Livres blancs Webinars

Le Règlement Général sur la Protection des Données (RGPD ou GDPR pour General Data Protection Regulation) a d’ores et déjà un impact considérable sur les entreprises dans toute l’Europe. Celles-ci doivent en effet mieux protéger les données. Un défi qui concerne aussi les données collectées par les objets connectés.

Objets connectés et GDPR, comment sécuriser le tout-connecté ?

Les entreprises vont ainsi devoir mieux maîtriser leur processus de collecte, d’intégration, de certification, de publication, de supervision et, bien entendu, de protection de toutes leurs données relatives aux personnes, qu’il s’agisse de leurs employés, clients et autres tiers. L’enjeu : être en parfaite situation de conformité d’ici mai 2018. Le sujet n’est pas nouveau, puisqu’il y a déjà des réglementations en vigueur sur ce sujet. Il prend cependant avec GDPR une nouvelle envergure tant dans le périmètre des obligations à respecter que dans la dimension des pénalités à considérer en cas de non-respect.

De nouvelles pratiques pour la gestion et le partage de données

Replay

Data / IA : nos experts décryptent les 7 sujets chauds pour 2024

Lire la suite

Dans cette optique, et face à la multiplication des fuites majeures de données, les entreprises se sont jusqu’ici focalisées sur la sécurité des data. Elles sont en revanche généralement bien moins organisées vis-à-vis des pratiques imposées par la nouvelle réglementation en termes de gestion et de partage des données personnelles. Or, cela représente un risque sérieux pour deux grandes raisons.

Tout d’abord, le terme « confidentialité des données » est très vaste dans le cadre de la GDPR. Les responsabilités des organisations y sont très étendues. L’objectif est donc de les obliger à mettre en place les mesures et techniques adéquates pour que la confidentialité et la protection des données ne soient plus mises au second plan.

Par exemple, GDPR impose de considérer le respect de la vie privée en amont de la conception de toute nouvelle application (c’est la notion de privacy by design), et élargit le droit des individus sur les données qui le concernent (droit à l’oubli, droit à l’exactitude des données, portabilité des données…).

Livre blanc

Intelligence artificielle : restez maître de votre futur

Lire la suite

Deuxième élément : l’émergence, voire l’avènement de l’Internet des objets (IoT) donne un poids supplémentaire à ces problématiques. En effet, l’IoT concrétise le concept de client connecté en permanence. Ce modèle est précieux pour les entreprises cherchant à générer et à capturer d’importants volumes de données sur les préférences et les comportements de leurs clients afin de se démarquer de la concurrence.

Cependant, bien que l’essentiel de ces données soient davantage liées aux produits qu’aux individus, le risque sur le plan de la confidentialité subsiste. En effet, à partir du moment où un objet connecté est explicitement associé à celui qui l’utilise, il devient alors porteur de données personnelles. Ainsi les informations fournies par un véhicule connecté, deviennent des données personnelles dès lors que l’on peut l’associer à l’identité de celui qui l’utilise.

Des données considérées par défaut comme personnelles

Les fabricants de dispositifs connectés prennent désormais conscience qu’une fois que leurs produits se trouvent entre les mains des clients, toutes les données transmises peuvent être potentiellement considérées par défaut comme personnelles. D’où la nécessité pour eux de tenir compte dès le départ des principes de confidentialité. Et ce,  dans leurs propres environnements et avec l’ensemble des fournisseurs impliqués dans la collecte, le stockage et le traitement des données.

Le fabricant de produits d’électronique grand public Vizio s’est récemment vu infliger une amende de 2,2 millions de dollars après que l’autorité américaine de protection des consommateurs ait découvert qu’il utilisait des logiciels de reconnaissance de contenu afin d’effectuer un suivi de ses utilisateurs sans leur consentement. Près de 11 millions de téléviseurs connectés à Internet auraient ainsi pu espionner les habitudes de visionnage des consommateurs et relier ces données à des informations socio-démographiques, pour être ensuite partagées avec des sociétés de marketing tierces. L’entreprise a affirmé pour sa défense que ses télévisions « n’associaient jamais des données de visionnage à des informations personnelles comme des noms ou des coordonnées ».

Si l’amende infligée paraît significative, il est important de souligner que dans l’hypothèse où Vizio (désormais filiale de LeEco, une société chinoise avec un chiffre d’affaires de 7,3 milliards de dollars) vendrait ses téléviseurs HD et barres de son haut de gamme en Europe d’ici mai 2018, date de démarrage de GDPR, l’entreprise s’exposerait cette fois à une amende supérieure à 292 millions de dollars !

« Où sont mes données ? »

Autre problématique de poids pour les entreprises : savoir où résident leurs données privées et sensibles, et qui en a la responsabilité. Bon nombre d’entre elles sont incapables de répondre clairement à ces questions, car leurs données sont dispersées dans différents départements (commercial, marketing, financier, service client, etc.). L’incapacité à disposer d’une vue unifiée sur les clients et employés d’une entreprise représente un véritable problème dans le cadre de la conformité à GDPR.

Replay

IoT et Big Data : le duo gagnant

Lire la suite

Selon ce nouveau règlement, le contrôleur de données dispose d’un mois pour répondre aux demandes d’accès de la part des usagers, même si cette période peut être étendue pour les requêtes particulièrement complexes. Cette politique est donc bien plus stricte que celles des réglementations actuelles. Aujourd’hui en France ce délai est de 60 jours. Mais les droits des individus ne seront pas limités à l’accès aux données : la GDPR garantit également un droit de rectification, de suppression (droit à l’oubli), de restriction/d’objection au traitement de données, ou de non évaluation dans le cadre de traitements automatisés. Tous ces droits ont un impact considérable sur les pratiques en matière de gestion de données.

Organiser la riposte

Comment les organisations peuvent-elles faire face aux problématiques énoncées ci-dessus dans le cadre de la gestion de leurs données ? La première étape pour elles serait d’en effectuer un inventaire afin de savoir quels types de données sont en leur possession et où elles résident. Elles pourront alors mieux en déléguer la responsabilité au personnel compétent. Cet élément essentiel peut ensuite servir de base pour une stratégie de gouvernance plus stricte, comme l’exige la GDPR.

Vient ensuite le problème de la qualité, une problématique particulièrement urgente pour les organisations en train de déployer leurs capacités de gestion de l’IoT. En effet, dans ce domaine, la volonté de limiter les coûts pousse souvent les organisations à faire avec des réseaux médiocres, ce qui peut affecter la qualité et la sécurité des données.

Dans le contexte de la GDPR, la faible maîtrise de la qualité et l’harmonisation des données devient une problématique critique, en particulier si cela empêche les organisations de dégager une vision unique de leurs clients, contrairement à ce qu’exige la réglementation. L’une des principales problématiques en la matière vient de l’existence de silos de données difficiles à intégrer. Prenons le cas où une entreprise disposerait d’informations sur un client à la fois issues de dispositifs IoT, d’applications de gestion telles des ERP ou des applications de gestion de la relation client et d’applications de marketing. En cas de demande, l’entreprise serait alors tenue de lui fournir l’ensemble de ses données privées le concernant (silos inclus), comme l’exige la GDPR. Les entreprises devront donc rapprocher l’ensemble de leurs informations, y compris celles provenant des objets connectés.

Appréhender les problématiques de l’IoT en matière de données

L’IoT devrait apporter une multitude d’avantages aux organisations du monde entier générant de vastes volumes de données, et s’en servant dans le cadre de leurs processus décisionnels. Grâce à ce système, les entreprises peuvent relier le monde physique et numérique, et ont l’opportunité de définir les expériences clients de demain. Cependant, comme souligné dans cet article, ces données représentent également des défis, notamment en matière de confidentialité, et donc de conformité avec la GDPR.

Le mois de mai 2018 approche à grands pas, et les entreprises doivent agir vite. Pour pouvoir tirer parti de l’IoT et s’assurer de leur conformité avec la GDPR, elles doivent mettre ces questions à l’ordre du jour de leur conseil d’administration, et prendre les mesures nécessaires pour résoudre ces problématiques sans plus tarder.

Talend

Directeur du Marketing Produit chez Talend. Tout au long de son parcours professionnel, il a eu pour mission de développer l’adoption des innovations technologiques.

En savoir plus >

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.