Il ne se passe pas un jour sans que la presse dévoile des informations inquiétantes sur la collecte et le mésusage des informations personnelles par des organisations pourtant a priori respectables : piratage des données de clients d’Uber, géolocalisation « fantôme » des smartphones Android, captation de toute l’activité (souris et clavier) des visiteurs de centaines de sites web très connus… En tant que citoyens et consommateurs, nous consentons à donner beaucoup d’informations sur nous à des entreprises, en échange de services et de produits divers. En tant que professionnels du marketing, de la communication, du commerce, nous cherchons à collecter ces données pour en extraire toujours plus de valeur. Mais la confiance s’érode, et les conséquences économiques et sociales d’une méfiance généralisée des citoyens envers les entreprises pourraient être graves.
Les pouvoirs publics, qui sont aussi de très grands collecteurs de données personnelles, ont pris conscience de l’ampleur du problème. L’Union Européenne a donc édicté un Règlement Général sur la Protection des Données (RGPD), entré en vigueur en 2016, avec une période d’adaptation de deux ans, ce qui signifie que toutes les entreprises devront le respecter pour le 24 mai 2018 au plus tard. Ce règlement européen renforce et élargit les principes en vigueur en France depuis la loi « Informatique et liberté » de 1978 et la directive européenne de 1995.
Le RGPD renforce la responsabilité des organisations sur les usages des données à caractère personnel, qui doivent obéir notamment aux règles suivantes, déjà affirmées dans les textes précédents [1] :
- « Elles sont collectées pour des finalités déterminées, explicites et légitimes »
- « Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs »
- « Elles sont exactes, complètes et, si nécessaire, mises à jour »
- « Elles sont conservées […] pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
Les sanctions en cas de manquements, symboliques jusqu’ici, deviennent vraiment dissuasives (amendes jusqu’à 4% du chiffre d’affaires mondial de l’entreprise). C’est peut-être l’occasion de s’interroger sur la légitimité de certaines données couramment présentes dans les bases de données des outils de gestion de la relation client (CRM).
En B2B, pourquoi stocker les informations personnelles des clients ?
Jean-Eloi Pénicaut, Senior Manager IT & Risk Advisory chez RSM
Prenons l’exemple de projets de mise en place d’outils CRM dans le domaine des services aux entreprises ou de la distribution professionnelle. Lors de la phase de conception des outils, les utilisateurs (essentiellement des commerciaux) et le management accordent souvent une valeur très forte aux données personnelles des contacts, clients ou prospects. Il arrive que les commerciaux disposent des numéros de téléphone ou des e-mails personnels de leurs clients, pour de multiples raisons (bonnes relations, travail à domicile, perte ou oubli du téléphone professionnel…). Alors, pourquoi ne pas les stocker dans le système ? D’ailleurs, les champs « téléphone personnel » et « e-mail personnel » sont prévus par l’outil ! Quand bien même cette information ne serait disponible que dans 3 % des cas, quasiment jamais utilisée ni mise à jour, il est très difficile de convaincre les utilisateurs de ne pas la stocker.
Autre exemple, valable dans le B2B comme dans le B2C : les sujets liés à la durée de vie des données (tri, suppression, archivage) sont souvent au dernier niveau de priorité dans les projets. C’est un peu le syndrome du grenier. Quand on a de la place, on range les objets inutilisés au grenier, parce que « ça pourrait servir un jour ». Or la place, dans les systèmes informatiques, ne coûte quasiment rien pour ce type de données.
La conservation des données personnelles fait courir un risque aux entreprises
…Ce risque doit être proportionnel à leur valeur commerciale
Le terme « données personnelles » recouvre un périmètre très large : concrètement, toute information permettant d’identifier une personne physique [2]. Il faut désormais justifier la conservation de ces données, les maintenir à jour et assumer la responsabilité des conséquences en cas d’accident (fuite de données, mauvais usage, etc.). Le jeu en vaut-il la chandelle ? Le RGPD est une très bonne occasion de lancer une réflexion sur le « grenier » de vos outils CRM et de vos bases de données clients : quel est le taux d’usage des données stockées ? Quand sont-elles mises à jour ? À quoi servent-elles réellement ?
La plupart des outils offrent la possibilité de récupérer des traces assez précises et d’établir des statistiques. Sur la base de ces informations, vous pourrez alors entamer une discussion entre les utilisateurs, la maîtrise d’ouvrage et les personnes en charge des données (Correspondant Informatique et Libertés, Data Privacy Officer, Responsable de la Sécurité du SI) pour évaluer ensemble la nécessité de stocker puis de conserver les données à caractère personnel de vos clients, prospects, partenaires, fournisseurs, etc. Ensuite, vous pourrez nettoyer les bases et adapter les outils. Cette démarche vaut pour les outils en place comme pour les outils à venir : la migration des données d’un ancien système vers un nouveau est une opportunité à saisir pour passer un « coup de balai » salutaire.
Il y a un véritable enjeu de conduite du changement. La perception de la valeur de la donnée est plus évidente que celle du risque lié à sa possession. Au-delà de la contrainte réglementaire, on peut faire appel à la prise de conscience qui s’opère aujourd’hui chez chacun d’entre nous, en tant que citoyen et consommateur : souhaitons-nous que nos informations personnelles soient stockées indéfiniment par des entreprises ou d’autres organismes avec lesquels nous n’avons pas ou plus de rapports ?
Auteur : Jean-Eloi Pénicaut, Senior Manager IT & Risk Advisory chez RSM
***
[1] Article 6 de la Loi Informatique et Liberté de 1978 et de la Directive européenne 95-46.
[2] Définition d’une donnée à caractère personnel selon le RGPD : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
(c) Ill. DepositPhotos
Recommandé pour vous
Commenter
Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.
