GDPR Implications Customer Identity Management - French

KuppingerCole Whitepaper
Le RGPD et la gestion des identités clients
Rapport no.: 72601
L'avènement du Règlement général sur la protection des données (RGPD) au sein de l’UE
modifie les exigences relatives à la gestion des données personnelles. Le champ d'application
de la réglementation est large et touche également les organisations basées en dehors de l'UE.
A l'ère de la transformation numérique, l’obtention d'un équilibre entre les nouvelles exigences
réglementaires d'une part et les nouvelles exigences en matière de gestion de la clientèle
d'autre part nécessite de passer d'une gestion des identités clients par portail et par
application à une gestion centralisée par plateforme. Et ce, afin de garantir l'équilibre entre
conformité, consentement de l'utilisateur et réponse optimale aux besoins du client.
Dr. Karsten Kinast
kk@kuppingercole.com
Martin Kuppinger
mk@kuppingercole.com
Commandé par
Recherche associée
#71529 Executive View: Gigya Customer Identity Management Suite
#72002 Whitepaper: Using Information Stewardship within Government to Protect PII
#72006 Leadership Brief: Your customer identities: How to do them right
#72015 Leadership Brief: Monetizing the Digital Transformation
KuppingerCole
WHITEPAPER par Dr. Karsten Kinast & Martin Kuppinger | September 2016

Rapport no.: 72601 Page 2 sur 17
Contenu
1 Résumé analytique....................................................................................................................... 3
2 Points marquants ......................................................................................................................... 4
3 Le règlement général sur la protection des données (RGPD) .......................................................... 4
3.1 Histoire et contexte : pourquoi le RGPD est nécessaire...................................................................4
3.2 Cadre existant...................................................................................................................................5
3.2.1 Directive sur la protection des données de l'UE..................................................................5
3.2.2 Directive Vie Privée..............................................................................................................5
3.3 Période de mise en place et champ d'application............................................................................5
4 Conformité : les éléments clés du RGPD ........................................................................................ 6
4.1 La définition des données personnelles...........................................................................................6
4.2 Les règles d'obtention d'un consentement valide ...........................................................................7
4.3 Exigence concernant le délégué à la protection des données (DPO)...............................................8
4.4 Analyses obligatoires d'impact de la protection des données (DPIAs) ............................................8
4.5 Exigences de notification de violation des données ........................................................................8
4.6 Contrôle des données et droit à l'oubli............................................................................................9
4.7 Mesures de sécurité techniques et organisationnelles....................................................................9
4.8 Confidentialité par défaut et par conception.................................................................................10
5 Le RGPD et la gestion des identités clients................................................................................... 11
5.1 Besoins de l'entreprise ...................................................................................................................11
5.2 Principes de mise en œuvre des exigences du RGPD.....................................................................12
5.3 Trouver le juste équilibre ...............................................................................................................13
6 Résumé et recommandations ..................................................................................................... 15
7 Droits d'auteur ........................................................................................................................... 16

1 Résumé analytique
Avec la mise en place du RGPD dans l'UE (union européenne), les exigences relatives à la gestion des
données personnelles vont changer, conduisant les organisations à prendre les mesures nécessaires. Le
RGPD a une portée très large, et est donc pertinent non seulement pour les organisations au sein de
l'UE, mais aussi pour les organismes qui traitent les données des consommateurs situés dans l'UE.
Le RGPD s'impose comme un instrument d'harmonisation dans le domaine de la protection des données
au sein des États membres de l'UE. La rapidité du développement des nouvelles technologies a révélé la
nécessité de mettre à jour le cadre actuel de protection des données d'une manière qui répond à la
réalité d'aujourd'hui et prend en compte les réseaux sociaux et les technologies du big data. Les
exigences de protection de la vie privée des consommateurs seront beaucoup plus strictes à travers ce
nouveau cadre. En tant que directive de l'UE, le RGPD remplace les réglementations locales, qui devront
être adaptées en conséquence.
Il existe une variété de nouveaux éléments de régulation, comprenant le consentement obligatoire, la
définition de l'objectif de l'utilisation des données personnelles et le droit à l'oubli. Pour comprendre
l'impact du RGPD sur la gestion des identités et le traitement des données clients - qui va bien au-delà
de la gestion des identités clients et affecte également la CRM, les ERP et d'autres systèmes d'entreprise
- il est important de comprendre les éléments clés de la nouvelle loi.
Du point de vue des données clients, il devient de plus en plus important de gérer les identités clients
d'une manière efficace et bien pensée. Le défi fondamental est que les clients auront beaucoup plus de
droits qu'ils en avaient auparavant dans le cadre de n'importe quelle réglementation de protection des
données au sein de l'UE. Ainsi, être en mesure d'identifier un client - même quand il utilise différents
identifiants de connexion au fil du temps - est important non seulement d'un point de vue commercial,
mais aussi du point de vue de la conformité. De toute évidence, satisfaire aux exigences changeantes est
plus facile lorsque de multiples identifiants de connexion sont correctement associés à une seule
personne. Au-delà, la gestion et le respect du consentement de l'utilisateur, ses préférences, opt-ins et
opt-out à travers tous les points de contact devient obligatoire avec le RGPD. La gestion des identités
clients est une question de défis front-end tels que la compréhension de l'identité unique d'un client,
mais aussi des défis tels que l'application des décisions de consentement dans tous les systèmes back-
end.
D'un point de vue technique, l'essence de la réglementation peut être formulée en une seule phrase :
Se baser sur les plates-formes, pas sur le code
Le temps où chaque application et portail tourné vers le client était conçu de manière indépendante,
avec une gestion de l'identité distincte pour chacun, est révolu. Le traitement efficace de l'identité des
clients, leur consentement et leur contexte, pour soutenir l'agilité des entreprises et remplir les
exigences de conformité réglementaires nécessite l'utilisation d'une plate-forme dédiée de gestion des
identités clients.

2 Points marquants
● Le RGPD, dont l’entrée en vigueur est prévue en mai 2018, modifie les exigences
relatives à la protection des données personnelles et de la vie privée - les organisations
doivent s'adapter dès maintenant à ces nouvelles exigences
● L'obtention du consentement de l'utilisateur quant à l'utilisation de ses données
personnelles et la gestion de la preuve du consentement sont les principaux éléments
de la nouvelle réglementation
● Divers principes, tels que le droit à l'oubli et le droit de révoquer son consentement
devront être mis en application
● Les organisations doivent améliorer leur capacité à gérer les identités des utilisateurs,
leur consentement et son contexte d’application
3 Le règlement général sur la protection des données (RGPD)
Le RGPD européen entraîne un certain nombre de nouvelles exigences pour les organismes traitant des
données personnelles, y compris les informations permettant l'identification indirecte des clients. Les
modifications apportées par l'UE via le RGPD nécessitent que les organisations prennent des mesures
pour se mettre en conformité avec le règlement.
Avec la mise en place du RGPD dans l'UE (union européenne), les exigences relatives à la gestion des
données personnelles vont changer, conduisant les organisations à prendre les mesures nécessaires
pour se conformer à la nouvelle régulation. Le RGPD a une portée très large, et s’applique non
seulement aux organisations basées au sein de l'UE, mais aussi aux organismes qui traitent les données
des consommateurs résidants dans l'UE.
Maîtriser la portée, le contenu et l'impact du RGPD est essentiel pour comprendre les implications
concrètes pour les organisations lorsqu'elles manipulent des informations personnelles identifiables (PII)
dans leur sens le plus large. Il est particulièrement important que les organisations comprennent de
quelle manière elles doivent gérer les données clients à l'avenir.
3.1 Histoire et contexte : pourquoi le RGPD est nécessaire
Le RGPD s'impose comme un instrument d'harmonisation dans le domaine de la protection des données
au sein des États membres de l'UE. La rapidité du développement des nouvelles technologies a révélé la
nécessité de mettre à jour le cadre actuel de protection des données d'une manière qui prend en
compte les réalités de la nouvelle économie numérique, telle que l’omniprésence du big data ou le rôle
que jouent les réseaux sociaux et les technologies du big data dans notre manière de communiquer et
de collaborer. La vie privée des consommateurs sera garantie par le nouveau cadre. En tant que
directive de l'UE, le RGPD remplace les réglementations locales, qui devront être adaptées en
conséquence.

Tandis que le RGPD renforce les exigences globales de protection des données dans les États membres
de l'UE, il harmonise également diverses réglementations existantes. La mise en place d’une régulation
cohérente entre tous les États membres de l'UEpermettra aux organisations de se conformer plus
facilement.
3.2 Cadre existant
En matière de protection des données personnelles, le cadre actuel est fixé par la directive sur la
protection des données 95/46/CE ainsi que la directive sur la vie privée et les communications
électroniques 2002/58/CE..
La directive actuelle sur la protection des données date donc de 1995. À l'époque, Internet en était
encore à ses débuts, il n'y avait pas de smartphones et les réseaux sociaux n’existaient pas. Le Big Data
n’était encore qu’un concept balbutiant bien éloigné de l’adoption générale d’aujourd’hui. La nouvelle
régulation européenne tente donc de rattraper les changements qui ont marqués ces 20 dernières
années tout en établissant une norme solide pour les années à venir.L'écart entre l'ancienne directive et
la nouvelle réglementation, bien qu’il ait pu être comblé dans une certaine mesure par les régulations
au niveau des États membres, est donc plutôt significatif.
3.2.1 Directive sur la protection des données de l'UE
La Commission européenne a adopté la directive sur la protection des données en vue d'harmoniser
certaines procédures établies dans l'UE pour le traitement des données personnelles par des
contrôleurs de données (individus ou organisations qui décident comment et pourquoi les données
personnelles sont traitées) et des processeurs de données (individus ou organisations traitant des
données pour le compte des contrôleurs de données). Toutefois, certains aspects pertinents restent
différents selon les pays membres, tels que l'obligation de nommer un délégué à la protection des
données, d’inscrire les systèmes informatiques en cours d'utilisation auprès de l'autorité compétente,
de répondre aux exigences de consentement, etc. Ces différences soulignent la nécessité de mettre à
jour le cadre existant, afin d'atteindre un niveau d'harmonisation plus élevé au sein de l'UE et de
continuer à assurer un niveau adéquat de protection des données personnelles.
3.2.2 Directive Vie Privée
La directive sur la vie privée complète le RGPD et impose des exigences spécifiques en ce qui concerne la
façon dont les données personnelles des clients sont stockées et collectées par les fournisseurs d'accès
internet ou les opérateurs téléphoniques. Un projet de directive sur la vie privée en adéquation avec le
nouveau champ d'application du RGPD est en cours d’examen et est attendu prochainement.Cette
directive spécifique ne concerne cependant que certains secteurs définis.
3.3 Période de mise en place et champ d'application
Les organisations disposent d'une période de deux ans, jusqu'au 25 mai 2018, pour mettre en œuvre les
changements introduits par le RGPD. Dans le cas contraire, des amendes importantes pourront être
imposées aux organisations qui n'ont pas atteint le niveau de protection des données minimum imposé
par le nouveau cadre. Il s'agit d'une période de temps relativement courte, étant donné que le RGPD

pourrait nécessiter des changements importants sur des logiciels existants qui manipulent actuellement
des données dans le cadre de la réglementation.
En bref : la poursuite des activités commerciales avec les clients de l'UE exige le plein
respect du RGPD
L'un des aspects les plus intéressants de la nouvelle réglementation est sa vaste portée. Le RGPD est
applicable à tous les contrôleurs et processeurs de données établis dans l'UE, quel que soit
l'emplacement du traitement. Mais il vaut également pour les contrôleurs de données et les processeurs
établis en dehors de l'UE, si les personnes concernées (dont les données personnelles sont traitées) sont
situées dans l'UE et que les activités de traitement sont liées à l'offre de biens ou de service à des
personnes dans l'UE ou bien au suivi de leur comportement, si ce comportement a lieu dans l'UE.
Cela signifie concrètement que chaque organisation internationale traitant des données clients au sein
de l'UE doit se conformer au RGPD. Il ne sera pas suffisant de localiser les centres de données en dehors
de l'UE et de continuer à procéder comme aujourd'hui. En ce qui concerne le traitement des données
clients, l’option de ne pas s'adresser aux clients de l'UE - possible en théorie - ne constitue
probablement pas une option réaliste pour la plupart des organisations.
Encore une fois : la poursuite des affaires avec les clients de l'UE exige le plein respect du RGPD.
4 Conformité : les éléments clés du RGPD
Il existe une variété de nouvelles règles. Celles-ci comprennent la nécessité du consentement par objectif;
l'obligation de notification des failles ainsi que des principes tels que le droit à l'oubli. Ces règles ne sont
pas toutes nouvelles, mais dans leur ensemble, les exigences réglementaires augmentent de manière
significative.
Pour comprendre l'impact du RGPD sur la gestion des identités et le traitement des données clients - qui
va bien au-delà de la gestion des identités clients et affecte le CRM, les ERP et d'autres systèmes
d'entreprise - il est important de maîtriser les éléments clés du RGPD.
4.1 La définition des données personnelles
Le RGPD s'applique à toute opération de traitement impliquant des données personnelles. Les données
personnelles sont définies comme toute information relative à une personne identifiée ou permettant
aux organisations d'identifier une personne physique, directement ou indirectement. Une personne
peut être identifiable par son nom, un numéro d'identification, des données de localisation, des
identifiants en ligne ou des facteurs physiques, physiologiques, d'identité génétique, mentale,
économique, culturelle ou sociale liés à cette personne. Les données clients peuvent faire référence à un
compte bancaire, une adresse IP, des données de connexion, des habitudes de consommation
permettant d'identifier un individu et bien plus encore.

Cette définition est très large, beaucoup plus large que les définitions traditionnelles du PII. Par
exemple, la définition inclut toutes les données de suivi qui peuvent permettre l'identification d'un
individu. En particulier, l'aspect de « l'identification indirecte » est particulièrement important, étant
donné qu'il s'agit d'une définition très large. En fait, toutes les données collectées via l'utilisation de
cookies, par exemple, doivent être considérées comme des données personnelles entrant dans le
champ d'application du RGPD.
Conséquence : pour répondre à ces nouvelles exigences, il est essentiel d'avoir une « vision à 360 degrés
» de chaque client et de toutes les données qui lui sont associées. Cela nécessite une gestion des profils
à la pointe et la capacité d'unifier une grande variété d'attributs et de construire des profils précis et
complets.
4.2 Les règles d'obtention d'un consentement valide
En l'absence d'une autre base juridique valide pour le traitement des données à caractère personnel,
telle qu'un contrat ou une obligation légale, le consentement de l’utilisateur est requis avant le
traitement de ses données personnelles. Le consentement est considéré comme valide lorsqu'il est
donné librement, après information, sans ambiguïté et constitué d'une déclaration ou d'une action
affirmative claire. Si les données sont utilisées à plusieurs fins, l’utilisateur doit donner son
consentement pour chaque fin.
Du point de vue du marketing et de l'identité client, il s'agit par exemple du consentement à la collecte
de données via les cookies ou d'autres activités de navigateur, opt-in et opt-out et ainsi de suite.
L’aspect le plus important, c’est que le l’utilisateur doit donner son consentement pour chaque fin et
d'une manière « éclairée ». De manière générale, les organisations qui traitent et stockent des données
personnelles devront être plus claires sur la formulation du but de leur collecte de données. Au bout du
compte, beaucoup de gens vont donner leur consentement parce qu'ils veulent utiliser un service
particulier. Cela implique également de documenter les preuves du consentement de l’utilisateur. Il est
nécessaire de fournir des preuves quant aux termes exacts sur lesquels chaque utilisateur a donné son
consentement, de même que la preuve technique que l'utilisateur a effectivement donné son accord.
Le consentement doit être donné pour chaque fin et le fournisseur doit fournir la «
preuve du consentement »
Ces exigences deviennent rapidement complexes dans les grandes organisations, où les utilisateurs
disposent de multiples voies d'accès. Avoir une vue unique sur l'identité du consommateur ou du client
et gérer ses préférences et son consentement de manière centralisée est un aspect essentiel pour
répondre à cette exigence.
Conséquence : pour faire face aux nouvelles exigences de consentement, la flexibilité du système de
gestion d'identité est indispensable afin de permettre des flux d'enregistrement et de connexion
personnalisés conformes pour chaque région dans lequel le contrôleur de données fournit un service
aux clients.

4.3 Exigence concernant le délégué à la protection des données (DPO)
À l'heure actuelle, seuls quelques pays réglementent la nomination d'un DPO. Cela va changer
radicalement dans le cadre du RGPD. Les organismes auront l'obligation de nommer un DPO dès que le
traitement implique des catégories de données personnelles particulières et à grande échelle, ou qu'un
suivi systématique des individus est mis en place. La nomination du/de la DPO doit être basée sur ses
qualités professionnelles et son expertise en matière de protection des données. Cette position peut
être tenue par un membre de l'organisation ou par un professionnel externe à l’organisation. Il est
possible de nommer un seul DPO pour un groupe de sociétés.
Conséquence : les organisations doivent déterminer si elles doivent nommer un DPO et prévoir un
budget suffisant. En particulier, elles devront décider si elles préfèrent s'appuyer sur un DPO interne ou
externe.
4.4 Analyses obligatoires d'impact de la protection des données (DPIAs)
Dans le cadre de l'approche fondée sur l'analyse des risques du RGPD, il sera obligatoire de mener des
DPIAs si le traitement opéré est susceptible d'entraîner un risque élevé pour les droits et les libertés des
individus en raison de la nature, de la portée, du contexte ou des buts de l'opération de traitement.
C'est le cas dans certains scénarios :
● Si certaines catégories particulières de données personnelles telles que définies dans le
RGPD sont traitées à grande échelle
● Si une évaluation systématique des aspects personnels liés aux personnes physiques est
effectuée en utilisant des décisions automatisées
● Si un suivi systématique des zones accessibles au public a lieu
Chaque DPIA doit décrire
● Toutes les opérations de traitement et leurs fins
● La nécessité et l'ampleur de chaque processus par rapport à son objectif
● Les risques potentiels pour les droits et libertés des personnes concernées
● Les mesures techniques et organisationnelles qui seront mises en œuvre
Conséquence : au-delà de la nomination d'un DPO, il est nécessaire d'effectuer des évaluations définies
dans une variété de cas d'utilisation. Les audits internes doivent adapter leur mode opératoire en
fonction de ces nouvelles exigences.
4.5 Exigences de notification de violation des données
Lorsqu'une faille impactant les données PII survient, l'Autorité de surveillance appropriée doit être
notifiée par le contrôleur de données dans les 72 heures après avoir été mis au courant de la violation.
Si des données clients pouvant avoir une incidence sur les droits et libertés des consommateurs sont
affectées par la faille, ces consommateurs doivent également être notifiés.
Conséquence : chaque organisation doit définir et mettre en œuvre un processus à la fois de notification
des violations et de gestion des incidents, afin de gérer les incidents d'une manière adéquate et

conforme. Il est important de veiller à ce que tous les fournisseurs de technologie au sein d'une suite de
solutions multiples puissent répondre en temps opportun aux violations de données, et disposent d'une
stratégie bien conçue pour répondre aux nombreuses éventualités.
4.6 Contrôle des données et droit à l'oubli
Le droit à l'oubli a été reconnu comme un droit inhérent des porteurs de données. Il stipule que les
individus ont le droit d'exiger l'effacement de leurs données par les contrôleurs de données sur
demande et sans délai abusif. Cependant, ce droit peut uniquement être exercé si certaines conditions
sont remplies. Par exemple, si les données personnelles ne sont plus nécessaires aux fins pour lesquelles
elles ont été recueillies, ou si la personne concernée retire son consentement.
Plus que le simple droit à l'oubli – le contrôle des données se complexifie
Déjà l'objet de nombreuses discussions et poursuites judiciaires, le droit à l'oubli va prendre plus
d'importance avec le RGPD. Les organisations seront bien avisées de se préparer à la demande des
clients de supprimer leurs données.
Toutefois, le droit à l'oubli n'est pas la seule exigence remarquable. Les nouveaux droits des
consommateurs en matière de contrôle des données d'utilisateur sont beaucoup plus larges et
comprennent également le droit de geler le traitement des données, ce qui constitue une nouvelle
obligation à laquelle il est assez compliqué de répondre. Les utilisateurs pourront demander
l’interruption du traitement de leurs données.
Une autre nouveauté importante concerne le droit d'exporter des données personnelles et de les éditer.
Une fois de plus, il s’agit d’une mesure complexe à mettre en place et qui peut conduire à une
augmentation importante de la charge de travail des organismes qui traitent des données personnelles.
Conséquence : afin d'assurer la capacité des consommateurs à maintenir le contrôle sur leurs données
personnelles, il est nécessaire de faire appel à la gestion avancée des profils, avec des options
appropriées de gestion des préférences de l'utilisateur final, afin d’interrompre le traitement, d'éditer,
d'exporter et de supprimer des données.
4.7 Mesures de sécurité techniques et organisationnelles
En plus des exigences légales mentionnées ci-dessus, il est également essentiel que des mesures
techniques et organisationnelles de sécurité adéquates soient mises en œuvre en fonction de la nature
du traitement. Ces mesures peuvent inclure la mise en place de pseudonymes et l'anonymisation des
données personnelles, la confidentialité, l'intégrité et la résilience des systèmes de traitement ; la
capacité de répondre aux incidents de manière adéquate, ainsi qu'une évaluation régulière de
l'efficacité des mesures de sécurité techniques et organisationnelles mises en œuvre, par exemple à
travers des audits réguliers de sécurité informatique et de protection des données.

Plus précisément, les mesures de sécurité techniques et organisationnelles devront réglementer les
droits d'accès, le contrôle d'admission, le contrôle de transmission, le contrôle d'entrée, le contrôle de la
disponibilité et le contrôle du traitement commandé des données.
Une nouvelle fois, ces exigences réglementaires peuvent nécessiter des développements techniques
assez complexes, devant être mis en place par les organismes de contrôle et de traitement des données
personnelles. Les mesures de sécurité techniques et organisationnelles sont mises en œuvre de la
manière la plus efficace en suivant les normes établies, telles que ISO27018.
Conséquence : il est important de vérifier que toute solution mise au service de la récupération et de la
gestion des données clients garantisse les pratiques de sécurité et d'infrastructure certifiées selon les
normes appropriées propre au domaine.
4.8 Confidentialité par défaut et par conception
Enfin, la nouvelle régulation introduit l'exigence de confidentialité par défaut et par conception. Le
concept de confidentialité par conception est débattu depuis maintenant plusieurs années.
Fondamentalement, il s'agit de créer des applications suffisament flexibles pour faire respecter les
exigences de confidentialité, à la fois selon les exigences réglementaires et selon le consentement du
client. D'autre part, la confidentialité par défaut consiste à considérer le respect de la vie privée comme
une caractéristique inhérente, et non pas comme une caractéristique que les utilisateurs peuvent
uniquement atteindre à l'issu d'une procédure de réglage fastidieuse et issue d’une démarche
volontaire.
En somme, le RGPD introduit un nombre important d'exigences au sein de l'UE. Bien que celles-ci ne
soient pas toutes nouvelles ou même inhabituelles, elles contraignent les organisations qui contrôlent et
traitent des données personnelles à repenser la façon dont elles manipulent ces données.
Conséquence : lors de l'évaluation de votre niveau de préparation par rapport au RGPD, assurez-vous
que toute solution de l'ensemble qui collecte et gère les données clients peut répondre aux exigences
spécifiques pour le scénario d'utilisation par le client, en particulier les exigences de confidentialité des
données. Dans le cas des solutions de bout en bout, assurez-vous qu'elles entretiennent de solides
relations avec un ensemble de partenaires technologiques pouvant facilement s'intégrer avec leur plate-
forme. Éloignez-vous des codes personnalisés et reposez-vous sur des technologies standardisées.

5 Le RGPD et la gestion des identités clients
L'obtention de l'équilibre entre les besoins de l'entreprise et le respect des règles de conformité devient
un défi dans le contexte du RGPD européen. Les organisations doivent gérer les clients (et d'autres
données personnelles) de manière cohérente, en s'éloignant des solutions ponctuelles et en construisant
une base solide pour la gestion des clients ou des identités.
Le RGPD ne concerne pas seulement les données des clients, bien que bon nombre des nouvelles
exigences visent les réseaux sociaux, moteurs de recherche, e-commerce, et autres entreprises tournées
vers le client. Il est important de garder à l'esprit que le RGPD affecte toutes les données personnelles, y
compris celle des employés ou des partenaires d'affaires.
Les organisations ont besoin d'une vision unique de l'identité des clients, de leur
consentement et de leurs préférences - à travers toutes les interfaces
Du point de vue des données clients, il devient de plus en plus important de gérer les identités clients
d'une manière efficace et bien pensée. Le défi fondamental est que les utilisateurs auront beaucoup
plus de droits qu'ils en avaient auparavant dans le cadre de n'importe quelle réglementation de
protection des données au sein l'UE. Ainsi, être en mesure d'identifier un client - même quand il utilise
différents identifiants de connexion au fil du temps - est important non seulement d'un point de vue
commercial, mais aussi du point de vue de la conformité. De toute évidence, satisfaire aux exigences
changeantes est plus facile lorsque de multiples identifiants de connexion sont correctement associés à
une seule personne.
5.1 Besoins de l'entreprise
Les principales exigences pour la mise en place de solutions de gestion de l'identité & des accès clients
(CIAM) sont liées à l'entreprise. Tandis que le RGPD européen, en raison de la nécessité de la mise en
conformité avec la future réglementation, constitue un vecteur de changement moteur, d'autres
raisons encouragent également l'adoption de la gestion des identités clients.
Les modèles d'affaires changent dans le cadre de la transformation numérique, ce qui conduit à une
interaction en ligne plus étroite que jamais avec les clients. Les données recueillies par des objets et des
dispositifs constituent un aspect important de cette évolution. La construction de relations à long terme
avec les clients, dans un environnement de changements rapides des modèleset des partenariats
d'affaires, exige que les clients soient identifiés, quelles que soient les informations de connexion qu'ils
utilisent. La compréhension des activités et des comportements des clients est également essentielle
pour servir au mieux la clientèle.
Ce faisant, un certain nombre de conditions doivent être remplies :
● Les solutions tournées vers le client doivent satisfaire ce dernier, en termes de simplicité
et de facilité d'utilisation, en commençant par la compatibilité avec une large variété de

modes d'authentification (enregistrement traditionnel, connexion sociale, biométrie,
etc.) et une expérience client globale homogène
● Les solutions doivent être construites de manière à permettre une adaptation rapide à
l'évolution des besoins de l'entreprise - le time-to-market est un facteur critique de
succès pour toutes les entreprises
● Les modèles de données clients doivent être dynamiques et adaptables, permettant aux
entreprises de stocker « ce qui est nécessaire » pour les besoins de l'entreprise
d'aujourd'hui et de demain
● Les solutions doivent être hautement évolutives, en particulier pendant les pics
d’activité
● Il doit exister une vision unique du client à travers tous les systèmes orientés clients,
mais également une intégration flexible avec une multitude de systèmes back-end
● Il doit y avoir un support complet pour gérer le consentement, les opt-ins et les
préférences de l'utilisateur, et respecter ces derniers à travers chaque point de contact
entre le client et l'organisation
Les applications qui sont au contact avec le client doivent être plus flexible que jamais. Le temps de la
création de solutions indépendantes qui gèrent leurs propres identités, mettent en œuvre leur propre
approche de parcours clients et existent indépendamment des autres systèmes est révolu. Les identités
clients sont trop importantes pour les entreprises à l'ère du numérique, et d'un point de vue
réglementaire — à la lumière du prochain RGPD européen – la nécessité d'une infrastructure unifiée et
normalisée de gestion des identités des clients ne constitue plus seulement une approche facultative et
attrayante, mais une obligation.
5.2 Principes de mise en œuvre des exigences du RGPD
Le RGPD formule, comme cela a été indiqué ci-dessus, un certain nombre de principes obligatoires. La
gestion des identités clients ne résoudra pas toutes ces exigences, mais soutiendra grandement le
respect de ces principes. Dans l'ensemble, bon nombre des principes essentiels du RGPD européen
implique que les organisations aient une bonne connaissance de l'identité des clients. Pouvoir connaître
une personne, être capable de l'identifier quand elle se connecte à un système, et en particulier avoir
une vision unique sur cette personne et ses activités à travers de multiples systèmes, permet de se
conformer beaucoup plus facilement à plusieurs des principes et des exigences du RGPD tels que :
● Le consentement et la preuve du consentement
● La limitation de la finalité
● Le droit à l'effacement et à l'oubli
● Le droit à la restriction du traitement
● Le droit à la portabilité des données et le droit de modifier les données
● Les obligations de notification
● Les mesures de sécurité pour la prise de décision automatisée, y compris le profilage
Pour le consentement, il est recommandé de ne pas avoir seulement une adresse IP mais également la
connaissance de la personne qui donne son consentement (ou non). La même chose vaut pour la

limitation des finalités – l'individu doit non seulement accepter les fins d'utilisation de ses données
personnelles, mais doit également être en mesure de limiter leur utilisation, dans le cadre du droit à la
restriction du traitement. Le droit à la suppression des données et à l'oubli, ainsi que le droit de la
portabilité des données, exige que les données personnelles soient mappées à un individu. Ainsi, la
gestion des identités clients devient plus importante que jamais.
Les organisations auront besoin d'un ensemble de « système de gestion du
consentement »
Les organisations auront besoin d'un ensemble de « système de gestion du consentement » dans le
cadre de leur stratégie de gestion de l'identité des clients. La modification des conditions d'utilisation
des réseaux sociaux pourrait exiger la mise à jour du consentement. Le système doit également suivre et
tenir un registre de consentement par utilisateur pour chaque terme.
Il ne suffit pas simplement de stocker des identités. Les organisations doivent faire comprendre de façon
transparente quelles sont les données stockées et comment elles sont utilisées. Cela nécessite un
mécanisme transparent de contrôle en libre-service des profils d'identité. Cela exige de nouvelles
formes de parcours d'utilisateurs qui maintiennent un équilibre entre les nouvelles exigences
réglementaires et un taux de rétention maximisé.
En outre, ces capacités sont nécessaires pour répondre aux exigences telles que les obligations de
notification ou les garde-fous pour la prise de décision automatisée, y compris le droit des individus
d'être informés sur la façon dont les décisions sont prises.
5.3 Trouver le juste équilibre
Le défi de l'avenir est de trouver un équilibre entre le fonctionnement opérationnel de l'entreprise
d'une part et la vie privée et la sécurité d'autre part. La réponse aux exigences réglementaires est un
must, mais ne doit pas se faire au détriment des besoins de l'entreprise (à moins que le modèle
d'affaires soit en opposition radicale avec le RGPD).
De plus, de nombreuses applications ne serviront pas seulement les clients de l'UE et ne s'y appliqueront
pas exclusivement, de sorte que d'autres règlementations peuvent s'appliquer en parallèle. Ainsi, le
système doit être flexible, afin de fournir des expériences différentes selon les zones géographiques.
Cela signifie que les exigences réglementaires de l'UE doivent uniquement affecter l'expérience
utilisateur des utilisateurs de l'UE, tandis que les utilisateurs d'autres zones doivent garder une
expérience adaptée aux exigences réglementaires locales.
D'un point de vue commercial, l'objectif doit être de satisfaire la demande du marché, d'offrir une
expérience utilisateur exceptionnelle, en soutenant toujours l'évolution des modèles d'affaires et la
mise en œuvre des solutions agiles pouvant facilement s'adapter aux nouvelles exigences.
L'application de ces objectifs aux nouvelles exigences réglementaires renforcées exige la mise en place
de solutions flexibles permettant de gérer les identités des utilisateurs et d'activer la quantité requise de
contrôle et de consentement par l'utilisateur, mais aussi d'assurer la sécurité des données personnelles,

ce qui fait également partie du RGPD. Fournir des données aux plates-formes commerciales est un acte
délibéré. Les modèles basés sur l'échange de données contre une valeur ajoutée sont toujours autorisés,
mais les principes énumérés dans la section ci-dessus doivent être respectés. En particulier, les
utilisateurs doivent garder le contrôle et être en mesure de gérer leurs données personnelles ainsi que
de révoquer leur consentement quant à l’utilisation de ces données.

6 Résumé et recommandations
Le RGPD européen est un fait. C'est un règlement d’une portée large voir globale, que les organisations
vont devoir respecter lorsqu’elle manipulent les données des utilisateurs résidants dans l'UE. Ce
règlement introduit de nouvelles exigences et principes. Ces exigences exigent non seulement de
meilleurs contrôles et connaissances générales sur la manière dont une organisation gère les identités
clients, mais aussi une meilleure gestion des données personnelles, de sorte que, par exemple, les
données puissent être supprimées sur demande lorsqu'un utilisateur révoque son consentement.
Du point de vue du traitement des données personnelles, les recommandations les plus importantes
sont
1) Informer clairement et simplement les clients des données que vous collectez et du but dans
lequel ces données sont collectées,
2) Demander le consentement là où le RGPD l'exige, sachant que dans les cas où le règlement
n'est pas clair, il est préférable de demander le consentement que de ne pas le demander
3) Définir un parcours client bien pensé, comprenant la validation des termes & conditions, la
validation du consentement et tous les autres accords entre votre organisation et le client
4) Sélectionnez des produits de gestion de l'identité & des accès clients holistiques, qui
prennent en charge les opt-in, les opt-out et les capacités out-of-the-box connexes, de
même que la mise en œuvre simple des exigences réglementaires au-delà du RGPD telles
que celles des autres régions ou des politiques de réseaux sociaux
5) Permettre aux clients d'utiliser l'identité numérique de leur choix
Du point de vue technique, une fois encore, l’essentiel peut être formulée en une seule phrase :
Se baser sur les plates-formes et pas sur le code
Le temps où chaque application et portail tourné vers le client était conçu de manière indépendante,
avec une gestion de l'identité distincte pour chacun, est révolu. Le traitement efficace de l'identité des
clients, le développement de l'agilité des entreprises et la conformité avec les exigences réglementaires
nécessite l'utilisation d'une plate-forme dédiée de gestion des identités clients.

7 Droits d'auteur
© 2016 Kuppinger Cole Ltd. All rights reserved. Toute reproduction ou distribution de cette publication sous
quelque forme que ce soit est interdite sauf autorisation préalable fournie par écrit. Toutes les conclusions,
recommandations et prédictions de ce document représentent l'avis initial de KuppingerCole. Une fois que plus
d'informations auront été recueillies et une analyse approfondie aura été réalisée, les positions présentées dans ce
document seront susceptibles d'être affinées voire d'être fortement modifiées. KuppingerCole décline toute
responsabilité liée à l'exhaustivité, l'exactitude et/ou la pertinence de ces informations. Même si les documents de
recherche de KuppingerCole peuvent discuter des questions juridiques liées à la sécurité de l'information et des
technologies, KuppingerCole ne fournit pas de services ou de conseils juridiques et les publications concernées ne
doivent pas être utilisées comme tels. KuppingerCole décline toute responsabilité liée aux erreurs ou insuffisances
éventuelles des informations figurant dans ce document. Toute opinion exprimée est susceptible d'être modifiée
sans préavis. Tous les noms de produits et d'entreprises sont des marques déposées : « trademarks™ » ou «
registered® trademarks » de leur titulaire respectif. Leur utilisation n'implique ni affiliation ni approbation.

Kuppinger Cole Ltd.
Sonnenbergerstr. 16
65193 Wiesbaden | Germany
Téléphone +49 (211) 23 70 77 – 0
Fax +49 (211) 23 70 77 – 11
www.kuppingercole.com
KuppingerCole soutient les professionnels de l'informatique avec une expertise exceptionnelle dans la
définition des stratégies informatiques et dans les processus pertinents de prise de décisions. En tant
que société d'analystes de premier plan, KuppingerCole fournit des informations impartiales de
première main. Nos services vous permettent de vous sentir à l'aise et en sécurité lors de la prise de
décisions essentielles pour votre entreprise.
KuppingerCole est une société d'analystes leader fondée en 2004 et basée en Europe; elle est
spécialisée dans la sécurité de l'information en rapport avec l'identification, à la fois dans les
environnements classiques et les environnements de cloud. KuppingerCole se caractérise par son
expertise, un leadership éclairé et une vue impartiale par rapport aux fournisseurs sur les segments du
marché de la sécurité de l'information couvrant tous les aspects pertinents tels que la gestion de
l'identification et de l'accès (IAM), la gouvernance, la gestion des risques et la conformité (GRC), la
gestion des risques informatiques, l'authentification et l'autorisation, le Single Sign-On, la fédération, la
gestion centralisée de l'identification d'utilisateur, les cartes d'identité électroniques ainsi que la
sécurité et la gestion du Cloud et la virtualisation.
Pour plus d'informations, veuillez contacter clients@kuppingercole.com
L'avenir de la sécurité de l'information - Aujourd'hui

GDPR Implications Customer Identity Management - French

Recommandé

Recommandé

Contenu connexe

Plus de Gigya

Plus de Gigya (20)

GDPR Implications Customer Identity Management - French