Vous le lisez à longueur d’articles sur ce blog, la Data est le nouvel or noir. Pour s’assurer que ce pétrole ne se tarisse pas, il vous faut créer les conditions permettant aux citoyens de vous confier leurs informations en toute sécurité. C’est précisément cette confiance que GDPR vise à instaurer. Les chantiers à mener pour les entreprises sont donc importants et nombreux. On fait le point sur les principaux challenges à surmonter.
Si la Data est le nouveau pétrole, la confiance est la nouvelle monnaie. GDPR crée le cadre permettant d’instaurer cette confiance !
C’est quoi GDPR ??!
En image, « #GDPR : 1 minute pour comprendre et passer à l’action », présente les grandes lignes du règlement.
GDPR (General Data Protection Regulation) ou RGPD en bon français (pour Règlement Général sur la Protection des Données) est la réglementation européenne sur la protection des données personnelles (ou privacy en bon anglais). Fondée sur 99 articles, elle est prise très au sérieux par les entreprises puisqu’elles s’exposent à une amende pouvant aller jusqu’à 4% de leur chiffre d’affaire global.
La mise en conformité couvre de nombreux aspects tels que l’information et l’obtention du consentement des personnes, la prise en compte de la protection des données personnelles au cœur des projets (privacy by design), la portabilité des données, ou encore du droit à l’oubli.
>> LIRE AUSSI : [LIVRE BLANC] GDPR : en route pour la conformité <<
Cependant, avec des systèmes d’information silotés et des données personnelles réparties en de multiples lieux (tant en termes géographiques que de SI ou même de machines), l’application des règles de GDPR soulève de multiples questions et challenges.
GDPR Challenge #1 : Cartographier les données personnelles dans le SI
L’une des premières questions est donc : « Où y a-t-il des données personnelles dans l’entreprise ? ». Cette question a priori triviale, représente en réalité un véritable casse-tête tant les SI des entreprises sont silotés et les informations éparpillées. Il est ainsi nécessaire de débusquer toutes les données personnelles qu’elles soient structurées (comme dans une base de données SQL) ou non (telles que dans des mails ou fichiers bureautiques).
De plus, les données sont à rechercher non seulement dans les composantes visibles du système d’information (les SI de gestion, le décisionnel, le big data) mais également là où les utilisateurs naviguent (les postes de travail des collaborateurs).
Les principaux domaines de données personnelles sont généralement ceux des clients/prospects, ceux des ressources humaines mais aussi ceux de tiers (prestataires, partenaires, etc.).
Nous vous conseillons d’outiller cette cartographie. En effet, les éditeurs de logiciel ont développé des solutions pour simplifier et pour fiabiliser cette étape préliminaire cruciale.
GDPR Challenge #2 : Conduire un projet transverse aux implications importantes
La réglementation de par ses multiples exigences nécessite une approche transverse à l’entreprise. Et c’est bien connu, les projets transverses c’est complexe ! L’impulsion pour la mise en conformité est généralement donnée par la Direction Juridique (ou Conformité quand il y en a) et un sponsoring fort et impliqué de la Direction Générale est souhaitable.
Nous vous conseillons de nommer rapidement un Data Protection Officer (DPO). Exigé par le règlement pour toutes les entreprises de plus de 250 salariés, il sera en charge d’animer les chantiers à mener en impliquant la Direction Juridique et la Direction du Système d’Information ainsi que toutes les autres directions impliquées dans le traitement de données personnelles (Marketing, Commerce, Ressources Humaines, etc.).
GDPR Challenge #3 : Choisir les solutions pour la mise en conformité
Le « pourquoi » et le « quoi » de la règlementation sont bien définis. En revanche, le « comment » est encore assez flou sur certains aspects du règlement. De plus, il n’y a pas de solution unique et les chemins possibles pour répondre aux exigences sont nombreux.
Le groupe de travail « Article 29 Working Party » (WP29 ou G29) est l’organe consultatif européen qui travaille sur la mise en application du règlement. Il émet des avis sur tous les sujets liés à la protection des données des citoyens et a publié le 13 Décembre 2016 trois dossiers d’opinion « guidelines » pour GDPR (Portabilité des données, Data Protection Officer, Autorités de surveillance). Par ailleurs, d’autres dossiers sont à venir dans l’année.
Pour choisir sans se tromper, nous vous conseillons de réaliser un assessment, accompagné par nos experts de Business & Decision. Il permettra ainsi de faire un point complet sur votre situation, d’évaluer les risques et de prioriser les chantiers et solutions.
GDPR Challenge #4 : Réunir les compétences pour intégrer les solutions de mise en conformité
Mener le projet de mise en conformité à GDPR nécessite de déployer de nombreuses compétences dans l’entreprise. Cependant, les directions juridiques (qui donnent l’impulsion pour ce projet) ne sont généralement pas familières de la conduite de projets transverses dans l’entreprise. De plus, elles sont souvent mal informées des problématiques relatives à la protection des données personnelles.
Les compétences à avoir pour déployer les solutions pour GDPR concernent principalement 2 domaines :
- Sécurité : Identity and Access Management (IAM), Cryptage, anti-hacking, etc.
- Data Management : Anonymisation, Minimisation, Traçabilité, Gouvernance, etc.
Le point central de GDPR est donc la Data, matière sur laquelle bon nombre d’entreprises n’ont pas encore défini de stratégie ou de gouvernance, et sur laquelle bon nombre de DSI manquent de compétences et d’expertise.
Sur ce point, nous vous conseillons de mobiliser une équipe à la DSI pour travailler sur ces enjeux. De plus, Business & Decision organise des séminaires d’évangélisation au sein de missions « GDPR Starter ». Objectif : mettre le pied à l’étrier et mobiliser les bonnes personnes de l’entreprise.
GDPR Challenge #5 : Changer les comportements dans l’entreprise
Ce dernier challenge est certainement le plus complexe car il touche aux comportements de tous les collaborateurs en contact avec des données personnelles. Ainsi, 69% des fuites de données sont dues à des collaborateurs dûment habilités à accéder à ces données, généralement suite à une négligence (source Ponemon Institute – True Cost of Compliance Study 2013). Ce chiffre montre à lui seul le chemin à parcourir en termes de changement.
De plus, dans les équipes projet, les méthodes de pilotage et la conception doivent évoluer pour tenir compte des principes de « privacy by design » et « privacy by default ».
>> LIRE AUSSI : [LIVRE BLANC] GDPR : en route pour la conformité <<
Nous vous conseillons donc de traiter la conduite du changement au sein d’un chantier dédié. Ce chantier est à lancer tôt en démarrant par des actions d’évangélisation et de communication.
Vous l’avez compris, le travail à réaliser pour GDPR d’ici mai 2018 est donc significatif. Business & Decision, accompagné de partenaires technologiques et juridique, propose des solutions pour vous accompagner sur tous les chantiers de mise en conformité.
Parlons-en ensemble ! Où en êtes-vous dans votre entreprise sur ces sujets ? Contactez-nous ou laissez-moi un commentaire en bas de cet article.
Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.