Quand tradition et confidentialité se rencontrent : les secteurs non numériques aux prises avec la gouvernance des données et le consentement

Malgré la multiplication des législations sur la protection de la vie privée aux États-Unis et dans le monde, de nombreuses entreprises, notamment celles qui ne sont pas issues du secteur technologique et privilégient le numérique, peinent encore à se mettre à niveau. Un rapport récent a montré que moins de la moitié des organisations américaines ont entrepris les démarches les plus élémentaires pour se conformer aux lois étatiques sur la protection de la vie privée. Des secteurs comme l'industrie manufacturière, l'agriculture, le bâtiment et l'éducation, traditionnellement axés sur les infrastructures physiques et les opérations concrètes plutôt que sur les données personnelles, manipulent désormais de plus en plus d'informations sensibles, mais manquent souvent des systèmes, des politiques et de la culture nécessaires à une protection efficace de la vie privée et à une gestion rigoureuse du consentement.

Les organisations ancrées dans des pratiques traditionnelles s'appuient souvent sur une infrastructure obsolète et rigide. Les données, qu'il s'agisse des dossiers des employés, des informations sur les fournisseurs ou des coordonnées des clients, sont dispersées dans des référentiels fragmentés : dossiers papier, bases de données cloisonnées ou systèmes hérités datant de plusieurs décennies. Ces systèmes sont généralement dépourvus de mécanismes intégrés de nettoyage, d'auditabilité et de méthodes de suppression des données sécurisées. Les protocoles de suppression sécurisée sont souvent absents ou appliqués de manière incohérente, ce qui rend les organisations vulnérables aux réglementations et aux violations de données. Or, des études montrent que même parmi les secteurs où des politiques de nettoyage des données existent, seulement 62 % estiment que ces politiques sont bien communiquées au sein de leurs opérations.

De même, lorsque ces secteurs traditionnels s'aventurent dans le monde numérique, parfois de manière aussi simple que la création de sites web et d'initiatives de marketing digital basiques, ils sont cruellement mal préparés et mal informés de leurs obligations légales et réglementaires en matière de confidentialité, de protection des données, de cookies, de consentement et de conformité.

Les entreprises manufacturières, sans doute les plus emblématiques des secteurs non axés sur le numérique, sont de plus en plus ciblées par les cybercriminels. Un rapport de 2023 a révélé que l'industrie manufacturière représentait plus de 25 % des cyberattaques mondiales, ce qui en fait le secteur le plus visé. Rien qu'en 2022, plus de 130 violations de données ont touché des entreprises manufacturières, exposant 38 millions d'enregistrements.

Face à une telle insécurité des données, la confidentialité des données est illusoire. Par conséquent, même les principes fondamentaux de la cybersécurité, comme le choix du visiteur d'un site web concernant l'utilisation des cookies, ne sont pas correctement appliqués.

Contrairement au RGPD en Europe, qui constitue un cadre global et unifié, la législation américaine sur la protection des données est un ensemble disparate de lois étatiques (comme le CCPA) combinées à des réglementations sectorielles telles que HIPAA ou COPPA. De ce fait, de nombreux secteurs traditionnels se retrouvent sans norme unique et cohérente à respecter.

Par ailleurs, les exigences évoluent rapidement. Au sein de l'UE, des directives telles que NIS2 (Network Information Security 2) et DORA imposent des obligations strictes en matière de cybersécurité, de résilience et de reporting à un plus grand nombre de secteurs, notamment l'industrie manufacturière, l'agroalimentaire et les services publics. Les entreprises non numériques sont souvent mal préparées à de telles obligations. Sans une préparation minimale en matière de cyber-résilience, la protection des données et le respect du consentement risquent d'être négligés, malgré les risques financiers et de réputation liés à la non-conformité. 

Au-delà des systèmes et des réglementations, de nombreuses entreprises traditionnelles sont confrontées à une inertie culturelle. Historiquement, les priorités ont été axées sur l'efficacité de la production ou les indicateurs clés de performance opérationnels traditionnels, et non sur la protection des données, l'obtention du consentement ou les risques numériques. Sans catalyseur, comme une enquête réglementaire ou une violation majeure de données, l'investissement dans des équipes, des outils ou des processus permettant d'intégrer la protection des données dès la conception est peu enclin. Bien que cela reste anecdotique, nombre d'entre nous ont travaillé dans des secteurs traditionnels où même les équipes juridiques et informatiques semblent piétiner face à l'évolution des réglementations en matière de protection et de gouvernance des données.

Même si ces équipes sont chargées de l'application des réglementations, tant sur le plan juridique que technique, une part importante de la résistance peut se situer à ce niveau. Prenons l'exemple d'une entreprise de construction d'infrastructures qui se lance timidement dans le marketing numérique. Si ses sites web ont enfin mis en conformité ses politiques et bannières de consentement relatives aux cookies avec le RGPD, elle ne disposait d'aucune approche claire pour gérer le consentement au-delà de ces aspects. Les équipes commerciales, enthousiastes quant aux opportunités offertes par le marketing numérique mais mal informées sur le RGPD et le consentement, ont insisté pour envoyer des newsletters et des campagnes d'emailing sans avoir obtenu de consentement explicite. Le service marketing s'y est opposé (fort de sa connaissance du RGPD et du fait qu'aucun CRM n'existait pour gérer les consentements et les inscriptions), mais l'équipe informatique, attachée à des pratiques d'il y a plus de dix ans, a pris le parti des ventes jusqu'à ce que le service marketing consulte un avocat qui a formellement déconseillé cette démarche. Cet exemple illustre la tension et le ton de ce débat, alimenté principalement par des personnes bien intentionnées mais n'ayant jamais travaillé dans un environnement numérique.

Que ce soit en partant de zéro ou avec une présence numérique limitée, les secteurs traditionnels peuvent adopter la bonne approche en matière de protection des données et de consentement en suivant quelques étapes clés :

Sensibilisez et responsabilisez tous les membres de l'organisation en matière de protection des données. Que ce soit par le biais de formations ou en intégrant systématiquement ces connaissances dans toutes les communications internes, c'est un pas de géant vers la résolution des résistances culturelles au changement.

Anticipez l'évolution de la réglementation. Attendez-vous à des vagues successives de réglementations sur la protection de la vie privée, qu'il s'agisse de lois directes sur la protection des données ou d'obligations de cybersécurité. Les organisations qui mettent en place dès maintenant des cadres flexibles et évolutifs seront bien mieux placées pour s'adapter, voire pour faire de la protection de la vie privée un avantage concurrentiel. 

La protection des données n'est pas l'apanage des géants du numérique. Les industries dites « traditionnelles » – usines, établissements d'enseignement, entreprises de construction, exploitations agricoles – prennent conscience de la réalité : elles aussi détiennent des données personnelles, peuvent être la cible de cyberattaques et, si elles ont une présence numérique, elles doivent se conformer à la réglementation.

La voie à suivre exige des investissements, non seulement dans la technologie, mais aussi dans la gouvernance, la culture et la stratégie. En développant des opérations axées sur les données et en considérant la protection de la vie privée comme une responsabilité et une opportunité, les industries traditionnelles peuvent transformer ce qui était autrefois un fardeau de conformité paralysant en un socle de confiance, de résilience et d'innovation.

Une mesure concrète pour les organisations traditionnelles consiste à adopter une plateforme de gestion du consentement (PGC). Ces plateformes centralisent la manière dont les entreprises recueillent, stockent et respectent les préférences de consentement individuelles sur les sites web, les applications et même les systèmes hors ligne.

Pour les industries dont l'infrastructure est fragmentée, une PGC offre une source unique de vérité, garantissant ainsi le respect constant des signaux de consentement, quelle que soit l'origine des données. Cela simplifie non seulement la conformité aux réglementations telles que le RGPD, le CCPA et les différentes lois des États américains, mais renforce également la confiance des employés, des partenaires et des clients qui exigent de plus en plus de transparence et de contrôle sur leurs données personnelles. En intégrant une plateforme de gestion des données personnelles (CMP) à leurs systèmes existants, même les entreprises les moins axées sur le numérique peuvent moderniser leurs pratiques en matière de protection de la vie privée sans avoir à refondre l'intégralité de leur infrastructure informatique.