La sensibilité de la population à la question des données personnelles est de plus en plus forte. Le faible nombre de téléchargements de l’application StopCovid en atteste : sur 67 millions d’habitants en France, seulement 2 à 2,5 millions avaient téléchargé l’application fin juillet 2020. Ce chiffre semble s’expliquer en bonne partie par la crainte de ce qui pourrait être fait de ces données.

Plus de 2 ans après l’entrée en vigueur du RGPD, comment les entreprises ont-elles intégré ces évolutions? Peut-on en faire un axe de différenciation ?

1/ L’exercice des droits relatifs aux données personnelles

Aujourd’hui, à titre d’exemple, un client peut demander à avoir accès à ses données détenus par une entreprise, tout comme il peut s’opposer à un traitement (le plus souvent, l’opposition concerne la prospection commerciale). Comment doit procéder ce fameux client pour exercer ses droits ?

En analysant les process des entreprises, on s’aperçoit que quelques modalités d’exercice de droits sont mises en évidence régulièrement :

• Le client peut être invité à envoyer un mail ou un courrier libre, à une adresse déterminée ;
• Le client peut avoir à sa disposition un questionnaire papier dédié à transmettre par courrier ou mail ;
• Enfin, le client peut avoir à sa disposition un questionnaire en ligne dédié.

Dans tous les cas de figure, il conviendra de tracer la demande.

Les modalités les plus répandues sont l’envoi d’un courrier ou d’un mail libre. Certaines entreprises (Renault, La Macif, Axa, Chronopost…) proposent des formulaires en ligne dédiés à l’exercice de droits, soit en développant eux-mêmes ces formulaires soit en s’appuyant sur des outils RGPD les proposant (OneTrust, Cast, IBM StoredIQ, Kensu, Oryga……)

Le traitement de ces demandes d’exercice de droit peut être complexe pour les services juridiques ou Compliance et les oblige la plupart du temps à adapter leur système d’information et leurs processus. De plus, il est nécessaire de mettre à disposition des outils et d’allouer des équipes pour suivre et traiter ces demandes dans le temps imparti par la réglementation, à savoir 30 jours maximum après la demande du client (ce délai peut néanmoins être doublé sous couvert d’une justification). La sensibilisation de l’ensemble des collaborateurs en contact avec les clients est donc clé afin de permettre de répondre et d’orienter convenablement les demandeurs.

Tous ces éléments font qu’aujourd’hui les entreprises ressentent l’exercice des droits RGPD comme une contrainte visant uniquement à permettre à des clients mécontents d’exprimer leur insatisfaction. Pourtant, l’exercice des droits pourrait à l’inverse devenir un axe de différenciation dans la relation client en l’intégrant comme vecteur de confiance et de transparence.

2/ En faire un axe de différenciation

Pour ce faire, il est nécessaire que l’entreprise intègre le respect des données personnelles à ses orientations stratégiques ; et que cela soit décliné opérationnellement tant du point de vue de la formation de ses salariés (la protection des données rentre dans la culture d’entreprise) que du point de vue de la transparence, de la sécurité et de l’accessibilité des données pour ses clients.

Dans le secteur de l’assurance, la MAIF a été la première à communiquer sur la protection des données de ses clients à grand coup de spots publicitaires avec un message fort : « Agir pour une meilleure protection de vos données, c’est ça être assureur militant aujourd’hui »[1].

A l’image de la MAIF, au-delà du respect de la réglementation, le respect des données personnelles peut devenir un axe de communication externe de l’entreprise vers ses clients et ainsi améliorer l’image de l’entreprise et la confiance de ses clients.

De nombreuses actions peuvent ainsi être envisagées, en fonction des droits visés. Par exemple :

• Mettre à disposition du client un centre de préférences concernant la prospection commerciale permettant à celui-ci de sélectionner le ou les canaux de contact souhaité(s), le type d’information (information simple, prévention, offre commerciale), la fréquence des sollicitations commerciales, les thématiques de celles-ci, voire les partenaires qui pourront le contacter commercialement ;
• Donner la possibilité au client de réaliser lui-même en toute autonomie (« selfcare») le maximum d’actions comme par exemple la modification de ses données (droit de rectification), la portabilité de ses données ou encore l’opposition à la prospection commerciale (partie du droit d’opposition) ;
• Permettre au client de voir à tout moment, par exemple via son espace personnel, toutes les données dont dispose l’entreprise à son égard.

Mettre à disposition ce type de fonctionnalités fluidifierait le parcours client et diminuerait d’autant la charge des équipes internes en leur évitant d’avoir à traiter toutes ces demandes manuellement, tout en assurant le respect des délais de réponse.

3/ Une mise en œuvre SI, organisationnelle et humaine

Cependant, mettre en œuvre tout ou partie de ces actions implique d’intervenir à de nombreux niveaux au sein de l’entreprise tant du point de vue technique (SI, process, outil de suivi) qu’humain (sensibilisation et formation). Les prestataires de l’entreprise, sous-traitants ou simples fournisseurs, devront aussi être impliqués dans cette dynamique afin d’éviter tout manquement.

La notion de « Privacy by design », c’est-à-dire la protection des données dès la conception du produit ou du service, est également à développer au sein des entreprises afin d’assurer une prise en compte de la gestion des données personnelles dès la conception de ce produit ou de ce service. Une telle démarche évitera dans le futur de devoir intervenir sur des outils déjà en place, intervention le plus souvent compliquée et coûteuse.

Au-delà, la sécurité des données mises à disposition ou transmises au client est primordiale. En effet, il est absolument nécessaire que l’entreprise contrôle l’identité du demandeur au préalable, afin, par exemple d’être sûr de transmettre les informations à la bonne personne et via des modalités totalement sécurisées (plateforme dédiée, code d’accès limité dans le temps, double authentification…)

Enfin, afin d’être en mesure d’absorber l’augmentation de la charge associée à de telles évolutions, le dimensionnement des équipes compliance/DPO devra parfois être revues à la hausse. La philosophie de leur activité devra également évoluer, passant de garants du respect du RGPD à des acteurs porteurs de la satisfaction client.

En conclusion, un sujet « relation client » tout autant que « réglementation »

L’application du RGPD a entrainé une prise de conscience par les clients de l’importance de leurs données personnelles, et des droits associés. Pour une entreprise, ces nouvelles obligations impliquent un coût et une organisation parfois importants.

Il est donc plus que nécessaire d’en faire une opportunité business, et de profiter du RGPD pour améliorer son image et la confiance de ses clients. Les entreprises qui ne le feront pas dès le début, risque de devoir le faire après coup et dans l’urgence pour satisfaire leurs propres clients. Alors, pourquoi attendre ?

Chiffres :
68 % des Français se disent plus sensibles à la question de la protection de leurs données personnelles[2]
47 % des Français ne savent pas ce qu’est le RGPD[3]
14 137 plaintes reçues par la CNIL en 2019[4] 
51 370 000 euros d’amende en 2019 par la CNIL

[1] Protection de vos données, #ChaqueActeCompte, https://www.youtube.com/watch?v=ErMZe_e79Nw

[2] Sondage IFOP Réalisé en ligne, du 25 au 28 octobre 2019, auprès d’un échantillon de 1 004 personnes, représentatif de la population française âgée de 18 ans et plus.

[3] Sondage Ogury, 2019

[4] Soit une hausse de 27 % par rapport à 2018 (11 077) et de 79% en cinq ans

Vous êtes une entreprise située en Nouvelle Aquitaine et vous souhaitez vous faire accompagner sur la mise en conformité RGPD ? Contactez-nous, nous vous apporterons une réponse adaptée à vos besoins et à votre organisation.