Les nouvelles règles n'obligeront pas forcément à réduire la voilure sur les datalakes, ces zones de stockage qui gèrent de gros volumes de données. "Le datalake restera une solution pertinente et plus agile que les outils historiques. Il faudra en revanche identifier la personne référente pour utiliser les données et définir le temps de leur conservation", explique Thibauld Vian, consultant senior digital et data chez Convertéo. Sur la durée de conservation, la non-conformité vient souvent de paramétrages par défaut des durées de rétention et du manque de clarté de gestion entre les différents métiers et entités dans l'entreprise...
Une relation client-marque plus équilibrée
L'une des priorités consiste à avoir une vision consolidée des consentements des clients pour mener les sollicitations marketing et commerciales. Dans la phase de collecte des données, les personnes concernées doivent disposer d'une information claire sur l'usage qui en sera fait, aisément accessible et sans case précochée. Toute absence de réponse est considérée comme un opt-out. Les données nécessaires au contrat (données de carte bancaire, adresse postale...) ou collectées à des fins légitimes (l'adresse e-mail lors de l'abonnement à une newsletter) échappent au consentement explicite. Il sera en revanche exigé pour le ciblage publicitaire, les publicités géolocalisées, l'établissement de scores... Les données personnelles masquées dans le système décisionnel pourront continuer à faire l'objet d'agrégations. Des pratiques plus vertueuses sont attendues sur le partage ou la vente de données.
Le RGPD contient également un droit d'explication. "On a tendance à automatiser de plus en plus de process et les algorithmes amènent une sophistication qui doit pouvoir être maîtrisée. L'intention est saine, mais sa mise en oeuvre est loin d'être évidente compte tenu de l'emprise du machine learning sur les modes de décision", tempère Thibauld Vian. Les retailers devront sans doute être un peu plus regardants sur leurs algorithmes de recommandation... Autre nouveauté : la portabilité des données vers un service tiers, qui permet par exemple d'accéder directement à un statut privilégié lors du changement de prestataire.
Si l'abonné d'une compagnie aérienne justifie des vols déjà effectués durant les dernières années, il pourra par exemple accéder sans attendre au statut gold dans une nouvelle compagnie.
Les consommateurs consentiront d'autant plus à partager leurs données qu'ils s'inscriront dans une relation plus équilibrée avec les marques. Un gagnant-gagnant qui prendra davantage en compte le cycle de vie du client, proposera des sollicitations plus pertinentes et des leviers de récompense plus personnalisés. Afin d'éviter la surchauffe ou une indifférence des clients qui serait préjudiciable à la taille du fichier exploitable, les marques ont tout intérêt à débuter la collecte le plus tôt possible, avant mai pour celles qui seront prêtes.
Chrystel Galissie conseille de se concentrer sur les notions de canal utile ou de point de contact préféré: "Il faut surtout que les points de contact soient opérationnels. Il est donc préférable de ne pas demander le consentement sur tous les canaux en même temps."
À l'aube d'une nouvelle ère ?
Même si les sujets techniques mobilisent les énergies, le RGPD n'est pas qu'un projet informatique. "C'est davantage une question de conduite du changement dans l'entreprise avec un message plutôt rassurant sur la manière de faire un business éthique. Le temps d'adaptation n'est pas forcément confortable. En rebond, de belles opportunités ou de nouveaux business models arriveront très vite si les entreprises se montrent créatives et si les clients comprennent le bénéfice qu'ils peuvent en tirer. Le RGPD permet aussi de s'approcher du sans couture dont on parle depuis des années, grâce à des process qui simplifient les usages", affirme Yolande Garcia, responsable stratégie digitale expérience client et accompagnement GDPR chez Orange consulting.
L'agence Wide a constaté ces changements dès que les experts métiers ont été associés aux projets. "Les marques ont alors réfléchi à des questions de transparence et de coconstruction, à la manière de remettre l'éthique et leurs valeurs au centre d'une relation qui était devenue très mercantile, aux opportunités pour se différencier en personnalisant la relation", témoigne Chrystel Galissie. Le RGPD est aussi l'occasion de pousser des démarches de "privacy by design", qui intègrent la question de la protection des données dès qu'un projet se lance, voire de "privacy by default", qui offrent un maximum de protection aux utilisateurs. Ceux qui sauront s'emparer pleinement de ces sujets feront d'une contrainte une véritable opportunité pour changer leur culture d'entreprise.
Interview: Michael Bittan, associé responsable des activités cybersécurité chez Deloitte
Comment les marques ont-elles abordé l'entrée en vigueur du RGPD?
Les sociétés qui vendent sur Internet ou qui font du marketing digital se sont posé très tard la question de leur conformité par rapport au RGPD, pour la plupart à l'automne 2017. Elles ont peut-être pu penser qu'elles ne feraient pas partie des premières sociétés auditées, mais il ne semble pas que la CNIL puisse réaliser des distinctions entre les entreprises et les secteurs d'activité. Certains groupes ont réagi lorsque leurs sous-traitants les ont interrogés sur leur conformité au RGPD à l'occasion du renouvellement de leur contrat. Des univers très réglementés comme la banque ou l'assurance sont parmi les plus avancés. Dans le retail, presque personne ne sera pleinement en conformité le 25 mai... L'analyse des écarts à la conformité a tout de même diminué chez de nombreuses entreprises du secteur. Ceux qui seront proches de la conformité auront intérêt à le faire savoir car ce sera un avantage concurrentiel.
Quels sont les risques encourus en cas de non-conformité?
La pénalité de 2 % ou 4 % sur le chiffre d'affaires mondial de l'entreprise peut faire peur mais le plus gros risque réside dans les éventuelles fuites de données de sociétés qui ne seraient pas en conformité à la date prévue. Selon le type de données concernées, la responsabilité juridique du board ou du chef d'entreprise peut être engagée. Surtout, la réputation et le business de l'entreprise seront affectés. Dans une économie numérique de plus en plus large, un défaut de confiance peut avoir des conséquences majeures sur le chiffre d'affaires. On peut hésiter avant de créer un compte chez une entreprise qui a été piratée.
Et les avantages attendus?
Il faut profiter de la mise en place de règles de gouvernance sur le cycle de vie de la donnée pour engager une réflexion plus globale sur le sujet. Pour tous les secteurs, la donnée devient primordiale, même si ce n'était pas leur coeur de métier à l'origine. Dans l'automobile, la position du constructeur a évolué car la data fait partie du véhicule. Les concepts marketing autour de l'utilisation de la donnée font de plus en plus sens, comme dans l'assurance avec les contrats de type "pay as you drive", où le conducteur accepte d'être analysé.
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles