07.12.17

Avis d'Expert

L’efficacité est la dimension oubliée des projets RGPD

  • #Management & Transformation
  • #GDPR
  • #KeyrusManagement
  • #RGPD

Jean-Bernard Guidt, Directeur Associé Business & Technology | Keyrus Management

Édouard Escoyez, Senior Manager | Keyrus Belgique

Aborder la nouvelle réglementation européenne sur la protection des données personnelles sous le seul angle de la conformité, c’est faire l’impasse sur ce qui va réellement donner les moyens à l’entreprise de respecter ses obligations dans la durée : l’efficacité des dispositifs et systèmes mis en place  pour sécuriser, contrôler et rendre compte de l’usage des données.

Porteur de nouvelles obligations pour les entreprises à compter de mai 2018, le « dossier RGPD » (Règlement  Général sur la Protection des Données) est trop souvent appréhendé de manière administrative, comme une  simple refonte des formulaires CNIL, ou encore comme la mise en place d’un dispositif organisationnel et documentaire visant à prouver la conformité à la réglementation. D’autres entreprises estiment, à tort, que la mise en œuvre des normes ISO 270001 suffit  à garantir la conformité RGPD de leur infrastructure d’information. Le défaut de ces approches est de ne pas faire le lien entre les exigences du RGPD, l’obligation de s’y conformer et la réalité opérationnelle de l’entreprise. Or aujourd’hui celle-ci est totalement dépendante des systèmes d’information  et des processus qui, à tous les niveaux de l’organisation, captent et exploitent les données, notamment les données clients. Ne prendre en compte que le volet « conformité » du dossier RGPD revient à laisser dans l’ombre la question cruciale de l’efficacité ou, pire, à entretenir l’idée que  ce qui est conforme est forcément efficace. Il n’en est évidemment rien : les premières ceintures de sécurité (sans  enrouleur) étaient certes conformes à la réglementation, mais n’étaient ni pratiques ni efficaces…

 LES CHOIX D’ARCHITECTURE CONDITIONNENT L’EFFICACITÉ

L’enjeu  est  de  s’assurer  que  les  multiples  systèmes  utilisant des données clients – e-Commerce, Marketing Automation, CRM, système de fidélisation, etc. – protègent  effectivement les données personnelles contre tout usage  abusif ou contraire à la réglementation, dans les faits et dans la durée. Le système d’information et les processus  métiers étant voués à évoluer, cela suppose de faire des choix d’architecture IT respectant des principes qui ont fait leurs preuves. Par exemple :

• Gérer  le  référentiel  client  de  manière  centralisée  permet d’avoir un point de vérité unique, mais aussi un seul point de contrôle de la qualité des données clients et de l’utilisation faite de ces données. C’est beaucoup plus efficace que de chercher à maîtriser ces dimensions  au niveau de chaque application utilisant ou traitant des données clients.

 • Centraliser la gestion des consentements/préférences clients et mettre en place une passerelle unique d’accès  à ces informations pour l’ensemble des applications, permet de s’assurer que toutes les communications sortantes respectent la version la plus récente du consentement de chaque client pour chaque canal de contact. On élimine ainsi non seulement la gestion et le contrôle des consentements canal par canal, mais aussi les incohérences, voire les infractions qui peuvent en résulter.

• Segmenter les applications utilisatrices de données clients,  en  fonction  de  critères  tels  que  le  nombre  d’utilisateurs, le niveau d’exposition, de sensibilité, etc., permet de créer des clusters et de gérer les règles au  niveau du cluster et non plus au niveau de chaque application. Une architecture construite selon ces principes renforce l’efficacité des équipes IT en facilitant l’instauration de  règles communes et l’automatisation des processus de  contrôle des données et de leurs usages. C’est aussi un gage de productivité et de sécurité pour les équipes métiers qui sont protégées en amont des risques de mésusage des données au regard du RGPD et de la politique data de l’entreprise.

AU-DELÀ DU RGPD, QUELS SONT LES ENJEUX LIÉS À LA « DATA » ?

La réglementation, en l’occurrence RGPD, n’est qu’un aspect du dispositif de gestion et de gouvernance à mettre en œuvre pour créer de la valeur à partir des données – en particulier des données personnelles devenues indispensables au marketing, à la vente et à la relation client. La data n’est en effet plus une ressource mais un « asset » stratégique à appréhender dans sa globalité. Si l’entreprise n’a pas de stratégie de valorisation de cet actif, si elle n’a pas de vision claire de ses besoins en matière de données ;  si elle n’a rien mis en œuvre pour développer la culture data de ses collaborateurs, ni édicté de règles de gouvernance  garantissant la disponibilité, la sécurité, la qualité et la traçabilité de la donnée – elle construit sa conformité RGPD sur du sable, sans fondation, sans lien avec l’opérationnel, et devra, en outre, reconduire ses efforts à chaque évolution  réglementaire. Si, au contraire, elle associe au projet RGPD, la Direction juridique, le DPO2, la DSI, les services utilisateurs des données clients, elle se donne les moyens de construire une organisation minimisant les risques spécifiques liés aux  données personnelles, sécurisant leur utilisation à des fins  productives, et à même de répondre efficacement aussi  bien aux demandes d’audit externes qu’aux besoins en données des différents départements.

AUCUN OUTIL N’ASSURE À LUI SEUL LA CONFORMITÉ RGPD

Les sujets réglementaires génèrent toujours une abondante  communication de la part des fournisseurs de solutions. Tous mettent en avant la conformité RGPD de leurs logiciels, qu’il s’agisse de solutions de gestion de référentiels, de transport de l’information ou de restitution/reporting. Dans 80% des cas, ces allégations sont abusives et il est essentiel de comprendre que la juxtaposition de solutions labellisées « conforme RGPD » ne garantit en rien la conformité globale de l’organisation. En revanche, certaines solutions, calées sur les attentes de la CNIL, apportent une aide réelle en mettant les entreprises en capacité de fournir les rapports d’audit requis par la réglementation. D’un point de vue opérationnel, le RGPD concerne tellement d’outils et de processus, qu’il est illusoire, tant dans la phase de mise en conformité que pour le maintien de cette conformité, d’espérer qu’un seul outil réponde à l’ensemble des besoins. L’identification des outils appropriés dépend  fondamentalement de la nature des données, de leur utilisation au sein de l’organisation et des choix d’architecture. Les entreprises qui embrassent l’ensemble de ces dimensions valoriseront durablement leur investissement dans la mise en conformité. Celles qui se limitent aux aspects normatifs et administratifs font une dépense inefficace  – sans valeur  ajoutée et sans retombée à long terme pour l’organisation.

À PROPOS DES AUTEURS

Jean-Bernard Guidt Directeur commercial d’Eurobios (2006-2009), puis Directeur du centre de compétences Urbanisme et Architecture et du Département Business & Technologie chez Capgemini (2009-2016), en charge d’assister les clients dans l’élaboration de leur stratégies digitales et SI, Jean-Bernard Guidt rejoint Keyrus Management en 2017 en tant que Directeur associé. Sa mission est d’accompagner ses clients dans la définition de leur cycle « définition de la stratégie - évolution de  l'operating model - transformation de l'architecture SI - adaptation des collaborateurs », à savoir comment structurer une vision et une trajectoire.

Édouard Escoyez Après 16 ans de carrière au sein de grands groupes internationaux dans les secteurs Chimie, Biopharma, Bancaire et  FMCG, Édouard Escoyez rejoint Keyrus en 2015 pour mettre en pratique ses connaissances en Data Intelligence et son expertise en matière de définition et d’implémentation de programmes décisionnels au service de ses clients. Au sein  du Groupe Keyrus, il accompagne ses clients tant sur des missions de conseil que d’implémentation dans les domaines tels que la BI, le CPM et la Data Gouvernance. Il est responsable de l’offre RGPD pour la Belgique et le Luxembourg.

À PROPOS DE KEYRUS MANAGEMENT

Keyrus Management est le Cabinet de Conseil intégré du Groupe Keyrus qui combine des savoir-faire métiers avec des expertises technologiques en matière de gestion de la donnée.  Cette complémentarité apporte un différenciateur de valeur et confère à Keyrus Management un positionnement unique dans le paysage du conseil. Keyrus Management aide les entreprises de toutes tailles, aussi bien Grands Comptes que PME, à répondre à leurs besoins accrus de transformation rapide en développant leur agilité et en accélérant l’usage du Digital. Le cabinet développe ses activités en France et à l’international en s’appuyant sur le Groupe Keyrus spécialiste de la Data et du Digital implanté dans une quinzaine de pays et sur 4 continents.

Plus d’informations sur : www.keyrusmanagement.fr

1Les normes de la famille ISO 27000 visent à organiser et structurer la démarche de gestion de la sécurité des systèmes d’information. Elles ne portent pas sur l’architecture de sécurité.

2Data Protection Officer : Délégué à la protection des données, remplaçant le Correspondant Informatique et Libertés. Le RGPD rend la désignation d’un DPO obligatoire dans les entreprises réalisant des traitements à grande échelle de suivi régulier et systématique de personnes ou de données sensibles.