Harmoniser la gestion des données à l'international
Afin de se conformer au RGPD, les multinationales sont confrontées à une réalité complexe. Présentes sur différents territoires et soumises à des législations nationales, elles ont jusqu'à maintenant appliqué des règles de sécurité et de gestion des bases de données souvent variées. De ce fait, l'harmonisation des processus et la mise en conformité demandera des efforts inégaux pour chacun des pays où elles sont présentes. Comparées à d'autres entités européennes, les filiales allemandes sont sur ce point clairement en avance, ayant intégré dès le 25 août 2017 les nouvelles exigences européennes en la matière dans sa loi fédérale de protection des données à caractère personnel (Neues Bundesdatenschutzgesetz - BDSG).
Pour tous, le RGPD devrait être considéré comme une vraie chance de moderniser les processus : nettoyer les bases de données et définir les responsables de traitement en apportant de la qualité et de la transparence aux bases de données. Données RH, contacts des clients et fournisseurs, documents logistiques : les données qui peuvent être considérées par la CNIL comme sensibles sont présentes dans chaque entreprise.
Le RGPD oblige aussi les multinationales à réfléchir sur la conception de leurs ERP et intranets et sur la transmission des données. Est-il nécessaire de les transmettre automatiquement au siège ? Faut-il laisser l'accès à des données d'un pays aux autres entités internationales ? Comment diminuer le nombre de données transférées ?
Puiser dans la culture du groupe : exemple du Japon
Pour mener à bien tous ces changements, il est intéressant de réfléchir à comment la culture du groupe peut y contribuer. Les sociétés japonaises ont la particularité de réagir tout de suite et en amont pour prévenir tout risque. Les documents de sensibilisation, des rapports et de nouvelles clauses de confidentialité sont pour elles autant de moyens déployés depuis des mois pour éviter de contrevenir à la loi. La machine s'est mise en route.
En même temps, le RGPD n'est pas une action ponctuelle mais un processus qui démarre. Il implique un travail continu tout au long de sa validité, notamment pour respecter le "droit à l'oubli" des utilisateurs, c'est-à-dire l'obligation d'effacer systématiquement des données qui ne sont pas "nécessaires" à la réalisation d'un contrat par exemple. Les sociétés japonaises, qui mettent au cœur de tout changement la sensibilisation et l'apprentissage, ont sur ce point une vraie force : transformer, tout en accompagnant ses filiales et ses services dans cette transformation, avec cet attachement personnel qui les différencie de tant d'autres cultures.
Le RGPD, un enjeu d'avenir
L'Europe n'est pas toujours au cœur des priorités des grandes multinationales, qui dans leur dynamique de croissance observent de près les grands marchés dominants comme les États-Unis ou les nouveaux vecteurs de développement que sont certains pays émergeants. Le RGPD a été l'occasion de dresser notre continent au milieu des priorités en imposant à tous une introspection en profondeur. Un travail intense de réflexion doit être fait pour refondre les règles de collaboration entre le siège et les entités européennes... mais pas seulement ! L'exigence européenne a tout d'abord été commentée avec ironie, voire une pointe de mépris par certains observateurs extérieurs. Néanmoins l'actualité mondiale a rattrapé les mises en gardes européennes. Le monde entier comprend l'importance du 25 mai qui, nous pouvons le penser, sera une date de référence pour tous.
L'enjeu du respect de la vie privée n'est pas européen, il est bel et bien mondial. Quelques semaines auront suffi pour que chacun le comprenne.
Hervé Buttignol, responsable des systèmes informatiques chez Clarion Europe