La GDPR et les entreprises : quelles conséquences ?

La GDPR et les entreprises : quelles conséquences ?

Contexte

Dans un contexte de prise de conscience des enjeux de vie privée et de maîtrise des données personnelles, l’Union Européenne a décidé d’unifier sa régulation en mettant en place la GDPR (General Data Protection Regulation), la Régulation Générale sur la Protection des données personnelles. Seront concernées toutes les entreprises qui traitent, stockent ou collectent des données. Cette régulation commencera à s’appliquer au printemps 2018, et concernera toutes les entreprises, européennes ou non, qui opèrent en Europe.

La GDPR, qu’est-ce que c’est ?

La GDPR est le nouveau texte de référence en termes de données personnelles des citoyens européens. Il a pour objectif d’harmoniser la politique autour des données personnelles entre les différents pays européens, et de faire face à l’internationalisation du marché autour des données personnelles. Il vise à « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises », et à clarifier les responsabilités propres à chaque entreprise.

Qu’est-ce que ça implique pour les entreprises ?

Les conséquences pour les entreprises sont multiples :

  • elles doivent demander un consentement positif et explicite pour les données personnelles qu’elles collectent ;
  • leurs clients et utilisateurs ont le droit de demander l’effacement de leurs données ;
  • leurs clients et utilisateurs peuvent demander à récupérer les données personnelles les concernant dans un format clair et réutilisable ;
  • les systèmes mis en place pour traiter les données personnelles doivent intégrer des exigences de respect de la vie privée dès leur conception ;
  • les entreprises doivent nommer un·e délégué·e à la protection des données lorsque leurs activités de base impliquent de collecter, stocker ou exploiter des données personnelles ;
  • les entreprises qui ne se plieront pas aux exigences du GDPR pourront être sanctionnées à la hauteur de 4 % de leur chiffre d’affaires.

Situation actuelle : de l’incompréhension

Globalement, la compréhension du GDPR et de ses impacts est assez faible actuellement. L’étude menée par Dimensional Research et Dell établit que 97 % des entreprises n’ont pas de plan mis place pour l’arrivée du GDPR, et plus de 80 % des personnes interrogées (qui étaient des employé·e·s concerné·e·s par les questions des données personnelles) disaient ne rien savoir ou très peu à propos du GDPR. Pourtant, les enjeux financiers sont majeurs, et mettre en place de nouveaux process est loin d’être trivial !

Comment se mettre en règle ?

Les entreprises concernées vont devoir nommer un·e Data Protection Officer. Dans 70 % des cas, les entreprises concernées comptent le nommer parmi leurs employé·e·s. D’autre part, pour rendre leurs données personnelles à leurs clients, les entreprises vont devoir développer des APIs, des tuyaux auxquels leurs clients ou d’autres services peuvent venir se connecter. Ces aménagements sont coûteux, et les entreprises sont souvent tentées de mettre en place des réponses minimalistes aux exigences du GDPR.

Ne subissez pas la contrainte, transformez-la en opportunité !

Ces nouvelles contraintes ne sont pas seulement une source de coûts et de difficultés : elles peuvent devenir une véritable opportunité de repositionnement dans un écosystème numérique qui ne prévoit pas aujourd’hui de place pour les acteurs prénumériques. Au lieu de considérer que les APIs à développer sont des tuyaux qui vont servir à d’autres, les entreprises peuvent développer des services qui profitent également des APIs ouvertes par d’autres. C’est ce que Cozy Cloud rend possible. En offrant aux particuliers un espace personnel qui va devenir l’agrégateur de l’ensemble des données mises à disposition via les différentes APIs des différents tiers avec qui ils interagissent (objets connectés, banques/assurances, administrations, données en provenance de ses réseaux sociaux), la réglementation devient une opportunité. Les fournisseurs de services seront alors capable d’apporter à l’utilisateur des services plus pertinents, plus proactifs, avec une expérience complètement intégrée, tout cela grâce à la forte intimité numérique dont ils bénéficieront.