraître lourd pour les entreprises. « Mais il faut garder en tête que tout reste possible, conclut Fabienne Granovsky. Simplement, on va le faire d’une autre manière, plus encadrée, avec beaucoup plus de rigueur dans l’organisation des données. Cela signifie sans doute moins de flexibilité et plus de réflexion, mais en contrepartie peut-être aussi moins d’erreurs, moins de données dans la nature… »

Interview de Fabienne Granovsky

 

Interview réalisée lors de l’Atelier organisé par Le Hub de La Poste le 27 septembre 2017.

Bio express

Titulaire d’un Doctorat en Sciences des organisations (Paris 9 Dauphine) et disposant de plus de 20 années d’expérience en Data Marketing, Management et traitement de données personnelles, Fabienne Giesbert Granovsky (@FGranovsky) est Présidente de FGConseil.fr. Elle accompagne les entreprises dans leur mise en conformité au regard des obligations légales de protection de la vie privée Informatique et Libertés et de la Cnil. Elle intervient également sur des prestations de Correspondant Informatique et Libertés, Conseils, Audits de traitement, Compliance RGPD et Formations.