Mettre en place une politique de protection de la vie privée dès la conception pour soutenir votre entreprise à long terme
Pour certaines organisations, la mise en conformité au Règlement général sur la protection des données (RGPD) n’a pas exigé d’efforts particuliers, tandis que pour d’autres, elle a nécessité un énorme travail. Et pour un petit nombre d’organisations, elle a provoqué un léger sentiment de panique. Quel que soit l’état de préparation d’une organisation, l’une des conséquences les plus importantes du règlement réside dans le fait que la cybersécurité n’est plus uniquement une question de TI. Il s’agit désormais d’un enjeu qui concerne le conseil d’administration.
Bien qu’il était auparavant difficile de convaincre l’ensemble d’une organisation de l’importance de ces disciplines, le RGPD et le dialogue qui l’entoure ont fait de la protection de la vie privée et de la sécurité des priorités pour tous. Par conséquent, les organisations qui se sont déjà conformées au RGPD ont probablement adopté la protection de la vie privée dès la conception comme partie intégrante de leurs activités.
Cependant, le respect des exigences du RGPD ne constitue qu’une composante d’une bonne stratégie de cybersécurité et de protection de la vie privée, et cette stratégie doit s’intégrer à son tour à une approche d’utilisation efficace des TI.
À la fin de 2017, CGI au Royaume-Uni a piloté une étude réalisée en collaboration avec le Centre for Economics and Business Research (Cebr) et Opinium visant à analyser les attitudes envers le RGPD ainsi que l’état de préparation des organisations. Parmi les 250 entreprises du Royaume-Uni interrogées par Opinium, 29 % comptaient plus de 2 499 employés, et 72 % comptaient plus de 249 employés.
Près de 70 % de ces entreprises ont déjà répondu aux exigences du RGPD ou sont en voie de les surpasser d’ici mai 2019. Si vous travaillez pour l’une de ces entreprises, il se peut que vous ayez déjà consacré du temps à l’adaptation des processus et des systèmes nécessaires pour assurer la conformité actuelle et future de votre organisation.
Si votre entreprise fait partie des 70 %, le RGPD a peut-être fait en sorte que la cybersécurité :
- n’est plus uniquement une question de TI;
- contribue à la sensibilisation à l’échelle de l’entreprise;
- fait désormais partie intégrante des activités courantes.
Et, de façon tout aussi importante, grâce aux mesures que vous avez prises pour vous conformer au RGPD, vous disposez peut-être maintenant des éléments suivants :
- un registre de données examinées lors d’un audit;
- un régime de vérification permettant de préserver l’exactitude de ce registre;
- des politiques de sécurité de l’information d’entreprise;
- des politiques de sécurité pour les tiers;
- l’attention et l’intérêt de la direction;
- un personnel formé, sensibilisé et intéressé.
Une occasion à saisir
Vos nouveaux systèmes et processus fonctionnent sans doute, mais sont-ils vraiment optimaux? Est-il possible de les améliorer encore davantage?
Le RGPD vous a placé dans une position idéale pour créer vos structures de données, vos applications et vos processus de prochaine génération. Vous disposez probablement de données de meilleure qualité, et vous savez où elles se trouvent et comment elles sont utilisées. Vos employés savent sans doute qu’il n’est plus possible de recueillir des données et de les conserver pendant plusieurs années, et vous connaissez bien les plus grands défis associés à l’adaptation des mécanismes de cybersécurité.
Grâce aux pratiques de protection de la vie privée dès la conception et par défaut, vous avez maintenant l’occasion de créer des systèmes intégrés où la sécurité est prise en compte dès le départ, et non ajoutée après coup. Pratiquement tous s’entendent pour dire que cette approche est plus efficace pour réduire les risques en matière de sécurité. Le RGPD a imposé aux organisations de nouvelles exigences de sécurité de base, qui sont sans doute plus élevées que celles sur lesquelles leurs activités étaient fondées auparavant.
D’ailleurs, dans le cadre du Baromètre mondial CGI 2018, où nous avons interrogé 1 400 dirigeants de fonctions d’affaires et informatiques dans le monde entier, les dirigeants d’entreprise ont affirmé que la cybersécurité et la conformité réglementaire figurent au sommet de leurs priorités d’entreprise et en TI.
Une cybersécurité robuste constitue un avantage commercial, puisqu’elle réduit le risque, renforce la confiance des clients et des fournisseurs (et donc la valeur de la marque) et, si elle est conviviale, diminue le nombre d’heures de travail associées aux processus connexes.
On peut donc tirer quelques conclusions qui intéresseront sans doute les membres de la direction qui ne font pas partie des équipes de TI ni de cybersécurité.
- Il est maintenant avantageux d’investir dans de nouveaux systèmes.
- La sécurité et la gestion efficace des données ont une valeur commerciale.
- Ces éléments ont une incidence sur la relation avec les clients et les fournisseurs.
- Ils peuvent entraîner des économies à long terme.
Orientation client
Que vous souhaitiez développer une application ou améliorer votre infrastructure, il est judicieux d’observer les flux de données et la gestion générale de l’information du point de vue du client. Cette approche aide non seulement les entreprises à placer le client au cœur de leurs activités, mais elle est également compatible avec la position du RGPD.
Elle présente aussi l’avantage de concilier les différents volets d’une entreprise. Au Royaume-Uni, 93 % des entreprises interrogées affirment qu’elles offrent des formations à leurs employés (11 % proposent des formations hebdomadaires), puisque la qualité des pratiques de protection des données a une influence sur les ventes, le marketing, l’analyse d’affaires, l’approvisionnement, la logistique et la comptabilité. À l’heure actuelle, vous avez peut-être la possibilité d’aider vos équipes de marketing ou de comptabilité à effectuer une analyse des clients sans conserver de données personnelles, grâce entre autres à des techniques telles que la pseudonymisation, qui remplace les données personnelles sensibles par des identifiants fictifs.
Fournisseurs
Certaines données de vos clients doivent parfois être communiquées à l’externe, et vos fournisseurs viennent peut-être tout juste d’obtenir un aperçu fidèle des données dont ils disposent (et qui proviennent de votre entreprise) grâce à leur propre mise en conformité au RGPD. Le temps pourrait être venu d’ajouter des clauses qui clarifient la répartition des responsabilités et des risques associés au respect des exigences du RGPD à vos contrats avec vos fournisseurs. Autrement dit, maintenant que vous comprenez mieux vos données, pouvez-vous améliorer l’échange d’information avec vos fournisseurs tout en protégeant les données de vos clients?
Processus
Il devrait être évident (mais ce n’est pas le cas) que plus la politique de sécurité d’une organisation est facile à appliquer, plus sa cybersécurité est robuste. Plus de 75 % des entreprises du Royaume-Uni interrogées dans le cadre de notre étude ont déclaré avoir recours à des normes (p. ex. ISO27001) de façon régulière ou fréquente dans le cadre de leur approche de protection de la vie privée dès la conception. Si vous faites de même, il vaut la peine de vous demander à quel point vos activités intègrent et respectent ces normes.
Maintenant que votre entreprise s‘y conforme, il pourrait être plus facile de déterminer de quelle façon la technologie peut aider vos employés à les respecter. Par exemple, si vous avez adopté une politique de classification et de manipulation de l’information, telle que la norme BS10010, pourriez-vous en automatiser certaines composantes? Cette automatisation pourrait prendre la forme d’un système catégorisant les courriels selon la classification de l’information qu’ils contiennent, de la mise en place d’entrepôts de données sécurisés pour les données non structurées se trouvant sur les ordinateurs portables et les téléphones, ou encore d’une fonction d’aide en ligne permettant aux employés de bien comprendre les critères qui font d’une simple information une donnée sensible.
Résumé
La base de référence en matière de manipulation des données personnelles que le RGPD impose peut être comprise et appliquée par toutes les équipes d’une organisation et par ses partenaires. Elle constitue un point de départ commun et simplifié pour l’établissement de nouveaux processus d’affaires où la protection de la vie privée est prise en compte dès le départ, et non ajoutée après coup. Grâce à cette base de référence, il est plus facile pour vos employés, fournisseurs et clients de travailler au sein d’un environnement sécurisé, et cette approche peut constituer un avantage commercial offrant une valeur ajoutée.
Comment le RGPD est-il perçu dans votre organisation? S’agit-il d’un risque, d’une occasion d’affaires, ou des deux? N’hésitez pas à soumettre un commentaire ci-dessous ou à communiquer avec nous.