GDPR : quatre règles d’or pour entrer dans le vif du sujet
La GDPR est un sujet que l’ampleur, l’apparente complexité et la proximité des échéances peuvent rendre intimidant. Mais les (lourdes) pénalités prévues par le législateur européen incitent à l’aborder avec une résolution sans faille et au plus haut niveau de l’organisation. Indiscutable projet d’entreprise, la GDPR dépasse de très loin la seule dimension réglementaire et se rattache à la transformation numérique à travers un de ses enjeux clés, la mise en ordre de ses données.
« La GDPR n’est pas une problématique ponctuelle. Ce sera désormais le cadre dans lequel s’inscriront tous les développements IT. »
1. La priorité : le cadrage
C’est pourquoi un cadrage global constitue une première étape indispensable et prioritaire sur le chemin de la GDPR. Il est peu probable que les autorités se montrent tatillonnes dès l’entrée en vigueur du texte. En revanche, il faudra sans doute pouvoir montrer sans tarder que la mise en conformité est en bonne voie. Au minimum, il faudra avoir nommé son Data Protection Officer (DPO), désormais obligatoire, et pouvoir présenter son plan d’action.
Cela passe en premier lieu par une cartographie des données qui nécessite d’impliquer l’ensemble des métiers. En tant qu’utilisateurs des données personnelles, ils sont en effet les mieux placés pour les recenser, les localiser et en déterminer la valeur. À partir de cet état des lieux, on mesure ensuite l’écart avec les exigences réglementaires de manière à évaluer et planifier les divers chantiers. Sur cette feuille de route, la priorité ira aux données clients, puis aux salariés et enfin aux tiers gravitant autour de l’organisation (fournisseurs, partenaires, visiteurs…).
2. Dissocier les sujets
La GDPR n’omet aucun aspect de la protection des données personnelles mais il n’existe pas pour autant de solution intégrée spécialisée qui les couvrirait tous. En fait, ces questions – sécurisation des données non structurées (mails, fichiers d’interface, logs…), chiffrage des bases de données, anonymisation persistante, anonymisation dynamique, archivage et droit à l’oubli… – sont largement indépendantes les unes des autres. Et les aborder séparément offre davantage de clarté, de simplicité et d’efficacité dans la conduite des projets. Ce pragmatisme permet aussi de déterminer au cas par cas la meilleure solution, laquelle ne consiste pas toujours à déployer un outil. Parfois, sécuriser au mieux la donnée signifie la rendre inaccessible quand elle n’est pas strictement nécessaire, en anonymisant les environnements de production, de développement et de qualification par exemple.
3. Penser plateforme et automatisation
La GDPR n’est pas une problématique ponctuelle. Ce sera désormais le cadre dans lequel s’inscriront tous les développements IT. Par conséquent, il s’agit à la fois de rendre conforme l’existant et de se doter des moyens qui permettront au SI de le rester au fur et à mesure de ses évolutions. Sur les différents sujets, on cherchera donc à industrialiser et mutualiser autant que possible les solutions. De cette façon, on pourra intégrer la problématique des données personnelles dès l’origine des projets (exigence de privacy by design), gagner un temps précieux et surtout réduire les coûts, susceptibles d’exploser étant donné les volumes. Concernant les outils, on veillera en particulier à leur richesse fonctionnelle, à leur ergonomie, à leurs performances et à son ouverture, car la plateforme aura potentiellement à se connecter à toutes sortes d’applicatifs : CRM, ERP, Big Data, legacy…
Dans le même souci d’efficacité, on cherchera au maximum à automatiser les processus. Par exemple, Atos propose un outil capable de scanner les bases et d’identifier les données personnelles afin de les cartographier.
4. Avoir un œil sur les bénéfices induits
Étant donné les risques encourus, la GDPR bénéficie de budgets et de soutiens rares pour un projet de mise à niveau des fondations du SI. Ceci constitue une opportunité à ne pas manquer. Cet examen des données personnelles est aussi l’occasion de réfléchir à leur qualité et à leur exploitation, à l’optimisation de certains processus, à la modernisation des applications, à la protection d’autres données sensibles… En d’autres termes, il faut éviter de se laisser enfermer dans une vision purement réglementaire et demeurer attentif aux retombées bénéfiques potentielles. Avec la GDPR, les autorités européennes tordent certes quelque peu le bras aux organisations mais c’est pour mieux les pousser dans le sens de l’histoire. Si les modèles et les services innovants de demain doivent reposer sur les données et la confiance, alors c’est aujourd’hui qu’il faut en poser les fondations.