Règlement européen sur la protection des données.
Saison 2.
Déployer les plans d’action, oui, mais aussi commencer à maintenir le dispositif mis en place.
La date fatidique du 25 mai 2018 est passée et clôt la première saison de la mise en conformité RGPD. Nous pouvons d’ores et déjà en tirer quelques enseignements et capitaliser sur des retours d’expériences :
- une priorité importante a généralement été mise sur la capacité à démontrer la conformité : formalisation d’un registre des traitements, des analyses d’impacts, politique de protection de la vie privée, etc. ;
- un plan d’action de couverture des risques pesant sur les données personnelles a été formalisé dans la majorité des organisations, avec des chantiers techniques et organisationnels à déployer sur une période de 12 à 36 mois. Dans la quasi‐totalité des organisations, ce plan d’action continue au-delà du 25 mai 2018 ;
- l’ambition et l'avancement de déploiement de ce plan d’action est très variable selon les périmètres et les organisations.
En conséquence, le niveau de conformité au RGPD est réellement hétérogène d’une organisation à une autre. Un aspect important a souvent été sous‐estimé : le maintien du dispositif de conformité, et les questions que ces aspects soulèvent :
- Comment assurer l’efficacité opérationnelle et la pérennité des dispositifs mis en place ?
- Comment construire une seconde ligne de défense sans qu'elle ne rime avec seconde ligne de dépense ?
- Comment définir et maintenir des contrôles cohérents qui permettent une couverture de l’ensemble du périmètre et des activités de l’entreprise ?
À notre sens, la mise en oeuvre d’un dispositif maintenu et contrôlé s’articule autour de trois grands axes :
- une démarche de GRC (gouvernance des risques et de la conformité) permet de mesurer précisément le risque de non-conformité règlementaire et d’impliquer la direction dans son suivi. Elle permet également de structurer l’approche en lignes de défense en formalisant le lien entre les contrôles et les risques qu’ils couvrent ;
- les systèmes de management de la protection de la vie privée, construits selon la norme ISO 27552, permettent de maintenir sous contrôle et de promouvoir à l’intérieur comme à l’extérieur de l’entreprise la protection des données, qui devient un argument marketing et améliore l'exploitation du patrimoine informationnel ;
- une stratégie d’audit cohérente, déployée sur l’ensemble du périmètre et construite en fonction des risques est incontournable et sera selon toute probabilité un élément scruté de près par les autorités de contrôle.
Mais un dispositif efficace, c'est également un dispositif aux coûts maîtrisés. En cela, une approche par l'innovation permet de réduire les coûts et de concentrer les efforts sur les périmètres les plus à risque. Quelques pistes valent la peine d’être étudiées :
- une approche RPA (Robot Process Automation) permet d’industrialiser les contrôles sur des périmètres larges, en assurant une qualité et une couverture renforcée des contrôles à moindre coût ;
- les solutions d’intelligence artificielle sont utilisées pour mieux caractériser les typologies de données personnelles dans des SI complexes et hétérogènes ;
- des solutions de types chatbot peuvent être utilisées pour sensibiliser les utilisateurs en interne, alléger la charge du DPO ou valoriser l’initiative RGPD auprès de ses clients, en répondant à leurs principales préoccupations en matière de vie privée, voire en les assistant dans l’exercice de leurs droits.
Les organisations visant l’objectif de conformité doivent mener de front non seulement le déploiement du plan d’action mais aussi le suivi, le maintien et l’optimisation du dispositif de conformité, actions qui sont tout aussi obligatoires dans le RGPD que la mise en oeuvre initiale du dispositif. C’est sur ce challenge que s’ouvre la seconde saison du RGPD.
CÉCILIEN CHARLOT
Consultant sécurité et gestion des risques