RGPD : un chemin vers la valeur
À bien des égards, le RGPD n’est pas une réglementation ordinaire. Conçue pour protéger les droits et les libertés des citoyens européens, elle rend aussi un immense service aux organisations. En leur indiquant comment obtenir et conserver la confiance des personnes dans le numérique, elle les aide à bâtir l’assise qui manque souvent à leur transformation digitale pour que celle-ci produise tous les bénéfices escomptés.
Même parmi celles qui ont lancé le vaste chantier du RGPD, bien peu d’entreprises seront prêtes le 25 mai. La CNIL a déjà indiqué qu’elle ferait preuve de compréhension durant quelques mois mais il faudra néanmoins pouvoir montrer patte blanche en ayant, au minimum, posé les fondations de la démarche : nomination du DPO, registre des traitements, élaboration d’une feuille de route en fonction des risques, et mise en place d’un cadre organisationnel documenté.
Le DPO, le personnage clé du RGPD
Le délégué à la protection des données, ou Data Protection Officer (DPO), est le personnage clé de la GDPR. Il est à la fois l’architecte, le référent et le pilote du projet, mais aussi l’interlocuteur des autorités de contrôle. Héritier du correspondant informatique et liberté (CIL), il en reprend et renforce considérablement les attributions et les responsabilités. Il lui faut conjuguer connaissance du métier, compétences juridiques, culture technologique, sensibilité à la question des risques et dimension managériale. Entouré d’une équipe dédiée, il travaille en relation étroite avec tous les acteurs concernés, en particulier le RSSI, qui devra le tenir informé en cas d’incident, et la DSI, car il sera un point de passage obligé pour tout projet. En revanche, rien n’indique que le DPO doive appartenir à l’entreprise, et il est tout à fait envisageable d’externaliser cette fonction.
Le registre des traitements des données à caractère personnel, un inventaire indispensable
Avant toute chose, il convient de dresser un inventaire des données à caractère personnel traitées par l’entreprise ou confiées à ses prestataires. Le registre ainsi établi devra indiquer les données concernées, leur nature, la finalité du traitement, les destinataires, les durées de conservation… On portera une attention toute particulière aux données non structurées, figurant par exemple dans des documents de type Word ou Excel. Ce sont souvent les plus difficiles à gérer mais aussi les plus dangereuses car elles peuvent exposer des informations sensibles sans filtre ni protection. Cette phase, déterminante, est parfois délicate et nécessite de faire appel à des outils spécialisés et/ou des approches spécifiques. Ainsi, pour aider un grand groupe possédant trois sociétés d’assurances, Atos a cartographié les données personnelles présentes dans des centaines d’applications des trois SI en se focalisant sur les flux de données échangées avec les sous-traitants, partenaires et clients.
Un plan d’action conditionné par le risque
Une fois les traitements manipulant des données à caractère personnel répertoriés, les actions à mener sont identifiées : information et gestion du consentement, droits d’accès, anonymisation, chiffrement, traçabilité, droit à l’oubli… Les priorités du plan d’actions s’échelonneront en fonction de la gravité et de la vraisemblance des risques, tant ceux encourus par les personnes que par l’organisation. Un des enjeux clés est de parvenir à mettre à niveau les traitements métiers sans en dégrader l’utilité ni nuire à la fluidité du processus ou l’ergonomie des applications. Par exemple, nous avons mis en place pour un leader mondial du luxe une solution de pseudonymisation de son CRM à l’échelle internationale de manière à lui permettre de continuer à analyser les données de ses clients tout en protégeant leur identité.
Par ailleurs, il apparaît que l’entreprise est souvent davantage jugée sur sa réaction à un incident que sur la cause de l’incident lui-même. Parallèlement aux dispositions techniques ou opérationnelles, on s’attachera donc à se préparer à cette éventualité en s’appuyant sur les bonnes pratiques de la norme ISO 27035 notamment.
Enfin, la communication interne est un autre sujet à ne pas négliger. Chez nous, le service des DPO communique largement pour démystifier la complexité des procédures internes de mise en conformité. Une certaine légèreté vis-à-vis des données est à l’origine de nombreuses failles, et il est important de sensibiliser tous les collaborateurs à la nécessité de se montrer attentifs et prudents.
« Un des enjeux clés est de parvenir à mettre à niveau les traitements métiers sans en dégrader l’utilité ni nuire à la fluidité du processus ou l’ergonomie des applications. »
S’inscrire dans la durée
La vie de l’entreprise, l’évolution de son périmètre ou ses initiatives digitales ne doivent en aucun cas remettre en cause sa conformité. Pour que le sujet du RGPD s’inscrive dans la durée, les chantiers techniques doivent donc se doubler de la mise en place d’une organisation, d’un outillage et d’un tableau de bord qui permettront d’entretenir la dynamique de progrès et de répondre aux événements. En particulier, en cas de contrôle ou d’incident, il faudra être en mesure de fournir une documentation à jour sur les actions mises en œuvre, et de recueillir et présenter les éléments de preuve requis.
En procédant ainsi avec méthode, l’entreprise obtiendra bien plus que sa conformité au RGPD : elle jettera les bases de pratiques responsables et rigoureuses qui établiront les conditions de la confiance de ses clients, et donc de la création de valeur digitale.