Data Compliance et Data Privacy

Avec les évolutions réglementaires des dernières années, les notions de Data Compliance et de Data Privacy ont pris une place prépondérante dans les enjeux de gouvernance des données des organisations privées comme publiques.

Beaucoup d’articles et de contenus sont disponibles sur ces sujets, souvent avec des visions théoriques et réglementaires. Pour prendre le contre-pied, nous accueillons dans cette interview Marie André, PO et consultante en Architecture d’Entreprise, qui va nous partager son retour d’expérience pratique sur un projet de Data Compliance. Avant de rentrer dans le détail de ta mission, pourrais-tu nous expliquer simplement ce que l’on met derrière les termes de Data Compliance et Data Privacy ?

Pour des définitions théoriques, mieux vaut se reporter à la littérature foisonnante sur le sujet ! Ce sont des concepts, et juste une question de vocabulaire comme pour de nombreux autres termes apparus autour de la Data. En entreprise, quand on aborde ces notions, tout le monde fait avant tout référence au RGPD.  

La Data Compliance va porter sur le respect réglementaire et sur les règles de l’entreprise, voire parfois des valeurs liées à la data client. Son périmètre dépend donc de l’entreprise, de son secteur d’activité, des types de données qu’elle traite. Entre le retail, la pharmaceutique ou la finance, les priorités autour de la donnée varient !

La Data Privacy est souvent incluse dans la Data Compliance et est liée au respect des données personnelles et des règles éthiques de l’entreprise.

Tu fais référence au lien entre RGPD et Data Compliance. Quelles étaient ses facettes au sein du groupe que tu accompagnais ?

Les DPO(s) (Délégués à la Protection des Données) vont intervenir sur le RGPD dans son ensemble : les collaborateurs, les contrats avec les partenaires, le conseil en interne, jusqu’aux dimensions plus « administratives » comme les registres de traitement.

En tant que Product Owner d’une solution spécifique au RGPD, j’avais pour ma part une vision orientée produit et uniquement appliquée aux données des clients. Au sein de ce groupe de la grande distribution, il s’agit d’un produit développé en interne qui a vocation à piloter les différents aspects liés au RGPD, comme par exemple les droits des personnes, en l’occurrence le droit à l’oubli. 

Le RGPD pose également plusieurs principes sur la durée de rétention des données. Le traitement des données personnelles dans le retail peut, par exemple, être fondé sur la base contractuelle, pouvoir définir si le client est ou non en relation contractuelle avec l’entreprise représente une information clé pour savoir si on peut conserver les données !

Ce sujet est un bon exemple pour illustrer une théorie assez simple dont la mise en pratique est complexe. Comment définir cette relation contractuelle ? Où retrouver ces informations dans le SI ? Comment la diffuser ou la mettre à jour dans tous les systèmes concernés ?

Le produit que je pilote s’occupe en conséquence aussi de la purge des données. Il faut bien supprimer les données clients lorsque c’est nécessaire, et cela, dans toutes les applications du Système d’Information. Là aussi, en théorie, c’est simple, et en pratique non, car c’est l’ensemble du SI du client qui est mobilisé avec de forts enjeux de gouvernance des données.

Le Produit gère aussi d’autres aspects comme le consentement explicite : le client donne son autorisation pour recevoir des avis produits ou des newsletters. La partie cookies complète la palette, même si, dans ce cas, nous faisons appel à un éditeur tiers.

Quels sont les différents enjeux autour de ce sujet de Data Compliance ? 

Le légal est le point numéro 1. C’est aussi ce qui fait paraître, au premier abord, le projet un peu moins « fun » et le Produit moins attirant : les applications qui doivent s’intégrer avec mon produit n’y trouvent pas directement de l’intérêt métier. C’est une composante à prendre en compte dans l’accompagnement et le relationnel avec les autres équipes ! 

Cependant, une fois que l’on a dépassé ce point, on se rend compte qu’il y a un pan entier de relation avec le client. Avec la mise en avant du sujet RGPD auprès du grand public, c’est devenu une des clés pour bâtir la confiance avec les clients. Les cookies sont un exemple, comme l’est aussi la perte de confiance en cas de fuite. La transparence et la sécurité des données sont devenues des socles de la confiance. Confiance qui facilite aussi la récupération des consentements pour utiliser les données, et donc la capacité à communiquer, à fidéliser, à faire grandir la marque !

C’est aussi une question de pertinence. Cela force à soulever des débats qui étaient auparavant souvent mis sous le tapis. Si le client est inactif depuis longtemps, y-a-t-il encore un sens à le solliciter ? Ne conserver les données qu’un temps défini est ainsi l’occasion d’entretenir une base exploitable de clients actifs qui vont répondre aux sollicitations de l’enseigne… et de se poser les bonnes questions sur l’animation, la fidélisation, le développement d’une base de contacts qualifiés !

On touche également des enjeux de qualité, de gouvernance et de cartographie des données. Nous disposons par exemple ainsi d’un seul produit pour stocker les consentements ce qui assure d’uniformiser ces données dans le SI. Sans cela, on se retrouve souvent avec des bases de consentements désynchronisées qui ne garantissent pas un consentement centralisé et fiable. Cette uniformisation participe à la transparence vis-à-vis du client. 

Dans les grandes entreprises, il est parfois très difficile de trouver les bons interlocuteurs et d’avoir une liste complète des applications qui stockent ou traitent des données personnelles. La connaissance du SI est donc un prérequis pour mettre en place la data privacy !

Avec du recul, face aux impératifs légaux, il faut également faciliter au maximum les gestes métiers. C’est aussi la vocation de notre Produit.

Pourrais-tu nous en dire plus sur le produit de Data Compliance dont tu as la charge ?

Le produit Data Compliance que je pilote a donc été conçu en développement spécifique, à partir de zéro. L’objectif est d’être 100% adapté à l’enseigne et de pouvoir s’interfacer avec le système d’information de l’organisation et toutes les applications.

Il intègre plusieurs des notions de Data Compliance qui concernent l’enseigne. Il pilote la rétention des données et leur suppression dans toutes les applications concernées du SI, via l’envoi d’ordres de purge et la réception d’acquittements de purge. Il administre aussi les droits à l’oubli et propose un outil pour recevoir les demandes, les suivre et les traiter.

Il identifie également les différentes actions du client quelle que soit l’application afin de suivre la relation contractuelle avec tous les points d’interaction, et il centralise les consentements.

La Data Compliance est au cœur du SI et l’intégration avec toutes les applications est primordiale. Un produit externe ne serait pas forcément capable de prendre en compte les spécificités du SI et des différentes solutions. Par exemple, pour le droit à l’oubli, suivant l’application, c’est parfois l’ID qui est requis pour identifier le bon client, parfois l’e-mail, parfois le nom et prénom…  

Si on prend un angle plus technique on va avoir des notions d’échange avec le SI pour propager des informations et en récupérer (par exemple les ordres de purge, les traces de l’activité du client, les consentements récoltés…). Nous allons stocker différentes données comme les consentements et tout ce qui est nécessaire pour garantir la traçabilité.

 Nous travaillons également pour fournir des fonctionnalités au métier comme des interfaces pour gérer le droit à l’oubli ou pour récolter les consentements et leur preuve. Il y a également toutes les fonctionnalités de monitoring du produit.

« C’est un produit autonome du SI et non biaisé par les applications. Tout comme la CNIL, il est indépendant ! »

En quoi consiste ton rôle de Product Owner sur ce sujet de Data Compliance ? 

Etant PO d’un produit technique, ce n’est pas moi qui porte toute la dimension légale et réglementaire. Ce sont les DPO qui ont les rôles de conseil et de décision, même si avec l’expérience, j’ai une connaissance plus complète des notions qui entourent le produit.

Je suis accompagnée de 3 développeurs et d’un Product Leader. Comme tout PO, je vais récupérer les besoins des différentes parties prenantes autour de la Data Compliance comme le marketing ou les DPO : un nouveau reporting ? Disposer au sein de l’interface d’une check-list des points à vérifier dans le cadre du droit à l’oubli ? Savoir combien de clients sont inactifs depuis  un an ?

Je construis les user stories que je fournis aux développeurs afin de transformer le besoin métier en un descriptif fonctionnel et technique. Je participe à la priorisation des besoins et au planning de réalisation. En tant que Product Owner, j’ai aussi la vision d’où nous voulons amener le produit dans les prochains mois.

Accompagner le développement du produit repose aussi sur son interopérabilité avec tout le SI et toutes les questions que cela soulève ! Cela nécessite d’animer la relation avec tous les interlocuteurs concernés. 

Bien sûr, il faut aussi conduire le RUN du produit. Comme le produit est transversal, la communication est d’autant plus importante vis-à-vis des end users aussi bien pour les bugs que pour les nouvelles fonctionnalités.

La Data Compliance est en effet un sujet transversal. Avec quelles équipes interagis-tu et comment se déroule la collaboration ? 

Oui, comme je le soulignais, le produit en lui-même est particulièrement transverse à l’entreprise et complexe. Les interactions sont donc riches, avec les métiers, avec le légal et avec la technique. 

Je suis en relation avec les DPO au quotidien, ce qui est une spécificité de ce domaine de Data Compliance. Ils sont, tout comme moi, des ambassadeurs de ce sujet ! Nous partageons le même intérêt vis-à-vis de la mise en place de ce produit et ce sont de vrais supports au sein des BU pour m’aider à le déployer.  Au-delà des DPO, avoir un sponsor au sein de la direction permet de porter le sujet au niveau de l’entreprise et facilite l’engagement des parties prenantes.

J’échange bien sûr avec les développeurs et les autres Product Owners pour étudier comment interfacer les produits et ce qui doit être implémenté.

Quels sont les freins que tu rencontres dans ta mission de Product Owner ? 

Le premier frein est celui que tout le monde rencontre : le manque de disponibilité. Ce frein est renforcé par le fait que l’implémentation d’une dimension du RGPD n’est pas toujours la priorité de mes interlocuteurs face à des sujets liés au marketing ou à la fidélisation par exemple ! C’est aussi lié au manque de connaissance, de compréhension du sujet et à sa transversalité. Les équipes des applications qui doivent gérer la data privacy sont en majorité volontaires, mais parfois ne savent pas quoi mettre en place, comment le faire et à qui s’adresser.

Cela fait partie de mon travail et de l’accompagnement : relancer, s’appuyer sur les DPO, construire une relation de confiance et s’adapter aux priorités. Le relationnel est essentiel !

Dans tous les cas, la sensibilisation et la communication sont indispensables. Je perçois une évolution depuis le début de ma mission dans mes interactions avec les autres services : le travail de fond pour sensibiliser commence à porter ses fruits. Le sujet est mieux connu et appréhendé au sein de l’entreprise et du coup plus accepté.

Avoir une ou plusieurs figures référentes si on a besoin d’un conseil autour de la data privacy est un accélérateur du projet et également de l’acculturation au sujet. Le DPO et son équipe sont concernés, mais cela peut aussi être des « relais-DPO » au sein des domaines.

Certains freins sont spécifiques sur des points métiers. Contrairement à ce qu’on pourrait imaginer, il n’y a pas eu de blocages volontaires de certains services, y compris des plus impactés comme le marketing. Les freins métiers viennent avant tout des questions de fond qui sont soulevées. A titre d’exemple, sur le compte fidélité, les points sont valables à vie, alors que nous conservons les données beaucoup moins longtemps. De même, faut-il garder les données une fois anonymisées pour des fins statistiques ?

Dans le métier de la fidélisation, conserver les données a toujours fait partie des pratiques : plutôt que des freins, je parlerai donc d’évolution des démarches. Ce sont des sujets très intéressants et qui nécessitent une approche pédagogique plutôt que d’imposer sans accompagnement. 

Bien sûr, il y a des réflexes défensifs autour de l’idée « On va me supprimer mes données ! ». Quand il y a certains projets de purge massive qui impliquent de supprimer 50% d’une base obsolète, cela implique de l’accompagnement et de la conduite du changement

On n’a pas toujours les bons indicateurs sur la valeur de la donnée client. On ne se rend pas compte que certaines données perdent leur valeur avec le temps ! Les projets de Data Compliance sont aussi l’occasion de prendre du recul sur la valeur de la donnée et sa qualité.

Notre collectif de consultants conseille et accompagne les organisations autour de l’ensemble de leurs enjeux de valorisation des données : compliance,  gouvernance, data stewardship, qualité… 

La complémentarité de nos expériences (Product Owner, Product Leader, architecte IT, chef de projet, coach…) garantit d’apporter des dispositifs 360° adaptés à vos besoins et à votre écosystème.

Soyez averti(e) de nos prochains évènements et publications via LinkedIn !