A la manière de la formule de Nicolas Boileau énonçant que ce qui est correctement conçu peut s’énoncer clairement, le développement logiciel prend en compte le volet du traitement de données personnelles. Cette gouvernance, ou plutôt cet ensemble d’opérations, porte sur des datas sans considération du procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication…
Il s’agit donc véritablement d’une notion délibérément large impliquant un traitement et une finalité déterminée préalablement au recueil des données et à leur exploitation. Aussi, tout traitement de datas doit être licite dans la mesure où il se doit de reposer sur l’une des six bases légales autorisées par le RGPD. Entrent ainsi en considération des éléments tels que l’obtention du consentement préalable de la personne, l’exécution d’un contrat conclu avec elle, l’accomplissement d’une mission d’intérêt public, le respect d’une obligation légale qui impose le traitement de ces données, etc…
Autant d’éléments devant être intégrés au sein de logiciels destinés à être utilisés par les professionnels. Dans ce cadre, il convient de prendre en compte ces nouvelles obligations tout en assurant qu’ils conservent un caractère innovant. A la lumière de la maxime de Lawrence Lessig devenue célèbre, « Code is law », la technique fait office d’outil de régulation. La régulation par la technologie peut ainsi s’accompagner d’une régulation par le design. Cela se concrétise par des considérations relatives à la conception d’un produit. Mais aussi ses interfaces, les expériences qui y sont jointes, son ergonomie…
Il devient ainsi utile d’adopter de bonnes pratiques afin de mettre en place une gouvernance des données stables dans le temps. Une position que soutient Jawaher Allala, CEO de Systnaps : “ La mise en place d’une gouvernance consiste en premier lieu à considérer les données manipulées par l’entreprise et son écosystème comme un actif stratégique, et à ce titre assurer leur gestion comme telle. Les valeurs importantes s’avèrent être l’acquisition, la collecte, la responsabilité, la standardisation, la facilitation de l’accès, la diffusion, la réutilisation, le partage, l’archivage et la destruction sécurisée pour en maximiser la valeur”.
Le Data Lifecycle Management pour établir une bonne gouvernance des données
Pour mettre en place une gouvernance stable des données dans le temps, il est primordial de se réapproprier, puis de maintenir la cartographie des données de son organisation afin d’identifier ses données et de les gérer comme un actif stratégique. Il s’agit donc de mettre en conformité ses données avec l’ensemble des exigences réglementaires (RGPD, NIS, ePrivacy, solvency 3…) tout en sécurisant ses données via la classification de celles-ci selon leur niveau de sensibilité.
Parmi les moyens permettant d’établir une bonne gouvernance des données figurent les logiques de Data Lifecycle Management. Autant de règles qui aident les entreprises à se conformer aux textes réglementaires tels que le RGPD. Une stratégie DLM efficace vise à assurer une redondance de sorte que les données soient en sécurité en cas d’urgence. Elle contribue à éviter que les données clients soient dupliquées dans différents endroits dans un souci évident de sécurité.
Pour en savoir plus, TECH IN France publie un Livre Blanc baptisé Conformité RGPD : Quand les éditeurs deviennent prescripteurs de bonnes pratiques
Ainsi, les données utiles sont propres, exactes et directement accessibles aux utilisateurs. L’automatisation facilite ce processus, dont l’ensemble aidera l’entreprise à gagner en agilité et en efficacité. Il s’agit-là d’un investissement essentiel dans l’élaboration d’une approche de gestion du risque pour assurer la conformité permanente d’une entreprise.
Start-ups, PME-ETI, grands comptes : une maturité différente
Une telle stratégie permet inévitablement à une entreprise de dégager des avantages concurrentiels. Jawaher Allala, précise : “Une bonne gouvernance des données est devenue incontournable. Cela permet de s’aligner au business et d’en rationaliser les processus opérationnels. Et ce depuis la prospection jusqu’à la fin des relations contractuelles. »
Cependant, force est de constater que la mise en œuvre de ces éléments n’est en rien triviale. Il est même possible de dresser un constat en termes de maturité du secteur. En particulier en fonction de la typologie de sociétés. A l’heure actuelle, nombre de startups ne disposent pas d’une vision résolument précise quant à la validation de leur modèle économique basé sur des données personnelles. Ils n’intègrent donc peu voire pas la notion de « privacy by design/by default » imposé par le RGPD. En particulier dans le cycle de vie de leur développement.
La priorité est donnée à leur projet et au financement de celui-ci. Cela dit, ils s’interrogent et s’inquiètent de l’impact que pourrait avoir le réglementaire sur leur business. L’un des freins considérables qu’ils rencontrent est l’accès ardu aux données. Cela est dû à la complexité administrative et réglementaire. Mais aussi à la culture du secret que nos organisations françaises cultivent.
Gérer la complexité
De leur côté, les PME et ETI dont des éditeurs de logiciels découvrent le RGPD par leurs clients sont incités à se mettre en conformité. Cela permet d’assurer leur propre conformité. Ces structures, qui ont toujours fonctionné en mode agile, ont pris connaissance des nouvelles responsabilités qui leur incombe. Ils doivent ainsi prendre des mesures de sécurité organisationnelles. Mais également techniques dont la mise en œuvre doit être rapide. En particulier au vu de la pression liée à la perte d’une nouvelle affaire, de leur portefeuille clients.
Enfin, les grandes organisations font face à une problématique de complexité selon leur taille. A ceci s’ajoute le fait que leur écosystème (dans une logique d’externalisation) doit également suivre ces mêmes préconisations.
Le constat est donc évident. Là où la donnée est le pétrole de demain, la mise en conformité constitue indéniablement un nouveau moteur. Il permettra à l’organisation de continuer l’extraction afin de valoriser ses données ou celle de son client.
Cnil : un rôle majeur en termes de suivi
Dans ce concert, le “gendarme des données” que constitue la Cnil dispose d’un rôle non-négligeable. L’organisation insiste sur le fait que la nouvelle réglementation est un facteur permettant aux professionnels de se développer. Et aux éditeurs de promouvoir de nouveaux services innovants.
Sophie Nerbonne, Directrice chargée de co-régulation économique au sein de la Cnil explique : “ Le RGPD consiste à créer un cadre de confiance. Son ADN est de renforcer la maîtrise. Mais aussi le contrôle que les individus peuvent avoir sur la collecte et le traitement de leurs données personnelles. Il permet d’avoir de la compétitivité dans le sens où cette chaîne va valoir pour les clients. Mais aussi pour les prospects et les partenaires commerciaux c’est-à-dire toute la chaîne de valeur. Le RGPD par le fait des droits qu’il confère comme le droit à la portabilité est un facteur d’innovation pour le déploiement de nouveaux services. Mais aussi de nouveaux produits”.
A terme, la Cnil devrait conserver un positionnement bienveillant sur les entreprises et éditeurs qui font montre d’avancements réels. En particulier sur le sujet de l’intégration et des conséquences du RGPD sur les process et les responsabilités de chacun. Elle doit toutefois faire preuve de davantage de visibilité. En particulier quant aux évolutions prochaines de la réglementation ou de la jurisprudence et des implications qu’elles entraînent.
Olivier Robillart