Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

La connaissance client au cœur d’une révolution sans précédent !

Un nouveau contexte d’enjeux, de pratiques et d’acteurs est en train d’émerger. Il conteste les organisations même les mieux installées, redessine les relations et pose en termes différents les critères de performance.

Largement porté par la numérisation des activités, ce mouvement est profond et global. Il est centré sur le client qui, de ce fait, devient stratégique puisque l’enjeu est la capacité de faire des affaires avec lui le mieux et le plus longtemps possible. La connaissance de ses besoins, de ses exigences, mais aussi de ses envies, de ses projets immédiats comme plus éloignés, ainsi que les informations qu’il capitalise sur ce qu’il a vécu et comment, deviennent indispensables pour le servir au plus près de ses attentes.

Chacun de nous fait l’expérience de la façon dont il est traité, de la manière dont on lui répond, comment ses préoccupations sont anticipées et comment les réponses formulées se calent au plus près de ce qu’il croit être ses besoins. Cette expérience client - pour reprendre la formulation de ce concept certes pas vraiment novateur - est devenue une clé de la compréhension du multi équipement et de la fidélisation. Et là, nous touchons au cœur de la performance, celle qui fabrique la profitabilité des opérations et la santé financière des entreprises (Institutions d’assurance comme de distribution).

Le défi est donc de comprendre que nous sommes sortis de l’ère du traitement de masse pour entrer dans celui de l’individu. Toutefois, l’individualisation des solutions ne consiste pas à adapter une solution collective à une situation personnelle. Elle suppose que nous soyons capables d’entrer dans la compréhension du client, intimement liée à son expérience, et de l’accompagner dans la gestion de ses projets. Les formidables capacités des bases de données peuvent aider à comprendre et à anticiper. Mais fournir la réponse et moduler l’accompagnement nécessitent de repenser profondément les organisations. La verticalité a vécu, l’horizontalité aussi. Elles sont trop rigides, trop éloignées du cœur des solutions qu’il faut désormais produire. Pour être au plus près des clients et de leur complexité, il faut désormais être agile, réactif et retrouver une proximité largement perdue par des organisations autocentrées.

Les organismes ou entreprises qui réfléchissent à la meilleure manière de relever ce défi en viennent à repenser leur organisation, leur système de management et, pour tout dire, l’essence même de leur mission. De fait, il n’est plus envisageable de servir les clients avec les solutions et les dispositifs issus du modèle fordiste traditionnel. Répondre aux grandes thématiques de la mobilité, du vieillissement ou de l’habitat ne se fera pas sans intégrer des éléments multi-sectoriels multi-sectorielles. Car les réponses concrètes qui seront demain vendues aux clients résulteront de l’agglomération de réponses hybrides. Le financement du grand âge aura moins d’intérêt si les solutions d’accompagnement, de garde et de soins ne sont pas apportées. C’est donc bien un écosystème qui est en train d’éclore et qui ne manquera pas de casser la vision traditionnelle de la filière.

L’industrie de l’assurance a certes longtemps maintenu un dispositif souple, décentralisé, appuyé sur des réseaux de distribution largement autonomes. Néanmoins, elle a perdu au fil du temps une grande part de ces atouts car les organisations se sont rigidifiées. Il faut donc réinventer de nouvelles autonomies. La fin des systèmes centralisés coïncide avec l’émergence d’une nouvelle approche plus collaborative, gérant les proximités au plus près et intégrant des solutions puisées hors des filières traditionnelles.

Henri Debruyne