A l’évocation du sujet GDPR vient immédiatement à l’esprit l’idée d’un exercice rébarbatif de mise en conformité dans lequel il est péniblement nécessaire de cocher les cases. Mais en le limitant ainsi l’entreprise rate une formidable opportunité !
En premier lieu, au-delà des services juridiques, conformité et DSI, il est nécessaire d’impliquer dans le processus de mise en conformité les services opérationnels qui collectent et utilisent les données personnelles. Ce sont bien eux qui sauront adapter leurs pratiques à la nouvelle réglementation sans perdre en efficacité. Ainsi la présence des ressources humaines, du marketing, des équipes commerciales ou encore des Achats autour de la table de la mise en conformité est indispensable.
Pour autant, le plan de table n’est pas complet ! Manque encore les fournisseurs et partenaires. C’est pousser le bouchon un peu loin ? Vraiment ? Que se passera-t-il le jour où, confiant de votre conformité, vous découvrirez que l’un des membres de votre écosystème a réalisé un traitement sur vos données personnelles mettant à mal tous vos efforts ? Sans malveillance aucune, juste parce que personne n’a identifié ce risque qui néanmoins peut vous impacter autant que lui.
En résumé : service juridique, DSI, marketing, sales, achats, fournisseurs, prestataires… Le risque n’est-il pas alors que le projet dérape en termes de délai et de budget ?
Sous-estimer l’impact financier et humain est effectivement un danger mais il ne faut pas pour autant créer un climat de peur au sein de l’entreprise au moment de s’engager sur ce chantier structurant. Comme le dit Sophie Nerbonne, responsable conformité à la CNIL, » le but est la mise en conformité et pas l’amende « . La priorité doit donc être donnée à la construction d’une feuille de route bien au-delà de la date fatidique du 25 mai 2018.
La mise en conformité est finalement l’occasion d’une nouvelle création de valeur pour l’entreprise basée sur une confiance renouvelée avec ses clients et partenaires.
Car ne l’oublions pas, la puissance de la data n’est pas un mythe. Le monde a créé au cours des 2 dernières années plus de données qu’au cours de toute l’histoire de l’humanité. Des données de plus en plus personnelles fournies gracieusement par les utilisateurs en échange de services car comme le résume si bien Sophie Nerbonne » si on n’achète pas un service, c’est que l’on est soi-même le produit ! « . Un produit avec une valeur bien réelle pour Google et Facebook dont la capitalisation boursière combinée dépasse 1 400 milliards de dollars !
Mais une valeur fragile : selon l’étude Elabe du cabinet Mazars (10 Mai 2017) : » 80% des Français déclarent privilégier les entreprises ou marques qui leur inspirent confiance dans la gestion des données personnelles et 84% se déclarent être prêt à résilier un service auprès de celles dont la gestion des données personnelles ne leur inspirerait pas confiance. »
Alors les données : graal ou malédiction ? ni l’un ni l’autre.
Dénuées d’objectif clair et légitime, de respect de la vie privée et d’un encadrement responsable, les données ont une valeur négative pour l’entreprise et elle va s’aggraver après mai 2018.
En revanche, utilisées dans un cadre et un écosystème de confiance, elles sont valorisées, valorisables et valorisantes.