Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RGPD : plus d’1 an après, quels sont les premiers retours d’expériences ?

octobre 2017 par Emmanuelle Lamandé

A environ 7 mois de l’échéance du 25 mai 2018, où en est-on dans la course à la conformité RGPD ? Afin de répondre à cette question, Gérôme Billois et Raphaël Brun, Wavestone, nous livrent à l’occasion des Assises de la sécurité leurs premiers retours d’expériences, basés sur plus de 40 missions dédiées menées en interne pour des entreprises de différents secteurs, dont plus de 20 grands comptes accompagnés de mai 2016 à août 2017. Que retenir de ces projets en cours ? Quels sont les budgets engagés, les priorités ou encore les principales difficultés rencontrées ?

Avec le RGPD, on améliore au final des mesures qui existaient pour la plupart déjà dans d’autres textes réglementaires, soulignent Gérôme Billois, Partner chez Wavestone, et Raphaël Brun, Manager chez Wavestone. Alors pourquoi cette course à la conformité ? Si le sujet de la protection des données est devenu aussi important aujourd’hui, c’est surtout en raison de la teneur des sanctions (pouvant aller jusqu’à 20 millions d’euros ou 4% du CA) qui fait réagir les directions générales des entreprises.

Pourtant, en regard des missions réalisées actuellement, la plupart des entreprises n’ont débuté leur programme de mise en conformité au RGPD qu’en 2017, ce qui s’avère certainement trop tard pour être conforme en mai 2018… Parmi les premières à s’être lancées dans cette course, on retrouve majoritairement en tête de peloton des banques et des assurances, qui y allouent d’ailleurs un budget dépassant souvent les 100 millions d’euros, expliquent-ils. Viennent ensuite dans le gros du peloton, des entreprises moyennes, des compagnies B2C…, qui y consacrent un budget allant de 20 à 50 millions d’euros. Puis, à la traîne, on retrouve les plus petites entreprises et les compagnies B2B, qui investissent en moyenne de 1 à 5 millions d’euros.

L’analyse juridique du texte réglementaire : première difficulté pour les entreprises

De son côté, la charge de travail dans la mise en œuvre du projet de conformité est généralement répartie comme suit :
- Le chantier le plus important revient aux équipes IT et digital (45%), qui doivent à la fois créer de nouveaux services et faire évoluer les systèmes existants en y intégrant les exigences du RGPD ;
- 20% aux équipes business/métiers, qui doivent cartographier et faire évoluer leurs processus ;
- 15% pour l’équipe en charge de l’expertise et du pilotage du programme ;
- 10% pour les équipes DPO, risques ou conformité, afin de formaliser les politiques et les process, et de s’assurer de la conformité des solutions déployées par les métiers et l’IT ; - 5% pour l’équipe juridique, visant à proposer une expertise juridique précise du texte. D’ailleurs, la principale difficulté pour les entreprises reste aujourd’hui de faire cette analyse juridique du texte réglementaire. Viennent ensuite la mise en place de la gouvernance des métiers et la mise en œuvre au sein des Systèmes d’Information ;
- Et seulement 5% pour les équipes RSSI et la filière cybersécurité.

Donc contrairement aux idées reçues, la charge inhérente au RGPD pour les équipes juridiques et sécurité restent limitée en regard de la charge globale. D’ailleurs, contrairement aux autres idées préconçues, le DPO n’a pas vocation à faire de la sécurité, ni à exercer le métier de RSSI. Par contre, le lien entre ces acteurs est fondamental, surtout dans le cadre du RGPD. A titre d’exemples, le DPO attend d’un RSSI qu’il mène des analyses de risques et assure la protection des applications contenant des données sensibles, mais aussi priorise les technologies qui vont privilégier le respect de la vie privée… D’ailleurs, les processus doivent désormais inclure par essence le respect de vie privée.

La plupart des exigences sont déjà imposées dans d’autres textes réglementaires

Selon eux, la mise en œuvre de la conformité RGPD peut aujourd’hui se décliner au travers de 5 axes principaux :
- Le pilotage du programme et l’expertise à y apporter en termes de définition des chantiers, de suivi et de reporting, de coordination… ;
- L’analyse de l’existant, via la construction d’un registre des traitements et l’identification des points sensibles ou non-conformes ;
- La mise en place d’un système de management de la conformité (définition des politiques, méthodologie et outils de conformité, etc.) ;
- L’application des exigences nouvelles ou renforcées, comme la gestion du consentement, la privacy by design, le droit à la portabilité, la gestion des notifications de failles de sécurité… ;
- L’application d’exigences déjà existantes dans la règlementation actuelle (droit d’accès, de suppression…).

Il est également intéressant de souligner que, au vu de cette étude, près de la moitié des investissements effectués actuellement concernent des actions de conformité déjà exigées dans certains textes réglementaires existants. D’ailleurs, le RGPD ne serait à l’origine que de seulement 20% des nouvelles notions imposées. Cette mise en conformité aurait donc pu déjà être en grande partie opérationnelle aujourd’hui.

35% des entreprises ont déjà nommé un DPO

Concernant les DPO, seulement 35% des entreprises ont déjà nommé un Data Privacy Officer dans leurs équipes. Ce chiffre devrait atteindre les 70% d’ici mai 2018. A l’heure actuelle, ces derniers sont principalement rattachés au département juridique (45%), compliance (25%) et risque (25%). Avant le DPO, le CIL était d’ailleurs souvent vu comme quelqu’un du domaine juridique.

Quelles sont les prochaines grandes étapes d’ici mai 2018 ? L’échéance est proche et les entreprises ne pourront pas courir toutes les courses à la fois. Cependant, plusieurs axes sont, selon eux, à privilégier, à commencer par la notion d’accountability, la révision des processus métiers et un recadrage des actions sur les domaines les plus sensibles, qui se doivent impérativement d’être conformes. L’entreprise peut également choisir deux sujets transverses sur lesquels elle va mettre l’accent, comme la gestion du consentement et du transfert des données auprès des tiers, y compris dans le temps.

25 mai 2018 : une première étape dans la course à la conformité

Toutefois, il faut aussi garder à l’esprit que mai 2018 n’est qu’une première étape dans la mise en conformité, ce n’est pas une échéance en soi, si ce n’est réglementaire. La mise en conformité est un processus qui évolue en permanence dans le temps.

De plus, dans cette course contre la montre, certains cols nécessitent plus d’attention que d’autres, expliquent-ils, comme par exemple :
-  La capacité à déployer un processus de privacy by design, ainsi qu’une méthodologie de PIA qui soit opérationnels ;
-  La compliance dans l’intégralité des contrats ;
-  La durée de rétention et la capacité à mettre en œuvre le droit à oubli…

Ces trois cols sont difficiles à passer, car relativement compliqués à comprendre et souvent mal appréhendés par l’ensemble des acteurs. C’est pourquoi, les entreprises doivent positionner les experts les plus compétents sur ces sujets.

En outre, pour atteindre cette conformité, ils leur recommandent de se créer des accélérateurs au sein de leur structure, comme par exemple opter dans certains cas pour des techniques d’anonymisation ou de tokenisation. Toutefois, dans le cadre d’une anonymisation, il faut rester vigilant et bien s’assurer de l’incapacité à retrouver une personne en fonction des jeux d’informations donnés. De plus, il est essentiel de se poser les bonnes interrogations en amont de chaque traitement ou mesure adoptée. Par exemple, concernant la gestion du consentement, plusieurs questions se posent : le consentement est-il légitime ? A-t-il un intérêt vital ? Est-ce une obligation réglementaire ? Comment l’IT peut-il gérer ce consentement ?

Enfin, le RGPD doit, selon Gérôme Billois et Raphaël Brun, être appréhendé comme quelque chose de positif par les entreprises, car cette conformité est avant tout un différenciateur en termes de confiance des utilisateurs et sera la clé d’une transformation numérique réussie. Et au final, le 25 mai 2018 ne sera assurément qu’une première étape dans la mise en conformité, puisque tous les chantiers ne pourront pas être terminés à cette échéance. Les entreprises ne seront donc pas pour la plupart conformes à 100% à cette date, mais les principaux risques seront vraisemblablement tous couverts, concluent-ils.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants