Digital Attitude | Pourquoi la <span class="caps">GDPR</span> vous permet d’accroître vos revenus ?
CONFIANCE NUMÉRIQUE

Digital Attitude | Pourquoi la GDPR vous permet d’accroître vos revenus ?

Antoine Megglé
Antoine Megglé

Digital Advisor chez Microsoft

 

Le GDPR, qui est entré en vigueur le 25 mai 2018 pour protéger les données personnelles au sein de l’Union Européenne, a déjà fait couler beaucoup d’encre depuis son vote en avril 2016. Mais si les articles introduisant cette règlementation se retrouvent partout sur la toile, les informations sur les bénéfices se font rares. Quel est l’impact réel de cette mesure sur la chaîne de valeur de l’entreprise, au-delà de la conformité à la règlementation ? Et surtout, quelles étapes doivent suivre les grandes entreprises pour réussir leur transformation ? Eléments de réponse de notre Digital Advisor Antoine Megglé.

Mais avant de commencer, laissons la parole à John Reynolds, un autre digital advisor un peu spécial ayant un avis assez intéressant sur le sujet…

 

Oui… Bon… Antoine Megglé nous donne des éléments plus concrets.

Comment résumer le GDPR en quelques mots ?

Le GDPR est un règlement qui impose de nouvelles règles sur toutes les entreprises qui commercent en Union Européenne, ou qui collectent et analysent des données de citoyens européens. Ce règlement resserre les contrôles autour du respect de la vie privée, de la protection et de la transparence des données personnelles, et prévoit d’imposer des sanctions financières aux entreprises délictueuses.

Quelle est l’origine de ce règlement général sur la protection des données ?

A l’origine de ce règlement, il existe la volonté de l’Union Européenne d’aider les entreprises à gagner la confiance des consommateurs pour libérer les flux de données. Cet élément est en effet crucial, puisqu’une meilleure circulation des données permettra aux entreprises de mieux comprendre leurs clients, d’innover à travers leurs services et/ou des produits, et de rester compétitives. Il est donc très important que les entreprises comprennent l’enjeu stratégique et ne regardent pas uniquement cet enjeu par le biais réglementaire.

GDPR : un Livre blanc pour bien s’organiser

Sécurité, vie privée, gestion des données, le GDPR va tout changer. Assurez votre conformité et profitez-en pour vous transformer !

Télécharger

 

Quel est l’état des lieux ?

Certaines entreprises sont transparentes sur l’utilisation de leurs données, mais la plupart préfèrent garder les consommateurs dans l’ignorance, préférant parfois prendre le risque de leur demander pardon en aval plutôt que leur autorisation en amont. Il n’est d’ailleurs pas inhabituel pour les entreprises de collecter des données personnelles dont elles n’ont pas l’usage immédiat mais estiment qu’un jour, peut-être…

C’est une vision à court-terme, qui s’avère très néfaste pour la confiance des consommateurs, et indirectement pour le business. Car dans un avenir où les données sur les clients constitueront une source croissante d’avantages concurrentiels, gagner la confiance des consommateurs sera la clé.

Quel est aujourd’hui le niveau de confiance des consommateurs quant à l’utilisation de leurs données personnelles ?

Selon une récente étude menée par le BCG, la moitié des consommateurs estiment que les entreprises ne sont pas honnêtes quant à l’utilisation des données et ne prennent pas les mesures adéquates pour les protéger. Ces statistiques sont particulièrement troublantes : près de 80% des consommateurs interrogés ont déclaré qu’ils n’étaient pas susceptibles de partager leurs données personnelles avec une entreprise qui ne leur inspire pas confiance.

Quel est l’impact de ce manque de confiance sur les revenus des entreprises ?

Enorme, tout simplement. De premières études confirment déjà le lien direct entre défiance du consommateur et perte d’activité. Car si une entreprise exploite les données d’une manière qui n’est pas connue du consommateur (ex : partage de données d’une entreprise à une autre), ces entreprises perdent ensuite 1/3 du revenu lié à ces consommateurs dont les données ont été partagées « sous le manteau ». Non pas à cause des pénalités, mais parce que les consommateurs se sentent « floués », n’ont plus confiance en la marque, et consomment moins, ou plus du tout.

Dans l’ensemble, cela peut signifier une perte de 5% à 8% des revenus de l’entreprise dès la première année ! Au-delà de ces bénéfices financiers, une entreprise inspirant la confiance verra la valeur de sa marque renforcée, et profitera d’un système et d’une quantité de données lui permettant d’innover plus facilement.

Cette situation est-elle identique pour toutes les entreprises ?

Oui, même s’il existe des écarts en fonction de la géographie et du secteur d’activité des entreprises. À l’heure actuelle, 76% des consommateurs dans le monde estiment qu’ils doivent faire attention en partageant leurs données. La France est dans la moyenne mondiale (75%). Les Etats-Unis et l’Australie sont les grands leaders de la méfiance (83%), tandis que la Chine se montre plus modérée dans son jugement (50%).

Le secteur d’activité a également une grande importance. Les secteurs des télécoms, des assurances, de la finance, ou de la santé suscitent une défiance particulière de la part des consommateurs car ils manipulent des informations critiques liées aux trois « piliers » de nos vies : la famille, la santé, et l’argent. Plus ces données sont critiques, plus les consommateurs ont besoin de réassurance.

Comment les entreprises peuvent-elles créer cette confiance auprès des consommateurs aujourd’hui ?

Il existe trois grands principes ici :

1. Garantir une utilisation transparente des données : Les gens veulent savoir comment leurs données sont utilisées. Cela passe par une plus grande communication du « pourquoi » et du « comment » dès la récupération des données, et par un système de consentement plus visible et compréhensible. L’utilisateur veut savoir dans quoi il s’embarque en partageant des données personnelles.

2. Donner le contrôle aux consommateurs : 70% des consommateurs affirment qu’ils veulent contrôler leurs données via un système centralisé. Les organisations doivent donc créer un « cockpit de données » » au sein de leurs applications pour répondre à ces attentes. Facebook, Google, et d’autres ont vite compris qu’ils manipulaient des données sensibles et ils ont devancé l’affaire en construisant ces outils centralisés.

3. Proposer des services et des produits de qualité en retour : Plus les consommateurs valorisent leurs données personnelles, plus ils attendent de la transparence et un service de qualité en retour. En gros, le consommateur nous dit : « Ok je peux partager mes données. Mais dites-moi pourquoi, et faites-en bon usage ». Si la promesse est tenue, la confiance sera établie, et la consommation et le partage de données deviendront de plus en plus importants.

Comment gouverner vos données à l’heure du GDPR

Comment protégez la confidentialité des données à caractère personnel avec une stratégie efficace de gouvernance des données ? Principes, processus et (bonnes) pratiques dans ce Livre Blanc. 

Télécharger

 

Au-delà de ces principes de confiance, que doivent faire les entreprises pour protéger leurs données ?

Il est important ici de diviser les entreprises en deux groupes :

1. Les « data controlers » qui sont les entreprises collectant les données des clients directement. Ces entreprises doivent donner les moyens à leurs clients de contrôler l’usage de leurs données, et de se protéger contre la fuite de données en interne ou chez leurs partenaires.

2. Les « data processors » entreprises sous-traitantes des data controlers : celles-ci devront revoir leurs engagements contractuels en détaillant les engagements qu’elles prennent pour protéger la donnée et répondre en cas de fuite dans les 72h.

Comment initier ce type de projet ?

Ces projets sont portés par les nouveaux DPO (Data Protection Officer) et impliquent la sécurité, la gouvernance donnée, les juristes et le COMEX. Ils se divisent en trois grandes phases :

1. L’analyse : « Quelles sont mes données ? Où sont-elles ? Quelle est la finalité de leur traitement ? » etc.

  • Commencer une cartographie des traitements de données
  • Classer cette cartographie par finalités d’usages
  • Initier immédiatement un registres de traitements des données
  • Mener une analyse d’impact de type « Privacy Impact Assessment »

 

2. La remédiation de risques : avec la création d’une roadmap d’implémentation de contre-mesures incluant une revue des processus et technologies de sécurité.

 

3. L’implémentation

  • Préparation des budgets, sachant que 50% des dépenses concerneront des dépenses de type Cyber : classification et chiffrement des données, outils de détection d’intrusion et de fuite de données, etc.
  • Mise en place du projet

Les deux premières phases sont assurées en général par des cabinets d’audit ; la 3e par des intégrateurs.