GDPR : « Ne croyez pas tous les discours alarmistes des fournisseurs IT »
Pour une responsable de NetApp, le GDPR est trop utilisé par les vendeurs pour écouler des "solutions miracles". Elle prévient également que "sécurité" et "confidentialité" ne sont pas la même chose. Contrairement à ce que croient nombre de fournisseurs et d'entreprises.
Les entreprises ne doivent pas se tromper. La conformité à la réglementation générale sur la protection des données (RGPD) ne peut pas s'acheter par le biais d'investissements dans l'IT, dans le conseil ou dans de nouvelles recrues.
C'est en résumé ce qu'a souligné Sheila FitzPatrick, responsable de la protection de la vie privée chez NetApp, lors de la conférence DataCloud Ireland qui s'est tenue à Dublin le 21 septembre.
Dans une intervention à contre-courant et sans langue de bois, elle s'est attachée à séparer la vérité des mensonges liés à la déferlante marketing autour du GDPR.
N'achetez pas n'importe quoi (et ne commencez pas par acheter)
Avant l'entrée en vigueur de règlement le 25 mai 2018, elle constate que tous les vendeurs et fournisseurs prétendent disposer dans leur catalogue d'une expertise interne ou de technologies spécifiques que les clients peuvent acheter pour s'assurer qu'ils respectent bien le RGPD.
« Il y a beaucoup de désinformation. C'est dû en grande partie au fait que les fournisseurs se précipitent pour prendre le train en marche. Ils essaient de faire peur aux entreprises en utilisant l'épouvantail de la conformité, voire leur donnent des renseignements trompeurs, pour les amener acheter de la technologie. La technologie sera certainement importante, mais on ne commence pas par là », prévient-elle.
« Si vous n'achetez que des outils de suivi des données, de data discovery ou des outils de suppression, ils ne vous aideront pas à obtenir la conformité ».
D'après Sheila FitzPatrick, dans cette période de transition, les entreprises doivent faire preuve de prudence et comprendre que, pour de nombreux fournisseurs IT, le GDPR n'est rien d'autre qu'une opportunité de nouveaux revenus.
« Des organisations qui ne savent même pas comment définir la protection de la vie privée proposent déjà de l'expertise GDPR sur leurs sites. Tout à coup, tout le monde est devenu experts de GDPR... et honnêtement, la plupart n'y connaissent rien », vilipende-t-elle.
Pour elle, cet instrumentalisation par la peur rappelle celle du bug de l'an 2000. « Il y a beaucoup de campagnes pour effrayer les entreprises, pour ensuite leur dire :"Il faut acheter nos outils et nos technologies et vous serez conformes"»
Or, le point de départ d'une mise en conformité passerait - avant tout investissement technologique - par le fait d'avoir une base juridique et un programme de protection de la vie privée bien en place.
« Je ne suis pas du tout anti-Cloud (je suis même une grande partisane des Clouds et du fait d'avoir des centres de données dans le pays), mais ceux-là seuls ne vont pas résoudre votre problème de GDPR », martèle-t-elle.
DPO : n'engagez pas le premier venu
Un autre mensonge vient d'une des recommandations (guidelines) finales du GDPR qui stipule que les autorités et les organisations doivent embaucher, nommer ou engager un délégué à la protection des données (DPO).
Selon Sheila FitzPatrick, cette exigence a incité beaucoup de personnes à gonfler artificiellement leurs compétences, alors que très peu d'entre elles possèdent vraiment le profile nécessaire. « Il s'agit d'une expertise très rare et ils [les responsables de la protection des données] sont peu nombreux ».
Là encore, des "bons vendeurs" ont senti l'opportunité. « Il n' y a pas de certification approuvée pour les DPO. Pourtant beaucoup d'entreprises vous disent :"Achetez notre formation - nous vous certifierons" », dénonce Sheila FitzPatrick qui invite à ne pas croire ce type de réclame trompeuse.
Sécurité vs Confidentialité
Sheila FitzPatrick a également battu en brèche une idée fausse très répandue dans les entreprises avec lesquelles elle dialogue quotidiennement. Beaucoup de responsables n'auraient en effet pas compris que la sécurité et la confidentialité des données sont deux choses très différentes.
« La pire chose que j'entends, c'est quand les gens me disent "nous avons une sécurité haut de gamme", et qu'ils en concluent "donc nous sommes bons en matière de protection de la vie privée"». Or il est faux de croire
Il serait également courant d'entendre que, du seul fait que les données sont cryptées, les obligations en matière de confidentialité des données vis-à-vis des clients seraient respectées.
C'est faire fie de l'étude d'impact.
« Pour ceux d'entre vous qui travaillent avec des entreprises américaines, si vous essayez de leur parler de protection de la vie privée, ils vous répondent systématiquement sécurité. "Tout va bien. Nous cryptons vos données ", disent-ils. Mais le simple fait de chiffrer les données ne rendra pas votre vie privée conforme », insiste-t-elle.
RGPD une base pour des lois plus dures plutôt qu'une harmonisation européenne
Dernier point souligné par Sheila FitzPatrick, la conformité au RGPD n'est qu'un début et n'assurera pas la conformité partout en Europe.
En effet, plusieurs pays, dont l'Allemagne et l'Autriche, ont des législations nationales qui sont déjà plus dures et exigeantes que le RGPD.
« Nous constatons dans les 28 États membres - bientôt 27 - qu'il existe une différence fondamentale dans la manière dont sont traitées les données à caractère personnel. Nous allons donc devoir jongler non seulement avec le règlement de l'UE, mais aussi avec les lois nationales », a-t-elle averti.