· GO4IT · Produit · 5 min read
Produit et protection des donnees personnelles : la RGPD comme opportunite
Loin d'etre une contrainte, la protection des donnees peut devenir un avantage concurrentiel pour les produits SaaS. Retour sur les strategies de Ledger, Doctolib et des scale-ups francaises qui font de la privacy un argument produit.
Le Reglement General sur la Protection des Donnees (RGPD) a profondement transforme la conception des produits numeriques. Huit ans apres son entree en vigueur, il est devenu un standard incontournable pour les editeurs SaaS francais. Mais la conformite ne suffit plus : les startups les plus avancees font de la protection des donnees un veritable axe de differenciation produit.
Privacy by design : un principe fondateur
Le RGPD impose le principe de privacy by design : la protection des donnees doit etre integree des la conception du produit, et non ajoutee apres coup. Ce principe transforme en profondeur le travail des equipes produit.
Chez Doctolib, la privacy by design est un prerequis pour toute fonctionnalite. Avant de commencer le developpement, chaque equipe produit doit realiser une analyse d'impact sur la protection des donnees (AIPD) et obtenir la validation de notre DPO, explique un Product Manager de Doctolib.
Doctolib, la plateforme de sante valorisee 5,8 milliards d’euros, traite des donnees de sante particulierement sensibles. Chaque fonctionnalite qui touche aux donnees patients est soumise a un processus de validation renforce. Nous avons une equipe dediee de 5 personnes a la privacy, qui travaille en amont avec les equipes produit.
Les fonctionnalites de confiance comme levier de retention
La confiance est un levier de retention puissant. Les clients qui nous font confiance sur la protection de leurs donnees sont infiniment plus fideles. Nous avons fait le choix de la transparence radicale : chaque client peut savoir exactement quelles donnees sont stockees, pendant combien de temps et a quelles fins, explique un VP Product de Pennylane.
Nous avons cree un portail de transparence dedie, ou nos clients peuvent visualiser et gerer leurs donnees en temps reel. Cette fonctionnalite est l'une de nos plus appreciees, avec un NPS de 85 pour les utilisateurs qui l'ont utilisee.
La transparence sur les donnees est devenue un argument de vente pour nous. Dans les appels d'offres, notre portail de transparence fait la difference face a des concurrents qui ne proposent pas ce niveau de granularite.
Le cas Ledger : la securite des donnees comme produit
Ledger, le leader francais des hardware wallets pour cryptomonnaies valorise 1,3 milliard d’euros, a fait de la protection des donnees le coeur de son produit. Notre produit est concu pour que les donnees de nos utilisateurs ne puissent pas etre compromises, meme par nous. C'est une promesse de securite radicale qui guide toutes nos decisions produit, raconte un co-fondateur de Ledger.
Lorsque nous concevons une nouvelle fonctionnalite, la premiere question que nous nous posons est : "Est-ce que cette fonctionnalite reduit la securite des donnees de nos utilisateurs ?" Si la reponse est oui, nous ne la developpons pas, ou nous trouvons une autre approche.
Cette approche nous a permis de nous differencier dans un marche ou les piratages de plateformes centralisees sont frequents. Nos utilisateurs savent que leurs donnees sont protegees par conception, pas par promesse.
La gestion du consentement : un defi UX
L’une des difficultes majeures de la RGPD pour les equipes produit est la gestion du consentement. Nous avons du repenser completement notre approche du consentement pour la rendre fluide et non intrusive. Le piege est de bombarder l'utilisateur de pop-ups de consentement qui degradent l'experience, explique un Designer UX d’Algolia.
Algolia a adopte une approche de consentement gradue. Nous demandons le consentement de maniere contextuelle, au moment ou l'utilisateur va effectuer une action qui necessite le traitement de donnees, et non de manire preemptive a l'arrivee sur le site.
Nous avons egalement simplifie notre langage. Au lieu de phrases juridiques incomprehensibles, nous expliquons en termes simples pourquoi nous avons besoin de telle ou telle donnee et ce que l'utilisateur y gagne. Le taux d'acceptation est passe de 40 % a 75 %.
L’impact de la RGPD sur la priorisation produit
La RGPD a un impact concret sur la priorisation des fonctionnalites. Les exigences reglementaires ont un poids specifique dans notre scoring de priorisation. Une fonctionnalite necessaire a la conformite peut etre prioritaire meme si son impact business est faible, explique un PM de PayFit.
PayFit, l’editeur de paie et RH, doit gerer des donnees particulierement sensibles. Nous avons du developper des fonctionnalites de gestion des consentements et de droit a l'effacement qui n'ont pas de valeur business directe mais qui sont obligatoires. Cela represente environ 15 % de notre roadmap annuelle.
L'impact de la RGPD est tel que nous avons cree un role dedie : le Product Compliance Manager, qui fait le pont entre les equipes juridiques et les equipes produit.
Les couts et les benefices de la conformite
La mise en conformite avec la RGPD a un cout. Nous avons investi environ 500 000 euros dans la mise en conformite de notre produit, entre les audits, les developpements et les embauches. C'est un cout significatif pour une scale-up, estime un VP Engineering de Back Market.
Mais cet investissement a ete rentabilise : le fait d'etre conforme nous a permis de signer des contrats avec des grands comptes qui exigent la conformite RGPD de leurs fournisseurs. Nous estimons le revenu additionnel genere a 2 millions d'euros par an.
Pour les startups en phase de croissance, le conseil est d’investir dans la conformite des le debut. Plus vous attendez, plus le cout de mise en conformite est eleve. Une startup qui integre la RGPD des le premier jet de code depensera 10 fois moins qu'une scale-up qui doit mettre a jour un produit existant.
Pour approfondir les enjeux reglementaires, lire notre article sur l’accessibilite produit et notre analyse du pricing SaaS.