Vie Privée

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé.
Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée.

Gestion de vos cookies

Notre site Web utilise des cookies. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies » .

Cookies nécessaires

Ceux-ci sont indispensables à la navigation de l’utilisateur et permettent de donner accès à certaines fonctionnalités comme les accès aux zones sécurisées. Sans ces cookies, il ne sera pas possible de fournir le service.
Matomo en auto-hébergement

Cookies marketing

Ces cookies sont utilisés pour vous proposer des publicités plus pertinentes, limiter le nombre de fois que vous voyez une publicité ; aider à mesurer l’efficacité de la campagne publicitaire ; et comprendre le comportement des individus après avoir vu une publicité.
Vie Privée Adobe | Vie Privée Marketo | Vie Privée MRP | Vie Privée AccountInsight | Vie Privée Triblio

Cookies de réseaux sociaux

Ces cookies sont utilisés pour mesurer l’efficacité des campagnes sur les réseaux sociaux.
Vie Privée de LinkedIn

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée

Passer au contenu principal

RGPD : plus qu’une mise en conformité, une transformation


Publié le: 24 avril 2018 par Antoine Beullier

Par rapport aux textes actuels en matière de protection des données, le Règlement Général sur la Protection des Données (RGPD) est d’une toute autre magnitude. Ce n’est plus l’affaire de quelques spécialistes mais de toute l’entreprise, qui va désormais engager sa responsabilité face à des risques – financiers, d’image et juridiques – démultipliés. Les dispositions à prendre vont rapidement devenir des standards et des prérequis discriminants. Ceux qui ne pourront prouver leur sérieux seront inexorablement exclus des écosystèmes digitaux et se verront très vite distancés par ceux qui, au contraire, auront accès aux données. Plus qu’une contrainte réglementaire, plus même qu’un vaste chantier à dominante IT, la mise en conformité avec le RGPD est donc une transformation stratégique.

Contrats, processus, applications… le RGPD nécessite de tout réévaluer. Personne ne peut considérer qu’il n’est pas concerné ou qu’il n’a pas lieu de réviser ses dispositifs existants, deux attitudes à l’origine de bien des retards constatés dans les activités B2B ou le secteur public, par exemple. Et la marche à franchir est trop haute, trop cruciale, pour l’aborder de façon désordonnée, sans plan ni préparation. Comme pour tout grand programme de transformation, il faut une phase de cadrage sous le patronage de sponsors haut placés et conscients des enjeux. Le projet sera quant à lui confié à un senior manager expérimenté, familier de la technologie, sensible aux enjeux juridiques et organisationnels, et surtout connaissant parfaitement les rouages de l’entreprise. Ce chef de projet n’a pas vocation à devenir l’indispensable Data Protection Officer (DPO) mais, une fois celui-ci nommé, l’un et l’autre devront travailler en étroite collaboration pendant la durée de la transformation

Cette désignation du DPO est l’une des premières tâches d’un projet dont la réussite repose en grande partie sur la rigueur de sa préparation (organisation, gouvernance, budget, ressources, communication…) et de sa coordination. Par exemple, les groupes internationaux étant responsables des faux-pas de leurs filiales, il faut très tôt se pencher sur la façon dont les mesures y seront déployées et les informer des projets prévus pour éviter les initiatives isolées.

Des risques à la feuille de route

On entre dans le vif du sujet en identifiant les principaux processus traitant des données à caractère personnel (DCP) et en évaluant les risques associés. Au lieu d’envisager, comme d’ordinaire, les risques qui la concernent elle-même, l’entreprise doit cette fois adopter le point de vue d’un tiers – client, salarié, partenaire… – et évaluer le préjudice moral, financier ou physique encouru en cas de fuite de données. En confrontant ces risques à l’existant et aux exigences réglementaires, on détermine la nature et l’ampleur des chantiers à mener de manière à établir la feuille de route du programme. On distinguera les actions urgentes, à lancer immédiatement pour démontrer sinon sa conformité, du moins son engagement, et celles qui s’échelonneront sur les 12 à 24 prochains mois.

« La marche à franchir est trop haute, trop cruciale, pour l’aborder de façon désordonnée, sans plan ni préparation. »

Au cours du déploiement, six grandes thématiques seront abordées :

  • Politique, organisation et gouvernance de la gestion des DCP : il s’agit de garantir la pérennité de la conformité, et de mettre en place et outiller les nouveaux processus autour du DPO (validation du privacy by design, alimentation du registre des traitements, réponse en cas de fuite…)
  • Gestion du risque : on formalise la façon dont sera désormais appréhendé et évalué le risque lié aux DCP (Privacy Impact Asessment)
  • Gestion du cycle de vie des DCP : collecte, conservation, sécurisation, effacement…
  • Gestion des droits des personnes : consentement, accès, oubli, portabilité…
  • Révision des processus et des contrats avec les sous-traitants : outils de communication, clauses, auditabilité…
  • Gestion du changement : la maîtrise des risques passe par la vigilance et la rigueur des pratiques à tous les niveaux de l’entreprise, ce qui nécessite sensibilisation et formation (modules d’e-learning).

L’informatique, point de départ et d’arrivée

Très transverses, la plupart de ces chantiers impactent plusieurs fonctions de l’entreprise, qu’il faut donc nécessairement associer, mais c’est sur l’informatique que vont se concentrer l’essentiel des travaux et des budgets (40 % à 70 %). Souvent à l’origine de la prise de conscience en interne, la DSI est aussi à la conclusion concrètes des dispositifs à mettre en œuvre, qu’il s’agisse de l’outillage des nouveaux processus internes ou orientés clients (consentement, portabilité…), de l’anonymisation/pseudonymisation des données, du chiffrement des flux et des bases de données, de l’archivage et des purges des données applicatives, de la prévention des fuites de données (DLP), et de la surveillance des incidents de sécurité (SOC).

Investissement d’avenir, passeport pour l’ère de la confiance digitale, la mise en conformité avec le RGPD n’est cependant pas dénuée de gains à plus court terme : bénéfice d’image vis-à-vis de ses publics, réduction des coûts de mise à jour des données (déléguée aux utilisateurs eux-mêmes), amélioration de la qualité de la base client, rationalisation du SI, passage en revue des achats… bénéfices d’opportunité, certes, mais loin d’être négligeables.

Partager


Qui est Antoine Beullier
Tous les articles de Antoine Beullier
Senior Manager, Directeur de practice gestion des risques, conformité et protection des données personnelles
Antoine Beullier a débuté sa carrière dans le conseil en gestion des risques et conformité dans le secteur financier. Travaillant auprès de groupes français et internationaux, il a accompagné ses clients sur leurs projets de mise en conformité dans le domaine bancaire (Bale II), assurantiel (Solvabilité II) et la protection sociale. Antoine a rejoint Atos en 2014 où il est à présent responsable de la practice gestion des risques, conformité et protection des données personnelles. Il intervient avec ses équipes de façon multi-sectorielle pour des études de cadrage de programme, de la conduite du changement et de la formation (notamment par la mise en place de e-learning), des études d'architecture et d'impact sur le système d'information... Le RGPD (ou GDPR) est au coeur de son métier et des préoccupations de ses clients. Antoine Beullier possède un double diplôme : Ecole Supérieure de Commerce de Grenoble et Télécom Bretagne.

 
Tous les articles

Sur le même thème

La cybersécurité est-elle encore un métier d’avenir ?
Cybersécurité : les 10 menaces à surveiller en 2023
Télémédecine : une solution aux enjeux de la santé ?
Le cloud : opportunité ou risque pour la cybersécurité ?

Catégories