Entreprises et données privées en 12 chiffres
Plus les internautes partagent leurs données, plus ils sont inquiets de ce que les entreprises vont en faire. Pour restaurer la confiance, ces dernières ne peuvent pas juste respecter le niveau minimum de la réglementation : elles doivent se faire certifier.
3 QUESTIONS À PHILIPPE LANTERNIER, Executive Vice President & Chief Development Officer, Bureau Veritas
Quelle est l’analyse de Bureau Veritas sur la protection des données personnelles dans l’opinion et dans les entreprises ?
La défiance se répand assez vite. Pour prendre un exemple : depuis deux ans, 2 fois moins de consommateurs acceptent de partager leurs données de géolocalisation en échange d’un meilleur service. Ça devrait être l’inverse ! Le message est assez clair : l’innovation numérique ne prendra pas sans la confiance. Les entreprises en ont conscience désormais : rassurer les consommateurs sur l’utilisation de leurs données personnelles est devenu essentiel. Or, elles investissent déjà 130 milliards par an pour traiter les données qu’elles collectent, mais encore trop peu pour protéger leur utilisation et rassurer les consommateurs.
Une nouvelle réglementation a été votée en Europe, plus favorable au consommateur. Une autre est en discussion aux États-Unis. Plutôt bon signe, non ?
La réglementation aide, c’est certain, mais elle n’est pas suffisante : par définition, la réglementation vient a posteriori, elle aura donc toujours un temps de retard sur la pratique et les innovations. Surtout, les consommateurs la considèrent comme un « niveau zéro », un minimum légal auquel les entreprises doivent de se soumettre : pas de quoi restaurer la confiance des consommateurs. Les entreprises doivent proposer des moyens supplémentaires, et faire preuve d’une transparence totale sur la façon dont elles gèrent la donnée. Et pour que leur démarche soit crédible et compréhensible du public, il n’y a qu’une solution : la faire certifier par un organisme indépendant.
Comment fonctionnerait une certification sur la gestion des données personnelles ?
Cette certification sera définie par son périmètre géographique (France, Europe, États-Unis, Russie, Chine…) et par son périmètre opérationnel (un produit, une division ou l’ensemble de l’entreprise). Pour être réaliste, elle sera décernée à trois niveaux, selon le niveau de maturité des entreprises.
1. Premièrement, une certification de service « Privacy by Design », qui permettra via un audit de revendiquer la conception d’un produit ou d’un service donné comme étant respectueuse de la Privacy (sans avoir à transformer toute l’architecture IT).
2. Deuxièmement, une labellisation « Gouvernance », qui se concentrera sur le système global de management de la donnée (sans rentrer cette fois dans des audits techniques), avec une portée internationale indépendante des exigences locales de compliance.
3. Enfin, une certification adaptée précisément à l’article 42 du règlement européen.
La prime sera énorme pour celles qui sauront ainsi rassurer les consommateurs sur l’utilisation de leurs données personnelles.