RGPD : plus qu’une mise en conformité, une transformation
Par rapport aux textes actuels en matière de protection des données, le Règlement Général sur la Protection des Données (RGPD) est d’une toute autre magnitude. Ce n’est plus l’affaire de quelques spécialistes mais de toute l’entreprise, qui va désormais engager sa responsabilité face à des risques – financiers, d’image et juridiques – démultipliés. Les dispositions à prendre vont rapidement devenir des standards et des prérequis discriminants. Ceux qui ne pourront prouver leur sérieux seront inexorablement exclus des écosystèmes digitaux et se verront très vite distancés par ceux qui, au contraire, auront accès aux données. Plus qu’une contrainte réglementaire, plus même qu’un vaste chantier à dominante IT, la mise en conformité avec le RGPD est donc une transformation stratégique.
Contrats, processus, applications… le RGPD nécessite de tout réévaluer. Personne ne peut considérer qu’il n’est pas concerné ou qu’il n’a pas lieu de réviser ses dispositifs existants, deux attitudes à l’origine de bien des retards constatés dans les activités B2B ou le secteur public, par exemple. Et la marche à franchir est trop haute, trop cruciale, pour l’aborder de façon désordonnée, sans plan ni préparation. Comme pour tout grand programme de transformation, il faut une phase de cadrage sous le patronage de sponsors haut placés et conscients des enjeux. Le projet sera quant à lui confié à un senior manager expérimenté, familier de la technologie, sensible aux enjeux juridiques et organisationnels, et surtout connaissant parfaitement les rouages de l’entreprise. Ce chef de projet n’a pas vocation à devenir l’indispensable Data Protection Officer (DPO) mais, une fois celui-ci nommé, l’un et l’autre devront travailler en étroite collaboration pendant la durée de la transformation
Cette désignation du DPO est l’une des premières tâches d’un projet dont la réussite repose en grande partie sur la rigueur de sa préparation (organisation, gouvernance, budget, ressources, communication…) et de sa coordination. Par exemple, les groupes internationaux étant responsables des faux-pas de leurs filiales, il faut très tôt se pencher sur la façon dont les mesures y seront déployées et les informer des projets prévus pour éviter les initiatives isolées.
Des risques à la feuille de route
On entre dans le vif du sujet en identifiant les principaux processus traitant des données à caractère personnel (DCP) et en évaluant les risques associés. Au lieu d’envisager, comme d’ordinaire, les risques qui la concernent elle-même, l’entreprise doit cette fois adopter le point de vue d’un tiers – client, salarié, partenaire… – et évaluer le préjudice moral, financier ou physique encouru en cas de fuite de données. En confrontant ces risques à l’existant et aux exigences réglementaires, on détermine la nature et l’ampleur des chantiers à mener de manière à établir la feuille de route du programme. On distinguera les actions urgentes, à lancer immédiatement pour démontrer sinon sa conformité, du moins son engagement, et celles qui s’échelonneront sur les 12 à 24 prochains mois.
« La marche à franchir est trop haute, trop cruciale, pour l’aborder de façon désordonnée, sans plan ni préparation. »
Au cours du déploiement, six grandes thématiques seront abordées :
- Politique, organisation et gouvernance de la gestion des DCP : il s’agit de garantir la pérennité de la conformité, et de mettre en place et outiller les nouveaux processus autour du DPO (validation du privacy by design, alimentation du registre des traitements, réponse en cas de fuite…)
- Gestion du risque : on formalise la façon dont sera désormais appréhendé et évalué le risque lié aux DCP (Privacy Impact Asessment)
- Gestion du cycle de vie des DCP : collecte, conservation, sécurisation, effacement…
- Gestion des droits des personnes : consentement, accès, oubli, portabilité…
- Révision des processus et des contrats avec les sous-traitants : outils de communication, clauses, auditabilité…
- Gestion du changement : la maîtrise des risques passe par la vigilance et la rigueur des pratiques à tous les niveaux de l’entreprise, ce qui nécessite sensibilisation et formation (modules d’e-learning).
L’informatique, point de départ et d’arrivée
Très transverses, la plupart de ces chantiers impactent plusieurs fonctions de l’entreprise, qu’il faut donc nécessairement associer, mais c’est sur l’informatique que vont se concentrer l’essentiel des travaux et des budgets (40 % à 70 %). Souvent à l’origine de la prise de conscience en interne, la DSI est aussi à la conclusion concrètes des dispositifs à mettre en œuvre, qu’il s’agisse de l’outillage des nouveaux processus internes ou orientés clients (consentement, portabilité…), de l’anonymisation/pseudonymisation des données, du chiffrement des flux et des bases de données, de l’archivage et des purges des données applicatives, de la prévention des fuites de données (DLP), et de la surveillance des incidents de sécurité (SOC).
Investissement d’avenir, passeport pour l’ère de la confiance digitale, la mise en conformité avec le RGPD n’est cependant pas dénuée de gains à plus court terme : bénéfice d’image vis-à-vis de ses publics, réduction des coûts de mise à jour des données (déléguée aux utilisateurs eux-mêmes), amélioration de la qualité de la base client, rationalisation du SI, passage en revue des achats… bénéfices d’opportunité, certes, mais loin d’être négligeables.