GDPR : premiers retours d’expériences, sans concession, après 12 mois d’application

RGPD 12 mois après

04 décembre 2018

48 à 62 % des consommateurs ne croient pas que les entreprises soient honnêtes sur la manière dont elles utilisent les données personnelles. Pourtant, le règlement sur la protection des données applicable depuis le 25 mai 2018 tend à créer un espace numérique de confiance avec un cadre juridique harmonisé favorable au développement de l’économie. En France, les plaintes ont augmenté de 60 % par rapport à la même période l’an dernier, les autorités européennes sont actuellement saisies de plus de 200 procédures « transfrontalières » et elles ont été saisies de 60 000 notifications de violations de données personnelles. Dans le même temps, les organisations peinent à voir les bénéfices qu’elles pourraient tirer de cette réglementation. Les entreprises européennes s’estiment pénalisées. Les géants du net ont pu consacrer d’importantes ressources à leur mise en conformité et ont profité de leur position dominante pour éliminer une partie des acteurs qui ne répondaient pas aux exigences du règlement. Au fil des mois, le GDPR est devenu un irritant.

COÛT ÉLEVÉ, MANQUE DE SPÉCIALISTES, BUDGETS SOUS-ESTIMÉS : LA MISE EN CONFORMITÉ VÉCUE COMME UNE CONTRAINTE

La formation est un gros poste de dépenses. Dans les grandes entreprises, la révision des contrats mobilise plusieurs ETP à temps plein sur plusieurs années et la mise en conformité des applications coûte des centaines de milliers d’euros. Les feuilles de route sont régulièrement révisées : 2019, 2020…2021 et le changement devra s’inscrire dans la durée. Selon PWC, 88% des entreprises (US, UK, Japon) disposant d’une présence en Europe auraient dépensé $1 million.

  • Des impacts IT largement sous-estimés

Peu d’entreprises ont prévu les budgets nécessaires à l’évolution du parc applicatif, de l’architecture et de la gouvernance des données en lien avec les processus de protection des données. La mise en œuvre est complexe du fait de la multiplicité des formats, des référentiels et des fournisseurs de données au sein d’une même entreprise et de la configuration des espaces de stockage en silos. La CNIL[1] sanctionne régulièrement les entreprises pour défaut de mesures de sécurité, mais le GDPR donne aux RSSI une occasion d’en faire un sujet prioritaire. Les dépenses des organisations devraient augmenter de 45% d’ici 2022 par rapport aux prévisions pour 2018[2]. Les investissements concerneront tant des solutions de prévention, de monitoring et de détection des incidents (SIEM, DLP…) que de protection des données (data blocking, data masking, chiffrement…). Les organisations devraient aussi mettre en place des démarches de certification du SMSI. Enfin, en 2019 la plupart des grandes organisations ont commencé à s’équiper de solutions de gestion du registre des traitements et de pilotage de la conformité au GDPR.

  • Obligées de repenser leur organisation, les entreprises doivent gérer les résistances aux changements

Bien que les organisations aient eu 2 ans depuis mars 2016 pour se préparer au GDPR, la plupart ont vécu dans le déni. Avec le GDPR, les sujets de protection des données ont été confiés à la conformité et à la DSI ou à la direction des programmes. Le Délégué à la Protection des Données (DPO) est généralement rattaché à la direction générale. Il est le nouvel homme clé et doit pouvoir compter sur une solide gouvernance. La mise en place d’une démarche de « Data Protection by Design » impacte tous les niveaux de l’organisation, du développeur aux membres du Comex et cela n’est pas sans générer de fortes résistances. Sur un plan très opérationnel, le manque de ressources internes est régulièrement mis en avant tandis que les budgets relatifs à l’externalisation ont explosé.

  • La chaîne de sous-traitance représente la principale source de risques pour les entreprises européennes 

25 % des entreprises auraient changé de sous-traitant à cause du GDPR qui leur impose de ne recourir qu’à des sous-traitant qui offre des garanties de conformité et de sécurité. En pratique cependant, rapport de force est inversé avec les sous-traitants qui bénéficient d’une position dominante, le responsable de traitement n’ayant d’autre choix que de se soumettre (au risque de violer la réglementation) ou de se démettre (avec toutes les conséquences que cela peut avoir sur son chiffre d’affaire). A contrario, le fournisseur est en situation de dépendance aura tendance à valider des clauses contractuelles dont il ne comprend pas toujours la portée.

LE MODE DE CALCUL FINANCIER DU ROI NE PERMET PAS APPRÉHENDER LES BÉNÉFICES A LONG TERME DU GDPR

Le calcul du retour sur investissement des dépenses relatives aux mesures de protection des données personnelles relève d’une gageure. Les choix de la personne concernant la divulgation de ses données sont imprévisibles car ils sont avant tout émotionnels et ils sont psychologiquement biaisés (par exemple par la perception d’un bénéfice immédiat). Même les individus les plus avertis ne sont pas toujours réceptifs (“privacy myopic”). De nombreux autres facteurs liés au profil de la personne, aux comportements de ses pairs (i.e. “social proof”), ou à sa perception de la gravité de la menace et de sa capacité à s’en protéger (risque) tendent à influer sur ses décisions. Les géants du net recourent aux techniques de nudge pour manipuler les personnes et les pousser à révéler plus d’informations qu’elles ne l’auraient souhaité (Privacy Zuckering). L’échelle de temps et la mesure financière sur lesquels reposent le calcul traditionnel du ROI ne sont pas adaptées. Cela ne prend pas en compte l’érosion progressive de la confiance dans l’économie numérique du fait de ces pratiques déloyales, ni les « gains cachés » liés à la protection des données qui ne sont pas immédiatement visibles sur les résultats.

QUEL AVENIR POUR LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE ?   

  • L’esprit du règlement ne cesse d’être bafoué au détriment des individus

Combien d’internautes prennent la peine et le temps de paramétrer leurs paramètres de confidentialité avant de cliquer sur « J’accepte » ? Mais ont-ils compris que des cookies sont déposés sur leur ordinateur à des fins de ciblage publicitaire et que les informations sont partagées avec des centaines de tiers dans le monde ? Beaucoup d’applications sont conçues de manière à « dissuader » l’utilisateur d’utiliser les paramètres de protection de la vie privée ; penser qu’il est capable de faire un choix libre et éclairé relève d’un rêve chimérique.

  • La prise de conscience passera forcément par la sanction d’entreprises dans l’UE et au-delà

Si l’autorité portugaise a ouvert le bal avec une première sanction de 400 K€ à l’encontre d’un hôpital public, c’est la CNIL qui a fait sensation avec une amende de 50 M€ infligée à Google en début d’année. On notera avec attention que cette délibération fait suite aux plaintes déposées par des associations elles-mêmes saisies par plusieurs milliers de personnes. Autre point important, la décision reproche à Google un « choix ergonomique » qui « ne répond pas aux objectifs d’accessibilité, de clarté et de compréhension fixés par le GDPR ». Faut-il y voir là une première allusion à l’obligation de « Data Protection by Design » ?

  • Le GDPR n’est que la première pierre d’un cadre juridique en construction essentiel pour accompagner l’innovation « data driven »

L’éthique numérique et la protection de la vie privée sont classées parmi les 10 tendances 2019 par le Gartner. #trustedAI #dataethics #digitalethics #eprivacy sont autant de hashtags qu’il faudra suivre à l’avenir. Le Règlement européen crée de formidables opportunités pour les entreprises européennes : « avantage confiance » qui raccourcit le cycle de vente, meilleure qualité des données et optimisation de leur utilisation, amélioration de l’expérience et de l’engagement client, nouveaux business models, nouveaux services, gains de parts de marché, hausse de la valorisation de l’entreprise, moindre coût en cas de faille de sécurité. C’est une occasion unique pour des leaders européens mus par des valeurs humanistes d’imposer une vision responsable de l’économie numérique, une stratégie « gagnant-gagnant » permettant de concilier l’innovation et le respect des droits et libertés des individus…sauf à laisser Tim Cook, Satya Nadella ou d’autres nous damer le pion.

[1] https://www.linkedin.com/pulse/gdpr-les-entreprises-sous-estiment-le-risque-de-sanction-bonnet/?published=t

[2] Source IDC

Florence Bonnet
FLORENCE BONNET
DIRECTRICE

Actualités liées