alphaspirit - Fotolia
RGPD : des chantiers lourds loin d’être aboutis
Après une première année d’accompagnement de plusieurs grands groupes, Wavestone dresse un premier bilan des programmes RGPD, en demi-teinte.
Les projets de mise en conformité avec le nouveau règlement général de protection des données (RGPD, ou GDPR en anglais) n’ont rien d’anodin. Le compte-rendu d’étape établi par Wavestone à un an de l’application du règlement, sur la base de vingt clients grands comptes et de près de 40 donneurs d’ordres, le démontre largement.
Le gros des chantiers concerne sans surprise l’exercice des droits tels que l’accès, la suppression ou la portabilité des données personnelles. Pour Wavestone, cela représente 20 % des budgets en raison des évolutions requises au sein des systèmes d’information. C’est même l’un des « points durs » : « la situation est souvent complexe du fait de choix historiques » comme l’utilisation de données personnelles « comme identifiant unique dans les systèmes de bases de données, champs obligatoires techniques non indispensables d’un point de vue métier ». Là, il faudrait compter « généralement de 40 000 € à 200 000 € par application » patrimoniale. Accessoirement, « la contrainte de suppression est parfois quasi impossible à mettre en œuvre au regard des impacts non maîtrisés sur le SI »… et de la difficulté à identifier « l’ensemble des données concernées ». Les coûts IT ne s’arrêtent toutefois pas là : il faut aussi compter avec les sujets relatifs au contrôle des droits des utilisateurs et à la gestion des habilitations.
Le second chantier majeur touche aujourd’hui à la mise en œuvre de concept de « privacy by design », à 15 % des budgets. Il est suivi de l’encadrement des transferts dans et hors de l’union européenne (10 %), qui concerne moins là l’IT que les métiers et le juridique, ainsi que la mise en œuvre de l’information des personnes et la gestion du consentement (10 %).
Viennent ensuite, à 5 % chacun, la définition des politiques, directives, méthodologies et outils de conformité autour du DPO, le responsable de la confidentialité des données, la mise en œuvre des contrôles et des audits de conformité, la construction du registre des traitements des données, l’amélioration des ressources de sécurité existantes, et la formation et la sensibilisation des acteurs concernés par le RGPD.
Aujourd’hui, les entreprises apparaissent confrontées à la difficulté d’identifier des tiers experts du sujet et capables de les accompagner, mais aussi à celle d’organiser l’équipe DPO. Selon Wavestone, la charge de travail associée à la mise en conformité près à 15 % sur le pilotage, à 40 % sur l’IT, à 25 % sur les métiers, et à 15 % sur le DPO et à 5 % sur le juridique. En fait, « les travaux d’analyse du règlement qui ont occupé les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacé par des chantiers plus opérationnels où la dimension juridique est plus faible ».
En moyenne, selon Raphaël Brun, responsable de département gestion du risque et sécurité de l’information chez Wavestone, les programmes RGPD « se chiffrent aujourd’hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisées sur le big data ou le profiling ; jusqu’à des fourchettes entre 20 à 50 millions d’euros lorsque que l’entreprise à plusieurs métiers et de très nombreuses entités/filiales ». Mais dans certains cas, la facture atteint « plusieurs centaines de millions d’euros » pour les seuls « premiers engagements. Il faut dire que les programmes sont complexes et peuvent mobiliser « des centaines d’acteurs ». En consolidant, Wavestone estime à 3 ou 4 équivalents temps plein pour les plus petits environnements, et jusqu’à « plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible ».
Selon le cabinet, la charge est aujourd’hui telle que les entreprises cherchent à la lisser dans le temps. Et que le mois de mai 2018 apparaît moins comme « une échéance de mise en conformité » que comme « la fin de la première étape de mise en conformité ».
Pas question donc, à cette date, d’une conformité à 100 % généralisée, « mais les actions majeures et les risques les plus forts seront certainement couverts ». Une récente étude de Sophos plaide en ce sens : selon celle-ci, 42 % des entreprises européennes pensent qu’elles seront prêtes pour mai 2018.