Image
HUBFORUM-Converteo-RGPD-Panorama-Maxime-Tricoire

RGPD : plongée guidée en eaux troubles

Par : Maxime Tricoire
30 août 2018
Temps de lecture : 9 min
Chapo

Le RGPD fête ses 100 jours ! Fruit de beaucoup de fantasme, ce règlement qui vise à assainir la manière dont les entreprises traitent les données personnelles, a longtemps été vu comme le tueur du marketing personnalisé. D'autres y ont vu une occasion de regagner la confiance de leurs utilisateurs. Mais encore faut-il être prêt !

En partenariat avec
Body

RGPD : 4 lettres, une multitude d'enjeux

Près de 2 mois après l’entrée en vigueur du règlement européen sur la donnée (RGPD), qu’en est-il de son application ? Si beaucoup d’entreprises ne sont pas encore en conformité avec les prérogatives imposées par le texte de loi, elles sont nombreuses à avoir entrepris les actions nécessaires. Sécurisation de la donnée, récolte du consentement, nomination d’un DPO, transparence du traitement des données… autant de chantiers sur lesquels les sociétés tâtonnent. Il faut dire que les enjeux sont grands.

Outre les potentielles amendes (pouvant s’élever à 4% du chiffre d’affaire mondial), le RGPD confronte les entreprises à deux véritables défis : celui de la responsabilisation et la nécessité de reconstruire le pacte de confiance avec le consommateur, fortement mis à mal ces dernières années (scandales multiples tels que le “Cambridge Analytica”).

Dans son étude Regtech, Converteo, entreprise spécialisée dans le marketing et la data, nous explique que 3 grands secteurs de l’entreprise doivent porter le projet : les services de sécurité de l’information (dirigés par les RSSI), les services marketing & data et le département juridique (doté d’un DPO).

HUBFORUM-article-Converteo-RGPD-panorama

Portrait d’une entreprise RGPD compliant

La RSSI : garde du corps de la donnée

Avant même de commencer à récolter la data, il faut savoir où et comment elle va être stockée. Le rôle du RSSI est de superviser une infrastructure informatique permettant une bonne protection des données personnelles. Cela passe par la sécurisation des réseaux et des postes de travail et par une analyse des flux de données entrant et sortant de l’entreprise pour pouvoir repérer de potentielles intrusions ou fuites. Pour garantir une sécurité optimale, toutes les données stockées doivent également être encryptées et anonymisées. Les RSSI sont également en charge de la centralisation et du croisement de ces données.

Pour cela, les RSSI doivent se munir de solutions telles que Jahia, CMS proposant divers outils tels que le Marketing Factory qui permet d’intégrer directement dans son site internet les problématiques liées au droit à l’oubli et à la gestion de la vie privée. Le but : avoir un site internet se conformant au principe de privacy by design.

Autre outil important, la solution entreprise proposée par l’américain McAfee. Elle permet aux entreprises de sécuriser les données en se protégeant contre les attaques extérieures en utilisant notamment des combinaisons alliant machine learning (IA) et humain pour une sécurité optimale.

Data - marketing : le nerf de la guerre

Les équipes digitales & data sont celles qui vont récolter les données pour ensuite la structurer et permettre à l’entreprise d’en tirer parti. Avant toute chose, elles doivent obtenir le consentement du consommateur quant à la collecte de ces données personnelles. 

Des solutions de CMP (Consent Management Plateform) telles que Didomi permettent non seulement de recueillir le consentement, mais également de le diffuser à tous les services de l’entreprise (notamment le marketing). Ils octroient également la possibilité de gérer de manière simple ce consentement et de le révoquer si telle est la volonté de l’utilisateur. Des solutions spécialisées comme Accengage et Sendinblue (permettant d’optimiser les campagnes CRM, emailing, etc.) intègrent désormais leurs propres fonctionnalités pour gérer le consentement.

Pourtant, si ces outils s'avèrent précieux par leur capacité à gérer simplement le consentement, toutes les infrastructures ne se prêtent pas à ce type d'outils. Nombre d'annonceurs seront obligés de développer des solutions propres, qui s'intégreront pleinement dans leurs écosystèmes respectifs (ou tout au moins de mettre en place une stratégie d'intégration des solutions extérieures qu'ils adoptent via notamment les TMS (Tag Management System) ).

Ils sont partout, mais pourtant personne ne les voit. Les “tags” sont des petits bouts de code qui permettent à des outils extérieurs comme Google Analytics d’accéder aux données de l’entreprise. Ces derniers peuvent ainsi s’intégrer à l’écosystème logiciel et l’enrichir.

Du fait qu’ils collectent les données et les transmettent à des acteurs tiers, il est nécessaire de bien choisir les outils fournissant ces tags. Converteo conseille tout particulièrement Tag Commander pour pouvoir les gérer sur le site internet. Plateforme de TMS française, il permet de déployer des tags sécurisés, en accord avec le RGPD, mais également optimisés pour l’expérience de navigation (en n’alourdissant pas le poids de chargement des pages web).

De manière générale, nombre d’outils utilisés par le marketing évoluent et se mettent en accord avec le RGPD. C'est par exemple le cas de Google Analytics qui permet dorénavant de supprimer automatiquement les données liées à un identifiant. Cette nouvelle fonction est de plus entièrement paramétrable et peut donc matcher avec les impératifs de conservations de données de toutes les entreprises. 

Si vos outils ne se sont pas adaptés au RGPD, Converteo recommande aux entreprises de se tourner vers des solutions telles que celles de Kameleoon ou Content Square, spécialistes de la personnalisation de l’expérience client via la data et dont les solutions sont en accord avec les différents règlements.

Département juridique : DPO pour tous et tous pour le DPO

Nouveau poste stimulé notamment par le resserrement des lois concernant l’exploitation de la data, le Data Protection Officer (DPO) a la lourde tâche d’éviter à l’entreprise de se retrouver face à la CNIL. Son rôle est de s’assurer que tous les métiers de l’entreprise procèdent à un traitement des données personnelles qui soit en accord avec la législation en vigueur. Le DPO doit donc avoir une solide culture, tant juridique que transversale, car il est amené à travailler avec tous les départements de l’entreprise.

Pour l’assister dans son travail, le DPO peut compter sur un marché des outils "pro RGPD" qui s'est rapidement structuré. Ces permettent aux DPO de gérer plus aisément 3 grands chantiers : la cartographie des données, le registre des traitements et la gouvernance de l’entreprise sur sa donnée.

Les outils de cartographie des données peuvent être un réel atout dans une démarche de conformité de par la remise à plat et la documentation de l’écosystème qu’ils amènent. - Thibauld Vian – Senior Consultant Converteo

Des outils tels que OneTrust aideront le DPO à visualiser simplement les différents flux de données et leur traitement. Le plus de cet outil : une visibilité élargie à la data transitant par l’intermédiaire des sous-traitants de l’entreprise. En effet, le RGPD prévoit qu’en cas de non-respect de la législation, tous les acteurs d’une même chaîne de valeur sont impliqués et condamnables.

Autre obligation instaurée par le texte de loi européen : la nécessité de se doter d’un registre des traitements. Ce document recense toutes les personnes intervenant dans le traitement des données personnelles, le type de données, l’utilisation de ces données, le temps de conservation… Un outil tel que TrustArc vous aidera à mettre en place ce document qui constitue la première preuve de votre mise en conformité tout en améliorant la viewbility de votre écosystème data.

Enfin, des solutions telles que Collibra contribuent à une bonne data gouvernance en centralisant les préférences des utilisateurs quant au traitement de leurs données. Ils ajoutent également une couche de protection pour les données personnelles.

Best practices

Facteur humain : d’autres recommandations à prendre en compte

Si l’étude RegTech de Converteo vient clarifier le marché technologique en matière de conformité RGPD, la société tient à relever l’importance du facteur humain chez tout annonceur soucieux de respecter la législation. Cet enjeu ne repose pas intégralement sur la technologie, son pilotage dans la durée nécessite :

  • Une sensibilisation soutenue aux enjeux de la donnée personnelle dans les différentes opérations d’une organisation
  • Les collaborateurs des entreprises doivent donc être formés continuellement sur les bonnes pratiques à adopter et le fonctionnement des technologies qui s’offrent à eux en matière de collecte, traitement, stockage, et activation de la data.
  • La mise en place de processus clairs, performants et évolutifs coordonnant les actions des différentes parties prenantes autour de la donnée personnelle, et ce sur la durée.

Et l’international dans tout ça ?

Le RGPD sanctionne tout autant les entreprises européennes et étrangères (qui collectent des données en Europe). Et les réactions sont mitigées. Certains géants de la Tech comme Facebook ont décidé d’appliquer la loi à l’ensemble de ses utilisateurs, d’autres ont décidé de fermer purement et simplement leurs services aux ressortissants de l’Union européenne.

Au niveau international, certains pays s’inquiètent pour les performances de leurs champions nationaux, d’autres essayent de reproduire le règlement. C’est le cas de la Californie qui vient d’adopter un « RGPD-like » qui entrera en vigueur en 2020. Tout comme son modèle européen, il prévoit de redonner aux utilisateurs le pouvoir sur leurs données personnelles et de sanctionner les entreprises contrevenantes.

Pourtant, ces nouveaux règlements se heurtent à d’autres, plus anciens. Voté après les attentats du 11 septembre par les États-Unis, le PATRIOT Act permet à l’administration américaine de consulter et de conserver les emails et les traces de navigations internet de n’importe quel citoyen, s’il est suspecté de terrorisme.

Adopté plus récemment, le CLOUD Act permet à l’État américain de consulter les données de n’importe quelles entreprises américaines, et ce même si les datas center ne sont pas présent sur le sol des USA. Les entreprises américaines opérant en Europe se retrouvent ainsi prises entre deux feux, contraintes de respecter le RGPD, et de le bafouer sur demande des USA

Quel règlement prime dans ce cas de figure ? Kevin Polizzi, PDG de Jaguar Network l'explique dans une interview accordée à ChannelNews :

"Le CLOUD Act vise à faciliter l’accès par les autorités américaines aux données stockées à l’étranger par des entreprises américaines dans le cadre exclusif d’une procédure judiciaire Le RGPD n’y voit rien à redire, car il ne protège pas les individus contre l’accès aux données par des autorités étrangères. En échange, l’UE à également accès à ces données. Elle a d’ailleurs présenté un texte visant à faciliter l’accès aux données stockées par les entreprises de l’UE aux USA ou les US dans l’UE."

Nouveau call-to-action

Profile picture for user MaximeTricoire
Maxime
Tricoire