Livre blanc : la vision de Bureau Veritas sur la protection des données personnelles


certification-digiworld-summit-bureau-veritas-2016

Plus les données sont partagées, plus l’inquiétude grandit de ce que les entreprises vont en faire. Pour restaurer la confiance, ces dernières ne peuvent pas se reposer uniquement sur la réglementation, qui représente le niveau minimum d’exigence. Elles doivent faire certifier leur management de la data par un tiers indépendant.

Plus de data, moins de confiance

Les experts le prédisaient : les données sont devenues le pétrole du XXIème siècle. Tous les services innovants utilisent nos « traces numériques » comme carburant pour créer de la valeur. Et le gisement est profond : les occasions de collecter la data sont de plus en plus nombreuses (navigation web, géolocalisation, paiement, objets connectés…) et les données de plus en plus raffinées (identité, activité, intentions…).

Mais, comme dans le pétrole, deux choses sont à craindre : les fuites, et les détournements. Les fuites de données se sont multipliées ces dernières années. Et les citoyens craignent de plus en plus l’utilisation de leurs données sans leur consentement. Le Big Data est loin d’avoir rempli ses promesses, et déjà il inquiète.

Consommateurs et entreprises sont en plein paradoxe

A y regarder de plus près, il y a un certain paradoxe, chez les consommateurs comme chez les entreprises. Les consommateurs disent en substance « je donne, mais j’ai peur » : ils partagent leurs données avec des marques, des administrations, des réseaux sociaux, en sachant bien qu’ils en retirent des avantages (navigation personnalisée, contenu gratuit…). Il y a donc une forme de consentement tacite. Pourtant, 80 à 90% s’inquiètent de la protection de leurs données : ils craignent l’usurpation d’identité et le piratage bancaire (75 et 77%), la surexposition publicitaire et l’impossibilité d’effacer ses données (87 et 85%). Ils acceptent les bénéfices immédiats mais n’assument plus, après-coup, la contrepartie.

 

Côté entreprises, le paradoxe est le suivant : tout le monde collecte des données, mais personne ne le fait parfaitement. L’acquisition de data est devenue massive, et les entreprises investissent déjà 130 milliards pour la traiter. Mais les volumes sont tels que la plus grande partie est stockée sans finalité précise : elle sera génératrice de valeur, c’est certain, mais on ne sait pas encore quand ni comment. Et c’est bien cela qui inquiète. D’autant qu’entre le marketing soucieux de l’image de la marque et le data crunching, qui se ménage l’utilisation future des données, la chaîne d’acteurs n’est pas homogène. Résultat : la suspicion touche toutes les entreprises, de la grande distribution aux pure players du web.

Toutes les entreprises ont intérêt à jouer la transparence

Pour rétablir la confiance, les DSI ont depuis longtemps sécurisé leurs serveurs de données, même si des fuites restent toujours possibles. Les institutions se sont également emparées du sujet, aux Etats-Unis, où le Consumer Privacy Bill of Rights est en débat, et en Europe, où le nouveau règlement sur la protection des données personnelles (RGDP) a été voté en avril, attribuant un contrôle renforcé des particuliers sur leurs propres données (droit à l’oubli, à la portabilité…). Mais la réglementation est par nature en retard sur les pratiques et les innovations. Et pour les consommateurs, la simple conformité à une réglementation ne sera jamais que le « niveau zéro » : il ne sera pas porté au crédit des entreprises et ne rétablira pas de relation de confiance. Il faut aller plus loin, et installer une transparence totale.

A part quelques grands groupes, qui ont publié leurs « chartes éthiques », les entreprises restent timides : politiques de confidentialité a minima, options de contrôle des données soigneusement cachées… Elles craignent de trop afficher leur engagement et de se retrouver prises en défaut ensuite. Ou bien de ne plus pouvoir monétiser les données personnelles à l’avenir.

 

C’est dès la conception d’un produit ou d’un service qu’il faut intégrer la protection des données, et définir leurs usages possibles. Voilà ce que prône le « Privacy by design ». Le nouveau RGPD européen en a même fait un principe obligatoire : le « Privacy by default ». Il faut créer une vraie gouvernance de la data. En commençant par une fonction de Chief Data Officer, dotée d’une stratégie de management des données personnelles, de nouveaux process éthiques, et d’une capacité à évangéliser en interne comme auprès des sous-traitants.

Seule une certification indépendante restaurera la confiance

Pour rassurer définitivement les consommateurs, reste à rendre publique la démarche. En un mot, la faire certifier. Le règlement européen encourage lui-même la certification pour permettre aux consommateurs « d’évaluer rapidement le niveau de protection offert »

 

La certification est une garantie pour l’avenir, sur laquelle le public, les clients, les partenaires prennent la décision de continuer ou non de « faire confiance ». Elle est légitimée par le marché, facilement compréhensible, évolutive, déployable à l’international, et conçue pour la communication, via un label.

 

Pour être réaliste, une certification sur la Privacy devra se décerner sur plusieurs niveaux :

  • une certification « Privacy checked » / « Privacy by Design », qui garantisse un produit / service conçu en amont pour protéger les données personnelles, sans avoir à transformer toute l’architecture IT. Accessible plus facilement pour certaines entreprises.
  • une certification « Gouvernance », qui se concentrera sur le management global de la donnée (sans entrer dans les audits techniques de moyens) et créera une labellisation internationale.
  • une certification au titre du Règlement européen (RGPD), décernée sur la base d’un référentiel découlant du texte officiel.

 

Qui doit décerner cette certification ? Un tiers de confiance indépendant. Il existe plusieurs dizaines de certifications privées ou liées à des institutions, basés sur des réglementations régionales. Mais seule une tierce partie indépendante apportera l’impartialité, la réputation sans faille, la légitimité d’un expert économique, des process analytiques éprouvés, et surtout la capacité à soutenir le label.

 

Bureau Veritas lance une offre de certification, à décliner avec l’ensemble des acteurs industriels de tous secteurs, pour leur permettre de faire leur propre mutation digitale, en toute sécurité. Bureau Veritas a plus de 180 années d’expérience aux côté des acteurs de l’industrie dans leurs actions de transparence. Avec une marque reconnue en B2B et en B2C, sur tous les continents, Bureau Veritas se positionne comme l’organisme de certification de référence de la gouvernance des données. Nous accompagnons aujourd’hui l’émergence de la Privacy comme un levier d’opportunité pour les entreprises qui sauront s’en saisir.