RGPD en deux mots… de quoi parle-t-on exactement?

RGPD en 2 mots pour comprendre

Si comme moi, vous travaillez dans le monde de la donnée, vous avez forcément entendu parler du RGPD, c’est-à-dire le Règlement Général sur la Protection des Données.

C’est un règlement Européen qui vise comme son nom l’indique, à encadrer la collecte et l’utilisation des données personnelles. A l’heure où les GAFA, GAFAM ou autres BATX sont montrés du doigt pour le détournement plus ou moins officielle d’informations nous concernant, il a semblé important à la commission Européenne de légiférer et d’établir quelques règles de bonnes conduites.

RGPD Acte 1 : C’est quoi une donnée personnelle ?

La notion de « donnée personnelle » est très large. Il s’agit de toute information qui concerne une « personne physique identifiée ou identifiable ».

RGPD la liste des données personnelles est longue
RGPD : la liste des données personnelles est longue!

Une donnée personnelle, c’est donc soit une donnée qui permet d’identifier quelqu’un :

  • directement : par exemple son nom et son prénom
  • ou indirectement: que ce soit par exemple via un identifiant (comme un numéro de client, d’adhérent ou d’abonné), des données biométriques, ou encore un numéro de téléphone ou une adresse.

Mais sont également comprises dans les données personnelles, les informations qui vont décrire des caractéristiques propres à une personne:

  • que ce soit son identité physique, génétique, psychique (sexe, taille, poids, description physique…),
  • des éléments économiques, culturels ou sociaux (emploi, niveau de revenu, religion…),
  • ou encore des éléments en rapport avec son image ou sa voix (photo, enregistrement video ou sonore…).

En effet, tous ces éléments permettent de reconnaître une personne bien précise. C’est évident si j’ai directement un identifiant (nom, prénom, numéro de sécurité sociale…), voire… une empreinte digitale ou trace ADN!

Mais ça reste vrai si j’ai des données que je peux recouper et croiser. Si par exemple, j’ai une adresse, un sexe, une date de naissance, il sera assez facile d’identifier précisément une personne.

Le problème du référentiel Client

Dans l’absolu il est bien sûr important de protéger ces données personnelles et de s’assurer que les sociétés auxquelles volontairement ou involontairement ces données sont « confiées » en fasse bon usage.

Mais quand on y pense, de nombreuses sociétés disposent de données personnelles. Pour ne pas dire toutes.

En effet, les outils de CRM ou de Référentiel Unique de Client (RCU) contiennent par définition des informations sur les clients. C’est même souvent leur objectif que de créer une Vue 360 Client. Or, les informations contenues portent notamment, sur des informations générales (non, prénom, adresse…) et donc… personnelles.

Pensez un instant à votre base de marketing. Elle contient en général des données de localisation, de comportement d’achat, et des emails composés d’un nom… Tout cela permet d’identifier une personne bien précise… Donc cela rentre dans le périmètre du RGPD.

RGPD Acte 2 : le traitement des données personnelles

Entendons-nous bien… Il n’est pas interdit d’avoir des données personnelles. Par contre, le RGPD impose un certain nombre de contraintes.

En effet, le règlement prévoit qu’on puisse collecter et traiter des données personnelles. Mais encore faut-il que les traitements soient formalisés, connus et justifiés.

La collecte de données

Ainsi, tout traitement sur des données personnelles doit avoir un but. C’est à dire qu’il doit servir à quelque chose de précis. Avoir un objectif clair et compris en quelque sorte. On ne peut pas stocker des données « pour le cas où », en se disant que cela servira bien un jour… En ce sens, le RGPD rompt avec les premières approches Big Data que l’on a pu constater dans les entreprises.

Bien sûr, cet objectif doit en plus être légitime… Ça va sans dire, mais ça va mieux en le disant! Si vous expliquez au législateur que vous stockez les données personnelles de vos clients pour faire de la discrimination, forcément, vous allez avoir du mal à le convaincre de vous laisser continuer!

Ainsi, comme toujours dans le domaine de la Relation client les données sont indispensables pour garantir un service de Qualité. Informations générales, données transactionnelles ou comportementales… vous pouvez les conserver à condition de bien établir l’utilisation qui en est faite. Voire de préciser ce pour quoi ces données NE doivent PAS servir!

Le Traitement et les processus de « data transformation »

Une fois qu’elle a été collectée, la donnée est en général transformée et exploitée. On parle alors du traitement des données personnelles.

Il s’agit là de l’ensemble des opérations et des transformations qui ont été effectuées sur les données collectées « brutes ». Tout type d’opération va être pris en compte dans ce traitement:

  • tout ce qui consiste à manipuler (nettoyage, transformation, modification…)
  • mais aussi à enregistrer (archivage, conservation…)
  • ainsi qu’à analyser (corrélation, extraction, mise en forme…) 

Le terme de traitement est donc très très large… D’autant que contrairement à ce qu’on pense souvent, il ne se limite pas aux traitements informatiques. Les éventuels documents papiers, fiches imprimés, les listings (voire les cartes de visite!) relève du RGPD!

Mais encore une fois, on ne parle que de ce qui permet d’identifier un individu… Si vous avez un fichier de client Entreprise, alors, cela ne rentre dans le cadre du RGPD. Mais à condition de n’avoir AUCUNE donnée personnelle. Ce qui est assez rare, avouons-le. En effet, même si vous êtes en B2B, il y a de fortes chances que vous écriviez à Monsieur Pierre Michu (mais je vous assure que je ne connais personne de ce nom!) plutôt qu’à une adresse générique de contact…

Quelles conséquences pour votre organisation?

On le voit, les définitions sont assez larges et les contraintes assez fortes. Globalement, cela oblige les entreprises à mettre sous contrôle leurs processus de traitement des données.

Je constate globalement 3 effets du RGPD sur les organisations.

D’abord, au-delà des contraintes que le RGPD impose, que c’est une sacré nécessité que d’avoir une supervision de ces traitements de données. En effet, il est coutume de dire que les données sont une richesse. Il semble donc normal d’avoir une véritable gouvernance de données (data governance). Cette approche permet de s’assurer que les données sont de qualité (data quality) et donc fiables. Surtout cela permet de tracer les opérations sur les données et donc d’expliquer non seulement en cas de contrôle quels traitements ont modifié la donnée. Cela permet aussi une meilleure compréhension des indicateurs qui sont votre tableau de bord.

Ensuite, je vois que de nombreuses entreprises mettent en place une meilleure gestion de l’accès aux données. Cela se traduit notamment par la mise en place de processus d’anonymisation. Aaahh comme elle semble loin, l’époque où l’on testait les traitements sur les données de production… Maintenant, il faut prévoir une copie de la base, son anonymisation, etc…

Enfin, il faut aussi reconnaître un autre avantage au RGPD. C’est effectivement d’insister sur la valeur de ces données. Et pas seulement pour les entreprises qui les collectent et les manipulent. La valeur avant tout et surtout pour les personnes qui les concèdent (ou les perdent…). Si ces données ont de la valeur, c’est être une organisation responsable que d’en prendre soin!


Andrea Zerial

Les sujets qui m’intéressent le plus sont Data, Organisation et Temps Réel !

N’hésitez pas à me faire un retour sur cet article ou à me contacter sur LinkedIn pour partager nos actualités!  Andrea

Vous aimerez aussi ...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Recevez nos articles

Recevez chaque mois par e-mail les derniers articles et livres blancs publiés, ainsi que des informations concernant l’actualité IT ! 

Partagez nos articles

Rechercher

Rechercher

Vous faites partie des 10 000 visiteurs mensuels du blog !

Merci pour votre visite ! 

Restez informé.e des dernières tendances en vous inscrivant à notre newsletter mensuelle