Or, dans une économie mondialisée, les entreprises qui souhaitent croître ne peuvent plus seulement rester cloisonnées aux réglementations de leur pays, surtout lorsque leurs activités dépassent les frontières. Alors même si le cloud a permis l’expansion des activités commerciales, il a également complexifié la problématique de confidentialité des données. Ces dernières sont aujourd’hui facilement déplaçables d’un continent à un autre, transitant par le biais de différents serveurs, dans des régions du monde où les réglementations sont différentes.
Ainsi, cette mosaïque de services cloud et de réglementations définit parfaitement l’impossibilité de répondre à toutes les exigences en matière de protection de la vie privée. Pourtant, il existe un moyen, pas toujours simple, de faciliter la conformité du stockage des données : le RGPD.
Les avantages d’une politique de privacy harmonisée
Ce règlement, qui fête cette année ses 5 ans (déjà !), est devenu la norme la plus élevée de la législation sur la confidentialité des données dans le monde, et la majorité a été codifiée dans la norme internationale ISO 27701. L'Union Européenne prend cela tellement au sérieux qu'en 2020, l'arrêt Schrems II a invalidé le Privacy Shield, l'accord international qui permettait aux entreprises d'exporter des données vers les États-Unis. En vertu du RGDP, les transferts en dehors de l'UE sont désormais interdits, à moins que des garanties adéquates ne soient fournies. Cependant, d'après une étude récente menée sur des professionnels du marketing français par le cabinet Dékuple, 90% des répondants indiquent que les projets de mise en conformité de leurs données restent aujourd’hui une priorité. Les raisons d’un tel retard de mise en place sont multiples, mais l’on pense notamment à la complexité de la mise en œuvre, nécessitant de multiples expertises et changements de processus internes. Mais l’on peut également évoquer la succession de crises récentes, qui ont bousculé l’agenda des entreprises.De plus en plus conscients de la valeur de leurs données, et des différentes manières dont celles-ci peuvent être utilisées (voire parfois manipulées), les individus font dorénavant le choix de ne plus les partager. Alors, faire de la confidentialité des données une valeur fondamentale pour votre entreprise n’est plus une option. Selon la dernière étude Cisco parue en 2023 (Data Privacy Benchmark), 96% des Français pensent que les entreprises doivent encore aujourd’hui faire davantage pour les rassurer sur l’utilisation qui est faite de leurs données. Et au-delà des considérations éthiques, une meilleure privacy devient aussi un atout commercial, permettant d’améliorer considérablement la donnée recueillie. D’ailleurs, 78% des entreprises françaises déclarent tirer des bénéfices importants à la suite de leurs investissements dans la protection de la vie privée.
En adoptant ce niveau de conformité dans tous les pays où vous opérez dès aujourd’hui, votre entreprise peut ainsi se vanter de maintenir le plus haut niveau d’exigence en matière de protection des données, sans exception. Sur le plan juridique, cela lui permet aussi de gagner en temps d’exécution et en simplicité, puisque la réglementation sert de modèle aux autres pays, qui adoptent petit à petit de nouvelles lois de plus en plus drastiques en matière de confidentialité.
Le RGDP, partout, tout le temps
Mais à quoi ressemble cette stratégie dans les faits ? Considérez le RGDP comme une norme mondiale et appliquez-la en interne, pour chaque pays et chacune de vos filiales. En respectant cette norme (certes) exigeante, vous respecterez facilement toutes les nouvelles normes qui sont susceptibles de voir le jour. Un gain d'efficacité non négligeable grâce à cette approche plus universelle, qui a l’avantage d’être la plus respectueuse de la vie privée des utilisateurs.Bien sûr, le RGDP ne s'adapte pas à toutes les situations, et certaines entreprises peuvent être amenées à faire appel à un fournisseur non conforme. Prenons cet exemple : un fournisseur aux États-Unis traite uniquement des données personnelles de citoyens américains. Techniquement, le règlement ne s’applique pas ici. Mais ne pas l'appliquer signifie aussi un manque à gagner sur le lien de confiance que l'entreprise tisse avec ses clients. Faire des exceptions signifie créer de nouveaux processus et peut faire sous-entendre à vos clients que la protection de la vie privée n'est pas une priorité. Mais s'il est absolument nécessaire d'utiliser un fournisseur non conforme au RGDP, anticipez et documentez tout. Créez une évaluation des mesures supplémentaires, effectuez un audit complet de la confidentialité et de la sécurité du fournisseur, et mettez en place des plans d’action pour remplacer le fournisseur par un autre conforme. Obtenez enfin une signature écrite d'exception des risques par votre direction. Considérez cette dernière pièce comme une trace documentaire importante qui prouve que l'entreprise reconnaît et accepte ce risque.
Une fois qu'une entreprise a adopté une approche centrée sur la privacy, elle ne doit pas s'arrêter en si bon chemin. Il est effectivement important de rester attentif et d’observer les évolutions et les tendances du marché. Car au-delà du RGDP, l’Union Européenne façonne déjà l’avenir numérique de l’Europe et de l’utilisation des données avec le “Data Governance Act”, un nouveau règlement dont les effets entreront en vigueur en septembre 2023. L’objectif : mettre en place « une approche globale de l’économie fondée sur les données qui vise à accroître l’utilisation et la demande de données et de produits et services fondés sur les données dans l’ensemble du marché unique » (Commission européenne). Une approche très différente des États-Unis, où la gestion des données est généralement laissée au secteur privé, et nécessite en conséquence des garanties et des inspections supplémentaires. En étant ainsi non seulement à jour avec les réglementations, mais aussi en les anticipant, les entreprises peuvent ainsi faire de la conformité en matière de protection de la vie privée un véritable argument différenciant.
Par Joey Stanford, VP Privacy & Security chez Platform.sh