Model.ShowBackToRefferer = false

La date fatidique d’application du règlement général sur la protection des données (RGPD) dans les entreprises approche. Vous avez peut-être le courage d’étudier ces directives, voire l’audace d’évoquer les exigences de conformité du RGPD lors d’une discussion entre collègues. Si le ton est à la plaisanterie autour de la machine à café, la situation est loin de vous rassurer. Elle vous inquiète même énormément.

Et à juste titre. La panique s’installant peu à peu (en proportion de votre rôle dans l’entreprise, cela va de soi), les questions et les préoccupations s’accumulent : cette épreuve vous paraît vraiment insurmontable.

Par où commencer ?

Prenez tout d’abord une profonde inspiration. La plupart de vos homologues doivent résoudre le même casse-tête. Saviez-vous que 69 % des entreprises française « ne se sont pas convenablement préparées à l’application des principes du règlement ? »1. Vous disposez peut-être des ressources nécessaires pour mener un audit interne. Sinon, vous pouvez externaliser cette mission. Le partenaire choisi procèdera à une évaluation de vos processus et mettra au jour les éventuels problèmes de conformité. Vérifiez ses références en amont pour savoir si ce cabinet a déjà permis à ses clients du secteur Banque et assurances de se mettre en conformité, mais aussi de suivre l’évolution des réglementations.

Attention à la marche : le point sur les données

Il existe deux types de données : celles qui sont visibles et celles qui ne le sont pas. Cela correspond à vos systèmes d’implication (site Web, e-mail, papier, etc.) d’une part, et à vos systèmes d’enregistrement (ERP, CRM, bases de données, classeurs d’archivage, etc.) d’autre part. C’est ce que les entreprises appellent généralement l’analyse de l’écart, qui nécessite de contrôler la qualité et la quantité de données.

Les systèmes d’implication ou « données côté client » sont plus faciles à mettre au jour, à actualiser et à gérer. Votre entreprise a probablement investi dans les dernières technologies permettant d’automatiser les processus de communication et d’implication des clients (au moment de l’intégration notamment, entre autres produits et services).

Il sera nécessaire de transformer ces données côté client, le jargon juridique devant faire place à une formulation commerciale classique. De plus, il conviendra d’accroître la transparence pour le client, en proposant notamment une option de retrait facile et des informations sur les modalités d’utilisation (et de sécurisation) des données le concernant. Puisqu’on parle de sécurité, vous devrez également prévoir un processus de notification multicanale en cas de violation possible des données.

Et qu’en est-il des données invisibles ?

Ces données se cachent dans vos systèmes d’enregistrement. Comme la plupart des entreprises, vous utilisez probablement des systèmes hérités vieux de plus de dix ans. S’il vous arrive parfois d’en extraire des données, il est désormais plus important que jamais de faire la lumière sur cette zone d’ombre. Si vous n’avez pas encore intégré ces systèmes hérités à vos plateformes technologiques modernes, l’heure est venue d’investir en ce sens. Grâce à la mise en place d’une plateforme d’intégration d’entreprise, vous pouvez mettre au jour ces données cachées et évaluer leur intérêt. Nombre de ces plateformes proposent des tableaux de bord affichant les erreurs relatives aux données et aux processus, ce qui facilite la résolution des problèmes. Ils permettent en outre de visualiser l’emplacement et les modalités d’utilisation des données. Résultat : vous pouvez tirer davantage d’enseignements et optimiser la gestion de vos données.

L’arbre qui cache la forêt : le point sur le papier

Si la technologie a permis de réduire la consommation de papier au fil des décennies, certains processus hérités et diverses exigences de conformité vous obligent à utiliser ce support. Les demandes de prêt immobilier, le montage des dossiers connexes et même la mise à jour de l’adresse des clients font s’accumuler des tonnes de papier. Sans parler de tous les documents que génèrent vos processus métier en interne. La solution consiste à investir dans une technologie de capture performante. Néanmoins, comme vous le savez sûrement, il ne suffit pas de capturer les données : il faut être en mesure d’extraire le contenu d’un immense panel de fichiers (factures, formulaires, bons de commande, etc.). Si l’extraction est la clé, le plus important est de savoir où et comment ces données peuvent être exploitées et intégrées dans vos bases de données afin qu’elles soient véritablement utilisables à l’échelle de l’entreprise et de tous ses systèmes.

Limitation des risques : le point sur vos employés

KYC, AML et CDD font partie des acronymes que nous rencontrons quotidiennement à mesure que la conformité oriente les processus métier du secteur financier. Et en voici un de plus : RPA (Robotic Process Automation) ou automatisation robotisée des processus. Imaginez la RPA comme un employé qui ne dort jamais, ne prend jamais de congés et ne fait aucune erreur. Cette technologie est conçue pour vérifier automatiquement les informations relatives à un client et son identité en confrontant une multitude de sites externes, comme ceux des autorités policières et des agences d’évaluation du crédit. La compilation de ces données, qui prendrait normalement une demi-heure à un employé lambda, est effectuée en deux minutes environ par la RPA, avec à la clé un gain énorme d’efficacité et de précision. Cette technologie peut évidemment être mise au service de bien d’autres tâches, par exemple : l’envoi automatique de notifications en cas de violation des données, déclenché par une alerte interne créée par vos soins ; la réponse aux demandes des clients concernant les modalités d’utilisation de leurs données ; la présentation de preuves attestant la suppression des données personnelles d’un client au sein de vos systèmes métier.

Où que soit située votre entreprise, vous devez satisfaire aux exigences du RGPD si certains de vos clients, partenaires ou fournisseurs résident dans l’Union européenne. Toute non-conformité peut vous conduire à mettre la clé sous la porte.

Prenez les choses en mains pour que votre entreprise ne fasse pas partie des 24 % de structures non conformes d’ici à mai 20182.

Si vous n’avez pas lu la première partie de ce billet, je vous invite à cliquer ici.

Sources :

Article consacré au RGPD sur LinkedIn (en anglais uniquement) : https://www.linkedin.com/pulse/how-prepare-your-non-eu-business-gdpr-paul-hewett

https://www.scmagazineuk.com/crunch-time-for-gdpr–how-to-prepare-eight-steps-to-compliance/article/678793/

Infographie : https://www.guidancesoftware.com/blog/security/2017/07/06/how-to-prepare-for-gdpr-with-sc-magazine