#ParoledAgence
« Il faut une vraie réflexion stratégique,de la créativité, une sensibilité et une bonne compréhension des besoins du client. »
Valentin Fontan-Moret, Consultant-Formateur en Intelligence Economique & Stratégique
Culture RP a voulu revenir et vous éclairer sur l’importance de la mise en conformité au RGPD pour les entreprises et pour ce faire nous avons demandé à Valentin Fontan-Moret, Consultant-Formateur en Intelligence Economique & Stratégique un éclaircissement sur cette question.
Présentez-nous vos missions, l’ADN de votre agence ?
VFM Conseil intervient dans le vaste domaine de l’Intelligence économique et stratégique avec une double vocation : renseigner et défendre. Cela signifie d’une part rechercher puis traiter l’information pertinente par tous les moyens légaux pour éclairer les décisions de nos prescripteurs, et d’autre part gérer les risques liés au management de l’information comme l’espionnage économique, la cybercriminalité, ainsi que la conformité au RGPD.
A l’heure actuelle, ce n’est qu’un embryon d’agence : une structure unipersonnelle, mais je m’entoure de partenaires et collaborateurs avec qui nous sommes en voie d’association.
Notre ADN, c’est la stratégie. Je tiens beaucoup à la fonction de « conseiller » : mes clients n’attendent pas de moi des rapports de données brutes ou l’application bête et méchante de référentiels. Ils veulent un regard extérieur, un avis éclairé sur la façon la plus opportune d’utiliser l’information que je leur présente ou de concevoir une démarche de gestion des risques.
Aussi, nous renouons avec l’humain : l’intelligence artificielle et les outils de business intelligence sont partout, mais l’information stratégique pour un décideur ne peut pas se réduire à quelques chiffres. On nous appelle justement pour agir là où l’humain est irremplaçable : une mission récente m’a mené à traiter des sources humaines, sur le terrain, c’est-à-dire concrètement à parler avec des gens et observer l’environnement pour obtenir des informations qu’une machine n’aurait jamais pu détecter. Sur le volet défensif, cette approche est également valorisée car beaucoup d’entreprises commencent à comprendre que trop d’experts auto-proclamés du RGPD ou de la cybersécurité cherchent à appliquer de façon aveugle et industrielle des normes et principes. Or ce type de mission ne peut pas se réduire à quelques procédures formelles figées dans le temps.
Le RGPD est-il une menace pour les stratégies de communication des entreprises ?
Théoriquement, les façons de travailler devraient évoluer. Si la plupart des pratiques restent licites, un effort de transparence et de sensibilisation des personnels à quelques réflexes nouveaux reste à faire. Pour l’heure la CNIL a surtout sanctionné les acteurs qui font preuve d’une mauvaise volonté outrancière, mais des associations se préparent à faire respecter les droits des personnes sur leurs données en initiant elles-mêmes des procédures.
Pour ce qui est de la collecte des données, en amont, il y a effectivement des ajustements à penser, des pratiques nouvelles à implémenter et, parfois, des pratiques anciennes à abandonner. C’est une contrainte qui ne devient une menace que si la compliance est envisagée comme une corvée pénible dont il faut se débarrasser le plus rapidement possible : une telle approche pénalisera tôt ou tard l’entreprise. Mais pour ce qui est du message adressé par l’entreprise à ses clients et à la société au moment d’entreprendre une démarche de conformité, ce peut être une vraie opportunité.
Comment peut-il devenir une opportunité pour leurs activités ?
Je vois plusieurs axes essentiels :
D’une part, le RGPD arrive à l’heure où les besoins en sécurité de l’information explosent car les consciences s’éveillent sur les nouveaux risques de vols ou de fuites de données.
Or le RGPD appelle une réflexion sur le management de l’information : c’est l’occasion rêvée pour tout mettre à plat et penser un management global et stratégique de la donnée sur le plan sécuritaire et éthique, étant entendu qu’il est de toute façon inconcevable de penser la « privacy » sans une sécurité forte. La publication récente de la norme ISO 27701 le montre parfaitement en étendant et aménageant les principes de management de la sécurité de l’information de la célèbre norme ISO 27001 aux données personnelles.
D’autre part, on pourrait croire que profiter d’une mise en conformité RGPD pour repenser le management global de l’information consiste à ajouter des difficultés sur un problème de données personnelles déjà complexe, mais en réalité l’approche globale simplifie la tâche et en augmente considérablement la profitabilité, car la démarche intellectuelle à suivre pour le volet privacy comme pour le volet sécuritaire est très ressemblante comme le montre bien cette norme ISO 27701. Il m’est arrivé de voir des entreprises très soucieuses de la protection des données personnelles se faire voler des innovations et des informations sensibles parce qu’elles n’ont pas mis le même soin à protéger les données non-personnelles : c’est une aberration contre laquelle il faut absolument lutter.
Enfin, l’aspect éthique offre également une opportunité :
Pour peu que l’on ne fasse pas du pur « privacy-washing » avec quelques artifices (bandeaux de prévention à peine révisés et autres manœuvres dolosives), il y a réellement une carte à jouer pour les entreprises qui se donnent la peine de promouvoir l’esprit du texte à travers leur compliance et jouent sur cette fibre, comme peut le faire Qwant par exemple. Plutôt que de se dire « conformes », ce qui ne veut rien dire car un cas non-conforme peut toujours survenir, je conseille généralement à mes clients qui veulent faire de la communication et de l’influence sur ce sujet de revendiquer l’éthique data friendly à laquelle je les sensibilise.
Ce souci de protection des données peut-il être un levier stratégique dans le domaine de l’intelligence économique dans lequel votre cabinet évolue ?
Absolument, grâce aux moyens que nous venons d’évoquer. En revanche, le RGPD amène à reconsidérer la façon de faire du renseignement offensif : la collecte des données personnelles dans ce type de missions est rendue extrêmement délicate. Certaines pratiques sont désormais à proscrire comme le fichage trop systématique de personnes physiques à l’occasion d’une enquête sur une entreprise. Avant de renseigner sur une personne physique, il est prudent de toujours réfléchir au cadre juridique dans lequel on s’inscrit : s’agit-il de permettre au client de se défendre en justice par exemple, ou simplement d’assouvir une curiosité malsaine ? Le premier cas est admissible, pas le second.
Mais il subsiste une légère hyprocrisie car la majorité des données que l’on collecte viennent de sources ouvertes, autrement dit accessibles à tous ceux qui savent chercher et en toute légalité. Ce n’est pas pour autant que l’on peut tout faire avec ces informations, car certaines sont malgré tout très sensibles. Récemment, la communauté du renseignement a été très affectée par la disparition du graph search de Facebook, également prisé des growth hackers, qui permettait d’accéder à des informations très qualifiées dont les utilisateurs n’avaient pas forcément conscience qu’elles étaient publiques (on pouvait par exemple retrouver les personnes vivant dans telle ville, ou ayant tel âge, et likant telle page, ou ayant visité tel endroit, etc.).
Quels sont les droits des personnes dont les données sont traitées ?
La réponse varie en fonction des situations ce qui rend une réponse exhaustive à cette question impossible. Le texte prévoit des droits d’accès, de rectification voire d’effacement des données, un droit de limitation ou d’opposition au traitement… mais les exceptions sont légion. Par exemple, le fameux « droit à l’oubli » (droit d’effacement) ne s’applique pas si les données concernées sont traitées pour respecter une obligation légale, ou dans l’exercice de la liberté d’informer. Il faut retenir que l’individu n’est pas doté d’une toute-puissance sur les données le concernant, loin s’en faut ! Une idée trop répandue consiste à croire que le consentement est devenu l’unique fondement de tout traitement de données à caractère personnel : c’est complètement faux.
En revanche, un droit souvent oublié est quant à lui toujours applicable : celui d’introduire une réclamation auprès de la CNIL lorsqu’on estime que ses données font l’objet d’un traitement illicite.