« La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental ». Voilà ce qu'affirme dans son premier paragraphe la Règlementation européenne sur la protection des données, plus connue sous son acronyme anglais « GDPR » (General Data Protection Regulation), qui est entrée en vigueur le 25 mai 2016 avec un délai de mise en conformité de deux ans. Ce corpus de 99 articles, dont l'objectif affiché est d’« harmoniser la protection […] des personnes physiques en ce qui concerne les activités de traitement et [d’] assurer le libre flux des données à caractère personnel entre les Etats membres », s'imposera alors à l'ensemble des entreprises et des organisations (établies ou non sur le sol européen) détenant des données personnelles de résidents européens, ou ciblant ces derniers.
Le règlement, qui sera directement applicable en l'état dans chaque pays de l'Union dès le 25 mai 2018, accentue certaines exigences en matière de gestion des données personnelles et en établit de nouvelles, le tout en dotant les autorités nationales (la CNIL dans le cas de la France) d'un plus grand pouvoir de sanction. En effet, les entreprises non conformes pourront dès lors se voir infliger des amendes administratives non négligeables, dont le montant pourra atteindre 20 millions d'euros ou 4% de leur chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu), contre 150.000€ précédemment (à noter que ce montant a d’ores et déjà été porté à 3 millions d’euros par la Loi pour une République numérique promulguée le 8 octobre dernier). Il faut d’ailleurs souligner que la directive prévoit la mise en place de mécanismes de certification dont on peut raisonnablement supposer qu'ils constitueront un passage obligé et un avantage concurrentiel indéniable dans un futur proche.
Parmi les exigences renforcées par le texte citons notamment :
Mais la GDPR introduit également de nouvelles exigences comme :
Pour être en mesure de satisfaire de telles exigences vis-à-vis des personnes physiques et des autorités de contrôles, beaucoup d'entreprises vont devoir repenser l'architecture et les processus de leurs systèmes d'information, et se poser plus sérieusement encore que par le passé la question de la gouvernance de leurs données. La mise en place de référentiels de données maîtres (Master Data Management - MDM) permettant le rapprochement des données personnelles disséminées dans le système d’information en un point unique de vérité ("golden records"), assurant une gestion centralisée de leur cycle de vie (création, modification, suppression, anonymisation) et garantissant un contrôle de la propagation des données MDM au reste du système, apparaît dans cette optique tout à fait pertinente.
Que ce soit dans la mise en œuvre du droit à l'oubli, du droit d'accès aux données des personnes concernées, du droit à la portabilité (qui, rappelons-le, doivent être effectuées « dans les meilleurs délais ») ou encore dans la mise à disposition du registre des traitements, la centralisation et la fiabilisation des données apportées par la mise en place d'un référentiel MDM offriront aux entreprises qui s’en seront dotées des atouts certains. De plus, les solutions MDM sont le plus souvent couplées à des outils de data quality permettant d’assurer l’intégrité et la cohérence des données (par le biais d’algorithmes le dédoublonnage notamment), devenues indispensables avec la massification des données collectées et sans lesquelles répondre aux exigences de la GDPR aura tout d’une tâche herculéenne.
Cela étant, les entreprises auraient tort de ne voir dans la GDPR que des contraintes supplémentaires dont il faudra bon gré, mal gré, d’accommoder. Car il y a fort à parier qu’en faisant l’effort de repenser leur façon de gérer les données de leurs clients/usagers, en leur permettant de se les réapproprier et d’en garder le contrôle, plutôt que de donner le sentiment de les leur confisquer, ceux-ci seront plus enclins à les partager et, surtout, à fournir des données fiables à forte valeur ajoutée pour l’entreprise. La connaissance client, tant recherchée par les entreprises aujourd’hui, s’en trouvera dès lors améliorée. Il y a donc sans doute ici une belle opportunité pour les entreprises à réinventer leur rapport aux données personnelles et leur façon de présenter la collecte et l’utilisation des données aux clients, qui ne demandent en réalité, comme dans toute relation économique, qu’à comprendre en quoi cela leur sera profitable in fine. Comme l’affirme le texte, « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité ». Ce n’est qu’à cette condition que les entreprises parviendront à lever les obstacles et vaincre les réticences qui freinent encore la digitalisation de nos économies.
Instaurer un climat de confiance entre les personnes et les entreprises sur le terrain des données personnelles, voilà probablement le meilleur retour sur investissement qu’obtiendront les entreprises qui anticiperont dès maintenant le tournant induit par la GDPR.