La nouvelle législation sur la protection des renseignements personnels (découlant de l’adoption de la loi 25) permet notamment aux entreprises de se prémunir contre des scandales de fuite de données, tels que ceux qu’a connus Desjardins en 2019.
La loi 25, dont la dernière phase d’application s’achève le 22 septembre 2024, comprend de multiples obligations de gouvernance, de transparence et de divulgation de l’information. Ces règles protègent les données des individus et offrent aux entreprises une occasion inespérée de développer une gouvernance globale de leurs données, et par la même occasion, de renforcer la sécurité de celles-ci.
Les compagnies plus avisées pourraient saisir cette opportunité pour aller au-delà de la simple conformité à la loi, en effectuant un inventaire global de leurs données, et en tirer des bénéfices considérables.
Experts en gestion des technologies de l’information et du numérique, nous proposons d’apporter un éclairage sur l’importance, pour les entreprises, de développer une gouvernance globale et cohérente de leurs données.
Les changements réglementaires
Le Québec a promulgué une nouvelle loi en septembre 2021, la loi 25, pour protéger les informations personnelles détenues par les entreprises.
De son côté, le Canada étudie un projet de loi similaire (C-27). De telles mesures sont également en application en Europe.
Ces dispositions obligent les entreprises à construire un inventaire détaillé des données qu’elles conservent sur les personnes, qu’il s’agisse d’employés ou de clients. Désormais, ces données ne peuvent être utilisées qu’aux fins pour lesquelles elles ont été recueillies, avec le consentement des personnes concernées. Tout bris de confidentialité doit être consigné et déclaré aux autorités compétentes dans des délais spécifiques.
Par exemple, si une entreprise conserve des curriculum vitae à la suite de l’affichage d’un emploi, elle devra identifier le responsable de ces données, leur contenu, leur provenance, leur usage, qui peut y avoir accès, ainsi qu’un calendrier de conservation. Pour faciliter cet inventaire, l’utilisation d’un outil simple comme celui proposé ci-après pourrait être appliquée à l’ensemble des données de l’entreprise.
Les efforts requis
Jusqu’à récemment, les données ne suscitaient pas autant d’intérêt que la sécurité des systèmes informatiques, par exemple les systèmes de marketing et de gestion des ventes, de ressources humaines ou de comptabilité. Les données étaient souvent partagées ou réutilisées. On pouvait par exemple revendre une liste de clients à une autre entreprise qui l’utilisait à des fins de marketing. Il y avait peu de protection pour les données individuelles détenues par les entreprises.
Avec la nouvelle législation, ces pratiques ne seront plus permises sans l’autorisation explicite des individus concernés par ces données.
En premier lieu, les organisations devront identifier l’ensemble des données personnelles qu’elles possèdent, comprendre comment et où elles sont gérées et stockées, et s’assurer que les bonnes personnes en soient responsables. Elles auront ainsi un portrait des données qui permettra d’indiquer à une personne qui le demande quelles données la concernant sont gardées.
Dans plusieurs entreprises, les données de vente sont gérées par le marketing, les données sur les personnes employées par les ressources humaines, et les comptes clients par les finances. Or, on ignore souvent qui détient quoi. Sans le savoir, des données sur une même personne peuvent se retrouver dans deux ou trois départements différents, et dans plusieurs bases ou entrepôts de données.
Les nouvelles lois exigent une approche plus structurée pour connaître et gérer ses données. Ceci implique d’identifier les processus et ressources nécessaires pour y parvenir, afin d’en tirer parti de façon responsable.
Une opportunité se présente
Une gestion saine des données personnelles requiert un effort important. Au-delà des contraintes imposées par la loi, une telle gestion offre aux entreprises une occasion de mieux structurer leurs données dans leur ensemble. Cette organisation leur permettra non seulement de les rentabiliser, mais également d’obtenir une meilleure performance.
Tant qu’à construire un inventaire sur les données personnelles, pourquoi ne pas y ajouter les données sur les produits et sur les processus ? Avec un inventaire complet des données, l’organisation pourra mieux analyser ses activités, améliorer ses services, être prête à exploiter l’intelligence artificielle, et être en mesure de traiter ses données comme un actif à valeur stratégique.
Un tel inventaire aura comme premier effet d’améliorer la qualité des données dans l’organisation. En effet, en construisant cet inventaire, on pourra définir une seule source fiable à utiliser, des paramètres d’évaluation de la qualité des données, et les personnes responsables de ces dernières. Une augmentation de la qualité des données aura un impact positif sur d’autres activités comme le suivi de performance ou l’ajout de nouveaux services. Il deviendra alors possible de mieux servir les clients de l’organisation. De manière réciproque, les personnes qui transmettront leurs données aux entreprises seront assurées qu’elles seront utilisées aux fins prévues, et mises à jour correctement.
Faire d’une pierre deux coups
Une fois les données identifiées et de bonne qualité, les entreprises pourront en tirer profit. Comment ? En donnant accès à des services reposant sur leurs données, par exemple. Elles pourront ainsi laisser leurs clients accéder aux données de manière à intégrer leurs produits plus facilement aux offres de service.
Par exemple, des compagnies de livraison ouvrent déjà une partie de leurs données aux services de ventes en ligne afin que le consommateur puisse facilement suivre la livraison de ses commandes. Les livraisons sont suivies à la trace pour en assurer la performance, et les clients apprécient la possibilité de suivre la progression de leur commande.
Regard vers le futur
La gestion des données personnelles est désormais une obligation légale. Si elle est exécutée sans autre objectif que celui de respecter la loi, elle requerra un effort important sans procurer de bénéfice tangible, et représentera une occasion manquée.
Or, si cette gestion est étendue au-delà des seules données personnelles, un monde de possibilités s’ouvrira aux entreprises, qui pourront commencer à traiter les données comme une ressource stratégique, au même titre que les ressources financières ou humaines. Ces données pourront permettre la création de modèles d’affaires complètement différents. Tant les entreprises que les individus y gagneront.