Le 28 mai prochain marquera le premier anniversaire de la mise en vigueur du règlement européen RGPD sur la protection des données personnelles. C’est donc l’occasion de dresser un premier bilan d’étape sur son application par les entreprises françaises et sur l’évolution de leurs pratiques dans ce domaine.
En premier lieu, le RGPD a eu le grand mérite de provoquer une prise de conscience inédite, tant de la part des entreprises que des consommateurs sur les enjeux de la protection des données personnelles. Un récent baromètre CNIL/IFOP indique ainsi que 66% de la population française se dit aujourd’hui plus sensible au sujet qu’avant la mise en vigueur du règlement.
Toutefois, assez logiquement, beaucoup reste encore à faire au bout d’un an, et les entreprises françaises ciblant les marchés grand public ont encore de grandes difficultés dans leur majorité à appliquer pleinement le nouveau règlement. Il suffit de mentionner les nombreux appels de prospection téléphonique que continue de recevoir tout un chacun sur son numéro personnel, qui n’a manifestement pas été divulgué avec le consentement de l’intéressé.
Certes, alors qu’avant le RGPD, très peu d’entreprises avaient mis en place une véritable gouvernance autour de la protection des données personnelles, les choses ont déjà évolué de façon significative sur ce plan. Dans le rapport IAPP-EY 2018, environ 50% des entreprises interrogées ont désormais mis en place une organisation dédiée, et la CNIL dénombre déjà 51.000 DPO (Data Protection Officers) dans les entreprises françaises.
Mais ces progrès restent clairement insuffisants. Dans son bilan 2018, la CNIL rapporte une augmentation de 32% du nombre de plaintes déposées, dont plus d’un tiers portent sur la diffusion de données sur Internet. En outre en 2018, la CNIL a adressé 49 mises en demeure pour non-conformité au règlement, dont 5 dans le secteur des assurances, et 4 dans celui des entreprises spécialisées dans le ciblage publicitaire. L’autorité a prononcé 11 sanctions, dont 10 pécuniaires.
Il est plus que probable que le nombre de mises en demeure et de sanctions prononcées augmentera en 2019, la CNIL ayant clairement l’intention d’utiliser plus fortement ses pouvoirs répressifs à partir de cette année.
Cinq défis principaux
Quelles sont donc les principales difficultés rencontrées par les entreprises pour se mettre en conformité ?
Celles-ci doivent relever cinq défis principaux.
Une demande de consentement inadéquate
Les messages implicites de consentement ne sont plus suffisants avec le règlement RGPD, et les consommateurs doivent désormais donner leur accord sans ambiguïté via une déclaration ou une action claire et concrète, telle que cocher une case sur un site ou remplir un formulaire. L’entreprise doit pouvoir démontrer que la demande de consentement a été présentée de façon claire et intelligible. De plus, le consentement est désormais requis dans un large éventail de scénarios. Par exemple, les données de navigation sont considérées comme des données personnelles, dont la capture nécessite un accord explicite du consommateur.
Des données en silos
Dans les entreprises, les données relatives aux clients sont très souvent réparties dans un ensemble de systèmes différents, ce qui rend le respect des exigences du RGPD, concernant par exemple l’accès aux données et la portabilité, beaucoup plus difficile à obtenir.
Un manque de gouvernance
Le règlement RGPD impose la mise en place par les entreprises de politiques spécifiques pour limiter tout accès superflu à des données personnelles par leurs applications. Beaucoup d’organisations n’ont pas encore fait cette démarche, et doivent adapter leurs processus application par application avec des règles centralisées de gouvernance des accès aux données.
Des applications insuffisamment sécurisées
Le nouveau règlement accroît encore les obligations des entreprises en matière de sécurité, notamment au niveau applicatif. Des informations personnelles fragmentées et non sécurisées au niveau des données deviennent vulnérables à une intrusion, ce qui réduit le degré de sécurité des applications et la capacité de l’entreprise à respecter le RGPD.
Un respect insuffisant des exigences des consommateurs
Les consommateurs sont-ils capables de gérer eux-mêmes leur profil et leurs préférences en matière d’accès aux données ? Ces préférences sont-elles respectées sur tous les canaux et tous les terminaux ? Les entreprises conservent souvent des lacunes dans ces domaines.
Le CIAM : Une réponse au RGPD
Ces cinq défis sont certes difficiles à relever pour les entreprises, mais ne sont pas insurmontables. Les solutions d’IAM client ou CIAM (Customer Identity and Access Management) peuvent en effet les aider dans leurs démarches.
Les solutions CIAM sont conçues pour améliorer la sécurité des échanges et la protection de la vie privée, et pour permettre à une organisation d’interagir plus efficacement avec ses clients. Concrètement, elle donne à une entreprise les moyens de se conformer au règlement RGPD dans 4 domaines.
La synchronisation et la consolidation des données client, en supprimant les différents silos de données personnelles et en les rassemblant dans une seule base de données centralisée.
La capture et la gestion des demandes de consentement, en simplifiant les processus sur la base de politiques centralisées.
La gestion déléguée du profil client en self-service. Dans le cadre des exigences du règlement, les clients doivent être capables d’accéder et de gérer trois types d’informations sur leur profil personnel : les données de profil, les préférences personnelles et le consentement. Avec une solution CIAM, l’entreprise peut respecter ces prérequis.
La gouvernance des accès aux données. Avec les solutions CIAM, les entreprises peuvent mettre en place des politiques centralisées de gouvernance des accès aux données clients, avec un contrôle attribut par attribut, de telle sorte que les applications internes et externes ne puissent accéder qu’aux attributs d’identité indispensables.
Arnaud Gallut
Directeur des Ventes Europe du sud
Ping Identity