GDPR as a Service ?

Le Règlement Général européen sur la Protection des Données (RGPD ou GDPR en anglais) fait figure d’épouvantail.

La raison ? Au-delà de protéger les données collectées (comme son nom l’indique), il s’attache aussi à protéger l’individu face à cette collecte. Si la sécurisation commence à être intégrée par les entreprises, la gestion nouvelle des processus de capture est encore largement ignorée.

Elle est pourtant clé pour garantir une expérience client optimale tout en assurant une conformité exemplaire (sur laquelle on peut aussi communiquer…). Rassurons-nous : une brique souvent existante pourrait bien en faciliter la mise en œuvre…

 Des consentements complexes

Quelles informations puis-je demander et utiliser ? Dans quel but et pour combien de temps ? Ces questions, nouvelles, sont une des pierres angulaires de la réforme. Elles s’avèrent complexes à traiter, car GDPR introduit une notion d’objectif qui rend chaque donnée (nom, date de naissance, email,…) indépendante en termes d’utilisation, de durée de conservation et de récupération du consentement.

Théoriquement, la gouvernance de chaque information est déduite d’un degré de participation à une finalité métier (campagne marketing, jeu concours, etc.). Ce degré n’est ni évident à juger, ni simple à formaliser.

La capacité de décrire, avec un fort niveau de flexibilité, les consentements nécessaires et acquis, devient un besoin critique pour l’entreprise.

Une approche métier, pas technique

Comment isoler l’IT de cette complexité ? C’est délicat, car le règlement européen a une vision métier, et non technique, du champ d’application qu’elle impose de clarifier pour chaque donnée demandée.

Une « finalité GDPR » ne sera souvent pas liée à une unique application, mais bien à plusieurs, toutes participantes d’une initiative commune, ne serait-ce que multi (ou omni) canal. La transparence offerte par l’entreprise au client se transfère automatiquement à la gestion de ses consentements.

Si mon expérience d’achat est fluide et sans couture, comment accepter que la récupération de mes choix de partage de données ne le soit pas ? La gestion des processus de capture et d’enregistrement des consentements risque fort de devenir agnostique des applications qui les opèrent : vers un service commun, exposé pour l’entreprise dans sa globalité ?

Des applications pas toujours compatibles

Certification GDPR… Une notion qui se développe de plus en plus. En creux, pourtant, sonne l’obsolescence des applications existantes qui évidemment ne la respecteront pas. Elles ont été créées pour répondre à un besoin spécifique qui n’intégrait pas GDPR. A moins de développements potentiellement coûteux, elles risquent de ne pas pouvoir internaliser une telle logique complexe.

Les briques historiques ont besoin de données pour fonctionner, c’est un fait. Elles n’ont pas besoin de consentements. Finalement, elles n’ont besoin que de l’assurance que les informations Clients qu’elles manipulent soient cohérentes, de qualité et conformes au règlement européen tel qu’il aura été implémenté dans l’entreprise… Commencez-vous à voir où je veux en venir ?

Des devoirs potentiellement coûteux

Droit d’accès aux données, droit à la portabilité et droit à l’oubli : le règlement européen octroie également aux individus des droits qui sont autant de devoirs pour l’entreprise. Des devoirs qui, aussi simples qu’ils puissent paraître pour les clients, peuvent se révéler techniquement coûteux.

Les droits d’accès et de portabilité, par exemple, imposent de pouvoir rapidement communiquer l’ensemble des informations connues à un tiers (portabilité) ou à l’individu lui-même (accès). Il est évident qu’une source centralisée d’informations sur les données Personne facilite grandement cette fourniture.

Au-delà du besoin d’archivage, le droit à l’oubli exige la suppression du profil dans les bases opérationnelles. L’action peut être pilotée (à la demande du client) ou automatique (basé sur les dates de création et les durées de rétention). Fournir une source centralisée fiable des métadonnées liées aux références Personnes (dates de création/modification) semble là encore important pour le déclenchement du processus. Plus critique encore, la fourniture des identifiants externes de ces références dans les systèmes opérationnels est seule à même d’assurer la bonne exécution, coordonnée, des commandes de suppression dans les différentes applications.

Le MDM, une brique essentielle

Une modélisation flexible du domaine Consentements, une gestion holistique des permissions acquises et de leur capture (formulaires), l’exposition d’une information Client personnalisée selon des règles métier, une source centralisée de données traçables… Rien de tout cela ne semble particulièrement nouveau. Pour Informatica, cela porte même un nom : MDM. Nous en sommes même intimement convaincus : en complément de la sécurisation des données, le Master Data Management est une brique essentielle d’une gestion saine des données Personnes, dans le respect de la nouvelle réglementation. Une manière d’exposer GDPR comme un service consommable par l’entreprise et ses applications…

Commentaire