GDPR : un levier pour l’économie numérique européenne (avis d’expert)

La GDPR (General data protection regulation ou Règlement général sur la protection des données – RGPD), nouvelle réglementation européenne sur la gestion des données sensibles et personnelles, pourrait, dans le contexte concurrentiel mondial, constituer une belle opportunité de développement pour les entreprises de l’économie numérique européenne.

Aux États-Unis, sur simple injonction d’une agence de sécurité américaine (FBI, CIA ou NSA ou d’un juge), le Patriot Act oblige toute entreprise à transmettre les données de ses clients, sans les en informer. Quel que soit l’endroit du monde où ces données sont stockées. Au contraire, grâce à la GDPR, les acteurs du numérique européens pourront, dès mai 2018, se prévaloir auprès des consommateurs d’une solide protection de leurs données personnelles. Ceci devrait susciter leur confiance et abattre les barrières qui freinent encore le développement d’activités numériques, comme le e-commerce, et devenir un levier de croissance.

Plus de transparence = plus de confiance

Toute entreprise dans le monde hébergeant les données personnelles de citoyens européens devra informer ses clients de la finalité de la collecte et du traitement de leurs données personnelles. Respecter le droit à l’oubli et déclarer une cyberattaque sous 72h. En cas de non-conformité, elle s’expose à une amende équivalant à 4% de leur chiffre d’affaires annuel.

En contraignant les entreprises à une plus grande transparence sur l’utilisation de la data et en redonnant à chacun la maîtrise de ses données personnelles, la GDPR répond aux préoccupations des consommateurs : une étude de KPMG a dévoilé que plus de la moitié des consommateurs ne concrétisent pas leur acte d’achat par crainte pour leurs données. Parallèlement, le baromètre de l’intrusion de Publicis ETO a montré en 2016 que 60% des Français souhaitent gérer eux-mêmes l’accès des marques à leurs données personnelles et que 78% sont « dérangés » par le fait que leurs données soient collectées et stockées.

Dans une Europe où il existe très peu de « champions » du numérique, cette nouvelle réglementation constitue une opportunité pour se positionner comme l’unique région du monde soucieuse de la protection des données sensibles et donc d’accroître la confiance.

Un objectif louable, mais une application complexe

Louable dans son objectif, la GDPR reste néanmoins complexe à mettre en œuvre, particulièrement pour les PME et TPE. Si les grands comptes disposent de moyens humains et financiers pour mettre en place une gouvernance de la data et réaliser l’inventaire de toutes les données personnelles éparpillées dans les ERP et solutions SaaS et Cloud, les PME et TPE souffrent cruellement d’un défaut de ressources et de compétences spécialisées.

Cette complexité s’accroît davantage pour les éditeurs de logiciels qui doivent non seulement s’assurer de la conformité de leur utilisation en interne, mais également garantir les bonnes pratiques de leurs clients en mode SaaS. Un défi quand on connaît la difficulté de recenser en interne les multiples modes d’exploitation des données et qu’il faut, en plus, vérifier ce qu’en font les clients ! Or la nouvelle réglementation considère l’éditeur comme responsable du traitement des données personnelles hébergées dans son data center.

Si la GDPR est une excellente initiative pour faire face à l’explosion du volume de données, à l’augmentation du nombre de cyberattaques et aux pratiques souvent obscures de traitement des données personnelles, une modulation des délais d’application en fonction de la taille et des profils d’entreprises aurait été plus judicieuse. En effet, à quelques mois de la mise en application de cette nouvelle réglementation, les PME et TPE sont dépassées par l’ampleur de la tâche et s’inquiètent des conséquences financières en cas de non-conformité avec la loi, alors qu’elles n’ont aucune velléité de se dérober à la GDPR.

Elles réclament d’être soutenues dans cette démarche via la mise en place de mesures d’accompagnement. L’une des pistes seraient de multiplier les filières de formation de spécialistes de la gouvernance de données, métiers dont on parle très peu, comparé à la déferlante des data scientists ou des analystes métiers depuis l’avènement des big data, mais qui deviennent essentiels pour sécuriser la croissance des entreprises.

Malgré sa complexité, la GDPR a le mérite de placer la gouvernance des données sensibles au cœur des préoccupations des entreprises, avant qu’elle devienne, dans un deuxième temps, un catalyseur de confiance et donc de croissance.

par Jamal Labed cofondateur et COO d’EasyVista.

Lire également :

La cybersécurité, une aubaine pour les fournisseurs de services ?

GDPR : les clés d’une sauvegarde de données conforme (avis d’expert)