RGPD : se faire aider dans sa mise en conformité, c'est possible !

Sommaire du dossier :

• Données personnelles : ce qui va changer
• RGPD : plus que 18 mois pour se préparer au nouveau règlement européen sur les données personnelles
• 10 conseils et outils indispensables pour bien protéger vos données personnelles
• RGPD : se faire aider dans sa mise en conformité, c'est possible !​

Le nouveau Règlement général relatif à la protection des données personnelles (RGPD) entrera bientôt en vigueur. Mais par quel bout prendre cette mise en conformité et comment se passe un tel projet ? Voici la méthode opérationnelle et technique développée par IBM pour assister les entreprises dans cette démarche. 

Le nouveau Règlement général relatif à la protection des données personnelles (RGPD) entrera en application le 25 mai 2018. Chaque organisation, privée ou publique, devra alors être en mesure de démontrer la conformité des traitements mis en oeuvre sur les données qu'elle détient. A défaut, elle pourrait devoir s'acquitter d'amendes administratives pouvant aller jusqu'à 20 millions d'euros pour un organisme public ou jusqu'à 4 % du chiffre d'affaires de groupe pour une entreprise.

Des prestataires se sont positionnés afin de proposer un accompagnement aux entreprises qui souhaiteraient se faire assister dans ce projet. C'est le cas d'IBM, qui s'est associé à différents partenaires (cabinets d'avocats, d'audit) afin d'offrir une démarche opérationnelle outillée de mise en conformité sur mesure pour les organisations.

"Tout l'enjeu de ce projet transversal est de proposer des compétences multi-expertise, explique Thierry Brun, ambassadeur RGPD au sein d'IBM ; grâce à l'embarquement de nos technologies au sein des méthodologies d'assessment (ensemble de méthodes d'évaluation "en situation" qui utilisent différents moyens et outils) de nos partenaires, l'audit n'est plus simplement déclaratif : nous pouvons enfin regarder et intervenir directement dans le système d'information". 

1. Assessment

Le projet débute par une phase de "GDPR assessment", composée de trois types d'expertise (juridique, conseil et technologique) et qui peut durer entre quelques semaines et plusieurs mois, selon la taille de l'organisation et le niveau d'expertise demandé. C'est elle qui permet de dresser un premier état des lieux de la maturité de la maîtrise, par l'entreprise, de ses données personnelles.

"Cette phase sert par exemple à élaborer les analyses d'écarts, explique Thierry Brun ; ces analyses définiront la trajectoire du projet de mise en conformité". 

C'est également lors de cet assessment que les plans de PIA ("privacy impact assessment") sont élaborés. Aussi appelés "études d'impact sur la vie privée" (EIVP), ils sont rendus obligatoires par l'article 35 du nouveau règlement pour tous les traitements exercés sur les données susceptibles d'engendrer des risques élevés pour les droits et libertés. Enfin, cette phase est complétée par un "assessment technique" destiné à cartographier les données personnelles et les zones à risque au sein du système d'information, et ainsi savoir exactement où et dans quelles proportions se situent les données sensibles.

"Deux technologies IBM sont alors utilisées, poursuit Thierry Brun ; Information Analyzer, pour les données structurées, et StoredID, qui est une technologie unique sur le marché permettant d'analyser les zones non structurées, comme un serveur de messagerie, et de les filtrer". 

Cette première étape est très importante pour l'entreprise, puisqu'en plus de son aspect curratif, elle permet d'envisager les projets à venir de l'entreprise : les notions de "privacy by design" et de "privacy by default" (protection de la vie privée garantie dès la conception d'une technologie ou par défaut), ainsi que la modification éventuelle des processus de collecte des données, devront alors être abordées.

2. Trajectoire

Ce n'est qu'à l'issue de cette première étape que sont décidés les chantiers à mettre en oeuvre dans la phase "trajectoire" du projet. Si ces chantiers varient évidemment d'une organisation à une autre, il peut s'agir d'anonymisation de données, de chiffrement de fichiers, ou même de processus de suppression, de mise en quarantaine ou de déplacement (si les données n'étaient pas localisées au bon endroit). 

La gestion du consentement explicite des clients ou des utilisateurs sur la finalité d'usage de leurs données peut aussi faire partie des opérations à mettre en place. Et ce n'est qu'une fois tous ces chantiers réalisés que sera déployée une protection opérationnelle des données avec, par exemple, la mise à disposition d'outils dédiés garantissant leur sécurité (détection des failles, gestion des incidents, contrôles d'activité des utilisateurs et des administrateurs, etc.).

"Nous ne sommes qu'au tout début de l'incroyable essor que prendra, à terme, la valeur des données personnelles, termine Thierry Brun ; d'ici 2020, leur capitalisation pourrait en effet valoir mille milliards d'euros par an (source : Boston Consulting Group (BCG)). Sans compter les enjeux business et marketing ainsi que les actes malveillants qu'elles pourraient susciter. Les protéger est donc essentiel !"