La data : un dada à dompter avant l’arrivée du RGPD

/, Civic Tech/La data : un dada à dompter avant l’arrivée du RGPD

La data au centre des stratégies se protège et se dote d’une éthique

Mieux connaitre ses clients, anticiper leurs besoins, le tout dans un contexte de multiplication des points de contacts off & online :  la data occupe une place de plus en plus importante dans la stratégie d’Entreprise.

Au menu : Visualisation, mobilité, réconciliation, sécurisation, éthique. Tels sont les différents prérequis d’un marketing data-driven, d’un marketing où la donnée est au service de la création de valeur.

« Databésité »

Il y a de quoi en faire de la valeur : Le volume de données double tous les 18 mois, « 90 % de l’ensemble des données du monde ont été créés ces deux dernières années ».

90 % de l’ensemble des données du monde ont été créés ces deux dernières années – Stephen Gold IBM

Les techniques d’analyse, de traitement, de croisement et de réconciliation sont désormais susceptibles (et capables) de transformer toute donnée en potentielle donnée à caractère personnel (DCP) pour toujours mieux nous connaitre, nous cibler.

Gouvernance : l’arrivée du RGPD

C’est en réaction à cette situation, avant que tout ne devienne incontrôlable aux mains d’acteurs privés peu éthico-scrupuleux, que le RGPD (Règlement Général sur la Protection des Données) a été élaboré et entrera en application le 25 mai 2018 dans tous les États membres de l’Union Européenne.

Il se présente sous forme de 99 articles et doit permettre à l’Europe de s’adapter au monde numérique. Un de ses objectifs est de redonner aux citoyens européens le contrôle sur leurs données personnelles. Cette nouvelle réglementation concerne les entreprises européennes et les prestataires étrangers opérant en Europe.

Le texte prévoit de fortes amendes pour les contrevenants : 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant celui retenu. Plutôt contraignant pour une fois.

Mise en application

Ces nouvelles obligations à destination des entreprises, associations ou administrations sont à mettre en œuvre avant la date fatidique, et portent sur 3 chantiers majeurs :

  • Protection du citoyen européen

Le consentement est LE point central du nouveau règlement. Le texte impose d’obtenir un consentement explicite à des finalités précises.

Il faudra recueillir pour chaque personne, son consentement sur l’usage et l’enregistrement de ses données. (Pour l’enregistrement des données personnelles, les cases pré-cochées et le consentement implicite sont à oublier.)

RGDP

A ce jour, les entreprises demandent majoritairement (à 65%) une « autorisation large » couvrant une multitude d’activités

Avec la nouvelle réglementation, les personnes vont disposer de droits étendus, et c’est la bonne nouvelle. Cela comprend le droit à l’oubli, la portabilité de leurs données, et être alerté en cas de brèche et de vol de données.

Concernant la data et nos libertés, je vous invite à lire un ouvrage tout fraîchement sorti : « No Data : quelle liberté dans un monde numérique ? » de Jean-Paul Aimetti.

  • Circulation de la donnée à caractère personnel

Les entreprises devront connaitre tous les flux de la data et pouvoir la partager simplement, et sous critères…, au sein de l’Europe au titre de la coopération.

Cela laisse sous-entendre qu’en cas de partage, toutes les parties devront prouver (le cas échéant, et sous 1 mois), qu’elles ont le consentement explicite des individus concernés.

  • Protection de la donnée à caractère personnel

Pour favoriser la cyber sécurité, le texte impose aux entreprises, associations et administrations de :

  • réduire au minimum nécessaire le volume de données à caractère personnel collectées et traitées,
  • limiter les accès à ces données et de les conserver de manière sécurisée,
  • mettre en place des systèmes de renforcement du niveau de protection apporté aux données (traçabilité, horodatage et chiffrement)

Pour mémoire : Les vols massifs de données ont encore augmenté en 2016 et quand on sait le volume de données qui vont être échangés via l’IOT (Internet Of Things), il est rassurant de voir ce texte arriver.

Breach level index

  • A noter : la désignation d’un DPO

La désignation d’un Data Protection Officer est obligatoire dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Le DPO sera également obligatoire pour le secteur public, quelle que soit la nature du traitement.

Le data protection officer est en charge de la sécurité des données de l’entreprise (protection des données et des applications, organisation de la sécurité, séparation des responsabilités).

Quand on sait que 39 % des entreprises s’estiment incapables de localiser les données en leur possession : la tâche du DPO s’annonce « spéléologique » avant d’arriver au bout du tunnel ; à la transparence et la réactivité imposées par le RGPD !

Le RGPD imposera de communiquer ou d’effacer les DCP dans un délai d’un mois à la demande de la personne concernée …

Le règlement comporte pas mal d’articles, il semble judicieux de commencer à l’éplucher pour voir de quoi il en retourne vraiment : c’est #KDO et c’est par ici

Remerciements :

Merci à Lionel Gousse CISO @ Meetic / Match Group EU ★ pour ses sources infographiques 🙂

Sources :

By | 2017-10-30T14:21:42+00:00 juin 22nd, 2017|Actualité, Civic Tech|0 commentaire

About the Author:

Expérience confirmée en Marketing Digital & gestion de projets IT. Sensibilité : User centric, data management, UX, digitalisation de processus, marketing automation.

Laisser un commentaire