20 mai 2016 0 Commentaire

UE – Data Protection : impact imminent sur nos organisations

Comment nos entreprises vont-elles réussir à mettre en œuvre une Gouvernance Numérique en capacité de répondre aux  obligations portées par le nouveau règlement sur la protection des données personnelles, dans les 24 mois impartis à compter d’aujourd’hui ? Le compte à rebours est lancé. Dans cet article, un rappel du contexte, une analyse de l’état de préparation des entreprises françaises et européennes, un aperçu de la valorisation de nos données personnelles et de l’impact du « big data » sur la veille concurrentielle et quelques recommandations méthodologiques pour se préparer à ce changement obligatoire (sources et références à la fin).

 Bonne lecture,

Hervé Manfrini / magnadata.fr / 20 mai 2016

Rappel du contexte

Après 4 ans de travaux en commission, l’annulation du Safe Harbor à l’automne dernier, puis le vote de la Loi Numérique en France, le Parlement européen a adopté le 14 avril 2016 le règlement général sur la protection des données personnelles. L’objectif visé est atteint : une  législation commune à l’ensemble des pays de l’Union européenne pour la protection des données à caractère personnel.

Le règlement européen entre en vigueur en mai 2016. Il précise que les entreprises disposent d’un délai de deux ans à compter de cette date pour se conformer aux nouvelles exigences prévues par le règlement. Il prévoit également des sanctions susceptibles d’être prononcées à l’égard d’une entreprise qui ne respecterait pas les dispositions du règlement pouvant atteindre jusqu’à  4 % de son chiffre d’affaires mondial.

Les nouvelles règles consacrent dorénavant les dispositions devant être assurées par les responsables et dirigeants pour s’assurer que ces derniers ont mis en œuvre les principales conditions suivantes :

‐          le droit à l’oubli numérique ;

‐          le consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles ;

‐          le droit de transférer ses données vers un autre fournisseur de services ;

‐          le droit d’être informé en cas de piratage des données ;

‐          la garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible ;

‐          la mise en œuvre du principe de responsabilité (Accountability) ;

‐          l’obligation d’intégrer les principes de protection des données dès la conception des outils de collecte  (Privacy by design) et de critères de sécurisation de ceux-ci (Security by design) en pré-requis à la mise en œuvre d’un traitement ;

Enfin, il est fait obligation aux entreprises et administrations de désigner un Délégué à la Protection des données (Data Protection Officer),  véritable pivot en charge de veiller au respect du règlement et garant de la conformité des traitements mis en œuvre au sein des organismes du secteur public ou si leur activité les amène à collecter des données à caractère personnel (Data Profiling).

–> La protection et les traitements des données à caractère personnel sont de ce fait, consacrés comme des enjeux économiques majeurs.

 

Qui protégera le prix de ma data demain ?

La question n’est pas si innocente qu’il n’y paraît car si a priori l’angle perçu par cette  interrogation se pose souvent à titre individuel – et nous y reviendrons – elle commence à résonner au sein de la plupart des états majors d’entreprises ou de collectivités.

Si, en tant que responsable ou dirigeant de telles entités, le sujet n’est pas sur le dessus de la pile de dossiers de votre bureau, il est juste temps de se mettre au diapason du nouveau règlement européen et d’ajuster les priorités.

Après un état des lieux de notre niveau de préparation à cette échéance, nous aborderons quelques perspectives de nature à éveiller les enjeux et les opportunités qu’une vision plus globale du sujet est de nature à mieux appréhender. Restera la question des moyens et des dispositions à prendre pour élever celui-ci au niveau d’une gestion des risques et mettre en œuvre un véritable projet de réorganisation aussi indispensable que vital à l’heure de la révolution numérique.

Un premier regard sur la préparation de cet événement côté français n’est pas pour rassurer totalement. Ainsi dans son 5ème baromètre annuel sur la Gouvernance de l’information Numérique publié en avril 2016, le laboratoire d’analyse et de prospective du groupe Serda-Archimag  fait jour – au travers d’une enquête menée auprès de 250 organisations publiques et privées et d’un questionnaire de 120 interrogations – d’un état des lieux de nature à susciter quelques sursauts.

Ainsi l’enquête relève que les freins à la mise en place d’une gouvernance de l’information numérique sont constitués à :

1-      68% du manque de volonté des décideurs et managers (+10%)

2-      52% du manque de conscience des dangers encourus (+15 %)

3-      49% du manque de connaissance sur les méthodologies (+16%)

4-      44% pour des raisons budgétaires (inchangé)

5-      29% par manque de connaissances des normes et obligations légales (inchangé)

Notons qu’en comparaison avec le baromètre annuel précédent, les 3 premières places se sont non seulement consolidées mais ont encore augmenté leur (mauvais) score respectif !

Le paradoxe avec les enjeux de mise en conformité est frappant. L’étude parle même d’un « état de procrastination » des dirigeants tout en soulignant la conscience qu’ont ces derniers « qu’une mauvaise gouvernance de l’information numérique peut avoir des effets néfastes sur la performance de leur organisation ».

Plus avant l’étude se penche sur les défis qu’une gouvernance aurait à relever en priorité. La « gestion des data à caractère personnel » y figure en 13ème position (16%), bien loin derrière les questions relevant de « l’archivage électronique » (59%) en première position ou bien encore du « traitement des emails » (41 %) qui se place en 3ème place des défis.

Autrement dit, les répondants attendent plus de cette gouvernance qu’elle s’attache à régler des problèmes du quotidien affectant directement la qualité des missions individuelles. Les défis relatifs aux questions de « veille/Intelligence économique », « traitement des données à caractère personnel », « Cloud Computing », « data publiques », se retrouvent en queue de peloton, considérés comme une « préoccupation d’experts » selon les termes relevés par l’étude.

On peut ainsi mesurer la pression qu’exerce le quotidien sur les prises de décisions et la priorisation des budgets qu’ont à arbitrer les directions générales.

Il en résulte forcément un processus de délégation de ces sujets notamment vers les directions techniques des systèmes d’information (DSI), entités exerçant alors seules ce magistère sans que ne soit forcément intégrées leurs propres notions de gestion de risque à celles relevant du réglementaire, du juridique ou du marketing, sans parler du manque probable d’interactions avec les conditions générales de l’alignement stratégique nécessaire à l’accomplissement du projet d’entreprise.

C’est d’ailleurs ce qui apparait dans les réponses fournies à la question « Qui pilote la gouvernance de l’information numérique ».

Arrive en première place la Direction des Systèmes d’Information (30 % ; +12 pts) suivi de la Direction Générale (15,3%) qui perd cette première place, tandis que l’on voit apparaitre le Correspondant Informatique et Libertés qui avec 2% représente une fonction transverse sur laquelle devrait en toute logique s’appuyer la constitution de cette gouvernance, compte tenu de la probable évolution de cette fonction vers celle du Délégué à la Protection des Données ( « Data Protection Officer ») telle  que définie par le tout nouveau règlement européen sur la protection des données personnelles.

 

Data Pricing : « dis moi de quoi tu souffres, je te dirais combien ça rapporte »

Elles brillent comme des étoiles nos data, promesses d’un avenir économique fait de conquêtes technologiques, d’interopérabilité, de béquilles numériques pour tout ce dont nous n’avons pas encore besoin mais dont on ne pourra se passer demain. C’est cette combinaison de strass et de stress que se disputent les acteurs financiers de la nouvelle économie, dessinant les contours  de parts de marché constituant l’émergence d’une bourse mondiale, de cotations et de spéculations qui feront les actualités de demain.

Le leader mondial sur ce créneau se nomme ACXIOM. Cette entreprise américaine a été décrite comme « l’une des plus grandes entreprises dont vous n’avez jamais entendu parler. », détenant des dossiers sur plus de 160 millions d’américains

Son chiffre d’affaires est de 1,15 G$ USD/an, et ses ventes s’élèvent à 11 milliards de dollars. Sa filiale française ACXIOM France à déclaré en 2014 un peu plus de 18 Millions d’Euros de chiffre d’affaires (pour un résultat net forcément négatif d’environ – 120 000 euros…).

Songez que déjà le simple fait d’avoir évoqué dans un « tweet », un « chat » ou par la mise à jour de votre page Facebook, votre intention de convoler en juste noce, constitue d’ores et déjà un objet informationnel monétisé à hauteur de 10 centimes d’euros. C’est ce que les technologies développées grâce ou à cause du « Big Data » permettent aux Traders de Données de revendre sous la forme de fichiers de prospection à des enseignes pouvant tirer profit de ces informations.

Des églises aux couturiers en passant par les traiteurs,  des spécialistes de la natalité jusqu’aux vendeurs de hochets, tous attendent, espèrent, et travaillent autour d’une réorganisation de leur marketing digital sur le créneau du mariage voire de l’assurance veuvage, il y a des précurseurs dans tous les domaines et le champ des combinatoires semble infini !

Serons nous plus attentifs et précautionneux pour superviser l’avalanche de ces attitudes prédictives dès lors que certaines de nos data personnelles ouvriront d’autres brèches sur l’exploitation de nos vies privées ?

D’ores et déjà notre état de santé tient la corde sur ce CAC40 du futur : une information concernant un traitement médical, une maladie contre laquelle vous luttez, se monnaye en ce moment aux alentours de 40 centimes d’euros.

 

 

Data et intelligence économique : l’accélération se précise

A la source, nous sommes bien évidemment les premiers individuellement  à alimenter ces fleuves d’informations dans lesquels pullulent nos données à caractère personnel.

Les filets sont tendus  par nos fournisseurs d’accès à l’internet, nos moteurs de recherche, nos réseaux sociaux, ça nous le savons. Ce que nous ne mesurons pas en revanche relève de la collecte d’informations stratégiquement sensibles émises par les acteurs économiques, publics et privés. C’est au niveau des flux que génèrent leurs activités sur ces mêmes réseaux que s’organisent aujourd’hui les opérations de chalutage des bancs de données émises notamment par les salariés et agents de nos organisations.

Si la responsabilité à titre individuel des informations que nous dispersons au hasard de nos pérégrinations, publications et conversations relèvent de notre propre (in)conscience et d’une certaine manière de notre libre-arbitre, il en va tout autrement pour l’entreprise qui se trouve confrontée à un double défi : respecter l’individu qui lui offre sa force de travail dans la collecte, l’exploitation et la conservation de ses données personnelles, et surveiller celui-ci dans ces actions, échanges et déplacements afin de protéger les savoir, projets et dispositifs qui concourent à préserver la compétitivité de l’organisme.

Equipés de terminaux mobiles, profilés sur les réseaux sociaux, embarquant avec eux une parcelle de la stratégie et des objectifs de leurs entreprises, les cadres évoluant dans ce nouvel univers numérique constituent une cible de choix pour les loueurs de fichiers « premium ».

Qu’une partie conséquente de votre staff soit envoyée à grand frais au festival de Cannes ou à Roland-Garros, et cela devient une information de premier choix pour l’un de vos concurrents, surtout si celle-ci peut être croisée avec votre projet de prise de participation dans une startup spécialisée sur l’une des thématiques portées par l’événement en question. Durée du séjour, notes de frais, temps de présence, locations de véhicules, personnes rencontrées, publications sur les réseaux sociaux, analyse des déplacements par les données de géolocalisation et les enregistrements de type  vidéosurveillance… Tout devient de plus en plus traçable, compilable, analysable, et favorise donc la réactivité de celui qui écoute.

Il en va ainsi de l’intelligence économique et de la veille concurrentielle et stratégique certes depuis fort longtemps, seulement maintenant la donne a changé de dimension.

 

 

L’algorithme arrive et la data s’emballe

Le « Big Data », les algorithmes et l’analyse prédictive fournissent d’ores et déjà des résultats et des modélisations capables de croiser ces données dans une dynamique approchant le quasi temps réel.

Une perspective qui nous laisse entrevoir de sacrées surprises à venir dès lors que les directions générales seront confrontées à une multitude d’événements qui rendront encore plus difficile qu’aujourd’hui, le recul et l’analyse, un pré-requis indispensable à l’élaboration ou à l’adaptation d’une stratégie industrielle, et ce quelque soit la nature du bien produit.

« Inutile de se méprendre, le Big Data peut aussi concerner les données des entreprises. Comme pour les DP des individus, un tiers ne peut pas se les approprier sans considérer au préalable les dispositifs juridiques de lutte contre la concurrence déloyale, la violation du secret de fabrication, le parasitisme économique, ou encore la contrefaçon de droits de propriété intellectuelle » analyse Laurence Raphael, experte en nouvelles technologies dans un article consacré au Big Data et publié sur le site de Legitech en  décembre dernier (Big Data : le bon, le mauvais et l’avenir). 

Bref, nous l’avons bien compris, les entreprises sont au cœur du sujet, à la fois par l’émanation de leurs activités liées à ce qu’elles produisent que par les moyens qu’elles mettent à disposition de leur corps social.

Les collecteurs de ces datas qui échappent en grande partie à une vision globale de leurs émetteurs quant à leurs instrumentalisation, sont par ailleurs prévoyant. Ainsi, pour se prémunir des éventuelles inquiétudes, questionnement ou droits de regard à venir, ils n’ont de cesse que de proposer de nouveaux services intimement liés à l’intra-entreprise et à ses principaux moteurs. Par exemple au travers des Directions de Ressources Humaines, avec ce nouvel indicateur qui fait florès sur les réseaux sociaux « d’entreprise » (Viadeo, LinkedIn, etc.) et qui consiste à demander aux employés d’une entreprise d’exprimer via un vote en ligne « confidentiel » leur niveau de satisfaction quant aux conditions de travail, de salaire, bien-être, etc.

Certaines entreprises succombent à cette tentation qui n’est pas sans rappeler l’épisode du Cheval de Troie, probablement par désir d’imiter ou tout simplement étourdi par le chant des sirènes de la modernité. Aucune véritable réflexion partagée en amont, pas plus que d’inscription de la démarche dans une stratégie marketing pensée et réfléchie. Voilà des actions-type mises en œuvre sans en avoir mesuré véritablement les conséquences, ni tiré au final de cette expérience un quelconque avantage à mettre au crédit de la notoriété de la marque ainsi exposée, mais qu’importe car « de toutes façon, ce n’est pas grave, cela ne nous a rien coûté : c’est gratuit ! ». Hum… et c’est qui le produit dans ce cas ?

En s’immisçant ainsi au plus près du cœur du décisionnel et de ce qui contribue fortement à la valeur et à l’identité d’une entreprise, les collecteurs ont non seulement enrichi une fois de plus leurs silos de data, une nouvelle fois sans contrepartie, et par ce biais se posent désormais en tant que pourvoyeur de solutions complémentaires, voire alternatives à l’administration des relations humaines. Pas mal.

Bien sûr il est de grandes collectivités et entreprises qui, disposant de ressources et d’une organisation appropriée, sont à même de prendre en compte la dimension économique et l’enjeu stratégique que représentent les signaux vivants émis par le corpus qui les composent. Pour le moment, cela se traduit pour celles-ci par le renforcement de leur niveau de sécurité informatique d’une part et surtout par l’existence et le renforcement au plus haut niveau de structures efficientes en charge d’administrer la protection des données. Les plus avancées dans ce domaine ont élevé leur niveau de compétence et de coordination au niveau d’une veille sur l’état de l’art en la matière que ce soit sur un plan technologique, juridique ou commercial.

Malheureusement, pour le plus grand nombre, il reste beaucoup de chemin à parcourir et le sprint est lancé, car au-delà de l’obligation légale qui est faite aux entreprises de désigner un Délégué à la Protection des Données au plus tard d’ici 2 ans, se cache la somme des responsabilités et les impacts sur l’organisation du dispositif – dans sa globalité – que cela entraîne.

 

Les entreprises sont elles prêtes ?

Selon un sondage Ipswitch réalisé fin 2014 sur 316 entreprises européennes, 52% des sondés ont répondu ne pas être prêts. Plus grave, encore 56% ne savaient pas exactement à quoi correspond le sigle GDPR. Par ailleurs, 64 % des personnes interrogées ont reconnu n’avoir aucune idée de la date d’entrée en vigueur supposée de ce règlement.

Autre point préoccupant : 79% des sondés font appel à un fournisseur Cloud, mais seulement 6% ont pensé à demander à leur prestataire s’il était en règle avec le règlement européen.

Selon l’étude menée par The International Association of Privacy Professionals (IAPP), le nombre de DPO (Data Protection Officer) requis sera, d’au moins, 28.000 en Europe seule. 

Ce chiffre est une estimation basée sur les statistiques officielles du secteur public et privé dans l’UE, en tenant compte d’un ensemble d’hypothèses qualifiées de « prudentes » basées sur les les statistiques d’Eurostat.

L’étude exclue les micros, petites et moyennes entreprises et s’est attachée à traiter les organismes de taille égale ou supérieure à 250 employés.

Elle traite les 13 secteurs de l’industrie non-financières :

‐          les industries extractives ;

‐          les industries de fabrication;

‐          électricité, gaz, vapeur et air conditionné ;

‐          l’approvisionnement en eau, assainissement, gestion des déchets et dépollution ;

‐          la construction ;

‐          le commerce de gros et de détail, réparation de véhicules automobiles ;

‐          le transport et le stockage ;

‐          l’hébergement et services de restauration ;

‐          les activités d’information et de communication ;

‐          les activités immobilières ;

‐          les activités professionnelles, scientifiques et techniques ;

‐          activités de services administratifs et de soutien ;

‐          les activités de maintenance informatique, de gestion des biens personnels et domestiques.

Le chantier est conséquent et le besoin de mobilisation énorme : toute chose égale par ailleurs, nous pourrions comparer les opérations à mener d’ici 2 ans, à la mise en place d’un plan de vaccination nationale répondant à une urgence sanitaire.

 

Un projet qui demande méthode, compétence et formation

A défaut de disposer de ressources internes mobilisables à 80 % d’un ETP sur la période, représentant chacune l’ensemble des directions métiers, de trouver le directeur de projet susceptible de mener à bien les phases d’audit et de cadrage, de mettre en œuvre une gestion des risques et d’accompagnement du changement, le recours à des solutions de soutiens externes peut s’avérer indispensable, voire incontournable.

En premier lieu il conviendra d’éviter quelques écueils, le premier d’entre eux serait d’imaginer qu’une personne seule sans l’appui d’un service/département ou direction dédiée, et quelque soit ses compétences et sa capacité à agir de manière transverse sur l’organisation, sera en mesure de répondre au défi et aux responsabilités nouvelles que l’entreprise endosse au titre de l’application du nouveau règlement.

Il y a donc de la place à faire dans les organigrammes. A minima la structure pour être efficiente se devrait d’être directement rattachée à la Direction Générale. Cela suppose d’avoir à régler quelques « susceptibilités » métiers, notamment côté des directions Techniques (quelle place pour le RSSI, le DTO ?…), mais aussi Juridiques : il s’agit là des principaux fournisseurs de CIL (Correspondant Informatique et Libertés) actuellement en exercice.

La question de la méthode, du coût de l’opération, passera forcément par un audit de situation et le cas échéant par la mise en place d’un projet d’organisation intégrant un dispositif de formation solide et déclinable suivant 2 axes considérant à la fois le métier et le niveau de responsabilité exercé. Les membres de la direction n’y échapperont pas ! D’autant que le sponsoring de projet devrait en toute logique être au menu de la formation.

Nous pouvons faire confiance à un certain nombre de professionnels du secteur pour adapter leurs offres actuelles en conséquence, si tant est que l’accompagnement notamment juridique, puisse apparaitre comme la réalité d’une garantie de compétence, de veille et d’alerte, au-delà de 2018.

Cette échéance ne devant pas être considérée comme une fin en soi : la révolution numérique qui s’annonce va conduire naturellement chaque organisme, entreprise, collectivité à élever son niveau de jeu.

 

Et ce n’est qu’un début

Le prochain étage de la fusée digitale est déjà là, la technologie des Chaînes de Blocs (blockchain) va investir nombre d’activités de certification, de l’acte notarié au contrat de service, de l’assurance patrimoniale à la lutte contre la falsification.

Cette prochaine étape ne fait que rendre encore plus indispensable et stratégique la nécessité de procéder à une véritable réingénierie des processus et une réforme de la gouvernance numérique de l’entreprise. Permettre à cette dernière d’acquérir de nouveaux réflexes, de nouvelles capacités en termes de mesure des risques et de protection de la valeur, c’est ce que d’une certaine manière le législateur nous impose. A chacun de savoir tirer bénéfice de ces nouvelles obligations et de mettre à profit la mise en lumière de ces nouvelles pratiques, réglementations et innovations à venir.

La nouvelle économie numérique qui se dessine à besoin de ces règles qui, tout en apportant à chacun d’entre nous l’assurance d’une protection de nos données à caractère personnel, permettront au travers de solutions technologiques respectueuses du bien commun, la valorisation de ressources dont nous sommes les principaux auteurs.

Il reste à faire…  Et pour être un acteur de cette nouvelle aventure humaine, disons-le une fois pour toute : le temps de la procrastination est révolu !

Sources et références :

AXCIOM : la société américaine experte de la « donnée client », de l’analytique et des services marketing https://fr.wikipedia.org/wiki/Acxiom#cite_note-4

BIG DATA : LE BON, LE MAUVAIS,… L’AVENIR : Article de Laurence Raphael, Legimag 21/9/2015, expertise nouvelles technologies http://www.legitech.lu/newsroom/articles/big-data-le-bon-le-mauvais-lavenir/

BLOCKCHAIN / CHAINE DE BLOC :
– une révolution d’usages : Interview en vidéo du président de la FNTC du 13/5/2016 http://www.archimag.com/demat-cloud/2016/05/13/video-blockchain-revolution-usages-alain-borghesi-fntc 

- de la monnaie virtuelle à l’éthique : article de Laurent Henocque – Les Echos 19/5/2016 : http://www.lesechos.fr/idees-debats/cercle/cercle-157119-la-blockchain-de-la-monnaie-virtuelle-a-lethique-1223076.php  
– Sur les changements structurels et révolutionnaires que cette technologie peut apporter à la société toute entière : https://fr.wikipedia.org/wiki/Cha%C3%AEne_de_blocs

BVEX : Le principe d’ « Accountability » se précise… article de Daniel Pradelles publié sur le site Business Value Exchange  le 29/1/2016 http://businessvalueexchange.com/fr/2016/01/19/7906/

CNIL : Adoption du règlement européen par le Parlement européen : un grand pas pour la protection des données en Europe – publié le 14 /4/2016  https://www.cnil.fr/fr/adoption-du-reglement-europeen-par-le-parlement-europeen-un-grand-pas-pour-la-protection-des-donnees

DATA PROFILING : Processus qui consiste à récolter les données dans les différentes sources de données existantes. Explications sur  https://fr.wikipedia.org/wiki/Data_profiling

DPO/DPD : Data Protection Officer, Délégué à la Protection des Données. Explications sur https://fr.wikipedia.org/wiki/D%C3%A9l%C3%A9gu%C3%A9_%C3%A0_la_protection_des_donn%C3%A9es

EUROSTAT : http://ec.europa.eu/eurostat

GDPR  (General Data Protection Regulation) :
-Projet de règlement européen, les entreprises sont-elles prêtes ? Résultat du sondage Ipswitch commenté par Yannick Hello, Responsable EMEA d’Ipswitch le 21/1/2015 à retrouver sur  http://www.cil.cnrs.fr/CIL/spip.php?article2634  
-Article du quotidien Les Echos sur le nouveau règlement européen décidé en décembre 2015 qui s’appliquera dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. En savoir plus sur http://www.lesechos.fr/idees-debats/cercle/cercle-147684-la-gdpr-au-dela-des-obligations-une-opportunite-pour-les-entreprises-1196000.php

IAPP : https://iapp.org/news/a/study-at-least-28000-dpos-needed-to-meet-gdpr-requirements/

SERDALAB : Le baromètre 2016 de la gouvernance de l’information numérique. Publication d’avril 2016: http://www.serdalab.com/  

Laisser un commentaire

Pmedwards |
IMPERIENCE Consulting |
Defiscalisation Loi Pinel |
Unblog.fr | Annuaire | Signaler un abus | Christianduponchel
| Aidefinancierepourtous
| Fjakobiak