La collecte de données : un enjeu transfrontalier majeur
A l'aube de devenir un marché colossal, la collecte et la vente des données personnelles sont entrées dans les habitudes des entreprises mais certainement aussi des consommateurs. Si chacun de nous se dit conscient de son empreinte électronique croissante, nous serions surpris d'en réaliser toute la teneur : lieux de villégiature, habitudes de consommation, boissons et restaurants préférés, etc. Très enclins à exiger des publicités plus conformes à nos attentes, nous ne prenons qu'assez peu la mesure du risque en partageant, bien souvent sans notre consentement, nos renseignements personnels.
 
Devenu un marché international, la négociation des données personnelles se fait dans un monde informatisé, hautement connecté et dans lequel le partage des responsabilités, en cas de violation des dispositifs de protection, reste éminemment nébuleux. Parce que nos données sont devenues une véritable monnaie d'échange, dans un contexte où l'usage veut que nous autorisions implicitement et parfois aveuglément leur exploitation, l'Union Européenne a choisi d'adopter un autre regard sur ces données.
 
Une législation européenne modernisée, des entreprises à la peine
Considérée comme une nécessité, la réforme du cadre législatif de la protection des données personnelles a connu des avancées importantes entre la fin de l'année 2013 et ce début 2014. Massivement approuvé par les eurodéputés, le projet de règlement a également été beaucoup amendé, vers plus de sévérité. S'il appartient encore au Conseil Européen de se prononcer sur le texte, les mesures phares du règlement et les orientations de la directive semblent d'ores et déjà recueillir un assentiment généralisé.
 
Les textes prévoient un délai de deux ans laissé aux entreprises pour se mettre en conformité avec le nouveau cadre. Cependant, il n'est pas certain que ce délai soit suffisant, notamment au regard d'une enquête réalisée en 2013 par le Cabinet Vanson Bourne, à la demande de Compuware et portant sur les mesures mises en œuvre par les entreprises pour la protection des données de leurs clients. Réalisée en France, en Espagne, au Benelux, en Italie, au Royaume-Uni, au Japon, en Australie et aux Etats-Unis, l'enquête montre que 20% des entreprises ne masquent ni ne protègent les données confidentielles en phase de de test. Tandis que 43% des entreprises partageant des données clients considèrent obscurs les lois et règlements sur la protection des données personnelles en vigueur.
En outre, 87% des entreprises transmettant des données à un tiers, encadrent la transaction uniquement au travers d'accords de non-divulgation, dont la validité et l'application territoriale pose nécessairement question. Enfin, les entreprises dans leur grande majorité, se sont montrées incapables de chiffrer avec précision le montant de leurs dépenses en faveur de la protection des données et encore moins le coût total engendré par le très prochain corpus législatif européen.
 
Le coût d'une mise en conformité (ou pas !)
Les entreprises doivent anticiper le coût de l'adaptation de leur système d'information aux textes européens. Si la tentation d'échapper à cette mise en conformité est grande, les amendes encourues le sont tout autant. La directive fixe des amendes pouvant aller jusqu'à 100 millions d'euros ou 5% du chiffre d'affaires annuel mondial de l'entreprise. Nous sommes bien loin des amendes maximales jusqu'ici infligées par la CNIL française.
 
C'est dès aujourd'hui que les entreprises doivent étudier leur plan de mise en conformité et provisionner pour l'avenir. Disposer d'un plan réaliste et opérationnel permettra de minimiser à la fois les coûts initiaux mais également d'être en mesure de pouvoir prouver et maintenir la mise en conformité du SI, des pratiques et des applications.

Les 5 étapes d'un plan de mise en conformité :
 
·        Comprendre les implications de la législation
Cela va sans dire mais il appartient aux entreprises de comprendre les conséquences du nouveau cadre législatif européen sur leurs opérations quotidiennes et récurrentes. Cette première étape est essentielle à l'identification des processus de collecte et de transferts applicables chez elles. L'erreur à ne pas commettre est de minimiser l'impact et le coût. Il faudra s'attendre, au contraire, à d'importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s'appuyaient jusque-là sur des données non anonymisées.
 
·        Auditer et localiser les données sensibles
La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d'achoppement, où sont les risques de violation ?  Encore une fois, le temps nécessaire à cette analyse ne doit pas être sous-estimé.
 
·        Adapter ses processus aux nouvelles contraintes
Une fois la localisation et l'identification des données et des risques associés réalisées, il devient plus aisé d'introduire à ses processus de traitement existants l'anonymisation de la donnée. Il est également envisageable de créer de nouveaux flux de travail qu'il sera plus facile et plus rapide d'adapter aux exigences à venir de la législation européenne.
 
·        Développer une solution conforme aux exigences
En fonction des résultats de l'audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l'entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d'accès aux données, sur le choix d'une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.
 
·        Donner de l'air à la  DSI
L'ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n'est pas de trop au regard des très nombreux paramètres à prendre en compte. Le volume de données, leur interaction complexe, leur qualité et leur intégrité ne sont qu'une étape d'un plan plus général de révision des processus afin de répondre rigoureusement aux obligations européennes.
 
Les DSI européennes travaillent aujourd'hui, bien malgré elles, à flux tendu. La charge de travail qu'implique le dispositif européen de protection des données personnelles peut être supportée en s'appuyant sur une expertise extérieure, afin de réduire à la fois le risque d'erreur, les délais d'initiation à la législation et donc le coût global.

Par Elizabeth Maxwell, Directeur technique EMEA chez Compuware