Le marché du luxe ne cesse de se développer au niveau mondial et devrait représenter 2500 milliards d’euros en 2030[1]. La santé de ce secteur a dès lors une influence de plus en plus importante sur l’économie. C’est d’autant plus vrai pour la France, où le secteur est bien représenté dans le CAC 40[2]. Ainsi, dans cette machine constituée de cuir et de soie, un grain de sable est susceptible de coûter des dizaines de millions d’euros, mais aussi d’impacter durablement l’image de ces entreprises. Or, les facteurs de risques sont multiples.

Comme tous les secteurs, le luxe est impacté par l’instabilité géopolitique et le réchauffement climatique : d’une part, en raison de la forte internationalisation de sa chaîne de valeur (en 2023, les entreprises françaises du luxe ont exporté pour 50,6 milliards d’euros[3]), d’autre part, du fait de sa forte dépendance en ressources naturelles de qualité, notamment les cuirs, textiles, et minerais.

Ces dernières années, les entreprises du luxe ont fortement accéléré la digitalisation de leurs processus métier, depuis la fabrication jusqu’à la vente. Leurs fonctions critiques reposent donc de plus en plus sur des actifs exposés aux incidents informatiques, issus ou non de cyberattaques. En particulier, le recours croissant à l’IA et l’IoT est un différenciateur fort d’un point de vue métier, mais augmente également la surface d’exposition à des risques technologiques encore partiellement identifiés et atténuables du fait de leur nouveauté.

Dès lors, le secteur se retrouve confronté à une problématique clef : comment assurer sa pérennité dans un contexte de menace croissante ? En réaction, un concept fondamental s’impose dans les grandes Maisons, celui de la résilience opérationnelle. Quel est l’état de l’art du secteur du luxe sur la résilience opérationnelle ? Quels sont les dispositifs déployés par les maisons du luxe pour assurer la résilience de leurs activités critiques ?

La résilience opérationnelle appliquée au luxe 

Les Armées ont été parmi les premières à s’approprier le concept de résilience opérationnelle, en le définissant comme « l’aptitude à affronter les conséquences d’une crise traumatique et rebondir, en agissant avec efficacité en dépit d’un environnement dégradé et des préjudices humains, organisationnels et techniques qu’elles [les Armées, ndlr] auraient elles-mêmes subies »[4].

Si cette définition présente une forte teinte militaire, il en ressort toutefois un objectif pouvant être visé par toute organisation : être apte à affronter des perturbations majeures et à rebondir. Ainsi, aujourd’hui la résilience opérationnelle a commencé à pénétrer l’ensemble des secteurs d’activité, de l’énergie à la santé, en passant par le luxe. Cet état de fait a été notamment favorisé par l’accroissement des réglementations et des normes consacrées à la résilience opérationnelle, tout particulièrement dans le secteur financier (DORA, Solvabilité II, PCI DSS…).

Chez Wavestone nous considérons que la résilience opérationnelle est structurée autour de 7 grands piliers. Ceux-ci sont inspirés de l’état de l’art, en premier lieu la norme ISO 22301[5], mais également les normes européennes. Le secteur du luxe est tout à fait approprié à l’édification de ces piliers, à partir du moment où l’on prend en compte ses spécificités.

Pilier 1 : La connaissance des activités vitales et de leurs actifs les supportant 

Cela consiste à identifier et améliorer la connaissance de ce qui doit devenir résilient, parmi l’ensemble des processus métier et actifs de l’entité. Pour ce faire, 2 approches existent :

• Une approche exhaustive, basée sur la réalisation d’un Business Impact Assessment (BIA) sur l’ensemble des processus de l’organisation, permettant d’avoir une vision globale des activités et donc de connaitre les processus vitaux et les actifs les soutenant (infrastructures IT, applications, ateliers…). Cependant, cette approche est particulièrement chronophage et une telle exhaustivité n’a pas forcément une grande valeur ajoutée dans la mise en place d’une stratégie de résilience efficiente ;
• Une approche pragmatique, basée sur une analyse d’impact limitée aux processus vitaux de l’organisation, identifiés en amont par le top management. C’est une approche plus rapide et à plus forte valeur ajoutée, permettant de se focaliser dès le début sur l’analyse des processus reconnus comme vitaux par les métiers, puis de remonter vers les applications et les infrastructures qui les soutiennent.

Cette cartographie est un point de départ essentiel pour concentrer les efforts sur ce qui est réellement important pour l’entité. Dans le secteur du luxe, il nous semble important d’être particulièrement attentif aux catégories d’actifs suivantes : les ressources humaines pouvant détenir des savoir-faire rares, les matières premières, les outils de fabrication, les actifs liés à la logistique et au paiement.

Pilier 2 : La maîtrise des risques

L’objectif est d’adapter les mesures de résilience opérationnelle au profil de risque de l’entité, c’est-à-dire en concentrant les efforts en prévention des scénarios de risques les plus impactant et les plus vraisemblables.

Dans le secteur du luxe, il nous semble utile de prendre en compte l’ensemble des risques susceptibles d’affecter l’activité de l’entité, notamment les risques liés à l’instabilité géopolitique, au réchauffement climatique et à l’IT/OT, qui impacteraient l’approvisionnement en matières premières rares, la production et la distribution.

Pilier 3 : La mise en place et l’amélioration continue des solutions de continuité 

Cela consiste à mettre en place les mesures pertinentes de résilience, au travers notamment de plans de continuité d’activité prenant en compte les risques identifiés et se concentrant sur les activités vitales.

Dans le secteur du luxe, il nous semble utile de définir ces mesures avec les métiers, d’une manière pragmatique et qui va à l’essentiel. L’idée étant que les mesures de résilience se fondent dans les processus métier en permettant d’améliorer leur qualité, tout en évitant qu’elles ne soient perçues comme une nouvelle contrainte.

De plus, les métiers du luxe sont bien souvent des artisans, seuls détenteurs de la vision claire de leurs processus (autrement dit, leur art). La résilience de leur métier repose en bonne partie sur eux. Une approche intéressante serait ainsi d’inverser la méthode habituellement utilisée : ne pas formaliser une procédure de continuité puis la tester, mais plutôt mettre en place un exercice/test auprès des métiers afin de formaliser une procédure à partir des bonnes pratiques qu’ils mettraient naturellement en place.

Pilier 4 : La gestion de ses tiers

L’objectif est de suffisamment connaître les tiers impliqués dans les activités vitales de l’entité et de s’assurer qu’ils ne constituent pas un obstacle à leur résilience.

Dans le secteur du luxe, la nature des tiers présente des spécificités à prendre en compte. D’une part, ce sont souvent des artisans ou des TPE qui n’ont pas travaillé sur leur propre résilience. D’autre part, certains tiers sont les seuls à proposer le niveau de qualité recherché par la Maison de luxe, ce qui est susceptible de placer ces dernières en situation de dépendance. Une réflexion est donc nécessaire afin de co-construire des solutions de résilience avec ces tiers, notamment à travers des exercices de gestion de crise.

Pilier 5 : La capacité à gérer une crise 

Cela consiste à mettre en place un dispositif permettant la gestion des crises de toute nature, susceptibles de survenir et que l’entité devra « affronter » : IT, cyber, sûreté et métier.

Les entités du secteur luxe, de par leur caractère « manufacturing », disposent souvent de nombreux sites éloignés géographiquement, accueillant des métiers variés.  Ces éléments doivent être pris en compte pour adapter le dispositif de gestion de crise et la réalisation d’exercices pertinents.

Pilier 6 : La résilience du SI

Compte tenu de son rôle central et de la complexité technique qu’il implique, le système d’information nécessite une vigilance particulière afin d’être suffisamment protégé contre les menaces et de garantir la continuité de ses services vitaux, même en situation dégradée.

Dans le secteur du luxe, où la digitalisation des processus demeure relativement récente, voire encore en cours, se dessine une opportunité stratégique majeure : celle d’intégrer les enjeux de résilience dès la phase de conception.

Pilier 7 : L’existence d’une gouvernance et d’une culture de résilience

Au cœur de la démarche, l’élaboration d’une stratégie de résilience opérationnelle s’impose, sous la conduite de responsables clairement identifiés.

Il est tout aussi essentiel de capitaliser sur la culture d’entreprise propre à chaque maison du luxe — véritable levier d’engagement des collaborateurs — en y intégrant progressivement une culture de la résilience.

L’état de la résilience opérationnelle dans le secteur du luxe

Pour établir cet état des lieux, nous nous sommes appuyés sur les résultats de notre CyberBenchmark et de notre OpResBenchmark. Ces deux outils permettent respectivement d’évaluer le niveau de maturité des entités en matière de cybersécurité et de résilience opérationnelle des entités, tout en les positionnant par rapport au reste du marché.

La combinaison de ces deux outils nous a permis de consolider les données issues de l’évaluation de plus de 150 entités, dont un nombre significatif du secteur luxe. Ces éléments nous permettent de proposer la vue ci-dessous, qui illustre le niveau de maturité du secteur sur l’ensemble des 7 piliers de la résilience opérationnelle.

D’après les données 2025 du Cyberbenchmark et de l’OpRes Benchmark de Wavestone

À la lecture de ces données, le constat le plus évident s’effectue au niveau de la moyenne du marché[6] (47,5%) : les entités, tous secteurs confondus, se révèlent peu résilientes. Mais des fortes disparités existent en fonction notamment du niveau de réglementation des différents secteurs. Tout naturellement, la finance, en pleine mise en conformité à DORA (Digital Operational Resilience Act), a un très bon niveau de maturité sur l’ensemble des piliers. De son côté, le secteur de l’énergie, réglementé lui aussi, doit prendre en compte des systèmes industriels complexes et de lourds infrastructures historiques, compliquant sa résilience opérationnelle.

Le contexte de ces 5 dernières années, particulièrement éprouvant pour la continuité des entités (COVID-19, conflits armés, croissance de la menace cyber, etc.), ainsi que la consécration du concept de résilience opérationnelle dans plusieurs textes réglementaires (ex : DORA, CER, CRA, NIS 2) semble inverser la tendance. Nous voyons de plus en plus d’entités prendre conscience de l’importance de la résilience opérationnelle et commencer à lancer des chantiers conséquents pour adresser le sujet.

En termes de maturité, le secteur du luxe fait partie de ceux qui se démarquent avec une moyenne de 53,4%. Même s’il n’est pas directement visé par la règlementation, nous avons remarqué une prise en main du sujet, notamment par les CISO des Maisons de luxe qui ont initié de nombreux chantiers liés à la résilience. Habitué à la recherche d’excellence, le luxe s’empare donc du sujet même s’il n’y est pas contraint, convaincu qu’il s’agit d’un enjeu d’avenir pour lui. Cette position semble même lui permettre de tirer parti des bonnes pratiques consacrées par la règlementation, en allant à l’essentiel, sans se préoccuper des contraintes liées à la conformité et aux contrôles menés par les autorités (reporting d’incident, préparation des audits, partage de preuves…).

En pratique, cela se traduit par une avance du secteur sur la résilience opérationnelle par rapport à un certain nombre d’autres secteurs d’activité non régulés, même si on reste aux débuts de l’histoire.

Sur la gestion de crise et la résilience SI

Les conséquences d’une crise mal maîtrisée sont souvent majeures, tant sur le plan financier, juridique que réputationnel. On peut aisément imaginer pour une maison de luxe, l’impact d’une incapacité à encaisser les clients ou d’un incendie affectant un entrepôt de matières premières. Le luxe s’est ainsi structuré depuis longtemps pour gérer les crises auxquelles il est confronté.

Or, ces crises trouvent désormais très fréquemment leur origine dans des incidents touchant les systèmes d’information.

En 2022, 62 % des entreprises du secteur du luxe ont été victimes de rançongiciels, engendrant des pertes financières moyennes de l’ordre de cinq millions d’euros par incident. Parallèlement, les données volées circulent de plus en plus sur le Dark Web. Selon Dark Web Monitor, les annonces proposant des informations sensibles – plans de produits à venir, stratégies marketing confidentielles – ont augmenté de 78 %. À titre d’exemple, en 2022, la maison italienne Moncler a subi un vol de données, avec une demande de rançon de trois millions de dollars visant à empêcher la divulgation d’informations relatives à ses clients les plus aisés[7].

La gestion de crise repose ainsi largement sur les dispositifs de résilience informatique, qui matérialisent les décisions prises au sein de la cellule de crise. Ces dispositifs incluent notamment les sauvegardes, le blocage des flux, ou encore les solutions de contournement. Par ailleurs, ils jouent un rôle primordial dans la prévention et la détection des incidents, grâce à des outils tels que les EDR, sondes IDS et IPS, le déploiement automatisé de correctifs et les tests réguliers des configurations.

Sur la gestion des risques liés aux tiers

La maturité du secteur sur ce pilier s’explique notamment par la conscience historique des entreprises du luxe quant à la criticité de leurs chaînes de valeur, tant en amont (approvisionnement en cuir, soie, pierres précieuses…) qu’en aval (distribution des produits finis). Ces chaînes de valeur impliquent de nombreux prestataires externes – extraction, transport maritime ou routier, hubs logistiques – dont une défaillance peut entraîner des conséquences commerciales majeures.

Parmi les fournisseurs des grandes maisons de luxe, on retrouve fréquemment de petites entreprises artisanales, détentrices de savoir-faire rares et difficilement substituables. À première vue, leur petite taille pourrait faire craindre une faible maturité en matière de gestion des risques. Cependant, du fait de leur valeur stratégique, ces artisans sont l’objet d’une attention particulière. Les maisons de luxe adoptent une approche collaborative pour les accompagner dans la gestion de leurs risques, y compris dans le domaine IT, bien que l’informatique reste souvent limitée dans ces structures artisanales. Cette collaboration se manifeste par des audits réguliers, le partage de bonnes pratiques, et dans certains cas, des acquisitions permettant une intégration complète et une montée en maturité selon les standards de la Maison de luxe.

Sur la connaissance des activités et actifs vitaux

Ce pilier de connaissance est particulièrement complexe à bien maitriser pour les entités du luxe qui sont généralement divisées en maisons/entités aux métiers très différents, parfois réparties sur plusieurs continents. Cette structure donne une autonomie certaine aux différents métiers, et est susceptible de compliquer le bon partage d’informations avec les équipes en charge de la résilience au niveau groupe.

Sur la gouvernance et l’acculturation résilience

Ce pilier est le moins bien maitrisé par le secteur. Le luxe est même légèrement au-dessous de la moyenne du marché. En effet, les rôles et responsabilités sont rarement correctement définis et une comitologie commune est inexistante. Ainsi, plusieurs projets similaires sont susceptibles de se concurrencer, ou d’être traités de manière incomplète (ex : d’un point de vue IT sans considération de BIA réalisés par les métiers).

Nos recommandations pour améliorer la résilience opérationnelle du luxe

Wavestone accompagne plusieurs entités, de tous secteurs, dans leur démarche de résilience opérationnelle. Prenant en compte les spécificités du luxe évoquées précédemment, nous identifions 4 recommandations.

S’inspirer, en restant pragmatique, des règlementations (DORA, CER, NIS 2, Solvabilité 2, LPM, etc.) : le luxe n’y est pas directement soumis, pourtant il est pertinent d’en tirer parti en les considérant comme des référentiels de bonnes pratiques. Avec DORA, le secteur financier avance rapidement sur le sujet et son retour d’expérience peut être utile au secteur du luxe. Il convient, bien entendu, de rester pragmatique et ne retenir que les mesures pertinentes au regard de l’entité du luxe concernée et de ses spécificités. Il s’agit en particulier d’éviter de surcharger les métiers avec les exigences purement réglementaires, qui ont surtout vocation à permettre aux autorités de contrôle de remplir leur rôle.

Tester et tirer des leçons : les tests sont une composante essentielle d’une stratégie de résilience opérationnelle. C’est par les tests qu’il est possible de mesurer l’efficacité d’une solution de continuité (PCA, PRA, outils de gestion de crise, etc.) pour en tirer des leçons et les améliorer en continu. Notamment, les tests de pénétration fondés sur la menace (décrits notamment dans DORA et dans le framework TIBER-EU), permettent de tester de bout en bout des équipes opérationnelles, en incluant les tiers, et peuvent, à ce titre être riches en enseignements en dehors du secteur financier. 

Disposer d’une stratégie au niveau Groupe :  elle permet d’éviter la prise d’initiatives contradictoires au niveau des entités et/ou entre les équipes IT/Cyber et les métiers, mais aussi gagner en efficience. En outre, cette stratégie permet de fixer un niveau de maturité cible, adapté aux besoins propres de chaque entité.

Capitaliser sur l’existant : en raison de ses spécificités, les entités du luxe sont susceptibles d’avoir mis en place des solutions de continuité, et/ou des comitologies adaptées à la résilience opérationnelle (gestion des tiers, de crise, chantiers de cybersécurité, etc.). Il convient de ne pas repartir d’une feuille blanche mais au contraire de capitaliser sur cet existant pour engager une démarche sur-mesure.

[1] Luxury in Transition: Securing Future Growth, Bain & Company.

[2] CAC 40, premier indice boursier français.

[3] Le luxe français : pourquoi ce secteur déjoue toutes les crises, La Fabrique de l’industrie

[4] Doctrine interarmées, DIA-3.4.1_RESILIENCE, N° 23/ARM/CICDE/NP du 08 février 2022.

[5] Cette norme détaille les caractéristiques d’un « système de management de la continuité d’activité ».

[6] Le marché est constitué de l’ensemble des organisations ayant sollicité Wavestone pour évaluer leur maturité (+150 ces 5 dernières années).

[7] À quels enjeux de cybersécurité les grands noms du luxe sont-ils confrontés ?, L’Usine Digitale

Cet article La résilience opérationnelle dans le secteur du luxe est apparu en premier sur RiskInsight.

Pour soutenir nos clients, nous avons examiné plusieurs solutions privacy pilotées par l’IA. Cet article donne un aperçu des fonctionnalités offertes par les principaux acteurs du marché privacy, notamment OneTrust, Smart Global Governance, Witik, Dastra, EQS, Secure Privacy, DataGrail, BigID, Collibra, Privacy License et Ardent. Cette liste n’est pas exhaustive, mais elle met en lumière les principaux fournisseurs que nous avons identifiés parmi nos clients.

Le radar ci-dessous présente un résumé des résultats de l’étude, offrant un aperçu des capacités des différentes solutions en matière de fonctionnalités d’IA. Il servira d’outil précieux pour les organisations afin d’identifier quelles solutions correspondent le mieux à leurs besoins et priorités spécifiques.

Figure 1 : Radar des solutions Privacy intégrant l’IA

Les fonctionnalités IA en privacy

Lors de notre évaluation comparative, nous avons identifié cinq types principaux de fonctionnalités pour l’utilisation de l’IA dans les solutions privacy. Ces cinq catégories couvrent les principales fonctionnalités récurrentes trouvées dans les solutions des éditeurs. Bien que chaque catégorie regroupe des fonctionnalités similaires, certaines fonctionnalités uniques de l’IA peuvent ne pas entrer dans ces catégories.

Figure 2 : Catégories de fonctionnalités IA en privacy

   1. Génération assistée de documents privacy

Les solutions d’IA peuvent générer automatiquement des questionnaires et des évaluations pour les audits de conformité, les enquêtes de satisfaction, les rapports personnalisés et même les registres de traitement des données. Ces outils permettent de personnaliser le contenu en fonction des exigences spécifiques. Certaines solutions intègrent même la possibilité d’importer des documents existants pour optimiser la génération de documents.

Exemple d’utilisation : générer une proposition de modèle d’évaluation des fournisseurs.

Ce type de fonctionnalité démontre d’une maturité déjà avancée et permet de rédiger rapidement plusieurs documents qui prendraient autrement beaucoup plus de temps.

Score de maturité :

   2. Analyse et complétion intelligentes de document

L’analyse intelligente de documents utilise l’IA pour examiner des documents complexes, extraire des informations clés et identifier les risques de conformité. Elle ne génère que des brouillons initiaux de réponses aux questions, aidant ainsi les utilisateurs à ne pas partir de zéro. Un contrôle humain est nécessaire pour vérifier la qualité de ces brouillons.

Exemple d’utilisation : générer un premier brouillon de privacy by design pour un nouveau traitement de données RH.

Ce type de fonctionnalité est considérée comme mature et permet de rédiger rapidement des réponses dans des questionnaires ou divers documents, réduisant ainsi considérablement le temps nécessaire à leur achèvement.

Score de maturité : 

   3. Plan de conformité assisté par IA

Les solutions d’IA peuvent créer des plans d’action de conformité, gérer des tâches, automatiser des flux de travail, et assurer ainsi une exécution fluide des processus de mise en conformité. Ces outils optimisent le temps et les ressources, simplifiant ainsi l’achèvement des workflows.

Exemple d’utilisation : automatisation des réponses aux demandes d’accès des personnes concernées.

Ce type de fonctionnalité émerge notamment avec l’arrivée des agents IA. Dans un an environ, cette technologie devrait gagner en maturité et permettre une plus grande précision dans les combinaisons de tâches proposées pour simplifier les flux de travail.

Score de maturité :     

   4. Assistants IA

Les assistants conversationnels IA fournissent une assistance en temps réel aux employés et aux clients en répondant à leurs questions et en les guidant à travers les processus de conformité. En général, ces assistants IA sont pré-entraînés avec des référentiels de réglementation ou des documents juridiques. Ils peuvent également être adaptés avec des documents choisis par le client et téléchargés dans un environnement de travail sécurisé fourni par l’éditeur. Leur utilisation améliore l’accessibilité et la réactivité des services de conformité.

Exemple d’utilisation : Privacy-GPT permettant de répondre à des questions telles que « pouvez-vous me rappeler les règles de suppression des données pour les CV ? »

Cette fonctionnalité est facilement disponible et peut être mise en œuvre aisément au sein des entreprises en utilisant des configurations simples d’agents IA comme Copilot.

Score de maturité : 

   5. Gestion des cookies et du consentement avec l’IA

Il est possible d’utiliser l’IA pour générer automatiquement des bannières de consentement aux cookies, en tenant compte des principaux paramètres tels que la langue, le pays et les réglementations applicables. Elle automatise également la création de politiques de privacy et de gestion des cookies, adaptées aux critères juridiques régionaux et linguistiques. De plus, certaines solutions incluent une classification intelligente des cookies, permettant d’identifier, de catégoriser et de gérer les cookies sur un site web.

Cette fonctionnalité est rare, et peu d’éditeurs ont poursuivi son développement.

Score de maturité :  

Comment tirer le meilleur parti de la maturité actuelle des outils d’IA ?

Le benchmark indique que les solutions privacy basées sur l’IA offrent des avantages notables en matière de conformité et d’efficacité au travail, bien que certaines limites soient à prendre en compte.

Avantages :

• Conformité et gain de temps : Les solutions privacy basées sur l’IA peuvent améliorer et simplifier les travaux autour de la conformité.
  • Les fonctionnalités de l’IA visent à gagner du temps, en particulier pour les tâches répétitives et longues. Cela peut impliquer, par exemple, le pré-remplissage de questionnaires, l’automatisation des flux de travail…
  • Les outils d’IA donnent accès à une vaste base de connaissances, qu’elle soit interne ou externe, et permettent des recherches plus rapides. La conformité peut être atteinte plus rapidement et avec plus de précision.
  • Ces outils permettent également d’assurer la cohérence au sein de l’organisation sur la manière de traiter les sujets privacy (en s’appuyant sur un RAG commun). La conformité sera plus cohérente au sein de toutes les entités.
• Automatisation partielle : L’automatisation complète n’est pas l’objectif en matière de privacy en raison de la nature sensible des informations impliquées. Les solutions d’IA en privacy sont plus adaptées en tant qu’outils de support plutôt qu’en tant qu’outils de remplacement complet. C’est pourquoi la plupart des éditeurs développent des fonctionnalités pour des tâches spécifiques exigeant une supervision humaine.

Limites :

• Limites spécifiques aux tâches : De nombreux outils d’IA utilisent des modèles tiers (par exemple, une API directement liée à OpenAI) qui peuvent ne pas être entièrement optimisés pour des tâches spécialisées. Lors de la sélection d’une solution d’IA, il est important de vérifier le modèle et les données d’entraînement, et d’opter pour des plateformes qui utilisent des modèles propriétaires axés sur la confidentialité des données pour des résultats plus fiables.
• Risques de sécurité : L’augmentation de la connectivité et la demande de personnalisation peuvent introduire des risques de sécurité, affectant potentiellement l’intégrité et la confidentialité des données. Il est conseillé de surveiller la manière dont les systèmes d’IA interagissent avec les données pour s’assurer que les informations sensibles ne sont pas accessibles à l’IA.
• Responsabilités des utilisateurs : Il est important de reconnaître que l’utilisation de l’IA comporte des risques inhérents, car ses réponses ne sont pas toujours exactes ou pertinentes. Les utilisateurs doivent garder une perspective critique et vérifier soigneusement tout contenu généré par l’IA avant de l’incorporer dans des documents officiels. Sensibiliser et offrir des conseils sur les meilleures pratiques d’utilisation de l’IA pourrait être bénéfique pour garantir une mise en œuvre responsable et efficace.

Perspectives

L’intelligence artificielle en est encore à ses débuts pour les sujets privacy, et des fonctions plus avancées devraient émerger à l’avenir. Actuellement, les capacités de l’IA sont utilisées comme outils de support pour diverses tâches, opérant généralement sous la supervision humaine pour rationaliser les processus chronophages ou répétitifs. Dans un ou deux ans, d’autres opportunités pourraient apparaître avec le développement d’agents IA (systèmes conçus pour effectuer des tâches de manière autonome pour les utilisateurs ou d’autres systèmes), permettant une personnalisation accrue pour des besoins métiers spécifiques ou des applications générales, ainsi qu’une meilleure précision dans l’exécution de tâches spécifiques. Pour ces raisons, il est conseillé de s’intéresser dès maintenant aux outils d’IA, car ils peuvent permettre de gagner en efficacité sur les sujets opérationnels.

Bien que la personnalisation accrue puisse améliorer le rôle de l’IA dans la privacy et la conformité, elle augmente également la connectivité, ce qui peut poser des risques de sécurité. Il sera nécessaire de relever ces défis pour maintenir l’intégrité et la confidentialité des données.

Enfin, étant donné le développement rapide de l’IA, changer une solution déjà implémentée pourrait ne pas être financièrement judicieux. Néanmoins, il peut être intéressant de le planifier pour 2026 et de contacter votre éditeur pour en savoir plus sur les fonctionnalités disponibles lorsque la technologie des agents IA sera plus mature.

Dans le cadre de notre recherche, nous avons organisé des ateliers d’une heure avec six de ces éditeurs (Dastra, OneTrust, Smart Global Governance, Secure Privacy, Witik et EQS/Privacy Cockpit) afin de mieux comprendre leurs capacités en matière d’IA, leurs développements futurs et la manière dont ils intègrent l’IA dans leurs solutions.

Nous remercions vivement Cyprien Charlaté et Catherine Pigamo pour leur précieuse contribution à la rédaction de cet article.

Cet article Pourquoi est-ce le bon moment d’inclure des outils alimentés par l’IA dans votre stratégie de conformité privacy ? est apparu en premier sur RiskInsight.

Mais au juste, qu’est-ce que la norme ISO 27701 ?

L’International Standard Organisation (ISO) a publié en août 2019 sa norme 27701 qui est une extension de l’ISO 27001 et a vocation à venir spécifier et définir les processus, les objectifs et les mesures à mettre en œuvre pour la protection des données personnelles et de la vie privée.

Créer et faire vivre un Système de Management de la Protection de la Vie Privée

A l’instar de la norme ISO 27001 (la référence en ce qui concerne la sécurité informatique), qui a pour but de créer un Système de Management de la Sécurité de l’Information (SMSI), son extension 27701 aspire à créer un Système de Management de la Protection de la Vie privée (Privacy Information Management System – PIMS en anglais).

Pour ce faire, la norme amende et complète les processus, les exigences et les mesures de sécurité de la 27001 et de la 27002 avec des préconisations spécifiques au traitement de données à caractère personnel.

Mais elle ne se contente pas d’étoffer la 27001 et la 27002 et vient également ajouter des exigences nouvelles spécifiques bien connues des acteurs de la Privacy (gestion du consentement, transparence, minimisation…).

Dans ce contexte, l’obtention d’une certification ISO 27001 est un préalable à une certification 27701.

Ce paramètre rétrécit mécaniquement les candidats potentiels à une certification, et rend l’effort à fournir plus conséquent : revue des documents existants, collaboration nécessaire entre les équipes initiales du SMSI et les nouveaux acteurs du PIMS, etc.

Malgré cet effort, l’application de ce standard offre une excellente opportunité pour les organisations d’entremêler davantage les processus et les équipes relatifs à la cybersécurité et la Privacy (par exemple : lier les processus d’Intégration de la Sécurité dans les Projets et le Privacy by Design).

La certification ISO 27701 n’est pas synonyme de conformité au RGPD…

Il est important de noter qu’une certification à la norme n’est pas synonyme à une conformité au RGPD, la vocation principale de la norme étant d’établir à l’échelle mondiale des principes et des règles autour de la Privacy, et ce, dans un langage commun. Cela dit, il convient de rappeler que des autorités nationales (comme la CNIL) ont participé à l’élaboration de la norme et saluent sa publication.

Mais alors, quelles adhérences entre le contenu de la norme et le contenu du RGPD ?

En ce qui concerne les principes fondamentaux du RGPD (consentement, droits, licéité…), la nouvelle norme développe un ensemble d’exigences couvrant toutes les thématiques du RGDP. La norme se voulant internationale, elle demeure par nature moins précise que le RGPD sur certains thèmes (pas de précision du délai à respecter pour notifier l’autorité par exemple). Il est ainsi du ressort du PIMS de réaliser une analyse d’écarts afin de comprendre quels sont les ajustements à réaliser pour être en conformité avec les lois applicables.

Par ailleurs, en ce qui concerne la sécurité des données à caractère personnel, les adaptations des exigences de la 27001 et de la 27002 offrent un référentiel complet aux organisations pouvant servir de socle pour respecter l’article 32 du RGPD (dédié à la sécurité des données).

…mais elle peut devenir la marque de crédibilité la plus forte en la matière sur le marché.

L’enjeu principal d’une certification 27701 est de crédibiliser son système de management de la Privacy et donner confiance aux parties prenantes (partenaires commerciaux, clients, fournisseurs, salariés, autorités…) quant à la prise en compte des principes fondamentaux de la protection de la vie privée.

Le « tampon » 27701 pourrait devenir rapidement un gage de confiance connu et reconnu à l’échelle internationale. A l’instar de la norme ISO 27001, cette nouvelle norme 27701 pourrait devenir un critère incontournable dans les phases d’appel d’offres.

Dans cette perspective, Matthieu Grall de la Commission nationale de l’informatique et des libertés (CNIL) énonce qu’avec « (…) l’augmentation du nombre de plaintes et de sanctions liées à la confidentialité et à la protection des données, il est évident qu’une telle norme était nécessaire. En outre, les organisations doivent prouver aux autorités, et à leurs partenaires, clients et collaborateurs qu’elles sont dignes de confiance. Or cette norme contribuera fortement à inspirer cette confiance. »

Concrètement, pour qui et pourquoi ?

La publication de cette norme représente une opportunité pour plusieurs types d’organisations :

• Dans une relation B2B : un gage de confiance fort vis-à-vis de ses partenaires commerciaux dans le cadre d’une collaboration induisant le traitement de données personnelles (une entreprise gérant la paie ou réalisant les opérations de communication ou de marketing pour le compte de grandes organisations par exemple).
• Dans une relation B2C : la certification d’un périmètre clé d’une entreprise traitant en masse les données personnelles de ses clients (un distributeur dans le cadre de son programme fidélité, un assureur dans le cadre ses activités contractuelles…) peut devenir à terme un vecteur de confiance significatif vis-à-vis des clients eux-mêmes mais aussi vis-à-vis des autorités.
• Au sein des entreprises : la norme représente un nouveau référentiel auquel les entreprises peuvent se confronter et dont elles peuvent se servir pour venir élaborer un cadre d’audit clair et partagé. Une certification ISO 27701 peut également représenter un moyen pour les DPO et les équipes Privacy de rendre tangible les efforts fournis auprès de leur top management.

Si des incertitudes demeurent sur son adoption massive (notamment liées à la barrière de la certification 27001), il ne fait nul doute qu’elle pourra rapidement s’imposer comme un gage de confiance ainsi que comme un nouveau référentiel d’audit et de contrôle interne.

Il en demeure que l’apparition de cette norme est un nouveau bond en avant en ce qui concerne la protection des données personnelles, et ce à l’échelle internationale.

Cet article ISO 27701 : un texte de conformité de plus ou le cadre international tant attendu pour la protection de la vie privée ? est apparu en premier sur RiskInsight.

Dès lors, comment redonner confiance aux consommateurs, notamment afin de s’assurer qu’ils sont prêts à partager leurs données et préférences ?

Plusieurs acteurs majeurs du e-commerce (ASOS, Adidas, etc.) semblent faire de la transparence, en particulier via la maîtrise et le contrôle des données par leurs clients, un axe fort de leur stratégie. Cela passe généralement par un Privacy Center, à savoir un espace personnel où l’utilisateur peut consulter et gérer ses informations personnelles, moduler ses préférences et consentements, et exercer ses droits facilement. Mais cette solution est-elle à privilégier par tous les acteurs du retail ?

En quoi le Privacy Center peut être vu comme une solution de transparence idéale ?

Le Privacy Center a pour avantage de responsabiliser l’utilisateur sur la gestion des données à caractère personnel qu’il confie. En rendant l’utilisateur maître de ses données, il est gage de confiance et de transparence de la part de l’entreprise.

Cette partie du Privacy Center d’ASOS permet à l’utilisateur de choisir quel type de communication il souhaite recevoir. Cet exemple illustre une granularité possible dans la personnalisation des contenus tout en restant dans les limites tracées par le RGPD.

Le Privacy Center est l’unique point d’interaction sur les sujets de Data Privacy pour l’utilisateur. Cette interface permet à elle seule de gérer l’ensemble des canaux de communication d’une Enseigne (internet, magasin, SAV, etc.).

Au travers d’une communication claire et adaptée (à savoir, en des termes compréhensibles par tous, et non juridiques), le Privacy Center permet de mettre en avant la volonté de protéger les données et de permettre aux clients de mieux maitriser leurs choix. L’entreprise réinstaure alors une relation de confiance avec ses clients, ce qui les encourage à partager leurs données et préférences.

Quels freins à l’implémentation d’un Privacy Center ?

L’installation d’un Privacy Center dans le SI existant d’une entreprise est complexe. Cela requiert une parfaite interconnexion entre les interfaces clients (mobile, site internet, physique, etc.) et les différentes bases de données clients existantes (la vision client étant rarement complètement unifiée). Par « interconnexion » on entend le fait que les informations renseignées par l’utilisateur sur une interface (ex : « Je ne souhaite plus recevoir de publicités par email ») soient renseignées de manière systématique sur l’ensemble des systèmes. Dans les faits, les complexités propres à chaque SI d’entreprise font qu’une telle interconnexion est rare, et souvent longue et coûteuse à déployer d’un point de vue technique.

Toutefois, les problèmes de communication entre les différentes interfaces ne dépendent pas uniquement de la DSI. Encore faut-il que les métiers soient enclins à faire converger ces bases clients. Il n’est pas rare dans le domaine du retail que les magasins disposent de leur propre animation client, ou que plusieurs marques avec des positionnements différents cohabitent au sein d’un groupe. Dès lors, interconnecter les usages et les interfaces est une opération complexe, voire non souhaitée. La mise en place d’un Privacy Center résulte donc d’une stratégie marketing et digitale plus globale.

Enfin, le Privacy Center peut générer un paradoxe : même en le mettant à disposition pour renforcer la confiance, les entreprises ne souhaitent pas nécessairement son usage à outrance par leurs clients. On peut par exemple imaginer que les équipes marketing et digital ne souhaitent pas nécessairement simplifier l’exercice des droits ou le retrait du consentement, de peur de perdre des comptes clients et des contacts commerciaux potentiels. Le Privacy Center correspond donc davantage aux organisations où la gestion client s’inscrit dans le « moins mais mieux » : il permet de mieux connaitre (préférences, nature des contacts, fréquence, etc.) un nombre plus réduit de clients et prospects, ceux acceptant de partager leurs données.

Le Privacy Center, une cible à atteindre ou un eldorado dès aujourd’hui ?

Les acteurs du retail n’ont pas tous la même stratégie digitale ni le même niveau de maturité sur le digital. Certains sont déjà matures : canaux e-commerce développés ; sites internet, applications mobiles, canaux physiques et téléphoniques liés ; UX récente et soignée… C’est le cas des pure players digitaux ou des leaders du marché qui ont (re)construit toute leur stratégie d’entreprise à partir de l’expérience utilisateur digitale. Pour eux, le déploiement d’un Privacy Center n’implique pas une refonte totale du SI, ni de leur façon de concevoir leur relation client. Il peut donc être envisagé à court terme.

Pour d’autres, la stratégie digitale reste à déployer, voire à construire. C’est notamment le cas de retaillers plus « classiques », dont le canal physique ou téléphonique est encore au cœur du processus de vente. Déployer un Privacy Center dès aujourd’hui semble alors un peu anticipé. Il conviendra d’abord de définir une stratégie digitale claire, de s’assurer de sa mise en œuvre effective et des évolutions SI associées, avant de pouvoir envisager une interface client de ce type.

En synthèse, le Privacy Center doit donc être vu comme un « aboutissement » plus qu’une solution immédiatement et uniformément applicable. C’est un aboutissement visant à améliorer la confiance client au travers de la maitrise de ses données et d’une communication claire sur ce que l’on en fait. Mais pour que cette communication puisse être réalisée, il convient que la stratégie d’utilisation de ces données ait été définie. Et pour que la maitrise des données soit réelle, il convient que les SI supportant ces données aient évolué en fonction.

In fine, il semble bien que la présence d’un Privacy Center sur tous les sites e-commerce ne soit pas pour 2019. Toutefois, l’exemplarité d’une telle démarche et le différentiateur fort que cela produit dans la relation de confiance avec ses clients devraient contribuer à faire du Privacy Center une « norme » sur le marché du retail dans les prochaines années. Nous devons donc tous l’anticiper !

Privacy center d’Adidas

Cet article Le Privacy Center, l’eldorado de la relation client ? est apparu en premier sur RiskInsight.