GDPR : Conformité optimale vs Conformité totale ?

Français

Le chantier de la GDPR comporte de multiples volets, laissant peu d’espoir aux entreprises d’être 100 % conformes à l’échéance de mai 2018. Mais pour l’ex-responsable de ce projet chez Saint-Gobain, aujourd’hui indépendant, quelques sujets concrets, comme la construction du registre des traitements, doivent être traités en priorité.

Pour toute une génération d’informaticiens, l’entrée en vigueur de la GDPR (Règlement Général pour la protection des données) constitue le 3ème grand projet à échéance fixe après l’an 2000 et le passage à l’euro. S’il partage avec ses deux prédécesseurs bien des points communs – date fixe connue à l’avance, difficulté à appréhender en amont l’ampleur des travaux nécessaires -, ce projet présente quelques caractéristiques uniques. D’abord, il s’appuie sur des règles encore en cours de finalisation et qui seront, comme pour toute loi, soumises à interprétations. Ensuite, la mise en conformité à la GDPR implique non seulement la transformation des systèmes d’information, mais également la modification des façons de travailler. Enfin, comme l’a indiqué Isabelle Falque-Pierrotin, la présidente de la CNIL, l’entrée en vigueur du règlement, le 25 mai 2018, ne doit pas être considérée comme une date couperet, mais plutôt comme « le début d’un voyage » associant la Commission Nationale de l’Informatique et des Libertés et les entreprises.

Un projet de mise en conformité GDPR comprend de multiples facettes, surtout quand on parle d’entreprises de grande taille. Son impact sur les systèmes et les organisations est profond. Très souvent, le chantier est lancé par la direction juridique, au sein de laquelle est montée une équipe dédiée, appelée à être pilotée par le DPO (Data Protection Officer), clef de voûte de la mise en œuvre concrète du règlement dans les organisations.

Un correspondant GDPR dans chaque filiale

Mais, même avec cette équipe en place, encore faut-il diffuser la connaissance de la réglementation au sein de l’organisation. Pas forcément simple dans des groupes multinationaux, regroupant de multiples entités juridiques et où prévaut, dans certains cas, une culture très décentralisée. Informer  les équipes des grands principes du règlement, via des fiches techniques, est certes nécessaire mais ne saurait suffire. Le texte implique par exemple de bâtir un registre répertoriant l’ensemble des traitements de données personnelles mis en œuvre, ce qui signifie qu’il faut être en mesure de bâtir en central cette vision d’ensemble, via un inventaire des traitements existants. Pour y parvenir, certaines entreprises font le choix de nommer un correspondant GDPR par entité juridique, chargé de porter le projet au plus près du terrain et remonter les informations requises au siège.

Et ce seul volet est loin de résumer le chantier de la mise en conformité. En parallèle de la construction du registre et de la mise en place d’une organisation adaptée, plusieurs projets techniques doivent souvent être lancés, mobilisant la DSI. A commencer par une revue de la sécurité ; l’idée étant de mener une analyse de risques en fonction de la criticité des données manipulées et de la comparer aux fonctionnalités offertes par les outils déjà en place. Avec, pour objectif, de combler les écarts constatés. L’introduction de la notion de « privacy by design » (prise en compte de la protection de la vie privée des clients ou employés dès la conception d’un service ou produit) impose également de revoir la ou les méthodologies de projet. Il faut aussi mentionner le chantier de la notification des violations de sécurité aux autorités compétentes. Sur ce terrain, certaines DSI misent sur l’adaptation de leur outil de gestion des tickets. Enfin, les organisations doivent également plancher sur une méthodologie permettant de construire des études d’impact sur la vie privée (ou PIA pour Privacy Impact Assessment), autre exercice imposé du règlement.

Un texte pour les 20 prochaines années

Et puis, il faut aussi retravailler les contrats avec les prestataires, la GDPR instaurant un régime de co-responsabilité avec ces derniers. Si la direction juridique des entreprises est en mesure de préparer les clauses idoines, encore faut-il ensuite les implémenter concrètement dans les contrats. Assez simple avec les prestataires internes (dans le cas où l’informatique groupe est hébergée dans des structures dédiées). Mais plus consommateur de temps avec les sous-traitants externes. Il faudra alors renégocier les contrats un par un.

Au travers de ces différentes facettes, on mesure mieux l’étendue du chantier. Avec la GDPR, le législateur a conçu un texte pour les 20 prochaines années, en partant du principe que ce qui est techniquement impossible aujourd’hui, ne le sera plus dans les 5 à 10 ans qui viennent. Car, en plongeant dans le règlement, les DSI se heurtent bel et bien à des impossibilités techniques. Exemple : les bases de données de type Big Data fonctionnent aujourd’hui par ajout de lignes dans les tables, et non par modification. Or, si un client retire son consentement à l’utilisation de ses données personnelles, la GDPR impose à l’entreprise concernée un effacement desdites données. Ce qui n’est pour l’instant pas prévu par ces technologies.

Mise à jour de l'existant: le réel casse-tête

Les entreprises doivent donc viser non pas une conformité totale au 25 mai prochain, mais une conformité optimale. L’idée étant de donner des gages indiquant qu’elles ont pris le problème au sérieux. Par exemple, en mettant en place un processus de notification des violations de sécurité, en tenant un registre des traitements à jour et en mettant à niveau leurs méthodologies de gestion de projet. Mais il est très difficile d’imaginer que les entreprises puissent avoir modifié tous leurs systèmes existants pour les rendre conformes à la GDPR à l’échéance prévue. Dans l’idéal, elles auront défini un plan pour ce faire, cadencé en fonction de la criticité des données traitées.

Car c’est bien cette adaptation des systèmes en place qui devrait consommer le gros des budgets de mise en conformité ; des budgets qui restent très difficiles à estimer précisément à ce jour, personne ne connaissant en détails toutes les tâches à mener à bien. Mais une chose est sûre : les investissements seront lourds. Dans une multinationale, la seule prise en compte du retrait du consentement des clients implique d’ajouter cette fonctionnalité à parfois plusieurs centaines de sites Web. Et mettre en place un suivi des fuites de données peut requérir l’installation d’un outil de DLP (Data Loss Prevention). Soit un budget qu’on peut estimer à environ 3 euros par mois et par utilisateur. Dans un groupe comptant plusieurs dizaines de milliers de personnes, la facture atteint très vite des montants vertigineux. »

Article rédigé par Alain Boudiak, Expert GDPR.