À commencer par les Direction des Systèmes d’Information et les départements informatiques qui ont dû adapter les processus et former leurs équipes à la protection des données de toutes les parties prenantes (collaborateurs, clients ou encore partenaires, fournisseurs et prestataires).

Le RGPD, sous les feux des projecteurs

Mai 2018, le RGPD monopolisait la scène. Les entreprises européennes – comme toutes structures générant et gérant des données personnelles – ont dû se conformer à la loi. Si pour certaines structures l’application de cette nouvelle réglementation s’est faite dans la douleur, pour d’autres, elle n’a pas fondamentalement changé l’organisation. La CNIL n’imposant finalement qu’un cadre et un périmètre clairs dans l’application de directives qui portaient sur des données confidentielles et relevant de la vie des personnes.

Cette nouvelle contrainte est même aujourd’hui valorisée sur le marché vis-à-vis des clients et des donneurs d’ordres. Afficher qu’on a tout mis en œuvre pour se conformer aux textes du RGPD donne à une entreprise un avantage concurrentiel par rapport aux autres.

360° de vigilance

Pour les DSI, le RGPD est devenu une préoccupation majeure de tous les instants. Il impose d’agir avec un maximum de pragmatisme en raison d’un nombre de contraintes élevé dans la vie quotidienne d’une entreprise.

Malheureusement de nombreuses PME et TPE n’ont pas les moyens en interne de mettre à disposition des collaborateurs entièrement dédiés à la conformité. Si certaines étaient déjà rompues à la confidentialité de données sensibles du fait de leur activité propre, comme les acteurs du paiement déjà largement expérimentés en matière de données sensibles, l’impact de la réglementation a néanmoins été important dans la mesure où le RGPD balaie les données sensibles quelles que soit l’origine de leur source.

En effet le RGPD a sonné l’ajout de processus, parfois complexes, au traitement des nombreuses données que l’on retrouve de manière générale dans une société. Ce n’est pas une surprise si les opérateurs de paiement, qui manipulent des données bancaires en plus des autres informations personnelles, ont dû consacrer de nombreuses heures de leurs équipes IT, juridique, RH, finance, marketing… pour s’assurer que les données sensibles soient traitées comme elles le doivent, conformément à la réglementation en vigueur.

Le Privacy by Design au cœur du défi

Pour un DSI, le RGPD implique avant tout un engagement de conformité de tout le service informatique. Il est dès lors important d’être étanche sur ce sujet car, même si on délègue une partie de l’activité de l’entreprise à un sous-traitant, le DSI doit s’assurer que tous les processus informatiques sont contrôlés. Il est capital de conserver la main sur le système informatique, avoir une carte applicative et un registre des données à jour.

Mais le rôle de la Direction des Systèmes d’Information ne s’arrête pas là : il faut sensibiliser l’ensemble du personnel au RGPD et former son équipe technique et les développeurs au sujet. Car c’est au niveau du développement informatique que se joue une partie du challenge de la protection des données personnelles.

La logique du « Privacy by design » prend tout son sens. En d’autres termes, il est crucial de se préoccuper du bon traitement des données dès la conception des architectures IT et des développements informatiques. Cela revient à déterminer le niveau de données dont on a besoin, ce que l’on veut en faire et comment elles seront stockées.

Au-delà du RGPD

Il existe d’autres normes visant la gestion des données des personnes. Ainsi les prestataires de paiement, à travers leurs activités, sont amenés à traiter des informations ultra-sensibles. Par exemple les identifiants de cartes bancaires. Ces entreprises sont donc soumises à un standard très strict : la norme PCI DSS nécessitant un renouvellement de certification chaque année.

Ce standard impose de mettre en œuvre de nombreux procédés visant à garantir la sécurité des données de paiement spécifiquement comme le traitement, le stockage ou les accès au compte en banque. Sans ces procédés, il est absolument impossible de se connecter à une carte bancaire ou à une salle serveurs.

DPO et DLP à la rescousse

L’univers d’extrême sécurité de la norme PCI DSS n’est pas le même que celui du RGPD. La confidentialité des données est un sujet beaucoup plus étendu et impactant que celui des données sensibles.

La nomination d’un DPO (Data Protection Officer) permet de positionner un référent sur le sujet. Doté d’une expertise juridique, il est le garant de la connaissance de l’ensemble des données de l’activité de l’entreprise, des informations RH à celles liées aux activités quotidiennes, de leur maitrise, de leur bon traitement, des processus mis en place, etc.

Il sera la clé pour se projeter dans une logique de DLP (Data Loss Prevention), ce qui n’est pas anodin. Il s’agit de permettre de détecter la moindre faille ou tentative d’accès illicite à l’ensemble des données personnelles. Un marché qui devrait, d’après Statista, atteindre quelques 2.28 billion Dollars en 2023.

Concrètement, le DLP regroupe un ensemble de techniques et d’outils qui se connectent aux différents canaux de communication numérique allant des emails jusqu’à l’imprimante numérique. Grâce à un système de monitoring, en cas d’activité anormale, une alerte est envoyée immédiatement aux équipes en charge de la surveillance.

RGPD : aujourd’hui l’Europe, demain le monde ?

Aux États-Unis près de 8 entreprises sur 10 auraient pris des mesures pour se conformer au RGPD ; et il semblerait que plus d’un quart d’entre elles auraient dépensé plus d'un demi-million de dollars pour cela. Soit quelques 9 milliards de dollars dépensés pour la mise en conformité au RGPD. Sanctionné par l'ICO, le groupe Marriott International aurait écopé de 99 millions de livres sterling. Au total, ce sont plus de 359 millions d'euros d'amendes majeures qui seraient tombés dans les caisses.

Représentant un véritable challenge pour les DSI, la mise en conformité RGPD nécessite des moyens tant techniques qu’humains. Pour être efficiente, la protection des données personnelles doit cependant entrer dans un cadre plus large, celui de la stratégie et de la culture d’entreprise.

Par Olivier Berthelier, DSI - Limonetik