Comme le rappelle le règlement général sur la protection des données personnelles (RGPD) qui entre en application ce 25 mai : "la protection des données à caractère personnel est un droit fondamental" et "le traitement à caractère personnel devrait être conçu pour servir l’humanité". Dès lors, "pourquoi ne pas envisager la protection des données comme un critère supplémentaire, et même transverse, de la politique RSE d’une entreprise" ? souligne Nathalie Chiche, présidente de Data Expert et DPO (Data Protection officer) externe. Cette nouvelle réglementation présente en effet de nombreux avantages en termes de responsabilité sociétale.

1. Mieux gérer les risques de cyberattaques

En mettant en place le concept de "privacy by design", c’est-à-dire la protection des données dès la création du produit ou du service, le RGPD doit permettre aux entreprises une meilleure gestion des risques pesant sur le piratage ou l’exploitation malveillante des données qu’elles ont en leur position. Les différents scandales type Cambridge Analytica pour Facebook ou les cyberattaques dont ont pu être victimes Uber, Yahoo et autres Equifax et qui ont touché des millions de clients de ces plateformes, en ont montré les graves conséquences.

"En remettant à plat la gouvernance des données, c’est-à-dire en recensant toutes les données à disposition et en ne conservant que celles dont l’entreprise a réellement besoin et qui ont été données avec le consentement express des utilisateurs pour des activités qui le nécessite comme le profilage ou la prospection commerciale, la RGPD va permettre une meilleure protection face aux cybercriminels", assure Nathalie Chiche. Qui rappelle que ceux-ci "profitent du manque de visibilité d’une cartographie complète des données de l’organisation" pour opérer. 

2. Responsabiliser l’ensemble de sa chaîne d’approvisionnement

Avec le RGPD, ce n’est pas seulement les données utilisées par l’entreprise qui sont concernées, mais aussi celles de toute sa chaîne d’approvisionnement. Le règlement "vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements et les sous-traitants". C’est ce que l’on appelle le principe de "responsabilité conjointe entre les responsables du traitement". Elle concerne l’entreprise qui traite les données et ses sous-traitants. Ensemble, ils sont désormais solidaires dans leur responsabilité. 

Autre responsabilisation, celle de l’utilisateur : il est au centre du contrôle de ses données. Il peut décider d’exposer librement ses données personnelles aux entreprises qu’il souhaite, mais en connaissance de cause.

3. Rétablir la confiance avec les utilisateurs

Face à la multiplication des scandales et des cyberattaques, la population française mais aussi mondiale est de plus en plus préoccupée par l’utilisation de leurs données. Selon une enquête Havas Paris/Baker McKenzie, 8 Français sur 10 se disent prêts à boycotter les entreprises qui ne respectent pas le RGPD. Une majorité (55 %) se dit même prête à assigner en justice les entreprises qui ne respecteraient pas leur vie privée.

En assurant plus de transparence, de droits (droit d’accès, de rectification, d’opposition…) et de protection aux utilisateurs sur l’utilisation de leurs données, le RGPD doit aussi se voir comme un moyen de rétablir la confiance entre ces derniers et les entreprises.

4. Mieux gérer sa réputation

"Outre les risques juridiques (jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros, NDLR), les entreprises s’exposent à des dommages réputationnels. Avec la pratique du 'Name & Shame' qui se généralise, l’image des entreprises est en jeu. Les entreprises vont devoir anticiper et gérer ces 'data crises', au risque de voir leurs parts de marché menacées. Elles doivent donc, dès maintenant, préparer le 'jour d’après', lorsque des associations, des syndicats et des ONG les assigneront", explique Yann Padova, Partner chez Baker McKenzie.  

Suite au scandale Cambridge Analytica, Vigeo-Eiris a dégradé les scores de Facebook relatifs au respect de la vie privée. "Cet événement a révélé la porosité de ce réseau social aux risques de détournement de ses fichiers à des fins de manipulation des opinions de plusieurs millions de personnes en violation de leurs droits au respect de leur vie privée". Et ce, alors que "la performance générale de Facebook en responsabilité sociale était déjà faible (25/100) avec des scores particulièrement limités dans les domaines sociaux", souligne l’agence de notation extra-financière.

5. En faire un avantage compétitif

Le RGPD "représente aussi une chance, celle de se différencier par la qualité apportée à la protection des données, assure Stéphanie Prunier, Partner chez Havas Paris. Être conforme au RGPD n’est pas une fin en soi. Assumer un positionnement data-friendly dans son ADN de marque, insuffler une culture de la Privacy, auditer les risques pour anticiper les crises, s’approprier les codes de bonne conduite ou les labels, permettra aux entreprises, de transformer la contrainte RGPD en une véritable opportunité".

Selon l’étude Havas Paris/Baker McKenzie, 57 % des Français feraient de plus en plus attention, avant de choisir un produit, aux pratiques en matière de données personnelles de la marque, de l’entreprise ou du fournisseur de service. Des entreprises comme les moteurs de recherche Qwant et Lilo ou la messagerie Newmanity fondent leur business model sur le respect de la vie privée, pour se démarquer de leurs concurrents. Avec succès.

Béatrice Heraud @beatriceheraud