Certains dossiers que les équipes de data management avaient parfois du mal à défendre ont déjà avancé: "Tout le monde dit que la data a de la valeur, mais il est souvent difficile de convaincre les instances dirigeantes du ROI sur ces questions. Elles savent désormais qu'à partir de mai, cela pourra coûter 4% du chiffre d'affaires", note Jean-Michel Franco, directeur marketing produit de Talend. Quand Orange Consulting intervient sur un dossier RGPD, les équipes s'assurent systématiquement que les enjeux sont partagés par toutes les équipes, y compris la direction.
Sans doute échaudés par les conséquences de fuites de données qui font régulièrement l'actualité, beaucoup de groupes ont ouvert ce chantier avec le volet sécurité. "Certaines marques se sont rendu compte que beaucoup d'acteurs intervenaient sur leurs campagnes digitales et que les bonnes pratiques de sécurité s'étaient un peu perdues au fil du temps. Quelques-unes ont développé des blockchains pour crypter leurs données", détaille Chrystel Galissie, directrice associée connaissance client & data science de Wide, agence de communication du groupe Micropole. Ces données sensibles peuvent aussi être "pseudonymisées" via des identifiants artificiels.
Architecture et cartographie
Avant de permettre aux clients d'accéder à leurs données personnelles, d'exercer leur droit à la limitation des usages, au déréférencement ou à l'oubli, encore faut-il savoir où elles se trouvent. Avec le développement du digital et du mobile, les systèmes sont souvent devenus très hétérogènes. "La phase de découverte des données est parfois perçue comme un risque mais c'est avant tout une façon de revisiter son architecture autour de la donnée client et de la donnée sensible. Ce travail peut devenir un avantage concurrentiel pour les entreprises européennes qui sauront se donner une image vertueuse par rapport à d'autres entreprises internationales", fait valoir Franck Hourdin, vice-président cybersecurité EMEA d'Oracle. Les informations-clés des clients et utilisateurs devront être centralisées dans un espace dédié.
Le RGPD remonte le niveau de contrôle entre les activités, les marques, les pays... De plus en plus de données étant stockées en dehors d'un contrôle central, cela complique sensiblement leur réconciliation. "Certains ont fait du data master management pour leurs clients, mais le croisement avec les prospects n'a pas toujours été réalisé. Les données d'opt-in sont souvent localisées dans un système marketing inconnu de l'outil de gouvernance de la donnée. Une demande d'opt-out ne concerne pas forcément toutes les marques de l'entreprise", rappelle Jean-Michel Franco. Talend utilise le machine learning pour cartographier, consolider et harmoniser la donnée entre les différents systèmes de l'entreprise, ou la mettre en quarantaine le temps de procéder aux vérifications nécessaires.
Un nouveau métier a été créé par le RGPD: le data protection officer (DPO). Point de contact avec la CNIL, il est en charge du conseil, de l'audit interne, de la conduite du changement, de la veille technologique, tient le registre sur les pratiques de l'entreprise... Il doit bien connaître les textes juridiques et avoir une équipe capable de vérifier les bases de données, les pratiques de data marketing et les règles de purge. Très recherchés, les DPO se recrutent dans deux types de profils: des juristes et des spécialistes de la sécurité. Pour éviter les conflits d'intérêts, ce poste à temps plein ne peut toutefois pas revenir à la DSI ou à la direction marketing.
Bon nombre d'entre eux ont été nommés au premier semestre 2017 ou à la rentrée. De nombreux recrutements sont en cours. Si certains groupes ont choisi de nommer très tôt leur DPO pour avoir une vision globale des enjeux de la mise en conformité, d'autres retardent ce choix hautement politique pour impliquer davantage le comex dans la décision.
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles