Les entreprises de toutes tailles comprennent l’importance des informations sur les clients – lorsqu’elles sont collectées et utilisées correctement, elles peuvent orienter la stratégie et devenir un élément essentiel des opérations. Que ces données soutiennent les ventes et le marketing ou soient utilisées pour développer de nouveaux produits, de nombreuses organisations sont assises sur une mine d’or d’informations, cependant, nombre d’entre elles prennent des risques inutiles avec ces données, avec des conséquences potentiellement dévastatrices à l’horizon.
Le catalyseur de cette bombe à retardement est le nouveau RGPD (Règlement général sur la protection des données) de l’UE, qui entrera en vigueur le 25 mai 2018. En vertu de ce règlement, les droits des individus (y compris les clients et les employés) sont considérablement renforcés, leur donnant le droit de demander l’accès à leurs données et de demander des détails sur la manière dont elles ont été traitées. Plus que de simples coordonnées, cela peut inclure des notes d’appels téléphoniques ou tous les e-mails envoyés vers et depuis l’entreprise – et l’entreprise sera obligée de les partager avec l’individu gratuitement.
Les petites entreprises informatiques peuvent croire que cette loi ne concerne que Google et Facebook, les géants du numérique, mais elle affecte toutes les entreprises, quelle que soit leur taille. Et malgré le vote du Royaume-Uni en faveur de la sortie de l’UE, les organisations britanniques seront toujours intéressées car cela s’applique à toute entreprise au service des résidents de l’UE, que l’entreprise soit basée ou non dans un État membre de l’UE. Ceux qui enfreignent la loi s’exposent à des amendes de 20 millions d’euros ou 4 % des revenus mondiaux (selon le montant le plus élevé), ce qui en fait une priorité absolue pour les PDG et les conseils d’administration. Par exemple, Capgemini rapporte que les entreprises de biens de consommation perdraient jusqu’à 320 milliards de dollars en amendes et poursuites si elles ne mettaient pas à jour leurs politiques de sécurité à temps.
Ce nouveau niveau de contrôle et les conséquences de son ignorance signifient que la direction générale devra adopter une toute nouvelle approche de la façon dont elle gère ses données, en toute transparence. Bref, ils ont besoin de changer leur façon de penser, de se retourner. Il y a certaines étapes critiques que toutes les organisations devraient prendre dès que possible pour se préparer.
Tout d’abord, il est important d’effectuer un examen complet de tous les logiciels, systèmes et processus utilisés au sein de l’entreprise, afin de s’assurer que toutes les demandes d’accès aux données peuvent effectivement être satisfaites. Cela fournira une ventilation de la façon dont les informations et les données circulent dans l’entreprise, des opérations client aux RH et au marketing. Par exemple, lorsque les employés prennent des notes et enregistrent des informations sur leurs clients ou prospects, ils doivent être enregistrés d’une manière appropriée pour les yeux extérieurs, tout en veillant à ce qu’ils soient correctement protégés. Après tout, les clients pourront demander à voir ces informations les concernant et savoir comment elles ont été utilisées.
Ensuite, les entreprises doivent hiérarchiser les données qui ont le plus besoin de protection et classer ce qu’elles ont dans leurs dossiers. Une solution largement discutée est appelée pseudonymisation des données, un processus qui consiste à séparer les données personnelles des données transactionnelles, ce qui permet ensuite de les chiffrer et de les protéger facilement. La mise en œuvre de la bonne approche garantira que les données sont correctement protégées et facilement accessibles ; cela réduit également la quantité de données sur le système, ce qui rend les opérations plus pratiques et moins complexes.
L’adoption de ces mesures nécessitera inévitablement du temps et des investissements, notamment dans les nouvelles technologies. Plus des deux tiers des professionnels de l’informatique britanniques prévoient d’investir dans de nouvelles technologies ou de nouveaux services en vue du RGPD, couvrant des domaines tels que le chiffrement, l’analyse, la sécurité du périmètre et la gestion du consentement. Cependant, cela ne signifie pas nécessairement qu’une entreprise doit démolir et remplacer son infrastructure, et cela ne doit certainement pas être un processus difficile. Il est important d’investir dans une solution flexible et holistique, afin qu’elle puisse s’intégrer aux systèmes déjà utilisés.
Enfin, il est important que la haute direction envisage d’embaucher un délégué à la protection des données (DPO) expérimenté, ce que les régulateurs demandent déjà. Le DPD sera en mesure d’aider à guider les aspects de confidentialité et de protection des données de la transformation numérique de l’organisation et de s’assurer qu’elle est protégée à tous les niveaux. Comme de nombreuses entreprises se joindront à la course pour trouver le bon DPO, il est préférable de commencer à chercher rapidement la personne appropriée, avant que le vivier de talents ne s’épuise.
Avec les conséquences d’une violation imminente du RGPD, il est essentiel que les entreprises soient prêtes à relever ces défis et préparées à cette réglementation importante. La transparence façonnera le fonctionnement quotidien d’une entreprise et, en forçant une entreprise à faire volte-face, elle créera les bases permettant aux organisations de s’aligner sur les besoins des personnes qui comptent le plus – les clients.
Par Simon Loopuit, PDG de trust-hub