RGPD : plus qu’un règlement, une opportunité

[EXCLUSIF] Toutes les industries font face à des réglementations. Pour opérer au sein de nos sociétés, c’est un passage obligé. Mais la façon dont les entreprises abordent ces réglementations est déterminante dans leur succès. Le bad buzz d’United Airlines en est un exemple frappant. La compagnie aérienne avait expulsé de force un passager de l’un de ses vols complets pour faire de la place à des membres d’équipage. C’est légal. Mais son respect « au pied de la lettre », sans considération pour les clients lésés avait choqué fortement le grand public et les médias. Cette décision a altéré sensiblement la confiance de ses clients. Et ce n’est sans doute pas terminé.

Vice-Président de ForgeRock* en charge du Benelux et de l’Europe du Sud

Vice-Président de ForgeRock en charge du Benelux et de l’Europe du Sud

Le transport aérien est une industrie fortement réglementée. Il existe de nombreuses solutions pour faire de la place à des nouveaux membres d’équipage sur un vol déjà complet : le « réenregistrement de clients sur un nouveau vol » en est une. Mais elle témoigne d’une approche au pied de la lettre des règles. Et on la vu,  cela reste, une solution extrême et perçue comme telle.

Alors quelles peuvent être les autres solutions ? Construire une relation de confiance avec les clients et les utilisateurs de vos produits en leur garantissant contrôle et transparence totale.

 

Quel est le lien entre le traitement abusif de passagers et le respect de la confidentialité ?

Qu’est-ce que ce bad buzz a à voir avec le règlement général sur la protection des données (RGPD) de l’Union européenne – ou avec l’Internet des Objet (IoT) ?

L’IoT offre de très nombreuses opportunités commerciales. Mais les entreprises qui tentent de créer leurs propres solutions IoT à partir de zéro s’aperçoivent rapidement que proposer des interactions sûres, sécurisées et confidentielles, est très difficile. En parallèle, depuis le 25 mai 2018, le RGPD est le cadre de gouvernance central pour les entreprises B2C qui développent des modèles d’affaires IoT. Toutes les organisations traitant les données personnelles de millions de citoyens européens, qu’elles soient basées ou non dans l’Union Européenne sont concernées par le RGPD.

Quels sont les objectifs règlementaires du RGPD ? Assurer la confidentialité des données via le consentement et le contrôle : renforcer le droit fondamental à la vie privée des particuliers et redonner aux utilisateurs le contrôle de leurs données personnelles.

Guide RGPD et collaborateurs

Trop souvent, les organisations suivent un raisonnement axé sur les process : « Techniquement, nous sommes en conformité donc tout va bien. » Comme United Airlines, si une entreprise tombe dans ce piège, son image et la confiance de ses clients risque d’en pâtir.

Il ne faut donc pas manquer l’occasion de créer une relation numérique de confiance. Et la RGPD est une occasion à ne pas manquer pour les organisations.

Alors comment faire ?

Étape 1 : Identifier le point d’intersection entre les opportunités de transformation numérique et les risques en matière de défiance de l’utilisateur

L’IoT génère un grand nombre d’opportunités commerciales, des vêtements connectées aux équipements de sport en passant par les appareils de santé intelligents. Malheureusement, la majorité des flux de données ne peuvent être traitées par manque de possibilités de développements sûrs et de conformité. En revanche, si au sein d’une même structure, les commerciaux et les responsables de la data travaillent main dans la main, cela peut-être vertueux. Et les risques de défiance des utilisateurs peuvent être levés.

Étape 2 : Considérer les données personnelles comme des biens communs

Très souvent, les entreprises, ou du moins leurs services marketing, s’approprient les données personnelles qu’elles recueillent auprès des consommateurs. Avec le RGPD, cette approche n’est plus possible. Une organisation doit considérer les données personnelles de ses utilisateurs comme un élément dans lequel vous, ses clients ET elle, ont un intérêt commun. Pour cela l’entreprise doit se mettre dans la peau de l’utilisateur, ce qui est toujours utile car en d’autres circonstances, l’entreprise est aussi « juste un utilisateur ». C’est également bénéfique en matière de conformité car les règlements ont tendances à évoluer et à se complexifier.

Étape 3 : Faire la part belle au consentement

Le RGPD définit six fondements juridiques pour le traitement des données personnelles. L’un d’eux est le consentement qui, s’il est utilisé, octroie diverses libertés et responsabilités à l’organisation en matière de gestion des données. Il est également associé à la confiance de l’utilisateur. D’autres fondements, tels que ceux « relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement », ont pour effet de lier les mains de l’organisation. Mais d’autres, comme ceux « nécessaires à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers », peuvent être l’objet de dérives et briser la confiance de l’utilisateur.

Étape 4 : Tirer avantage de la gestion des accès et des identités client afin de construire une relation de confiance

Le monde de l’IoT tire ses enseignements plus vite que ceux du web et des API : L’ajout de fonctionnalités de sécurité et de confidentialité est beaucoup plus difficile quand on ne dispose pas d’un moyen de vérifier les identités authentifiées et d’autoriser leurs accès. L’infrastructure de gestion des identités et des accès a beaucoup à offrir pour établir des relations numériques de confiance.

Il faut envisager la construction d’une relation de confiance comme un ensemble de couches de support d’identité :

  1. La couche de protection des données constitue le fondement de fiabilité d’une organisation face aux failles de sécurité ; elle comprend la gouvernance des données d’identité et la construction d’une vue d’ensemble du consommateur, même si celui-ci utilise plusieurs appareils et applications ;
  2. La couche de transparence des données garantit que ces appareils et applications disposent de modalités d’utilisations et de politique de confidentialité adéquates, ainsi que de connexions fédérées à d’autres systèmes et du consentement vérifiable de l’utilisateur ; il s’agit de fournir aux utilisateurs une vue d’ensemble de tous leurs consentements ;
  3. La couche de contrôle des données permet aux utilisateurs de commencer, contrôler et cesser de partager leurs données comme ils le souhaitent, avec précision. Par exemple, un utilisateur peut décider de donner accès à un médecin ou à un soignant aux données de sa pompe à insuline, voire même aux fonctions de commande de la pompe.

L’entretien d’une relation numérique de confiance avec ses utilisateurs dépend de l’organisme

Le RGPD est l’un des règlements les plus modernes qui soit. C’est une chance pour tout le monde, car l’Internet des objets est un secteur d’activité et une technologie en pleine expansion.

Le RGPD est entré en vigueur. Les organisations doivent maintenant aller au-delà de la protection des données et adopter pleinement les notions de transparence et de contrôle des données. La façon dont une entreprise traite les données de ses clients a non seulement un impact sur les actions de son responsable de protection des données, mais également sur son modèle commercial dans son ensemble.

Réduire les risques en matière de confiance de l’utilisateur est à la portée de toutes les entreprises. La question est surtout de savoir si elles peuvent réellement se permettre de s’en passer !