9 questions pour une approche pragmatique de la GDPR/RGPD (2ème partie)
La nouvelle règlementation européenne en matière de protection des données entrera en vigueur en mai 2018. Plutôt que de se précipiter sur le déploiement de solutions techniques, il s’agit pour les entreprises d’approcher cette échéance de façon pragmatique en tenant compte du contexte et du risque particulier de l’entreprise et en s’appuyant sur l’existant.
Dans notre précédent article, nous avons abordé six questions préalables qu’il convient de se poser afin d’aborder de façon pragmatique l'arrivée en mai 2018 de la GDPR/RGPD. Nous nous penchons maintenant sur l’impact de la nouvelle réglementation sur la gouvernance et sur l’informatique, ainsi que sur les nouveaux rôles à développer dans l’entreprise.
7. Quel impact sur la gouvernance?
La nouvelle réglementation européenne rend les entreprises responsables de l’intégralité du cycle de vie des données personnelles qu’elles détiennent. Dès la collecte, le client-utilisateur doit donner son consentement sur ce qui sera fait de ses données personnelles. Et il doit ensuite pouvoir les modifier, voir retirer son consentement et en cas de violation de la loi, pourrait exiger la suppression de ses données personnelles. Il faut aussi informer l’utilisateur en cas de transfert ou si une brèche ou violation menace de mettre ses données entre les mains de tiers. Tout au long du cycle de vie de la donnée, l’entreprise doit s’assurer que ses traitements sont légaux et respectent les principes de base de la loi – pas question par exemple de collecter des données qui ne seraient pas nécessaires aux traitements annoncés pour en disposer «en cas de besoin». Il s’agit d’autre part d’intégrer la protection des données personnelles dès le début des projets (privacy-by-design), par exemple au moment de la conception d’un formulaire d’inscription à un événement, ou lors de la définition des fonctionnalités d’un objet connecté. Au-delà d’un renforcement de la gouvernance, il s’agit d’un changement profond des manières de faire qui nécessite l’attention - si ce n’est la formation - de tous les collaborateurs. Les données personnelles des clients sont un bien précieux et c’est de la responsabilité de tout à chacun, au sein de l’entreprise, de les protéger et de les exploiter avec discernement!
8. Quels nouveaux rôles?
Outre les changements de procédures, de contrôles et de policies, la GDPR/RGPD introduit de nouveaux rôles dans l’entreprise. A commencer par le Data Protection Officer, un profil hybride (juridique, sécurité) chargé de superviser les pratiques de l’entreprise en matière de protection des données et de s’assurer qu’elles respectent les droits des individus (renseignement, rectification, etc.). C’est à lui que s’adresseront par exemple des clients désirant savoir connaître quelles données sont collectées, pourquoi, comment, comment solliciter une rectification, etc. C’est aussi l’interlocuteur privilégié avec les préposés (confédération, cantons). Deuxième fonction tout aussi importante, le «responsable des traitements» proche des métiers et qui définit la finalité et les moyens mis en œuvre pour le traitement des données Un troisième rôle étant le sous-traitant qui traite les données pour le compte du responsable de traitement.
9. Quel impact sur la sécurité informatique?
Bien que l’informatique ne soit pas la seule fonction impactée par le nouveau cadre, la mise en conformité de l’entreprise débouchera souvent sur le déploiement ou le renforcement de solutions IT. Les domaines suivants du SI sont concernés:
Contrats avec les fournisseurs Cloud. L’entreprise est responsable des données personnelles, y compris lorsqu’elles sont stockées ou traitées par un prestataire tiers, et notamment un service cloud IaaS, PaaS ou SaaS (Office 365, Salesforce, Workday, etc.). Pour faire court, les serveurs ne sont plus là, mais la responsabilité reste et les contrats doivent être réévalués. Où les données sont-elles stockées? Comment sont-elles protégées? Qui y a accès? Est-il possible de les modifier et de les effacer si le client final en fait la demande? Le SLA prévoit-il une notification de l’entreprise en cas d’incident de sécurité?
Identity Access Management. Difficile de remplir les exigences de la GDPR / RGPD si l’on ne sait pas qui dans l’organisation a accès à quelles données et qui en est responsable. Une stratégie IAM performante permet aussi d’identifier rapidement si les données d’un client ont été compromises.
Anonymisation & chiffrement. En dépit des multiples outils mis en place pour protéger les systèmes de l’entreprise, il arrive que des données personnelles soient dérobées. L’anonymisation et le chiffrement des données réduisent l’impact de tels incidents.
Master Data Management. Lorsqu’un client demande la rectification de l’une de ses données personnelles, l’exercice peut devenir très compliqué si - comme c’est souvent le cas – cette donnée se trouve dans de multiples systèmes (CRM, outil de comptabilité, etc.). L’opération est bien plus aisée si tous les systèmes obéissent à un référentiel maître. La conformité avec la GDPR / RGPD est ainsi l’occasion de ressortir le projet MDM du tiroir, avec de multiples autres bénéfices à la clé.