Un modèle LIST pour aider les entreprises à tirer parti de l’économie de la donnée

Au centre de nombreuses actualités et controverses, l’utilisation des données personnelles est une thématique connue de tous. L’introduction en 2016 du Règlement Général sur la Protection des Données (RGPD) par l’Union européenne a néanmoins permis de fournir un cadre légal au sein duquel entreprises privées comme publiques sont soumises à des droits et obligations.

Si d’apparence simple, une application rigoureuse d’un texte de loi peut vite se confronter aux réalités de la pratique. Comment traduire un article, un alinéa ou des conditions en des actions concrètes qui garantissent droits et libertés aux employés ainsi qu’aux clients d’une entreprise ? Plus encore, comment tirer parti de ces données pour en faire une valeur ajoutée pour le client ?

A la suite de premiers travaux en collaboration avec la CNPD (Commission Nationale pour la Protection des Données - 2017) pour extraire les exigences légales relatives au RGPD, Stéphane Cortina et Philippe Valoggia, chercheurs au sein du département IT for Innovative Services du LIST, développe un modèle de référence à partir duquel il est possible d’évaluer (conformément à la série de norme ISO/IEC 33000) la capacité technique et organisationnelle d’une entreprise à protéger les données personnelles.

UN TEST DU MODELE FRUCTUEUX AVEC POST LUXEMBOURG ET LA CNS

« Ce modèle est orienté finalité, en d’autres termes, il sert à évaluer si les mesures techniques et organisationnelles mises en œuvre par une entreprise pour sa mise en conformité apportent les résultats attendus. », explique Stéphane. Sur cette base, les chercheurs sont en mesure d’analyser les forces et faiblesses constatées, mais aussi de structurer des recommandations d’amélioration en vue d’un plan de mise en conformité.

En collaboration avec POST Luxembourg, l’équipe de Stéphane et Philippe est allée à la rencontre des employés pour recueillir des données sur les pratiques de leurs métiers, et ce, des points de vente aux bureaux. Un exercice ambitieux en considérant l’hétérogénéité des pratiques à travers POST courrier, finance et télécom. « De cette manière, nous confrontons le modèle avec la réalité du terrain, tout en offrant aux entreprises une évaluation de leur aptitude à protéger les données personnelles. Par exemple, nous avons pu les aider à évaluer leur capacité à réagir en cas de violation des données, ou leur capacité à satisfaire l’exercice des droits par leurs clients. », illustre Stéphane.

Avec une approche cette fois-ci de workshops, les chercheurs ont également pu aider la Caisse Nationale de Santé (CNS) dans leur phase de définition et de mise en œuvre de leurs processus. « L’objectif était ici d’évaluer si les mesures opérationnelles qu’ils souhaitaient mettre en œuvre, ou celles déjà instaurées, permettaient bien d’être conforme aux différentes exigences légales du RGPD à travers notre modèle. », détaille Philippe.

DES OPPORTUNITES POUR UNE ECONOMIE DE LA DONNEE

Dans le cadre d’un test avec une entreprise de voyage professionnel, le modèle du LIST a permis d’aller au-delà de la simple notion de mise en conformité RGPD et de générer une prise de conscience sur les opportunités de l’Economie de la Donnée. « Du fait de leur plus petite taille, nous avons pu aller plus loin dans l’analyse en identifiant les opportunités qu’ils pouvaient avoir en termes de nouveau business, de valeur ajoutée pour leurs clients, et ce, à partir de l’exploitation de leurs données. », explique Philippe. Comme le souligne les chercheurs, beaucoup d’entreprises exploitent au minimum leurs données afin de ne prendre aucun risque vis-à-vis du règlement européen.  Pour autant, une évaluation poussée de leurs processus internes permet de garantir une mise en conformité, mais aussi de développer de nouveaux services profitables à leurs clients.

VERS UN OUTIL DIGITALISE ET AUTOMATISE

Dans le cadre de ce projet innovant, Stéphane et Philippe souhaite valider leur modèle pour garantir sa complétude et utilisabilité. Pour ce faire, les chercheurs souhaitent conduire davantage de cas pratiques avec des entreprises luxembourgeoises. « Nous avons prévu 5 cas pratiques et sommes donc en discussion pour la réalisation des deux derniers. Notre but est de pouvoir tester l’entièreté des processus compris dans notre modèle à travers un cas pratique global. », explique Stéphane.

Les ambitions du LIST ne s’arrêtent pas au modèle. Pour que la protection des données soit un vecteur de la transformation digitale des entreprises, il est nécessaire de maîtriser les coûts induits par la mise en œuvre de leur conformité réglementaire. Dans cette optique, le LIST compte bénéficier du Data Analytics Platform (DAP) pour tirer parti des opportunités offertes par l’Intelligence Artificielle pour développer des solutions d’évaluation de la protection des données faciles d’usage et financièrement raisonnables.

Par ailleurs, le LIST poursuit ses efforts pour soutenir les entreprises dans le développement de nouveaux services basés sur l’exploitation des données personnelles. A cette fin, un projet interne s’attache à préciser les modalités de conception de ces services sur la base du principe de « la protection des données dès la conception » (Data Protection by Design and by Default).

LIRE LES AUTRES #LIST_SUCCESS_STORIES:

• Rendre les bâtiments plus efficaces et confortables pour les occupants
• Explorer les origines et le destin de l’eau lunaire
• Les données mises au défi : associer la télédétection au "chaos" des réseaux sociaux
• Evapotranspiration: L'expertise du LIST au service des missions collaboratives de la NASA et de l'ESA
• Relever les défis de l'industrie 4.0 grâce aux data analytics du LIST
• FULLCOMP: Deux étudiants en structure composite deviennent l'histoire d'une réussite du LIST