Quel scoop au matin du 26 mai ?

La date du 25 Mai 2018 est en train de devenir, pour « les plus expérimentés » d’entre nous, presque aussi célèbre que le 1er janvier 2000. Si le fameux « bug de l’an 2000 » annonçait un cataclysme numérique qui ne s’est jamais produit, la montagne de communication autour de l’entrée en vigueur du Règlement Général sur la Protection des Données Personnelles accouchera-t-elle, elle aussi, d’une souris ?

Jean-François Louâpre est co-fondateur du CESIN et Président de la société Hackena, qu’il a créée afin de partager son expérience de plus de 15 ans en tant que CISO dans le secteur financier (CNP Assurances, AG2R La Mondiale, Deutsche Bank). crédit : D.R.

Qu’attendons-nous finalement du 26 mai ? A en croire de (trop) nombreux papiers, une majorité de nos entreprises vont être contraintes de retourner à une sorte d’âge de pierre du numérique où il ne sera plus possible d’utiliser les données de leurs clients ou prospects. Finis les panels ciblés, le marketing direct. Certains prédisent même que de nombreuses promesses du Big Data seront à jeter aux orties et que l’Europe, au travers de la mise en conformité au règlement, perdra toute capacité d’innovation dans ce domaine et donc un avantage concurrentiel important. Et gare aux récalcitrants et autres retardataires qui seront, dès le 26 à l’aube, sanctionnés par la faucheuse de la CNIL à hauteur des fameux « 4% du chiffre d’affaire mondial. »

Nos attentes de sensationnalisme ne risquent-elles pas d’être déçues si, comme en janvier 2000, il ne se passe rien fin mai, qu’aucune grande entreprise n’est clouée au pilori digital et que la vie continue ? Notre approche du RGPD et l’orientation prise par la communication sur le sujet ne nous auraient-elles pas menées à une sorte d’aveuglement collectif ? Nous sommes ici tous solidaires, voire complices et entretenons tous cette vision limitée et négative de la nécessaire mise en conformité à une réglementation qui vise, avant tout, à garantir la protection de nos données numériques de citoyen. En tant que consultants, spécialistes réels ou auto-proclamés du texte, CILs ou futurs DPOs confrontés à des difficultés existentielles, nous conseillons nos clients ou directions pour leur « éviter de payer les amendes très lourdes de la CNIL » ; les Directions Générales s’engagent, en traînant les pieds dans ces projets de mise en conformité, en réalisant des arbitrages budgétaires « au détriment de projet métiers » ; elles sont chaque jour confortées dans leur vision par les articles plus ou moins alarmistes sur le règlement, les retards de mise en conformité et les sanctions à venir ; les éditeurs de logiciels nous vantent, depuis de nombreux mois maintenant, et jusqu’à l’excès, les nouveaux modules ou nouvelles versions (chères) de leurs produits qui nous garantirons « une conformité totale au RGPD ». Et pendant ce temps les citoyens qui sont aussi les prospects, clients, usagers, ou autres bénéficiaires des services de nos sociétés… ne sont pas, ou mal informés !

Le RGPD en tant qu’opportunité business

Et si nous changions ! Élargissons et tentons de positiver notre vision du RGPD. Une réglementation, fusse-t-elle européenne, peut-elle être si contraignante, élaborée par de méchants collectivistes dogmatiques et aveuglés qui ne viseraient qu’à contraindre le business de nos entreprises ? Est-il possible que personne n’en tire aucun avantage ? Je suis tout sauf un expert du texte mais, en tant que citoyen, client, prospect et internaute, je suis plus que favorable à ce que l’utilisation de mes données personnelles soit encadrée, suive certaines règles, qu’on me demande de consentir à leur collecte, que je puisse être informé, voire m’opposer à leur traitement et qu’elles soient détruites lorsqu’elles ne sont plus nécessaires au dit traitement (les spécialistes du texte me pardonneront le manque d’exhaustivité de cette vision). Il s’agit ici de droits fondamentaux qui concourent à ma liberté individuelle. Partant de ce constat positif à titre individuel, comment pourrais-je intervenir en entreprise sous le seul angle de la contrainte réglementaire sans risquer la schizophrénie ?

L’objectif poursuivi par le RGPD étant tout à fait légitime, ne pourrait-il pas constituer une opportunité business ? Une opportunité de renforcer un des piliers de toute relation client au travers de la CONFIANCE envers les entreprises auxquelles nous achetons des produits et des services ? Et si les clients potentiels de mon entreprise partageaient ma vision individuelle de citoyen et privilégiaient les entreprises qui leur assurent un traitement de leurs données personnelles conforme au RGPD c’est-à-dire respectueux de leur liberté ? Le projet purement réglementaire de mise en conformité qui ne motive personne pourrait donc devenir « LE » projet business permettant d’attirer de nouveaux clients grâce à un argumentaire jamais utilisé jusqu’ici.

La CNIL pas dans un rôle père fouettard

Vision utopiste ? Règlement trop complexe et trop contraignant ? Clients/citoyens pas assez matures et insensibles à la protection de leurs données ? Peut-être, mais est-ce suffisant pour renoncer collectivement ? La prise de conscience collective et le refus de l’utilisation abusive des données personnelles progressent rapidement, illustrées par la récente campagne « Delete Facebook!». En parallèle, certaines voix, prennent le parti de cette vision positive d’un règlement essentiel à la protection de nos libertés, tel le Secrétaire d’État chargé du numérique : « (le RGPD) va donner la possibilité pour les acteurs européens de créer de nouveaux avantages compétitifs basés sur le respect des données personnelles et de la protection des données. 1 »

Nous pouvons bien sûr regretter un certain manque d’actions publiques de sensibilisation et de communication envers les citoyens, relatives au contenu et à la mise en place du RGPD. Néanmoins, plusieurs initiatives sont à saluer, notamment celles de la CNIL en termes de soutien à la démarche, de communication, de mise à disposition d’outils et de modèles. Une approche très éloignée du rôle de père fouettard dont on affuble trop souvent la CNIL. Et pour chacun d’entre nous, il reste encore quelques semaines pour convaincre les dirigeants de nos entreprises et nos collègues, de changer de vision sur le RGPD. En leur expliquant les objectifs fondamentaux du texte, aidons-les à entrer dans une dynamique positive, et considérer que ce qui est bénéfique aux citoyens, à leurs clients, ne peut que l’être pour nos entreprises. In fine qu’une conformité volontaire, engagée, pragmatique et affichée, peut créer un réel avantage concurrentiel.

1. Mounir Mahjoubi – Slush – 01/11/2017

chevron_left
chevron_right