La GDPR, nouvelle réglementation européenne sur la gestion des données sensibles
et personnelles, pourrait, dans le contexte concurrentiel mondial, constituer une
belle opportunité de développement pour les entreprises de l’économie
numérique européenne.

Aux Etats-Unis, sur simple injonction d’une agence de sécurité américaine (FBI,
CIA ou NSA ou d’un juge), le Patriot Act oblige toute entreprise à transmettre
les données de ses clients, sans les en informer, et ce, quel que soit l’endroit
du monde où ces données sont stockées. Au contraire, grâce à la GDPR, les
acteurs du numérique européens pourront, dès mai 2018, se prévaloir auprès des
consommateurs d’une solide protection de leurs données personnelles. Ceci devrait
susciter leur confiance et abattre les barrières qui freinent encore aujourd’hui
le développement d’activités numériques, comme le e-commerce, et devenir un
levier de croissance.

Plus de transparence = plus de confiance

En effet, toute entreprise dans le monde hébergeant les données personnelles de
citoyens européens devra informer ses clients de la finalité de la collecte et du
traitement de leurs données personnelles, respecter le droit à l’oubli et
déclarer une cyberattaque sous 72h. En cas de non-conformité, elle s’expose à
une amende équivalant à 4% de leur chiffre d’affaires annuel.

En contraignant les entreprises à une plus grande transparence sur l’utilisation
de la data et en redonnant à chacun la maîtrise de ses données personnelles, la
GDPR répond aux préoccupations des consommateurs : uneétude de KPMG a dévoilé
que plus de la moitié des consommateurs ne concrétisent pas leur acte d’achat
par crainte pour leurs données personnelles. Parallèlement, le baromètre de
l’intrusion de Publicis ETO a montré en 2016 que 60% des Français souhaitent
gérer eux-mêmes l’accès des marques à leurs données personnelles et que 78%
sont « dérangés » par le fait que leurs données soient collectées et
stockées.

Dans une Europe où il existe très peu de « champions » du numérique, cette
nouvelle réglementation constitue une opportunité pour se positionner comme
l’unique région du monde soucieuse de la protection des données sensibles et
donc d’accroître la confiance des consommateurs.

Un objectif louable, mais une application complexe

Louable dans son objectif, la GDPR reste néanmoins complexe à mettre en œuvre,
particulièrement pour les PME et TPE. Si les grands comptes disposent de moyens
humains et financiers pour mettre en place une gouvernance de la data et réaliser
l’inventaire de toutes les données personnelles éparpillées dans les ERP et
solutions SaaS et Cloud, les PME et TPE souffrent cruellement d’un défaut de
ressources et de compétences spécialisées.

Cette complexité s’accroît davantage pour les éditeurs de logiciels qui doivent
non seulement s’assurer de la conformité de leur utilisation en interne, mais
également garantir les bonnes pratiques de leurs clients en mode SaaS. Un défi
quand on connaît la difficulté de recenser en interne les multiples modes
d’exploitation des données et qu’il faut, en plus, vérifier ce qu’en font
les clients ! Or la nouvelle réglementation considère l’éditeur comme
responsable du traitement des données personnelles hébergées dans son data
center.

Si la GDPR est une excellente initiative pour faire face à l’explosion du volume
de données, à l’augmentation du nombre de cyberattaques et aux pratiques souvent
obscures de traitement des données personnelles, une modulation des délais
d’application en fonction de la taille et des profils d’entreprises aurait été
plus judicieuse. En effet, à quelques mois de la mise en application de cette
nouvelle réglementation, les PME et TPE sont dépassées par l’ampleur de la
tâche et s’inquiètent des conséquences financières en cas de non-conformité
avec la loi, alors qu’elles n’ont aucune velléité de se dérober à la GDPR.

Elles réclament d’être soutenues dans cette démarche via la mise en place de
mesures d’accompagnement. L’une des pistes seraient de multiplier les filières
de formation de spécialistes de la gouvernance de données, métiers dont on parle
très peu, comparé à la déferlante des data scientists ou des analystes métiers
depuis l’avènement des big data, mais qui deviennent essentiels pour sécuriser
la croissance des entreprises.

Malgré sa complexité, la GDPR a le mérite de placer la gouvernance des données
sensibles au cœur des préoccupations des entreprises, avant qu’elle devienne,
dans un deuxième temps, un catalyseur de confiance et donc de croissance.