Un grand nombre d’articles a déjà été écrit sur le sujet RGPD : comment se mettre en conformité, les 10 erreurs à ne pas commettre …
Force est de constater que 7 mois après la mise en application du Règlement, toutes les entreprises ne sont pas prêtes. Pire encore, une part non négligeable d’entre-elles – totalement désemparée – n’a rien commencé se rendant bien compte du côté souvent absurde de l’exercice.
Mais la visée de ce règlement a-t-elle bien été comprise ?
Au-delà du risque réglementaire n’y aurait-il pas un véritable enjeu de performance et de survie des Entreprises ?
Que ce soit par éthique ou désormais du fait du RGPD, la confidentialité des données personnelles doivent être considérée comme hautement critique.
Les risques relatifs aux fuites de données personnelles sont importants. Mais les données personnelles sont-elles les seules dont le vol ou la divulgation pourraient faire sombrer une entreprise ?
En effet, l’Europe impose désormais un minimum de sécurité concernant les données personnelles détenues par les Entreprises mais qui ne leur appartiennent pas. Une partie des entreprises n’est visiblement pas au niveau pour protéger ces données.
Mais alors, qu’en est-il des données relatives à l’avantage concurrentiel ? Du secret de fabrication ou du juste taux de marge appliqué pour remporter des marchés ?
Il est fréquent d’entendre des Dirigeants d’entreprises se plaindre des contraintes imposées par le RGPD. Mais en ont-ils vraiment compris les enjeux ?
Si une entreprise n’est pas capable de protéger une typologie de données (par exemple personnelles), comment peut-elle se sentir en sécurité concernant les données dont la confidentialité assure la survie l’entreprise ?
En somme, l’effort à réaliser pour la sécurisation des données personnelles n’a aucun sens s’il n’est pas étendu à toutes les données critiques ou confidentielles de l’organisation. De plus, étendre le chantier de sécurisation à l’ensemble de données critiques n’aura pas un impact coût très important et permettra de faire évoluer la culture d’entreprise en termes de manipulation de données.
Certains prestataires proposent des remèdes techniques ou technologiques sensés mettre en conformité l’Entreprise :
En bref, il suffirait de payer quelques milliers d’euros pour tout régler.
Ces solutions techniques peuvent être des éléments de réponse ponctuels à des problématiques précises. Cependant, elles ne sont que des outils à un chantier colossale à démarrer.
Chiffrer une base de données c’est bien pour ne pas dire trivial. Mais est-ce bien efficace ? En effet, si l’application qui utilise la base de données ne gère pas correctement les droits d’accès et n’est elle-même pas sécurisée, la solution n’aura qu’un très infime impact.
De même, analyser les logs pour savoir qui a accédé à quoi peut être pertinent. Mais s’il n’existe pas de cartographie des données et une gestion des habilitations convenable, qui sera en mesure d’identifier les accès illégitimes dans les milliers de traitements collectés chaque heure ?
Une autre approche proposée par les cabinets de conseil ou d’avocats consiste à vous faire rentrer au chausse-pied dans les exigences du Règlement. C’est obligatoire, l’approche est donc indiscutable.
En termes de “risk management”, le risque réglementaire est traité pour quelques milliers d’euros à peine.
Vous obtenez alors votre Registre qui liste vos cinquante traitements et leur finalité et quelques recommandations à mettre en oeuvre (DPO, gouvernance, …). Et c’est bon, vous êtes sauvés… ou pas !
Et si on se redonnait la définition d’un traitement ? Donc un traitement, c’est :
Rien que dans une application de comptabilité standard, si on voulait être exhaustif, il pourrait y avoir des dizaines voire centaines de traitements.
Sans cartographie exhaustive des métiers, qui est capable de lister l’ensemble des traitements ? En cas de fuite, comment identifier d’où elle provient ? Comment automatiser la durée de vie des données ?
Bref, a-t-on véritablement apporté de la maîtrise ou nous cachons-nous derrière un document juridique avec peu de valeur pour l’Entreprise ?
Comme bien souvent dans les Systèmes d’Information, lorsqu’une solution miracle permet de résoudre un problème qui nécessiterait plusieurs années de chantier : il y a probablement un loup !
Nous avons pu voir que ni l’approche “solution technique” ni l’approche “conformité” ne peuvent répondre aux enjeux du RGPD ou de la sécurité du SI en général. Pire, même en mettant en oeuvre les deux approches en parallèle, le sujet n’aura été qu’effleuré.
En effet, pour pouvoir prétendre à un bon niveau de sécurité en termes de gestion des données, il s’agit tout d’abord d’en avoir une parfaite maîtrise. Là où le bât blesse, c’est qu’il faut pouvoir relier ces données aux flux d’information de l’entreprise et donc à ses processus et à son organisation. Sans cela, il ne sera ni possible d’être exhaustif sur les registre des traitements ou de sécuriser l’ensemble des usages avec des moyens techniques.
La première préconisation est de mettre en perspective les différentes couches du Système d’Information pour pouvoir relier les processus métiers, aux fonctionnalités, aux applications et aux moyens techniques.
Cela permet de disposer d’une approche holistique du SI. Non seulement cela permet une bonne maîtrise des informations en termes de sécurité et de conformité mais surtout cela permet de démultiplier la performance du SI : on réaligne le SI sur les besoins de l’Entreprise… ou le contraire. Dans tous les cas, on identifie les écarts et on les traite !
De façon simplifiée et appliquées aux besoins de la sécurité des données ou du RGPD, nous préconisons les approches suivantes :
Là où la magie opère, c’est quand je suis en capacité d’avoir les bons droits parce que je suis à la fois manager, logisticien et Délégué du personnel.
La démarche globale que nous préconisons est la suivante :
Il est à noter que plusieurs mois sont nécessaires à la mise en place de cette démarche. A l’issue de cette démarche, un long chantier de traitement des risques sera à mener sur plusieurs années voire en continu sur toute la durée de vie de l’entreprise.
En conclusion, la mise en conformité est obligatoire pour éviter les coups de bambou de la CNIL mais vous fait passer à côté de l’opportunité de remettre votre SI à plat. Quitte à se lancer dans un chantier de recensement et de transformation, notre préconisation est d’en profiter pour :