ITS : Comment rentabiliser/financer la démarche RGPD ?

Face au coût de la mise en conformité et au choc de gouvernance que cela induit, nombre d'entreprises ont entamé une valse-hésitation autour du RGPD, souvent orchestrée par la direction générale elle-même, qui ne voit dans le RGPD qu'une ligne budgétaire supplémentaire dont elle se serait bien passée… Mais alors, comment financer la démarche RGPD ? Réponse : en créant de la valeur et du business autour de la data !

Vous pouvez consulter la version pdf de cet article

Le RGPD : « Tu veux ou tu veux pas ? »

La célèbre chanson de Brigitte Bardot semble étonnamment d'actualité en matière de démarche RGPD (Règlement Général sur la Protection des Données). Bien que nul ne soit censé ignorer la loi, depuis le 25 mai 2018 et l'officialisation du RGPD, rares sont les entreprises qui ont vraiment pris le taureau par les cornes. 8 jours avant la date d'entrée en vigueur du RGPD, moins de 30 % des entreprises se disaient prêtes, 52% s'attendaient à s'y conformer avant la fin de l'année et 31% doutaient de leur capacité à s'y conformer pleinement *...

Pourtant, tous les voyants sont au vert. D'un côté, les citoyens européens sont en attente de transparence de la part des marques. De l'autre, les instances régulatrices, comme la CNIL sont dans les starting-blocks.

Côté entreprises, si le premier réflexe a été de faire évaluer le coût de la mise en conformité (« Nadine, tu peux demander un devis à un cabinet conseil pour le RGPD ? »), le second a, hélas, été de tirer à fond sur le frein à main (« Les amis, il est urgent de ne rien faire ! »).

Il faut dire que la démarche RGPD, si elle est abordée comme une simple mise en conformité règlementaire, peut présenter, à court terme, un faible retour sur investissement. Ce qui pourrait expliquer le manque de motivation des dirigeants à investir sur le sujet, d'autant que le RGPD induit une remise en question sous-jacente de la capacité de l'entreprise à sécuriser et tracer ses données (le sujet qui fâche…).

Le risque quand on reste au milieu du gué, c'est de se faire emporter par le courant…

Le risque avec le RGPD, c'est sûrement de ne pas en prendre et d'hésiter à s'engager de façon volontaire et affirmée. En restant au milieu du gué, elles pourraient perdre bien plus que le montant du chèque qu'elles s'apprêtent à signer pour la mise en conformité de leurs systèmes de gestion des données personnelles.

Premier risque identifié : le risque financier lié au non-respect de la loi. Même si la CNIL a clairement affirmé qu'elle laisserait du temps aux entreprises pour se mettre en conformité, les sanctions sont bien plus conséquentes (et dissuasives disons-le !) qu'elles ne l'ont jamais été depuis la création de la loi Informatique et Libertés en 1978.
Les entreprises encourent une amende pouvant aller jusqu'à 4% de leur chiffre d'affaires ou 20 millions d'euros en cas de non-respect des droits des personnes (2% ou 10 millions d'euros en cas de non-respect des obligations).

Mais le risque majeur est ailleurs. Au-delà des sanctions (la partie émergée de l'iceberg), le RGPD impacte l'ensemble des relations des parties prenantes de l'entreprise (clients, fournisseurs, collaborateurs, etc.). Il impacte le système d'information, la communication, l'offre commerciale, voire la stratégie et la performance de certaines entreprises qui collectent et manipulent de la data et en ont fait leurs fonds de commerce (sans pour autant être entrées dans l'ère digitale, cherchez l'erreur !).

Une gestion en dilettante des données personnelles stockées par l'entreprise peut directement générer :

• Des fuites de données qui peuvent compromettre l'activité même de l'entreprise,
• Une perte de confiance des clients dans la marque ou le fournisseur née d'un manque de transparence ou une intrusion non révélée,
• Des coûts liés au stockage inadapté de données périmées ou illégales,
• Un manque de performance lié à une dispersion et un cloisonnement des données,
• Une faible réactivité commerciale et marketing par manque de données pertinentes

Vous l'avez compris, être « RGPD compliant » n'est pas seulement une question de règlementation. C'est (juste) une question de stratégie d'entreprise.

Ce n'est pas le paysage qui est petit,
c'est la fenêtre par laquelle on le regarde.

Ce proverbe tibétain pourrait s'appliquer aisément au RGPD. Une vision à court terme du sujet pose la question du coût et donc du financement d'une mise en conformité. Regarder le RGPD avec le bon bout de la lorgnette digitale (ou d'une fenêtre numérique qui offre une vue plus dégagée) fait apparaître des premiers effets collatéraux à forte valeur ajoutée et au ROI largement plus que satisfaisant :

• Une meilleure gestion de la sécurité des données avec à la clé une réduction sensible des coûts (directs ou indirects) associés aux intrusions,
• Un développement de l'image de marque de l'entreprise qui prend soin de respecter ses clients et utilise les données personnelles pour mieux les servir et non pour les influencer (voire les espionner),
• Une performance accrue grâce au décloisonnement des équipes et des pratiques induite par le partage de la collecte, de l'usage et de la responsabilité de la data.

Très rapidement, une réelle réflexion autour de la gestion de la donnée produit des effets positifs car elle impacte autant les processus que les hommes.

Et en premier lieu, elle implique de faire évoluer les outils et les méthodes IT associées pour se calquer sur les exigences du RGPD pour mieux gérer et sécuriser les données en exploitant de nouvelles architectures et technologies telles que les a conçues IBM par exemple (Software Defined Infrastructure, cryptage natif, placement automatique des données etc.).

Créer de la valeur et du business par la data

Et si, finalement, le réel intérêt du RGPD résidait surtout dans sa capacité à faire s'interroger les entreprises sur la gouvernance de leurs données et avec elles, de leur maturité digitale ?. Combien d'entreprises, sentant souffler le vent du big data (avec plus ou moins d'instinct), ont été victimes du syndrome du « qui trop embrasse, mal étreint ». ? Combien ont collecté des données sans les analyser, les tracer, les mettre à jour, les supprimer et parfois même sans savoir exactement où elles étaient stockées ? Des données souvent inutiles, parfois illégales dont le stockage augmente les risques d'intrusion et les coûts financiers.

La vraie force du RGPD est de poser deux questions simples aux entreprises : quelles données collectez-vous et dans quel but ? Il ouvre le débat de la gouvernance des données et fait sauter les verrous de la transformation digitale en interrogeant sur le rôle de chaque acteur de la chaine de la data. Il pose la question de la valeur de la donnée et de son exploitation au sein des organisations pour générer du business.

Centre de coûts ou source de développement ? Les nouveaux acteurs du numérique ont fait leur choix. Les Waze, AirBnB et autres ChauffeursPrivés ont développé des business models disruptifs reposant sur la création de valeur par la data. Des modèles qui se diffusent peu à peu chez les grands acteurs historiques de leur secteur d'activité respectif. Et qui ne sont pas réservés aux start-ups et autres licornes.

Le RGPD ne coûte que si on ne s'en sert pas

Pour paraphraser Thomas Edison qui estimait que « la valeur d'une idée dépend de son utilisation », la valeur intrinsèque de la data - et surtout celle qu'elle est en mesure de créer - dépend clairement de son exploitation par les entreprises. Les données sont une source de création de valeur dans l'économie digitale et le RGPD, une chance donnée aux entreprises de réinventer leur rapport aux données personnelles et leur façon de les collecter et de les utiliser. Il requiert de protéger ses données mais aussi et surtout de se donner les moyens humains et financiers de les valoriser.

L'heure n'est plus aux interrogations sur le financement d'une mise en conformité subie. L'heure est à l'action L'heure n'est plus aux interrogations sur le financement d'une mise en conformité subie. L'heure est à l'action et à l'investissement dans une vision stratégique, dynamique et prospective, qui, en organisant la data et en la contrôlant au sein de l'entreprise, en libère toute la valeur.

Cette tribune est une synthèse de la vision de professionnels issus des équipes ITS Group en partenariat avec IBM. Nous avons développé ensemble des réponses Métiers et IT pour faire face aux ambitions des entreprises qui souhaitent tirer pleinement partie du RGPD.

Téléchargez à ce sujet notre livre blanc « 5 bonnes raisons de ne pas considérer le RPGD comme une simple obligation règlementaire »

* GDPR Readiness Survey (Enquête sur la préparation au RGPD) menée en mai 2018 par l'ISACA
** Étude menée par Adobe et Goldsmiths
*** The H2O of Marketing publié par Accenture Interactive

Vous pouvez consulter la version pdf de cet article