RGPD et droit à l’oubli : pourquoi les entreprises ont tout à y gagner ?

Le Règlement européen sur la protection des données (RGPD ou GDPR pour « General Data Protection Regulation ») renforce considérablement les droits des personnes à disposer de leurs données. Plus concrètement, dès le 25 mai 2018, jour de son entrée en vigueur, toute personne résidant dans l’Union Européenne et dont une organisation détient des données personnelles pourra invoquer les différents articles du Chapitre 3 du règlement, tels que le 17 (effacement, ou droit à l’oubli) ou le 20 (portabilité des données) du RGPD et avoir ainsi le contrôle sur ses données.

Ces mesures visent à redonner aux personnes le pouvoir sur leurs données personnelles. Refuser ou faillir à y répondre expose les entreprises défaillantes aux peines administratives maximales du RGPD. C’est à dire au moins 20 millions d’euros, et au plus 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Que se passera-t-il donc si à partir du 25 mai 2018, des centaines de personnes soumettent ce type de demande à la même organisation ? Sera-t-elle en mesure d’y répondre ou, à défaut, quelle sera sa réponse aux autorités de régulation, ainsi qu’à ses clients ?

De la prise de conscience à l’action

Beaucoup d’études ont mis en évidence les challenges opérationnels liés au respect de RGPD. Ceux concernant les droits d’accès des personnes apparaissent en tête de liste. Cela est dû à leur caractère stratégique, puisque leur non-respect représente un risque financier et un risque lié à la relation client et à la réputation de l’organisation. Mais c’est aussi leur mise en œuvre opérationnelle qui pose problème, notamment pour ce qui concerne le droit à l’oubli et la portabilité des données.

Dans une étude Deloitte, 64 % des organisations déclarent n’avoir aucune idée du nombre de requêtes qu’elles recevront de leurs clients, prospects ou employés. Elles pourraient être nombreuses, à l’image des 386 038 demandes reçues par Google en l’espace de 18 mois, faisant suite à une décision de la Cour de justice de l’Union européenne (CJUE) pour la mise en place d’un formulaire de « droit à l’oubli » numérique.

Pour RGPD, l’activation des droits des personnes suscitera-t-elle un tel engouement ? On peut l’anticiper, comme le montre une enquête où 82 % des consommateurs européens estiment qu’ils tireront volontiers parti de leurs nouveaux droits. Face à cette appétence du consommateur, les entreprises semblent cependant y opposer une résistance, puisque seulement 11 % des entreprises prévoient d’automatiser les réponses aux demandes de droit à l’oubli. Les autres n’ont soit tout simplement pas prévu de respecter la réglementation (21 %), soit comptent procéder manuellement au traitement de chaque requête, que ce soit de manière organisée (42 %) ou ad-hoc (26 %).

De tels résultats laissent perplexe tant en termes de gestion de la relation client que du fait des coûts engendrés par ce traitement artisanal. Une perplexité aussi en termes de sécurité puisqu’un traitement ad-hoc nécessiterait sans doute de donner à un groupe de personnes l’accès exhaustif à des données sensibles.

De la théorie à sa mise en application du droit à l’oubli

La mise en œuvre d’un système d’information pour y parvenir s’impose donc. De manière générale, on estime que le chantier IT représente entre la moitié et les deux tiers des coûts du nouveau règlement. A ce titre, l’intitulé de la réglementation est trompeur car il laisse entendre que la majorité de l’effort consiste à protéger les données, alors que l’enjeu est aussi de désenclaver les données.

La plupart des organisations n’ont pas une vue exhaustive et intégrée de leurs données client. Or, imaginez votre réaction si, aussitôt après avoir exercé votre droit à l’oubli auprès d’un de vos prestataires, vous receviez un e-mail de promotion sur un tout nouveau produit du fait de l’incapacité du prestataire à avoir procédé à l’effacement de vos données en intégralité ?

Disposer d’une vue à 360° des clients et employés est donc un prérequis pour la conformité avec les droits des personnes. La très grande majorité des organisations ne disposent pas encore de cette vue à 360°. Le temps est donc compté pour la mettre en œuvre. Et, le datalake est l’environnement moderne pour y parvenir au plus vite.

Regagner la confiance des consommateurs

L’enjeu du RGPD est d’établir une relation de confiance autour des données personnelles. Une façon d’y arriver est de permettre aux utilisateurs de reprendre la main sur leurs données. Certaines entreprises en ont saisi les enjeux, au point de faire de leur portail d’accès aux données personnelles un axe clé de leur communication. Comme l’a fait récemment Facebook à Bruxelles, ou à l’instar du Grand Lyon, de la MAIF, d’Orange et de quelques autres, autour de la Fing et de son projet MesInfos.

Mais c’est l’exception plutôt que la règle. Face aux lois en vigueur qui autorisaient déjà certains droits d’accès, la plupart des entreprises répondent par des mécanismes d’un autre âge. Certaines, par exemple, contraignent leur client à envoyer un courrier postal à leur service juridique pour obtenir une copie, sur papier, de leurs données personnelles.

RGPD met la barre réglementaire bien plus haut. Surtout, le règlement met en évidence les nouvelles exigences des clients, citoyens et employés, face à leurs données personnelles dans un monde numérique. Au-delà des risques financiers, l’impact d’un non-respect des droits sur leurs relations client l’est encore plus. Finalement, RGPD est une parfaite opportunité pour permettre à l’entreprise de se rapprocher de ses clients, qui n’auront alors aucune raison d’exercer leur droit à l’oubli.