GDPR Implications Customer Identity Management - French

17
KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Le RGPD et la gestion des identités clients L'avènement du Règlement général sur la protection des données (RGPD) au sein de l’UE modifie les exigences relatives à la gestion des données personnelles. Le champ d'application de la réglementation est large et touche également les organisations basées en dehors de l'UE. A l'ère de la transformation numérique, l’obtention d'un équilibre entre les nouvelles exigences réglementaires d'une part et les nouvelles exigences en matière de gestion de la clientèle d'autre part nécessite de passer d'une gestion des identités clients par portail et par application à une gestion centralisée par plateforme. Et ce, afin de garantir l'équilibre entre conformité, consentement de l'utilisateur et réponse optimale aux besoins du client. Dr. Karsten Kinast [email protected] Martin Kuppinger [email protected] Commandé par Recherche associée #71529 Executive View: Gigya Customer Identity Management Suite #72002 Whitepaper: Using Information Stewardship within Government to Protect PII #72006 Leadership Brief: Your customer identities: How to do them right #72015 Leadership Brief: Monetizing the Digital Transformation KuppingerCole WHITEPAPER par Dr. Karsten Kinast & Martin Kuppinger | September 2016

Transcript of GDPR Implications Customer Identity Management - French

Page 1: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601

Le RGPD et la gestion des identités clients L'avènement du Règlement général sur la protection des données (RGPD) au sein de l’UE

modifie les exigences relatives à la gestion des données personnelles. Le champ d'application

de la réglementation est large et touche également les organisations basées en dehors de l'UE.

A l'ère de la transformation numérique, l’obtention d'un équilibre entre les nouvelles exigences

réglementaires d'une part et les nouvelles exigences en matière de gestion de la clientèle

d'autre part nécessite de passer d'une gestion des identités clients par portail et par

application à une gestion centralisée par plateforme. Et ce, afin de garantir l'équilibre entre

conformité, consentement de l'utilisateur et réponse optimale aux besoins du client.

Dr. Karsten Kinast [email protected]

Martin Kuppinger [email protected]

Commandé par

Recherche associée

#71529 Executive View: Gigya Customer Identity Management Suite

#72002 Whitepaper: Using Information Stewardship within Government to Protect PII

#72006 Leadership Brief: Your customer identities: How to do them right

#72015 Leadership Brief: Monetizing the Digital Transformation

KuppingerCole

WHITEPAPER

par Dr. Karsten Kinast & Martin Kuppinger | September 2016

Page 2: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 2 sur 17

Contenu

1 Résumé analytique ....................................................................................................................... 3

2 Points marquants ......................................................................................................................... 4

3 Le règlement général sur la protection des données (RGPD) .......................................................... 4

3.1 Histoire et contexte : pourquoi le RGPD est nécessaire................................................................... 4

3.2 Cadre existant ................................................................................................................................... 5

3.2.1 Directive sur la protection des données de l'UE .................................................................. 5

3.2.2 Directive Vie Privée .............................................................................................................. 5

3.3 Période de mise en place et champ d'application ............................................................................ 5

4 Conformité : les éléments clés du RGPD ........................................................................................ 6

4.1 La définition des données personnelles ........................................................................................... 6

4.2 Les règles d'obtention d'un consentement valide ........................................................................... 7

4.3 Exigence concernant le délégué à la protection des données (DPO) ............................................... 8

4.4 Analyses obligatoires d'impact de la protection des données (DPIAs) ............................................ 8

4.5 Exigences de notification de violation des données ........................................................................ 8

4.6 Contrôle des données et droit à l'oubli ............................................................................................ 9

4.7 Mesures de sécurité techniques et organisationnelles .................................................................... 9

4.8 Confidentialité par défaut et par conception ................................................................................. 10

5 Le RGPD et la gestion des identités clients ................................................................................... 11

5.1 Besoins de l'entreprise ................................................................................................................... 11

5.2 Principes de mise en œuvre des exigences du RGPD ..................................................................... 12

5.3 Trouver le juste équilibre ............................................................................................................... 13

6 Résumé et recommandations ..................................................................................................... 15

7 Droits d'auteur ........................................................................................................................... 16

Page 3: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 3 sur 17

1 Résumé analytique

Avec la mise en place du RGPD dans l'UE (union européenne), les exigences relatives à la gestion des

données personnelles vont changer, conduisant les organisations à prendre les mesures nécessaires. Le

RGPD a une portée très large, et est donc pertinent non seulement pour les organisations au sein de

l'UE, mais aussi pour les organismes qui traitent les données des consommateurs situés dans l'UE.

Le RGPD s'impose comme un instrument d'harmonisation dans le domaine de la protection des données

au sein des États membres de l'UE. La rapidité du développement des nouvelles technologies a révélé la

nécessité de mettre à jour le cadre actuel de protection des données d'une manière qui répond à la

réalité d'aujourd'hui et prend en compte les réseaux sociaux et les technologies du big data. Les

exigences de protection de la vie privée des consommateurs seront beaucoup plus strictes à travers ce

nouveau cadre. En tant que directive de l'UE, le RGPD remplace les réglementations locales, qui devront

être adaptées en conséquence.

Il existe une variété de nouveaux éléments de régulation, comprenant le consentement obligatoire, la

définition de l'objectif de l'utilisation des données personnelles et le droit à l'oubli. Pour comprendre

l'impact du RGPD sur la gestion des identités et le traitement des données clients - qui va bien au-delà

de la gestion des identités clients et affecte également la CRM, les ERP et d'autres systèmes d'entreprise

- il est important de comprendre les éléments clés de la nouvelle loi.

Du point de vue des données clients, il devient de plus en plus important de gérer les identités clients

d'une manière efficace et bien pensée. Le défi fondamental est que les clients auront beaucoup plus de

droits qu'ils en avaient auparavant dans le cadre de n'importe quelle réglementation de protection des

données au sein de l'UE. Ainsi, être en mesure d'identifier un client - même quand il utilise différents

identifiants de connexion au fil du temps - est important non seulement d'un point de vue commercial,

mais aussi du point de vue de la conformité. De toute évidence, satisfaire aux exigences changeantes est

plus facile lorsque de multiples identifiants de connexion sont correctement associés à une seule

personne. Au-delà, la gestion et le respect du consentement de l'utilisateur, ses préférences, opt-ins et

opt-out à travers tous les points de contact devient obligatoire avec le RGPD. La gestion des identités

clients est une question de défis front-end tels que la compréhension de l'identité unique d'un client,

mais aussi des défis tels que l'application des décisions de consentement dans tous les systèmes back-

end.

D'un point de vue technique, l'essence de la réglementation peut être formulée en une seule phrase :

Se baser sur les plates-formes, pas sur le code

Le temps où chaque application et portail tourné vers le client était conçu de manière indépendante,

avec une gestion de l'identité distincte pour chacun, est révolu. Le traitement efficace de l'identité des

clients, leur consentement et leur contexte, pour soutenir l'agilité des entreprises et remplir les

exigences de conformité réglementaires nécessite l'utilisation d'une plate-forme dédiée de gestion des

identités clients.

Page 4: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 4 sur 17

2 Points marquants

● Le RGPD, dont l’entrée en vigueur est prévue en mai 2018, modifie les exigences

relatives à la protection des données personnelles et de la vie privée - les organisations

doivent s'adapter dès maintenant à ces nouvelles exigences

● L'obtention du consentement de l'utilisateur quant à l'utilisation de ses données

personnelles et la gestion de la preuve du consentement sont les principaux éléments

de la nouvelle réglementation

● Divers principes, tels que le droit à l'oubli et le droit de révoquer son consentement

devront être mis en application

● Les organisations doivent améliorer leur capacité à gérer les identités des utilisateurs,

leur consentement et son contexte d’application

3 Le règlement général sur la protection des données (RGPD)

Le RGPD européen entraîne un certain nombre de nouvelles exigences pour les organismes traitant des

données personnelles, y compris les informations permettant l'identification indirecte des clients. Les

modifications apportées par l'UE via le RGPD nécessitent que les organisations prennent des mesures

pour se mettre en conformité avec le règlement.

Avec la mise en place du RGPD dans l'UE (union européenne), les exigences relatives à la gestion des

données personnelles vont changer, conduisant les organisations à prendre les mesures nécessaires

pour se conformer à la nouvelle régulation. Le RGPD a une portée très large, et s’applique non

seulement aux organisations basées au sein de l'UE, mais aussi aux organismes qui traitent les données

des consommateurs résidants dans l'UE.

Maîtriser la portée, le contenu et l'impact du RGPD est essentiel pour comprendre les implications

concrètes pour les organisations lorsqu'elles manipulent des informations personnelles identifiables (PII)

dans leur sens le plus large. Il est particulièrement important que les organisations comprennent de

quelle manière elles doivent gérer les données clients à l'avenir.

3.1 Histoire et contexte : pourquoi le RGPD est nécessaire

Le RGPD s'impose comme un instrument d'harmonisation dans le domaine de la protection des données

au sein des États membres de l'UE. La rapidité du développement des nouvelles technologies a révélé la

nécessité de mettre à jour le cadre actuel de protection des données d'une manière qui prend en

compte les réalités de la nouvelle économie numérique, telle que l’omniprésence du big data ou le rôle

que jouent les réseaux sociaux et les technologies du big data dans notre manière de communiquer et

de collaborer. La vie privée des consommateurs sera garantie par le nouveau cadre. En tant que

directive de l'UE, le RGPD remplace les réglementations locales, qui devront être adaptées en

conséquence.

Page 5: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 5 sur 17

Tandis que le RGPD renforce les exigences globales de protection des données dans les États membres

de l'UE, il harmonise également diverses réglementations existantes. La mise en place d’une régulation

cohérente entre tous les États membres de l'UEpermettra aux organisations de se conformer plus

facilement.

3.2 Cadre existant

En matière de protection des données personnelles, le cadre actuel est fixé par la directive sur la

protection des données 95/46/CE ainsi que la directive sur la vie privée et les communications

électroniques 2002/58/CE..

La directive actuelle sur la protection des données date donc de 1995. À l'époque, Internet en était

encore à ses débuts, il n'y avait pas de smartphones et les réseaux sociaux n’existaient pas. Le Big Data

n’était encore qu’un concept balbutiant bien éloigné de l’adoption générale d’aujourd’hui. La nouvelle

régulation européenne tente donc de rattraper les changements qui ont marqués ces 20 dernières

années tout en établissant une norme solide pour les années à venir.L'écart entre l'ancienne directive et

la nouvelle réglementation, bien qu’il ait pu être comblé dans une certaine mesure par les régulations

au niveau des États membres, est donc plutôt significatif.

3.2.1 Directive sur la protection des données de l'UE

La Commission européenne a adopté la directive sur la protection des données en vue d'harmoniser

certaines procédures établies dans l'UE pour le traitement des données personnelles par des

contrôleurs de données (individus ou organisations qui décident comment et pourquoi les données

personnelles sont traitées) et des processeurs de données (individus ou organisations traitant des

données pour le compte des contrôleurs de données). Toutefois, certains aspects pertinents restent

différents selon les pays membres, tels que l'obligation de nommer un délégué à la protection des

données, d’inscrire les systèmes informatiques en cours d'utilisation auprès de l'autorité compétente,

de répondre aux exigences de consentement, etc. Ces différences soulignent la nécessité de mettre à

jour le cadre existant, afin d'atteindre un niveau d'harmonisation plus élevé au sein de l'UE et de

continuer à assurer un niveau adéquat de protection des données personnelles.

3.2.2 Directive Vie Privée

La directive sur la vie privée complète le RGPD et impose des exigences spécifiques en ce qui concerne la

façon dont les données personnelles des clients sont stockées et collectées par les fournisseurs d'accès

internet ou les opérateurs téléphoniques. Un projet de directive sur la vie privée en adéquation avec le

nouveau champ d'application du RGPD est en cours d’examen et est attendu prochainement.Cette

directive spécifique ne concerne cependant que certains secteurs définis.

3.3 Période de mise en place et champ d'application

Les organisations disposent d'une période de deux ans, jusqu'au 25 mai 2018, pour mettre en œuvre les

changements introduits par le RGPD. Dans le cas contraire, des amendes importantes pourront être

imposées aux organisations qui n'ont pas atteint le niveau de protection des données minimum imposé

par le nouveau cadre. Il s'agit d'une période de temps relativement courte, étant donné que le RGPD

Page 6: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 6 sur 17

pourrait nécessiter des changements importants sur des logiciels existants qui manipulent actuellement

des données dans le cadre de la réglementation.

En bref : la poursuite des activités commerciales avec les clients de l'UE exige le plein

respect du RGPD

L'un des aspects les plus intéressants de la nouvelle réglementation est sa vaste portée. Le RGPD est

applicable à tous les contrôleurs et processeurs de données établis dans l'UE, quel que soit

l'emplacement du traitement. Mais il vaut également pour les contrôleurs de données et les processeurs

établis en dehors de l'UE, si les personnes concernées (dont les données personnelles sont traitées) sont

situées dans l'UE et que les activités de traitement sont liées à l'offre de biens ou de service à des

personnes dans l'UE ou bien au suivi de leur comportement, si ce comportement a lieu dans l'UE.

Cela signifie concrètement que chaque organisation internationale traitant des données clients au sein

de l'UE doit se conformer au RGPD. Il ne sera pas suffisant de localiser les centres de données en dehors

de l'UE et de continuer à procéder comme aujourd'hui. En ce qui concerne le traitement des données

clients, l’option de ne pas s'adresser aux clients de l'UE - possible en théorie - ne constitue

probablement pas une option réaliste pour la plupart des organisations.

Encore une fois : la poursuite des affaires avec les clients de l'UE exige le plein respect du RGPD.

4 Conformité : les éléments clés du RGPD

Il existe une variété de nouvelles règles. Celles-ci comprennent la nécessité du consentement par objectif;

l'obligation de notification des failles ainsi que des principes tels que le droit à l'oubli. Ces règles ne sont

pas toutes nouvelles, mais dans leur ensemble, les exigences réglementaires augmentent de manière

significative.

Pour comprendre l'impact du RGPD sur la gestion des identités et le traitement des données clients - qui

va bien au-delà de la gestion des identités clients et affecte le CRM, les ERP et d'autres systèmes

d'entreprise - il est important de maîtriser les éléments clés du RGPD.

4.1 La définition des données personnelles

Le RGPD s'applique à toute opération de traitement impliquant des données personnelles. Les données

personnelles sont définies comme toute information relative à une personne identifiée ou permettant

aux organisations d'identifier une personne physique, directement ou indirectement. Une personne

peut être identifiable par son nom, un numéro d'identification, des données de localisation, des

identifiants en ligne ou des facteurs physiques, physiologiques, d'identité génétique, mentale,

économique, culturelle ou sociale liés à cette personne. Les données clients peuvent faire référence à un

compte bancaire, une adresse IP, des données de connexion, des habitudes de consommation

permettant d'identifier un individu et bien plus encore.

Page 7: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 7 sur 17

Cette définition est très large, beaucoup plus large que les définitions traditionnelles du PII. Par

exemple, la définition inclut toutes les données de suivi qui peuvent permettre l'identification d'un

individu. En particulier, l'aspect de « l'identification indirecte » est particulièrement important, étant

donné qu'il s'agit d'une définition très large. En fait, toutes les données collectées via l'utilisation de

cookies, par exemple, doivent être considérées comme des données personnelles entrant dans le

champ d'application du RGPD.

Conséquence : pour répondre à ces nouvelles exigences, il est essentiel d'avoir une « vision à 360 degrés

» de chaque client et de toutes les données qui lui sont associées. Cela nécessite une gestion des profils

à la pointe et la capacité d'unifier une grande variété d'attributs et de construire des profils précis et

complets.

4.2 Les règles d'obtention d'un consentement valide

En l'absence d'une autre base juridique valide pour le traitement des données à caractère personnel,

telle qu'un contrat ou une obligation légale, le consentement de l’utilisateur est requis avant le

traitement de ses données personnelles. Le consentement est considéré comme valide lorsqu'il est

donné librement, après information, sans ambiguïté et constitué d'une déclaration ou d'une action

affirmative claire. Si les données sont utilisées à plusieurs fins, l’utilisateur doit donner son

consentement pour chaque fin.

Du point de vue du marketing et de l'identité client, il s'agit par exemple du consentement à la collecte

de données via les cookies ou d'autres activités de navigateur, opt-in et opt-out et ainsi de suite.

L’aspect le plus important, c’est que le l’utilisateur doit donner son consentement pour chaque fin et

d'une manière « éclairée ». De manière générale, les organisations qui traitent et stockent des données

personnelles devront être plus claires sur la formulation du but de leur collecte de données. Au bout du

compte, beaucoup de gens vont donner leur consentement parce qu'ils veulent utiliser un service

particulier. Cela implique également de documenter les preuves du consentement de l’utilisateur. Il est

nécessaire de fournir des preuves quant aux termes exacts sur lesquels chaque utilisateur a donné son

consentement, de même que la preuve technique que l'utilisateur a effectivement donné son accord.

Le consentement doit être donné pour chaque fin et le fournisseur doit fournir la «

preuve du consentement »

Ces exigences deviennent rapidement complexes dans les grandes organisations, où les utilisateurs

disposent de multiples voies d'accès. Avoir une vue unique sur l'identité du consommateur ou du client

et gérer ses préférences et son consentement de manière centralisée est un aspect essentiel pour

répondre à cette exigence.

Conséquence : pour faire face aux nouvelles exigences de consentement, la flexibilité du système de

gestion d'identité est indispensable afin de permettre des flux d'enregistrement et de connexion

personnalisés conformes pour chaque région dans lequel le contrôleur de données fournit un service

aux clients.

Page 8: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 8 sur 17

4.3 Exigence concernant le délégué à la protection des données (DPO)

À l'heure actuelle, seuls quelques pays réglementent la nomination d'un DPO. Cela va changer

radicalement dans le cadre du RGPD. Les organismes auront l'obligation de nommer un DPO dès que le

traitement implique des catégories de données personnelles particulières et à grande échelle, ou qu'un

suivi systématique des individus est mis en place. La nomination du/de la DPO doit être basée sur ses

qualités professionnelles et son expertise en matière de protection des données. Cette position peut

être tenue par un membre de l'organisation ou par un professionnel externe à l’organisation. Il est

possible de nommer un seul DPO pour un groupe de sociétés.

Conséquence : les organisations doivent déterminer si elles doivent nommer un DPO et prévoir un

budget suffisant. En particulier, elles devront décider si elles préfèrent s'appuyer sur un DPO interne ou

externe.

4.4 Analyses obligatoires d'impact de la protection des données (DPIAs)

Dans le cadre de l'approche fondée sur l'analyse des risques du RGPD, il sera obligatoire de mener des

DPIAs si le traitement opéré est susceptible d'entraîner un risque élevé pour les droits et les libertés des

individus en raison de la nature, de la portée, du contexte ou des buts de l'opération de traitement.

C'est le cas dans certains scénarios :

● Si certaines catégories particulières de données personnelles telles que définies dans le

RGPD sont traitées à grande échelle

● Si une évaluation systématique des aspects personnels liés aux personnes physiques est

effectuée en utilisant des décisions automatisées

● Si un suivi systématique des zones accessibles au public a lieu

Chaque DPIA doit décrire

● Toutes les opérations de traitement et leurs fins

● La nécessité et l'ampleur de chaque processus par rapport à son objectif

● Les risques potentiels pour les droits et libertés des personnes concernées

● Les mesures techniques et organisationnelles qui seront mises en œuvre

Conséquence : au-delà de la nomination d'un DPO, il est nécessaire d'effectuer des évaluations définies

dans une variété de cas d'utilisation. Les audits internes doivent adapter leur mode opératoire en

fonction de ces nouvelles exigences.

4.5 Exigences de notification de violation des données

Lorsqu'une faille impactant les données PII survient, l'Autorité de surveillance appropriée doit être

notifiée par le contrôleur de données dans les 72 heures après avoir été mis au courant de la violation.

Si des données clients pouvant avoir une incidence sur les droits et libertés des consommateurs sont

affectées par la faille, ces consommateurs doivent également être notifiés.

Conséquence : chaque organisation doit définir et mettre en œuvre un processus à la fois de notification

des violations et de gestion des incidents, afin de gérer les incidents d'une manière adéquate et

Page 9: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 9 sur 17

conforme. Il est important de veiller à ce que tous les fournisseurs de technologie au sein d'une suite de

solutions multiples puissent répondre en temps opportun aux violations de données, et disposent d'une

stratégie bien conçue pour répondre aux nombreuses éventualités.

4.6 Contrôle des données et droit à l'oubli

Le droit à l'oubli a été reconnu comme un droit inhérent des porteurs de données. Il stipule que les

individus ont le droit d'exiger l'effacement de leurs données par les contrôleurs de données sur

demande et sans délai abusif. Cependant, ce droit peut uniquement être exercé si certaines conditions

sont remplies. Par exemple, si les données personnelles ne sont plus nécessaires aux fins pour lesquelles

elles ont été recueillies, ou si la personne concernée retire son consentement.

Plus que le simple droit à l'oubli – le contrôle des données se complexifie

Déjà l'objet de nombreuses discussions et poursuites judiciaires, le droit à l'oubli va prendre plus

d'importance avec le RGPD. Les organisations seront bien avisées de se préparer à la demande des

clients de supprimer leurs données.

Toutefois, le droit à l'oubli n'est pas la seule exigence remarquable. Les nouveaux droits des

consommateurs en matière de contrôle des données d'utilisateur sont beaucoup plus larges et

comprennent également le droit de geler le traitement des données, ce qui constitue une nouvelle

obligation à laquelle il est assez compliqué de répondre. Les utilisateurs pourront demander

l’interruption du traitement de leurs données.

Une autre nouveauté importante concerne le droit d'exporter des données personnelles et de les éditer.

Une fois de plus, il s’agit d’une mesure complexe à mettre en place et qui peut conduire à une

augmentation importante de la charge de travail des organismes qui traitent des données personnelles.

Conséquence : afin d'assurer la capacité des consommateurs à maintenir le contrôle sur leurs données

personnelles, il est nécessaire de faire appel à la gestion avancée des profils, avec des options

appropriées de gestion des préférences de l'utilisateur final, afin d’interrompre le traitement, d'éditer,

d'exporter et de supprimer des données.

4.7 Mesures de sécurité techniques et organisationnelles

En plus des exigences légales mentionnées ci-dessus, il est également essentiel que des mesures

techniques et organisationnelles de sécurité adéquates soient mises en œuvre en fonction de la nature

du traitement. Ces mesures peuvent inclure la mise en place de pseudonymes et l'anonymisation des

données personnelles, la confidentialité, l'intégrité et la résilience des systèmes de traitement ; la

capacité de répondre aux incidents de manière adéquate, ainsi qu'une évaluation régulière de

l'efficacité des mesures de sécurité techniques et organisationnelles mises en œuvre, par exemple à

travers des audits réguliers de sécurité informatique et de protection des données.

Page 10: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 10 sur 17

Plus précisément, les mesures de sécurité techniques et organisationnelles devront réglementer les

droits d'accès, le contrôle d'admission, le contrôle de transmission, le contrôle d'entrée, le contrôle de la

disponibilité et le contrôle du traitement commandé des données.

Une nouvelle fois, ces exigences réglementaires peuvent nécessiter des développements techniques

assez complexes, devant être mis en place par les organismes de contrôle et de traitement des données

personnelles. Les mesures de sécurité techniques et organisationnelles sont mises en œuvre de la

manière la plus efficace en suivant les normes établies, telles que ISO27018.

Conséquence : il est important de vérifier que toute solution mise au service de la récupération et de la

gestion des données clients garantisse les pratiques de sécurité et d'infrastructure certifiées selon les

normes appropriées propre au domaine.

4.8 Confidentialité par défaut et par conception

Enfin, la nouvelle régulation introduit l'exigence de confidentialité par défaut et par conception. Le

concept de confidentialité par conception est débattu depuis maintenant plusieurs années.

Fondamentalement, il s'agit de créer des applications suffisament flexibles pour faire respecter les

exigences de confidentialité, à la fois selon les exigences réglementaires et selon le consentement du

client. D'autre part, la confidentialité par défaut consiste à considérer le respect de la vie privée comme

une caractéristique inhérente, et non pas comme une caractéristique que les utilisateurs peuvent

uniquement atteindre à l'issu d'une procédure de réglage fastidieuse et issue d’une démarche

volontaire.

En somme, le RGPD introduit un nombre important d'exigences au sein de l'UE. Bien que celles-ci ne

soient pas toutes nouvelles ou même inhabituelles, elles contraignent les organisations qui contrôlent et

traitent des données personnelles à repenser la façon dont elles manipulent ces données.

Conséquence : lors de l'évaluation de votre niveau de préparation par rapport au RGPD, assurez-vous

que toute solution de l'ensemble qui collecte et gère les données clients peut répondre aux exigences

spécifiques pour le scénario d'utilisation par le client, en particulier les exigences de confidentialité des

données. Dans le cas des solutions de bout en bout, assurez-vous qu'elles entretiennent de solides

relations avec un ensemble de partenaires technologiques pouvant facilement s'intégrer avec leur plate-

forme. Éloignez-vous des codes personnalisés et reposez-vous sur des technologies standardisées.

Page 11: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 11 sur 17

5 Le RGPD et la gestion des identités clients

L'obtention de l'équilibre entre les besoins de l'entreprise et le respect des règles de conformité devient

un défi dans le contexte du RGPD européen. Les organisations doivent gérer les clients (et d'autres

données personnelles) de manière cohérente, en s'éloignant des solutions ponctuelles et en construisant

une base solide pour la gestion des clients ou des identités.

Le RGPD ne concerne pas seulement les données des clients, bien que bon nombre des nouvelles

exigences visent les réseaux sociaux, moteurs de recherche, e-commerce, et autres entreprises tournées

vers le client. Il est important de garder à l'esprit que le RGPD affecte toutes les données personnelles, y

compris celle des employés ou des partenaires d'affaires.

Les organisations ont besoin d'une vision unique de l'identité des clients, de leur

consentement et de leurs préférences - à travers toutes les interfaces

Du point de vue des données clients, il devient de plus en plus important de gérer les identités clients

d'une manière efficace et bien pensée. Le défi fondamental est que les utilisateurs auront beaucoup

plus de droits qu'ils en avaient auparavant dans le cadre de n'importe quelle réglementation de

protection des données au sein l'UE. Ainsi, être en mesure d'identifier un client - même quand il utilise

différents identifiants de connexion au fil du temps - est important non seulement d'un point de vue

commercial, mais aussi du point de vue de la conformité. De toute évidence, satisfaire aux exigences

changeantes est plus facile lorsque de multiples identifiants de connexion sont correctement associés à

une seule personne.

5.1 Besoins de l'entreprise

Les principales exigences pour la mise en place de solutions de gestion de l'identité & des accès clients

(CIAM) sont liées à l'entreprise. Tandis que le RGPD européen, en raison de la nécessité de la mise en

conformité avec la future réglementation, constitue un vecteur de changement moteur, d'autres

raisons encouragent également l'adoption de la gestion des identités clients.

Les modèles d'affaires changent dans le cadre de la transformation numérique, ce qui conduit à une

interaction en ligne plus étroite que jamais avec les clients. Les données recueillies par des objets et des

dispositifs constituent un aspect important de cette évolution. La construction de relations à long terme

avec les clients, dans un environnement de changements rapides des modèleset des partenariats

d'affaires, exige que les clients soient identifiés, quelles que soient les informations de connexion qu'ils

utilisent. La compréhension des activités et des comportements des clients est également essentielle

pour servir au mieux la clientèle.

Ce faisant, un certain nombre de conditions doivent être remplies :

● Les solutions tournées vers le client doivent satisfaire ce dernier, en termes de simplicité

et de facilité d'utilisation, en commençant par la compatibilité avec une large variété de

Page 12: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 12 sur 17

modes d'authentification (enregistrement traditionnel, connexion sociale, biométrie,

etc.) et une expérience client globale homogène

● Les solutions doivent être construites de manière à permettre une adaptation rapide à

l'évolution des besoins de l'entreprise - le time-to-market est un facteur critique de

succès pour toutes les entreprises

● Les modèles de données clients doivent être dynamiques et adaptables, permettant aux

entreprises de stocker « ce qui est nécessaire » pour les besoins de l'entreprise

d'aujourd'hui et de demain

● Les solutions doivent être hautement évolutives, en particulier pendant les pics

d’activité

● Il doit exister une vision unique du client à travers tous les systèmes orientés clients,

mais également une intégration flexible avec une multitude de systèmes back-end

● Il doit y avoir un support complet pour gérer le consentement, les opt-ins et les

préférences de l'utilisateur, et respecter ces derniers à travers chaque point de contact

entre le client et l'organisation

Les applications qui sont au contact avec le client doivent être plus flexible que jamais. Le temps de la

création de solutions indépendantes qui gèrent leurs propres identités, mettent en œuvre leur propre

approche de parcours clients et existent indépendamment des autres systèmes est révolu. Les identités

clients sont trop importantes pour les entreprises à l'ère du numérique, et d'un point de vue

réglementaire — à la lumière du prochain RGPD européen – la nécessité d'une infrastructure unifiée et

normalisée de gestion des identités des clients ne constitue plus seulement une approche facultative et

attrayante, mais une obligation.

5.2 Principes de mise en œuvre des exigences du RGPD

Le RGPD formule, comme cela a été indiqué ci-dessus, un certain nombre de principes obligatoires. La

gestion des identités clients ne résoudra pas toutes ces exigences, mais soutiendra grandement le

respect de ces principes. Dans l'ensemble, bon nombre des principes essentiels du RGPD européen

implique que les organisations aient une bonne connaissance de l'identité des clients. Pouvoir connaître

une personne, être capable de l'identifier quand elle se connecte à un système, et en particulier avoir

une vision unique sur cette personne et ses activités à travers de multiples systèmes, permet de se

conformer beaucoup plus facilement à plusieurs des principes et des exigences du RGPD tels que :

● Le consentement et la preuve du consentement

● La limitation de la finalité

● Le droit à l'effacement et à l'oubli

● Le droit à la restriction du traitement

● Le droit à la portabilité des données et le droit de modifier les données

● Les obligations de notification

● Les mesures de sécurité pour la prise de décision automatisée, y compris le profilage

Pour le consentement, il est recommandé de ne pas avoir seulement une adresse IP mais également la

connaissance de la personne qui donne son consentement (ou non). La même chose vaut pour la

Page 13: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 13 sur 17

limitation des finalités – l'individu doit non seulement accepter les fins d'utilisation de ses données

personnelles, mais doit également être en mesure de limiter leur utilisation, dans le cadre du droit à la

restriction du traitement. Le droit à la suppression des données et à l'oubli, ainsi que le droit de la

portabilité des données, exige que les données personnelles soient mappées à un individu. Ainsi, la

gestion des identités clients devient plus importante que jamais.

Les organisations auront besoin d'un ensemble de « système de gestion du

consentement »

Les organisations auront besoin d'un ensemble de « système de gestion du consentement » dans le

cadre de leur stratégie de gestion de l'identité des clients. La modification des conditions d'utilisation

des réseaux sociaux pourrait exiger la mise à jour du consentement. Le système doit également suivre et

tenir un registre de consentement par utilisateur pour chaque terme.

Il ne suffit pas simplement de stocker des identités. Les organisations doivent faire comprendre de façon

transparente quelles sont les données stockées et comment elles sont utilisées. Cela nécessite un

mécanisme transparent de contrôle en libre-service des profils d'identité. Cela exige de nouvelles

formes de parcours d'utilisateurs qui maintiennent un équilibre entre les nouvelles exigences

réglementaires et un taux de rétention maximisé.

En outre, ces capacités sont nécessaires pour répondre aux exigences telles que les obligations de

notification ou les garde-fous pour la prise de décision automatisée, y compris le droit des individus

d'être informés sur la façon dont les décisions sont prises.

5.3 Trouver le juste équilibre

Le défi de l'avenir est de trouver un équilibre entre le fonctionnement opérationnel de l'entreprise

d'une part et la vie privée et la sécurité d'autre part. La réponse aux exigences réglementaires est un

must, mais ne doit pas se faire au détriment des besoins de l'entreprise (à moins que le modèle

d'affaires soit en opposition radicale avec le RGPD).

De plus, de nombreuses applications ne serviront pas seulement les clients de l'UE et ne s'y appliqueront

pas exclusivement, de sorte que d'autres règlementations peuvent s'appliquer en parallèle. Ainsi, le

système doit être flexible, afin de fournir des expériences différentes selon les zones géographiques.

Cela signifie que les exigences réglementaires de l'UE doivent uniquement affecter l'expérience

utilisateur des utilisateurs de l'UE, tandis que les utilisateurs d'autres zones doivent garder une

expérience adaptée aux exigences réglementaires locales.

D'un point de vue commercial, l'objectif doit être de satisfaire la demande du marché, d'offrir une

expérience utilisateur exceptionnelle, en soutenant toujours l'évolution des modèles d'affaires et la

mise en œuvre des solutions agiles pouvant facilement s'adapter aux nouvelles exigences.

L'application de ces objectifs aux nouvelles exigences réglementaires renforcées exige la mise en place

de solutions flexibles permettant de gérer les identités des utilisateurs et d'activer la quantité requise de

contrôle et de consentement par l'utilisateur, mais aussi d'assurer la sécurité des données personnelles,

Page 14: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 14 sur 17

ce qui fait également partie du RGPD. Fournir des données aux plates-formes commerciales est un acte

délibéré. Les modèles basés sur l'échange de données contre une valeur ajoutée sont toujours autorisés,

mais les principes énumérés dans la section ci-dessus doivent être respectés. En particulier, les

utilisateurs doivent garder le contrôle et être en mesure de gérer leurs données personnelles ainsi que

de révoquer leur consentement quant à l’utilisation de ces données.

Page 15: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 15 sur 17

6 Résumé et recommandations

Le RGPD européen est un fait. C'est un règlement d’une portée large voir globale, que les organisations

vont devoir respecter lorsqu’elle manipulent les données des utilisateurs résidants dans l'UE. Ce

règlement introduit de nouvelles exigences et principes. Ces exigences exigent non seulement de

meilleurs contrôles et connaissances générales sur la manière dont une organisation gère les identités

clients, mais aussi une meilleure gestion des données personnelles, de sorte que, par exemple, les

données puissent être supprimées sur demande lorsqu'un utilisateur révoque son consentement.

Du point de vue du traitement des données personnelles, les recommandations les plus importantes

sont

1) Informer clairement et simplement les clients des données que vous collectez et du but dans

lequel ces données sont collectées,

2) Demander le consentement là où le RGPD l'exige, sachant que dans les cas où le règlement

n'est pas clair, il est préférable de demander le consentement que de ne pas le demander

3) Définir un parcours client bien pensé, comprenant la validation des termes & conditions, la

validation du consentement et tous les autres accords entre votre organisation et le client

4) Sélectionnez des produits de gestion de l'identité & des accès clients holistiques, qui

prennent en charge les opt-in, les opt-out et les capacités out-of-the-box connexes, de

même que la mise en œuvre simple des exigences réglementaires au-delà du RGPD telles

que celles des autres régions ou des politiques de réseaux sociaux

5) Permettre aux clients d'utiliser l'identité numérique de leur choix

Du point de vue technique, une fois encore, l’essentiel peut être formulée en une seule phrase :

Se baser sur les plates-formes et pas sur le code

Le temps où chaque application et portail tourné vers le client était conçu de manière indépendante,

avec une gestion de l'identité distincte pour chacun, est révolu. Le traitement efficace de l'identité des

clients, le développement de l'agilité des entreprises et la conformité avec les exigences réglementaires

nécessite l'utilisation d'une plate-forme dédiée de gestion des identités clients.

Page 16: GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper Le RGPD et la gestion des identités clients Rapport no.: 72601 Page 16 sur 17

7 Droits d'auteur

© 2016 Kuppinger Cole Ltd. All rights reserved. Toute reproduction ou distribution de cette publication sous quelque forme que ce soit est interdite sauf autorisation préalable fournie par écrit. Toutes les conclusions, recommandations et prédictions de ce document représentent l'avis initial de KuppingerCole. Une fois que plus d'informations auront été recueillies et une analyse approfondie aura été réalisée, les positions présentées dans ce document seront susceptibles d'être affinées voire d'être fortement modifiées. KuppingerCole décline toute responsabilité liée à l'exhaustivité, l'exactitude et/ou la pertinence de ces informations. Même si les documents de recherche de KuppingerCole peuvent discuter des questions juridiques liées à la sécurité de l'information et des technologies, KuppingerCole ne fournit pas de services ou de conseils juridiques et les publications concernées ne doivent pas être utilisées comme tels. KuppingerCole décline toute responsabilité liée aux erreurs ou insuffisances éventuelles des informations figurant dans ce document. Toute opinion exprimée est susceptible d'être modifiée sans préavis. Tous les noms de produits et d'entreprises sont des marques déposées : « trademarks™ » ou « registered® trademarks » de leur titulaire respectif. Leur utilisation n'implique ni affiliation ni approbation.

Page 17: GDPR Implications Customer Identity Management - French

Kuppinger Cole Ltd.

Sonnenbergerstr. 16

65193 Wiesbaden | Germany

Téléphone +49 (211) 23 70 77 – 0

Fax +49 (211) 23 70 77 – 11

www.kuppingercole.com

KuppingerCole soutient les professionnels de l'informatique avec une expertise exceptionnelle dans la

définition des stratégies informatiques et dans les processus pertinents de prise de décisions. En tant

que société d'analystes de premier plan, KuppingerCole fournit des informations impartiales de

première main. Nos services vous permettent de vous sentir à l'aise et en sécurité lors de la prise de

décisions essentielles pour votre entreprise.

KuppingerCole est une société d'analystes leader fondée en 2004 et basée en Europe; elle est

spécialisée dans la sécurité de l'information en rapport avec l'identification, à la fois dans les

environnements classiques et les environnements de cloud. KuppingerCole se caractérise par son

expertise, un leadership éclairé et une vue impartiale par rapport aux fournisseurs sur les segments du

marché de la sécurité de l'information couvrant tous les aspects pertinents tels que la gestion de

l'identification et de l'accès (IAM), la gouvernance, la gestion des risques et la conformité (GRC), la

gestion des risques informatiques, l'authentification et l'autorisation, le Single Sign-On, la fédération, la

gestion centralisée de l'identification d'utilisateur, les cartes d'identité électroniques ainsi que la

sécurité et la gestion du Cloud et la virtualisation.

Pour plus d'informations, veuillez contacter [email protected]

L'avenir de la sécurité de l'information - Aujourd'hui