Paroles d'experts

Le RGPD, une bonne nouvelle pour la compétitivité des entreprises ?

Comment appréhender les enjeux de la protection des données à travers une démarche d’intelligence économique ? Comment faire du RGPD un levier d’action et de transformation des TPE/PME au-delà des contraintes réglementaires ?

Le règlement n°2016/679 du 14 avril 2016, dit Règlement Général sur la Protection des Données (RGPD), constitue le nouveau texte de référence européen en matière de protection des données personnelles. D’application directe sur tout le territoire de l’Union, il entrera en vigueur le 25 mai 2018. Toutes les entreprises sont concernées dès lors qu’elles possèdent des fichiers contenant des données à caractère personnel de résidents européens. Si les grandes entreprises ont déjà pris en compte cette échéance dans leurs process techniques, juridiques et organisationnels, il n’en est pas de même pour la majorité des entreprises, notamment les plus petites d’entre elles.
Les précisions d’Alain Khemili, responsable du département industrie, innovation et intelligence économique, CCI France

Vous avez indiqué, lors du café économique*, que « l’intelligence économique, c’est l’information pour l’action ». En quoi l’intelligence économique constitue-t-elle un accélérateur de la transformation numérique des entreprises, et plus particulièrement des TPE/PME ?

«En effet, l’intelligence économique est une démarche qui permet de faire de l’information un avantage concurrentiel quand on en dispose et qu’on l’exploite au bon moment. Avec l’avènement de l’économie de la connaissance, de l’immatériel, des plateformes, … chacun a pris conscience de la valeur de l’information, de la valeur des données.

En mars 2017, le cours du Bitcoin a, pour la première fois, dépassé celui d’une once d’or, preuve que cette nouvelle économie bouleverse les équilibres passés. Dans ce nouvel environnement, les entreprises qui disposent d’une culture de l’intelligence économique ont un temps d’avance car elles disposent d’un état d’esprit propice à l’intégration de la nouveauté.

Cet état d’esprit les rend plus réceptives aux innovations, aux évolutions sociétales, aux mutations qu’elles soient écologiques ou numériques qui s’imposent à nous à vitesse accélérée.

Dans ce contexte de transformation numérique, comment les TPE/PME peuvent-elles assurer la protection de leurs données/actifs stratégiques en prenant en compte le RGPD et ses impacts ?

Les crises sont souvent le déclencheur ou l’accélérateur des évolutions réglementaires. Les vols de données subis depuis 2013 par des géants du web (Yahoo, Twitter, Linkedin, …) ont confirmé que nul n’est à l’abri. Tout récemment, l’affaire Cambridge Analytica a plongé Facebook dans une crise de confiance sans précédent.

Ces événements ont eu pour mérite de réveiller la conscience des utilisateurs de ces services qui ne s’étaient pas forcément interrogés auparavant sur l’exploitation ou la monétisation de leurs données personnelles. Ils illustrent la nécessité de régulation et permettent de cerner concrètement les enjeux du RGPD.

Conçu pour protéger les données personnelles dès leur émission, et non a posteriori, le RGPD constitue une avancée majeure dans la protection de ces informations. Il accorde aux consommateurs une série de droits recevables, en termes de transparence et de précision du consentement.

Dans l’économie de la connaissance comme dans l’ancienne économie, la confiance demeure le pivot des relations contractuelles ou commerciales.

Le cadre de protection que fournit le RGPD impose aux entreprises des pratiques engendrant cette confiance. Les entreprises n’ont pas intérêt à jouer la montre, car les plus vertueuses seront aussi les premières bénéficiaires des dividendes de la confiance.

Quel est le coût (direct ou indirect) moyen estimé pour une TPE ou une PME qui doit se mettre en conformité avec le RGPD ? Comment valoriser cet investissement comme un levier de création de valeur et de renforcement de la confiance envers ses clients et partenaires ?

Il est toujours délicat de fournir des chiffres pour ce type de démarche car les paramètres sont nombreux : taille de l’entreprise, taille de son marché, secteur B2B ou B2C, point de départ (existence ou non d’une cartographie, …), maturité numérique, ressources internes disponibles, part des données sensibles, …

Plus que le coût du RGPD, il parait en tout cas préférable de raisonner en rapport coût / bénéfices. Il faut en effet considérer le RGPD comme une démarche de progrès global au même titre qu’une démarche qualité. Sa mise en place doit conduire à s’interroger sur les processus de l’entreprise, à se questionner sur les pratiques de collecte, de traitement, de stockage et de sécurisation des données, à reconsidérer les systèmes d’information.

Néanmoins, il est utile de connaître les ordres de grandeur que l’on peut estimer de 5 000 à 15 000 euros pour une TPE et de 20 000 à 50 000 euros pour une PME.

Ce coût n’est pas prohibitif si l’on considère que dans bien des cas il va permettre un rattrapage juridique (certaines entreprises ne sont même pas en conformité avec la loi informatique et liberté de 1978).

Il peut surtout permettre aux entreprises qui se sont laissées dépasser de mettre leur capital digital et leurs systèmes d’information à niveau. Ceux qui sauront saisir cette opportunité pourront même envisager de bâtir un avantage concurrentiel sur la base de la confiance qu’ils auront établie avec leurs clients.

La mise en conformité avec le RGPD implique-t-elle nécessairement, pour l’entreprise, de remodeler et d’optimiser l’ensemble de son système d’information, au risque de perdre en compétitivité ?

La mise en conformité avec le RGPD impose aux entreprises de renforcer leurs systèmes d’information afin de répondre a minima aux enjeux suivants : sécuriser, garantir la disponibilité, assurer la confidentialité et garantir l’accessibilité aux données.

Ainsi cette règlementation astreint les entreprises, et plus particulièrement leur DSI, à  centrer désormais leur approche sur le cycle de vie de la donnée. En effet, il s’agit de gérer les données d’un système d’information pendant toute leur durée de vie, de leur conception à leur suppression.

Pour certaines entreprises, il s’agit d’un chantier certes complexe mais très structurant. Cette mise en conformité doit être perçue comme l’occasion d’améliorer l’exploitation des données clients, véritable richesse de l’entreprise, mais aussi de renforcer l’image de l’entreprise en maîtrisant mieux sa relation client.

Café économique de Bercy « Pourquoi l’intelligence économique est-elle au coeur de la sécurité et de la compétitivité des entreprises ? » (09/03/2018)

Le RGPD est-il aussi une opportunité, pour les TPE/PME, de revoir leur stratégie d’acquisition de prospects d’une part, et de reconsidérer les risques pesant sur leurs ressources numériques d’autre part (cybersécurité) ?

Le RGPD a un impact fort sur le marketing digital. Le droit à l’oubli, le principe de consentement ou le droit à la portabilité modifient profondément les pratiques en termes d’acquisition de prospects. Tout n’est plus permis.

Ainsi, toutes les entreprises ayant fait de l’achat de base et qui ont des contacts non opt-in, se verront sanctionnées pour l’usage non autorisé de ces données. Il est urgent pour elles de faire le tri dans leur base de donnée.

Pour ce qui concerne la cybersécurité, le RGPD implique de mettre en place des process de sécurité précis ; les entreprises doivent notamment s’appuyer sur :

  • des techniques de chiffrement des données et des connexions (stockage et échanges) ;
  • l’authentification forte (certificat électronique, carte à puce…) ;
  • des solutions permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Qu’il s’agisse d’exigences liées au marketing digital ou à la sécurité, la meilleure consigne (et la moins coûteuse) est de les intégrer en amont, c’est-à -dire dès la phase de conception du projet de mise en conformité.

Enfin, quel est le rôle des CCI et de CCI France en matière de conseil/accompagnement des TPE/PME dans la prise en compte de ces transformations impactant leur business, et dans leurs démarches de mise en conformité avec la réglementation ?

Depuis deux ans, les CCI interviennent essentiellement en information et sensibilisation. Toutes les CCI ont ainsi mis en place des ateliers pour aider les TPE et PME à se préparer à l’échéance du 25 mai 2018. Ces ateliers sont généralement organisés avec le concours de la CNIL ou de cabinets d’avocats spécialisés. Au-delà de l’explicitation des nouvelles obligations, ces ateliers ont aussi pour but de rassurer les dirigeants en axant le discours sur la progressivité de la démarche à engager.

Certaines CCI ont par ailleurs mis en place des formations courtes afin d’accompagner les dirigeants de PME dans les premières mesures de mise en conformité au sein de leurs entreprises et d’acquérir des réflexes et des « bonnes pratiques».


* Alain Khemili faisait partie des intervenants du café économique de Bercy, organisé le 9 mars 2018 au ministère sur le thème «  Pourquoi l’intelligence économique est-elle au coeur de la sécurité et de la compétitivité des entreprises ? »


Aller plus loin :

Laissez un commentaire

Complétez ce petit calcul avant d'envoyer votre message : (obligatoire)