GDPR

Etude

General Data Protection Regulation (GDPR)

Le challenge des entreprises

Le Réglement Général sur la Protection des Données (General Data Protection Regulation, GDPR), adopté le 27 avril 2016, entrera en application le 25 mai 2018. A la date de la parution de notre livre blanc, l’heure n’est donc plus a priori à la découverte de cette réglementation pour les entreprises. Et pourtant…

Seules 15% des entreprises estiment pouvoir être en conformité au 25 mai 2018 et 23% d’entre elles n’ont pas démarré de processus de mise en conformité. De nombreux efforts restent donc à faire. Mais la démarche de traduction opérationnelle de ces exigences réglementaires nécessite de la méthode et du temps.

Ce livre blanc se propose de dresser une vision marché du processus de mise en conformité, avec un focus sur quatre secteurs : asset management, industrie financière, sciences de la vie et santé, marketing. Notre objectif est de révéler, au-delà de ce qui est commun à tout processus de mise en conformité au GDPR, la diversité et la richesse des problématiques rencontrées chez nos clients.

Asset management et GDPR

Comme toute autre entité, les asset managers traitent des données personnelles relatives à leurs salariés, à leurs clients (principalement via l’incontournable KYC), à leurs partenaires (et d’autant plus en cas d’externalisation de prestations essentielles et de due diligences renforcées) et à leurs prospects ou contacts. Ils auront donc l’obligation dès mai 2018 de disposer de politiques et procédures adaptées pour assurer une sécurité et un traitement pérenne des données dont ils disposent. 

Mais au-delà de la simple mise en conformité réglementaire, le GDPR questionne sur l’évolution du métier. A l’heure où le digital, l’automatisation et la Blockchain augurent une profonde mutation de la profession, ce règlement européen pourrait bien faire « pencher la balance » et cliver les acteurs de l’asset management en deux camps : ceux qui auront les moyens d’assumer une relation B to C avec tout ce qu’elle implique en termes de traitement de données personnelles et ceux qui préfèreront se spécialiser dans la production de produits financiers distribués par les premiers.

Industrie financière et GDPR

L’activité bancaire présente une double spécificité en matière de protection des données personnelles : la volumétrie des traitements et la saturation de réglementations parfois contradictoires, parfois convergentes avec les exigences du GDPR.
Un tel constat justifie qu’un certain nombre de ces établissements, lorsqu’ils abordent le processus de mise en conformité au GDPR, choisissent d’adopter une stratégie globale de gestion de leur patrimoine informationnel. Cela peut par exemple conduire à la mutualisation de certains processus imposés par des réglementations diverses, comme ceux de la notification des incidents de sécurité à des autorités publiques ou la conduite d’analyses de risque en cas de DPIA. Plus que dans tout autre secteur, le processus de mise en conformité au GDPR est donc un révélateur de la nécessaire rationalisation pour les établissements bancaires de la gestion de leur patrimoine informationnel.

Sciences de la vie et de la santé et GDPR

Le GDPR interdit le traitement de certaines catégories de données à caractère personnel (ou «sensibles»), sous réserve de certaines exceptions. Les catégories particulières de données à caractère personnel comprennent, entre autres, les données génétiques et celles concernant la santé.

Les organisations opérant dans les secteurs des sciences de la vie et de la santé qui collectent, traitent ou selon le cas communiquent des données concernant la santé, doivent donc s'assurer qu'elles relèvent de l'une des circonstances de traitement autorisé visées selon le cas dans le GDPR ou dans la loi nationale sur la protection des données afin d’en assurer leur licéité de traitement. Par exemple, de nombreuses entreprises des secteurs des sciences de la vie et de la santé utilisent des données personnelles codées, en particulier dans le contexte des essais cliniques. La question se pose de savoir si ces données constituent ou non des données à caractère personnel et, par conséquent, si le GDPR s'applique ou non à ces données ?

Marketing et GDPR

La Direction marketing est un gros consommateur de données. Elle collecte, centralise, traite, enrichit un maximum de données plus ou moins hétérogènes en provenance de ses propres systèmse d’information internes mais aussi en intégrant des sources externes à l’entreprise. L’objectif est simple : découvrir les futures cibles clients et fidéliser les clients existants, tout en proposant des produits personnalisés dans le bon timing via le canal de distribution adapté. 

Mais pour que la donnée puisse délivrer toute sa richesse, un facteur devient incontournable : la confiance du client. Actuellement on parle plus de relation de confiance que de relation client. Les clients et les prospects sont de plus en plus réticents à partager leurs données personnelles car ils se sentent tracés, traqués, en fonction de leurs moindres actions ou mouvements.
En ce sens, la réglementation GDPR est une opportunité pour la Direction marketing en devenant le garant de la confidentialité, et par extension de la confiance du client dans la gestion de ses données personnelles. L’enjeu de la Direction marketing est de prouver et de justifier cette confiance.

Livre blanc GDPR 2018

GDPR, le challenge des entreprises