Le GDPR, un défi au cœur de la transformation digitale
Destiné à actualiser, renforcer et harmoniser les règles relatives à l’utilisation des données à caractère personnel pour mieux protéger les individus, le Règlement général sur la protection des données (ou GDPR, General Data Protection Regulation) a été adopté le 27 avril 2016 par le Parlement Européen. À compter du 25 mai 2018, il s’imposera à toutes les entreprises de plus de 250 salariés qui manipulent des données personnelles (physiques, culturelles, sociales…) concernant des citoyens européens, qu’il s’agisse de clients, de fournisseurs ou de collaborateurs.
Le GDPR introduit de nouvelles règles en matière de gestion et protection des données à caractères personnels et renforce les droits des consommateurs. Il impose en outre de communiquer aux autorités dans les meilleurs délais et par défaut, sous 72 heures, toute fuite de données personnelles et ouvre aux citoyens la possibilité de demander réparation en justice des préjudices causés par l’absence de mesures adéquates (chiffrement, anonymisation…). Les sanctions de non-conformité peuvent atteindre 4% du chiffre d'affaires mondial annuel de la société ou 20 millions d'euros.
En cas de manquement, la facture totale pourrait donc s’avérer très lourde. Toutes les entreprises sont concernées, quelles que soient leur nationalité ou leur implantation, qu’elles soient propriétaires, utilisatrices ou simplement hébergeurs des données concernées.
Le GDPR requiert également la désignation d’un Data Protection Officer (DPO), qui sera le correspondant des autorités de contrôle et chargé de mettre en place les dispositifs et processus requis. L’entreprise devra en effet recueillir le consentement « positif et explicite » de la personne, pouvoir effacer (droit à l’oubli, droit à la portabilité) ou lui restituer ses données à sa demande, et évaluer l’impact de toute activité ou projet nouveau afin d’implémenter des mesures de protection dès la conception (privacy by design).
Le GDPR, une démarche, pas un projet
Le GDPR constitue un bouleversement considérable pour les entreprises car, outre les processus organisationnels et les contrôles de sécurité à mettre en place, il impose d’avoir une approche dynamique. L'enjeu n'est pas d'être en conformité le 25 mai 2018 mais bien de pouvoir le rester par la suite. Dans un environnement en perpétuelle mutation, où la donnée joue désormais un rôle central, il s’agit pour l’entreprise d’un défi majeur qui s’inscrit au cœur même de sa transformation digitale. Bien plus qu’un projet, se conformer au GDPR relève d’une démarche globale, structurée et dans la durée.
- L’état des lieux
On procède pour commencer à un vaste état des lieux. Il faut identifier et localiser les données concernées, cartographier les flux et répertorier les traitements et les usages, tâche d’autant plus ardue dans un environnement IT atomisé (Cloud, BYOD…) sans oublier que les données à caractères personnelles ne sont pas uniquement stockées en format numérique. Une analyse d’impact sur la protection des données (DPIA) permet d’évaluer les risques associés et de dresser l’inventaire des mesures de protection existantes.
- La gouvernance
Le GDPR impacte tous les métiers au sein des entreprises, et on se doit de mettre en place une gouvernance qui fédère tous les acteurs cybersécurité, conformité et audit interne, métiers et ressources humaines etc., pour que les mesures de mise en conformité soient bien intégrées dans tous les processus de l’entreprise. On établit le cadre organisationnel, décisionnel et de suivi de la conformité au GDPR au sein de l’entreprise étendue : SLA de conformité, reporting, traçabilité et auditabilité des mesures prises… Enfin, on s’intéresse aux fournisseurs et sous-traitants pour déterminer les éventuels impacts contractuels et mettre en place des contrats prenant en compte les contraintes imposées par le GDPR et pour définir et contractualiser des indicateurs de suivi de la conformité en continu avec le GDPR.
- La mise à jour des processus métiers
Avec le GDPR, la question de la protection des données n’incombe plus seulement à l’informatique mais aussi aux métiers, qu’il faut donc sensibiliser et former à ses différents aspects : usages (par exemple, ce que les commerciaux enregistrent à propos de leurs clients), processus spécifiques (formulaires de consentement, accessibilité aux données…) et conception des projets (privacy by design). Il s’agit d’un énorme chantier car la dimension technique, elle-même conséquente, se double d’une importante conduite du changement.
- La mise en place des mesures de sécurité
On sécurise les données durant tout leur cycle de vie par un ensemble de solutions appropriées telles qu’identifiées par l’analyse d’impact sur la protection des données. On déploie les solutions de chiffrement et/ou nonymisation des données et on renforce le contrôle des identités et des accès pour appliquer le principe du moindre privilège et limiter les accès à ces données sensibles à caractère personnel. On met en place une surveillance et une traçabilité des flux, pour pouvoir démontrer aux autorités compétentes le contrôle des accès. On se doit de mettre en place une surveillance sécurité 24/7 pour pouvoir détecter en temps réel toutes tentatives d’accès non autorisées ou tentatives de vols des données à caractère personnel…
- Détection, notification et résolution des incidents
En matière de cybersécurité, le risque zéro n’existe pas et la valeur des données est telle que les attaques sont inévitables. Il faut donc pouvoir détecter au plus tôt les activités malicieuses (APT), les bloquer, évaluer les dégâts, diagnostiquer les failles exploitées et les corriger. Il faut également mettre à jour les processus de gestion des incidents de sécurité pour y intégrer un processus de notification de l’autorité compétente et des personnes impactées dans le cadre d’une violation de données à caractère personnel.
La conformité au GDPR exige donc l’intervention coordonnée de nombreuses compétences tout au long d’un cycle amené à se répéter dans une démarche d’amélioration continue au gré de l’évolution des activités de l’entreprise et des menaces. Il est donc indispensable d’être accompagné sur ce chemin par un partenaire de confiance capable d’embrasser le sujet dans sa globalité. Mais, ce faisant, le GDPR se révèle davantage une opportunité qu’une contrainte car il oblige à faire quelque chose d’indispensable à l’ère digitale : mettre en ordre son actif le plus précieux, la donnée et anticiper le cyber risque.