Frein n° 10 - Faible sensibilisation aux enjeux Intégrer le cadre réglementaire de la de sécurité et de protection de la data protection des données : une nécessité Parmi les entreprises que nous avons interrogées, 30 % pour que sécurité juridique et confiance estiment ne pas être concernées par les enjeux de protection des clients constituent le socle du de la vie privée lors de l’exploitation de leurs données clients. développement Un résultat qu’il convient de nuancer selon le niveau de L’exploitation des données s’inscrit nécessairement maturité des entreprises en termes d’exploitation de data. dans un cadre réglementaire qui va protéger, outre En effet, les entreprises identifiées comme les plus matures les droits d’auteur, les créations originales et les dans l’Indice EY de Maturité Data sont 92,3 % à considérer investissements du producteur d’une base de données, que la question de la protection de la vie privée est un enjeu l’exploitation des données personnelles, c’est-à-dire qui prioritaire dans l’exploitation des données clients. Tandis que va permettre aux individus de connaître l’exploitation qui pour celles qui ont été identifiées comme non matures, seules est faite des données qui peuvent les identifier, et dans 20,7 % perçoivent la privacy comme un enjeu, contre 58,6 % certains cas, de s’y opposer. qui ne paraissent pas encore s’en préoccuper. Le cadre réglementaire de la protection des données Les données personnelles sont précieuses pour les personnelles en Europe impose notamment des ** obligations déclaratives auprès du régulateur national entreprises car elles revêtent un fort caractère prédictif . La confiance des producteurs de data augmentera fortement (la CNIL en France), des obligations de loyauté dans leur propension à partager des données personnelles fiables la collecte et la communication des données, des et précises, et baissera ainsi significativement les biais obligations d’information, d’accès et un droit d’opposition statistiques des modèles décisionnels et prédictifs. au bénéfice des personnes concernées, des restrictions en cas d’accès ou de transferts en dehors de l’Union Les entreprises sont généralement un peu plus sensibles européenne ainsi que des obligations d’effacement à l’aspect technique de la protection des données et, plus des données lorsqu’elles ne sont plus nécessaires pour précisément, au risque de cyberattaque de leurs systèmes répondre à la finalité qui a motivé leur collecte. d’information (SI). Ce cadre réglementaire n’a pas vocation à empêcher * Selon une étude internationale EY sur la sécurité des l’exploitation des données personnelles mais à donner systèmes d’information, 59 % des entreprises interrogées des garanties aux personnes dont les données sont considèrent que les menaces externes sur leurs systèmes traitées, en termes de sécurité des données et de d’information sont en progression et 43 % affirment que leur contrôle sur l’utilisation qui est faite de leurs données. budget sécurité des systèmes d’information est en hausse. La conformité avec ce cadre réglementaire répond, au-delà de la prévention du risque juridique de sanction pouvant être prononcé par le régulateur (jusqu’à 300 000 euros en droit positif, mais bientôt jusqu’à 5 % du chiffre d’affaires mondial du responsable de traitement lorsque le projet de règlement en matière de protection des données sera adopté), à un enjeu éthique de respect de la vie privée des individus. Fabrice Naftalski ** “Under cyber attack - EY’s Global Information Security Survey 2013” Associé - Ernst & Young Société d'Avocats - Responsable EMEIA des activités Droit des Technologies de l'Information et de la Propriété Intellectuelle Quelle maturité dans l'exploitation des données clients ? | 25
Big data : où en sont les entreprises françaises ? Page 24 Page 26