GDPR

GDPR – quel impact pour vous ?

9 mars 2017

GDPR

À l'heure actuelle, on parle beaucoup du GDPR, soit le « General Data Protection Regulation » (Règlement général sur la protection des données). Du CIO au CFO, du CPO au CS (conseiller en sécurité) et bien au-delà. Aujourd'hui, le GDPR est même estampillé sur le matériel et d'autres applications. Mais quel est le véritable impact du GDPR sur votre organisation ?

stamp-600602_1920.jpg

Peu de personnes peuvent donner une réponse concrète à cette question, mais l'on parle généralement de DPO (Data Protection Officer), de DPIA (Data Privacy Impact Analyse), de Hardware ou d'Applications. Chez Realdolmen, nous croyons en un nombre concret d'étapes pragmatiques qui aident votre organisation à aborder « l'exercice GDPR » de façon structurée, sans vous lancer dans une aventure sans fin, et sans frais supplémentaires et souvent inutiles pour des solutions matérielles ou logicielles qui ne feront qu'accroître plus tard votre budget OPEX, puisqu'il vous faudra bien gérer tous ces nouveaux composants.

Nous commentons ci-dessous notre approche en quatre étapes.

Étape 1 : mon entreprise est-elle soumise au GDPR ?

La réponse est presque de facto OUI. La véritable question est néanmoins la suivante :  tous les critères imposés s'appliquent-ils aussi à mon organisation ? La réponse à cette question est beaucoup plus nuancée.

Il ne fait aucun doute que toutes les données personnelles doivent être traitées avec respect et selon certaines règles. Mais certaines mesures comme la désignation d'un DPO sont uniquement nécessaires dans des situations spécifiques. Nous les déconseillons même complètement pour les organisations qui n'y sont pas tenues (les conditions d'obligation figurent dans le règlement proprement dit). Elles pourraient notamment inciter à croire que vous traitez des données personnelles à « grande » échelle, de sorte qu'on vous posera davantage de questions, qu'on attendra davantage d'actions de votre part, etc.

L'examen de ce qui est spécifiquement nécessaire dans votre entreprise vient donc au premier plan à l'étape 1, et entraîne d'emblée plusieurs conséquences. Nous qualifions cet examen de « profil d'entreprise en ce qui concerne l'établissement de la politique de confidentialité des données ». Un aspect important à cet égard consiste à ne pas oublier vos propres travailleurs dans cet examen. De combien de personnes s'agit-il ?  À quelle fréquence dois-je effectuer une mise à jour ou consulter un dossier ? Que tenons-nous à jour, quels sont les éléments nécessaires et quels sont les éléments pertinents ? Ce ne sont là que quelques exemples de questions que vous devez vous poser.

Étape 2 : Cartographie des données

Où vos données sont-elles conservées aujourd'hui ? Ce sera l'une des clés de voûte du futur GDPR : où se trouvent mes données, comment les garder à jour et où dois-je les supprimer dans le cadre du « droit à l'oubli » ?

Est-ce que cela signifie que votre organisation doit démarrer un exercice de Data Warehouse ? Êtes-vous à la veille d'un trajet d'implémentation de BI ou de Data Insights ? De telles missions durent souvent plusieurs mois (+6), voire plusieurs années. Si vous démarrez ce trajet aujourd'hui, vous aurez un problème le 25/5/2018. À vous le choix évidemment, mais si vous n'avez prévu ni le temps, ni le budget pour cet exercice, il vaut mieux opter pour l'approche pragmatique.

L'inventaire de tous les objets de données vous procure une vue d'ensemble de votre environnement. Cela ne signifie pas pour autant que tout est structuré ou que tout se déroule automatiquement. Mais cela vous offre bel et bien la chance en tant qu'organisation de réagir immédiatement aux questions.

Un autre avantage est que ces informations vous permettent de définir un profil de risque. Si vous ne savez pas où se trouvent vos données, comment pourriez-vous déterminer quel est le risque si vous les perdez ou si les données ne sont pas correctes ? Il existe différentes possibilités pour définir un tel profil de risque, allant d'implémentations SAP complexes et d'autres implémentations à SAP, Informatica ou d'autres outils qui procurent avec un moindre effort une bonne vue d'ensemble de votre capital de données. (Ci-après plus de détails sur SAS et Informatica.)

Étape 3 : « End Points »

Étant donné que de nombreuses organisations oublient les « end points », nous voulons absolument attirer l'attention sur ceux-ci. Vous pouvez bien investir des sommes considérables dans la protection et la politique mais que ferez-vous si un travailleur rentre chez lui avec un extrait de la base de données au format .xls sur une clé USB pour continuer à travailler et s'il perd la clé après l'apéro du vendredi soir avec les collègues en cherchant ses clés de voiture ? 

usb-key-1214305_1920 (1).jpgLes questions les plus urgentes qui émanent à ce moment-là de la DPA (Data Protection Authority (l'autorité de protection des données) ou Commission vie privée) sont les suivantes : Quelles informations avez-vous perdues ? De quelles personnes ou de combien de personnes ? Quelles actions pouvons-nous (en tant qu'organisation) entreprendre pour limiter les dégâts (lisez : effacement à distance, chiffrement, etc.) ?

Si vous ne disposez pas d'un bon Mobile Device Management, il est très difficile de gérer une telle situation. Certainement à présent que le poste de travail est inconcevable sans le BYOD, le travail flexible et les téléphones mobiles. Si l'on ne prête pas l'attention nécessaire à cet aspect, tous les efforts de l'entreprise concernant la protection et la politique auront été vains. Ne l'oubliez pas : toute chaîne n'est solide que comme son maillon le plus faible.

Étape 4 : Consentement (autorisation)

Il n'est plus inclus dans le GDPR et/ou dans les conditions générales. Non, il est explicite ! Et spécifique : à des fins clairement décrites et pour une période limitée. Voilà ce que vous devez faire.  Mais comment devez-vous procéder ?

Plutôt tôt que tard, vous devrez examiner le tooling (existant ou nouveau) afin de garder le consentement « gérable ». N'oubliez pas que dans le GDPR, la charge de la preuve se situe chez l'organisation et qu'elle peut être révoquée à tout moment par l'intéressé. Des listes dans Excel ou SharePoint sont opérationnelles pour la gestion d'un nombre limité de « consentements ». Mais une telle liste deviendra vite trop grande, même avec un nombre limité de « data subjects ». Surtout si vous demandez l'autorisation aux intéressés à plusieurs fins.

À un moment donné, vous voudrez ou vous devrez savoir pour chaque champ de données individuel de l'intéressé pourquoi vous avez demandé ce fragment d'information, si vous en avez obtenu l'autorisation et pour combien de temps, et si l'autorisation n'a pas été retirée entre-temps. Sans parler de la manière dont l'autorisation a été donnée. Le GDPR permet par exemple de donner son consentement verbalement, mais cela signifie que vous devez sauvegarder un enregistrement de l'autorisation en guise de preuve et le lier aux champs de données.

En tant qu'organisation, vous avez 2 options. Continuer la gestion manuelle jusqu'à l'arrivée d'une solution commerciale pour gérer les consentements. Cette solution viendra à coup sûr et est aujourd'hui en cours de préparation. En revanche, on ne sait pas du tout de quelle façon elle répondra aux besoins et surtout à quel prix. De nouveau, il convient d'imaginer ici des solutions plus pragmatiques. Aussi, j'aborde volontiers la deuxième option, notamment les solutions précitées comme Informatica et SAS. Aucune des deux n'est dotée d'une fonction distincte pour gérer le contenu mais, moyennant un peu de créativité, elles peuvent bel et bien être configurées de manière à vous procurer une solution professionnelle qui satisfera certainement à vos besoins à cet égard.

Conclusion

Vous voyez que le GDPR implique bien plus que la seule désignation d'un DPO et que le 25/05/2018 est bien plus proche que ce que nous pensons tous. À condition d'appliquer une approche pragmatique, vous avez cependant encore assez de temps pour préparer votre entreprise au règlement, ainsi qu'aux sanctions.

Mais avant tout, notre message le plus important est le suivant : AGISSEZ MAINTENANT.

Gert.jpgGert Maton, Senior Consultant




Si vous voulez en apprendre plus sur le GDPR ou si vous voulez avoir recours à notre aide pour préparer votre entreprise d'ici mai 2018, veuillez me contacter via  Gert.Maton@realdolmen.com.

Inscrivez-vous à notre newsletter

Aimeriez-vous rester au courant des nouvelles, offres et événements à propos des sujets qui vous intéressent?

Inscrivez-vous ici