Si le nouveau cadre législative européen RGPD concerne toute entreprise ou administration qui traite les données des citoyens européens[i], peu de responsables ont réfléchi à la manière dont cette «contrainte» législative pourrait devenir une opportunité de tirer parti de leur stratégie numérique.
Le règlement général sur la protection des données (GRPD en anglais) conditionne la façon dont les données personnelles peuvent être utilisées commercialement. À compter du 25 mai 2018, la législation s’appliquera à toute organisation publique ou privée qui traite les données des citoyens européens, quelle que soit sa base d’opérations. Les pénalités pour non-conformité peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’organisation.[ii] Explorons pourquoi le GDPR est un enjeu stratégique, quelle est son continu, comment elle va affecter la pratique de la science des données, et ce que vous pouvez faire pour transformer cette “menace” en opportunité.
Les données ne sont plus de simples sous-produits d’un processus métier, elles constituent la plus-value de l’économie numérique. Si les données ont traditionnellement été captées pour consigner les réalités de nos organisations et de nos marchés, elles sont de plus en plus exploitées aujourd’hui pour amplifier les minuscules détails de la façon dont les individus achètent et consomment des produits et des services. En conséquence, les organisations utilisent les technologies de l’information pour créer des plateformes numériques afin d’élucider, d’agréger et d’analyser les expériences client. La valeur des données résultantes dépend moins de la précision avec laquelle elles décrivent les relations entre les consommateurs, les biens et les services, que de leur emploi dans la construction de scénarios d’usage pour prédire et influencer les comportements humains.[iii]
Cette recherche perpétuelle de données impacte profondément la vie privée et la confidentialité de l’individu — pratiquement tout ce qu’un individu fait, dit ou pense est potentiellement exposé à un examen public. Le règlement général européen sur la protection des données reconnaît explicitement ce danger en tentant de limiter l’utilisation commerciale de données privées et/ou sensibles. Les données privées sont définies comme toute information pouvant être utilisée pour identifier un consommateur européen à titre individuel, ainsi que toute donnée pouvant être utilisée pour identifier une personne sur une base individuelle (informations personnellement identifiables). Les données sensibles comprennent des descriptions discriminatoires relatives à la santé, à la religion, à l’origine ethnique, et aux orientations politiques ou sexuelles d’un individu. Enfin, un article spécifique de la législation protège les enfants de moins de 16 ans — aucune de leurs données personnelles ne peut être collectée sans le consentement explicite de leurs parents.
GDPR constitue un « bill of rights » par rapport aux droits numériques des citoyens européens. Les consommateurs européens auront désormais le droit de savoir quelles données personnelles, les concernant, sont collectées, et dans quel but. Les citoyens auront le droit à l’oubli en demandant aux organisations de supprimer leurs données personnelles et / ou de cesser de traiter ou de diffuser davantage leurs données. Enfin, les citoyens peuvent récupérer les données personnelles fournies à une organisation dans un format «communément utilisé et lisible par lecture automatique», et peuvent transférer ces données à un tiers.
Les grands groupes, les PME/PMI, les gouvernements nationaux et les administrations territoriales seront tenus d’instituer des processus et des exigences de tenue de dossiers numériques, pour assurer le respect de ces nouvelles réglementations. Ces organisations, qu’elles soient directement collecteurs de données ou indirectement des sociétés de traitement informatique, seront tenues de mettre en œuvre les principes de la protection des données individuelles dès la conception de leurs systèmes d’information, sur le principe de « privacy by design ». Les organisations seront tenues de collecter uniquement les données absolument nécessaires pour l’entreprise (minimisation des données) et de limiter l’accès aux données personnelles uniquement à celles qui sont nécessaires pour le traitement. Enfin, toutes les entreprises doivent informer leurs clients dans les 72 heures, de toute notification de violation qui pourrait mettre en danger “les droits et libertés individuels”.
Au cours des cinq prochains mois, les entreprises travaillant avec des citoyens européens devront mettre en place un plan d’action pour satisfaire aux exigences minimales de conformité au GDPR. Cela commence par la désignation d’un chef de projet, ou DPO, pour superviser la stratégie de protection des données et sa mise en œuvre. Son équipe de projet devra identifier et analyser les données personnelles actuellement capturées, stockées et traitées. Ils devront comprendre comment les différents acteurs organisationnels traitent les données, soit au sein de l’organisation, soit par à travers des tiers. Ils devront proposer les mesures et les moyens nécessaires pour répondre aux exigences législatives. Enfin, ils devront élaborer et mettre en œuvre les tâches et processus nécessaires pour assurer la conformité.
À première vue, la vision de la confidentialité des données, énoncée dans GDPR, apparaît diamétralement opposée aux responsabilités fondamentales d’un data scientist qui sont d’acquérir de nouvelles sources et de développer de nouveaux scénarios d’usage de données. Concrètement la législation affectera la pratique de la science des données dans plusieurs domaines: en proposant des limites au traitement des données et au profilage des consommateurs, en imposant un «droit à une explication» lorsque les entreprises utilisent la prise de décision automatisée pour évaluer les demandes de crédit , d’assurance et de recrutement, et en obligeant les organisations à rendre compte de la partialité et de la discrimination dans les décisions automatisées [iv].
La pratique de l’analytique des données bénéficiera néanmoins à long terme de ces contraintes. Les organisations devront favoriser les processus analytiques basés sur un anonymisation effective des données. Les spécialistes des données devront prendre des mesures pour éviter les biais indirects dus aux variables de substitution, à la multi-colinéarité et à d’autres causes afin de limiter les résultats discriminatoires. Enfin, les chercheurs en données devront se préoccuper de la traçabilité numérique pour documenter le flux de données à travers toutes les étapes de traitement de la source à la cible. [v]
Souhaitez-vous maîtriser les méthodes de la mise en conformité à la législation européenne ? Inscrivez-vous à notre MasterClass GRDP pour comprendre les méthodes de conception et de mise des délégués à la protection des données individuelles (DPO) . La pratique de l’analytique des données est le cœur et l’âme du Business Analytics Institute. Dans notre école d’été à Bayonne, ainsi que dans nos Master Class en Europe, nos élucidons les leçons de l’économie numérique, de la prise de décision managériale, de l’apprentissage automatique et de la communication visuelle pour mettre l’analytique des données à votre service et à celui de votre organisation.
Lee Schlenker is a Professor at ESC Pau, and a Principal in the Business Analytics Institute http://baieurope.com. His LinkedIn profile can be viewed at www.linkedin.com/in/leeschlenker. You can follow us on Twitter at https://twitter.com/DSign4Analytics
______________
[i] Une étude d’IDC menée auprès de 700 entreprises européennes en mai 2017 a révélé que 25% des managers interrogés n’étaient pas au courant du GDPR et plus de la moitié (52%) n’étaient pas sûres de l’impact sur leurs organisations. Parmi ceux qui étaient au courant de la nouvelle législation, 20% n’avaient pas commencé à se préparer aux nouvelles exigences, et seulement 21% étaient prêts pour les changements. http://bit.ly/2EfOGZa
[ii] Le CNIL (2016), Règlement européen sur la protection des données : ce qui change pour les professionnels
[iii] Schlenker, L. (2017). What do we really need to know about Data?, Towards Data Science
[iv] Dinsmore, T. (2017). How GDPR Affects Data Science.
[v] Data Science Innovation (2015), Data Science and EU Privacy Regulations — a storm on the horizon
- Une transcription de mon billet en anglais publié le 05 janvier dernier.