Et vous, quelle est votre politique data?

 
Données personnelles.jpg
 
 

Article initialement publié sur Linkedin

Encore assez méconnue en France, la stratégie de valorisation de la donnée ou data asset management constitue pourtant un enjeu crucial pour les années à venir. Souvent mal comprises, les opérations visant à valoriser, voire monétiser la data sont perçues comme antinomiques avec les règles en matière de compliance, notamment la compliance relative aux données personnelles. Peu d'acteurs s'y risquent encore - c'est notamment le cas d'Aquila advanced par exemple.

Inversement, le RGPD constituerait une entrave pour quiconque entendrait procéder à une telle opération de valorisation.

Pourtant, rien n'est plus faux que cela!

L'on va tâcher de balayer ici quelques idées reçues, et de montrer que, bien au contraire, la mise en conformité de RGPD sert bien souvent de point de départ à une stratégie de valorisation de la donnée

Quelques idées reçues

Les règles de compliance en matière de données personnelles sont souvent vécues comme une contrainte par les entreprises. Véritables aubaines pour les consultants et avocats, les opérations de mise en conformité imposeraient des investissement exorbitants aux TPE/PME et startups, dont le retour sur investissement se limiterait à éviter les sanctions du régulateur...

Afficher sa conformité au RGPD permettrait tout au plus d'améliorer l'image de l'entreprise et de rassurer le client, dans le cadre d'une relation B2C, et encore...

Surtout, une démarche de mise en conformité par rapport aux obligations légales serait antinomique avec toute finalité de valorisation des données.

La prévalence de telles idées reçues témoigne des distorsions et es préjugés qui existent encore au sujet de la donnée, et de l'urgence qu'il y a à sensibiliser les entreprises sur l'importance de leur politique data!

La compliance RGPD au service de la qualification de l'actif data

Certes, souscrire aux obligations RGPD n'est pas gratuit : cela a un coût. Toutefois, un tel investissement dans des prestations juridiques et techniques doit se comprendre dans le cadre d'un schéma beaucoup plus général. En effet, la compliance RGPD ne devrait pas être vue comme autre chose que ce qu'elle est réellement, c'est à dire comme un simple maillon dans une chaîne plus large: celle de la politique data des entreprises!

Qui songerait en effet, lorsqu'il procède à une opération de promotion immobilière, à faire l'économie des frais juridiques inhérents à une telle opération? De tels investissement (montages contractuels, fiscalité...) vont conditionner l'existence juridique d'un bien immobilier, et partant, sa valeur.

« Qui songerait en effet, lorsqu'il procède à une opération de promotion immobilière, à faire l'économie des frais juridiques inhérents à une telle opération? »

De même, quelle startup songerait à faire l'économie d'un cabinet d'avocats lorsqu'elle procède à une levée de fonds? Là encore, les différents montages juridiques, inhérents à ce type d'opération, vont conditionner l'existence même des mouvements de capitaux.

Il n'en va pas différemment de la donnée! En effet, les investissements juridiques en matière de données, en particulier ceux en matière de compliance RGPD vont contribuer à caractériser l'existence d'un actif : l'actif data, source souvent encore hélas méconnue de valeur pour les entreprises!

La valorisation de l'actif data par la compliance: le pari de Dawex et d'iExec

Mais alors, comment les règles contraignantes imposées par la CNIL peuvent me permettre de valoriser mes données clients? Le fait de protéger les données personnelles n'est-il pas antinomique avec une politique visant, au contraire à les valoriser? C'est tout le contraire!

« La valeur des jeux de données ne se mesure pas à l'aune du degré d'intrusion dans la vie privée! »

Bien sûr, le souci de la compliance RGPD vous empêchera peut-être de monter votre application de crédit social à la chinoise, ou bien encore votre business fondée sur un profilage digne du fameux épisode Nosedive de Black mirror.

... Certes, les méthodes d'anonymisation imposées par les autorités de régulation vous contraindront peut-être quelque peu dans le pillage immédiat des informations de vos fichiers clients - bien que le lien entre anonymisation et amoindrissement de la valeur des données reste à démontrer.

Toutefois, la valeur des jeux de données ne se mesure pas à l'aune du degré d'intrusion dans la vie privée!

Une confusion fréquente consiste d'ailleurs, à ce sujet la data, prise dans son sens large - comme tout jeu de données - et les données personnelles qui permettent d'identifier directement ou indirectement des personnes physiques. En effet, bien des informations détenues par les entreprise, qui n'ont, de près ou de loin, absolument aucun caractère personnel, ont néanmoins un potentiel de valorisation économique énorme.

Réciproquement, le caractère personnel d'un jeu de données n'accroît pas nécessairement sa valeur. Dans bien des domaines, des jeux de données anonyme ou purement statistiques ont une valeur équivalente à celles des données personnelles, tant que ceux-ci permettent de tirer des conclusions signifiantes pour un segment du marché.

C'est ce pari qu'a fait la startup française Dawex, qui s'est donnée comme objectif d'être une des premières plateformes de valorisation boursière de la donnée, et dont les méthodes ont été élaborées en partenariat avec la CNIL.

Tel est également l'objectif que s'est fixé iExec, qui propose d'échanger des jeux de données uniquement sous forme anonymisées.

La méthode de la compliance RGPD comme point de départ d'une stratégie de structuration et de valorisation de la donnée

En fait, bien loin des idées reçues précédemment évoquées, la pratique montre que la mise en conformité RGPD sert bien souvent de point de départ à une stratégie de structuration valorisation de la donnée.

« Comment conférer de la valeur à un bien si l'on n'a pas préalablement évalué celui-ci, et, a fortiori, si l'on a pas même conscience de son existence? [...] »

La méthode de la cartographie des traitements de données personnelles et la construction de registres de traitement qui s'ensuit peut aisément être étendue à d'autres catégories de données que les données personnelles. Cette cartographie est indispensable à la valorisation de la data dans son ensemble: en effet, comment conférer de la valeur à un bien si l'on n'a pas préalablement évalué celui-ci, et, a fortiori, si l'on a pas même conscience de son existence?

De même, une autre étape de la compliance RGPD s'avère cruciale du point de vue de la valorisation de la donnée: la sécurisation des données. En effet, une donnée qui n'est pas en sécurité, tant d'un point de vue technique qu'organisationnel, ne peut pas être valorisée! Qui investirait dans un hangar ouvert au pillage? Ainsi, les mesures techniques et organisationnelles établies dans les Chartes de sécurité informatique s'avèrent autant indispensables, au respect du RGPD qu'à la sécurisation des données en général et donc à leur valorisation, de même que les mesures de cybersécurité, telles que le cryptage, la réalisation d'audits réguliers, ou de tests d'intrusion.

« Une donnée qui n'est pas en sécurité, tant d'un point de vue technique qu'organisationnel, ne peut pas être valorisée! Qui investirait dans un hangar ouvert au pillage? »

Enfin, la méthode de l'analyse d'impact, mise en oeuvre à l'occasion de la compliance RGPD, laquelle consiste à identifier les risques du point de vue des droits et libertés des personnes, peut aisément être transposée dans le cadre d'une méthode de valorisation de la donnée.

De tels exemples de similarités entre l'approche de compliance RGPD et l'approche de valorisation de la donnée pourraient encore être multipliés à l'envie!...

Alors, quelle est votre stratégie data!?

Ainsi, il est étonnant de constater à quel point les entreprises peuvent demeurer dans l'ignorance des riches potentiels dont elles disposent en termes de valorisation de la donnée. Quel dommage!

Bien souvent, la mise en conformité RGPD est justement l'occasion d'une telle révélation. Les données - et pas seulement les données personnelles sont alors minutieusement répertoriées, triées, structurées. Les fondements juridiques à leur traitement sont déterminés, tant d'un point de vue RGPD que du point de vue de toutes les autres contraintes légales (propriété intellectuelle, secret industriel etc.). La sécurité informatique des jeux de données est assurée, de même que les mesures organisationnelles de sécurité garanties.

C'est alors que peut débuter la grande aventure de la monétisation des jeux de données, et la génération de valeur qui en découle mécaniquement.

Aussi, la question à se poser ne devait-elle pas être « Combien va me coûter ma mise en conformité RGPD? » mais plutôt : « Quelle est ma politique en matière de données, et combien va me rapporter ma stratégie de valorisation des données ? »

Et vous, quelle est votre stratégie data?

Sur le même thème

 
Mis en avant
L’exploitation généralisée et indifférenciée des données de connexion en question
L’exploitation généralisée et indifférenciée des données de connexion en question

Article paru à la Revue de l’Union européenne (RUE), Dalloz, 2022, n°659 (juin 2022)

L’arrêt Schrems II, vers une résolution de l’équation transatlantique ?
L’arrêt Schrems II, vers une résolution de l’équation transatlantique ?

Article paru à la Revue de l’Union européenne (RUE), Dalloz, 2021, n°646 (mars 2021)

Actualité du droit du numérique dans l'Union européenne : bilan et perspectives
Actualité du droit du numérique dans l'Union européenne : bilan et perspectives

Dossier paru à la Revue de l’Union européenne (RUE), Dalloz, 2020, n°634 (janvier 2020)

L'extraterritorialité du RGPD dans le contexte du Cloud act
L'extraterritorialité du RGPD dans le contexte du Cloud act

Article paru à la Revue de l’Union européenne (RUE), Dalloz, 2019, n°630 (juillet-août), corédigé avec mon ami et confrère Me Farid Fatah

Le secret professionnel dans le règlement général sur la protection des données
Le secret professionnel dans le règlement général sur la protection des données

Article paru à la Revue française de droit administratif (RFDA), Dalloz, 2018, n°6 (novembre-décembre)

RGPD et secret professionnel des avocats
RGPD et secret professionnel des avocats

Article paru à la Revue du droit de l’Union européenne (RDUE), Clément Juglar, 2018, n°1 (janvier-mars)

RGPD, politiquedataAlexis DeroudilleRGPD, politiquedata