Octavus - Fotolia
GDPR : d’abord une question de processus et d’organisation
La mise en conformité avec le nouveau règlement européen de protection des données s’avère avoir une dimension organisationnelle forte. Des processus nouveaux sont à mettre en place. Et d’autres à adapter.
Certains outils, certaines briques technologiques, s’avèrent indispensables à la conformité avec la nouvelle règlementation européenne de protection des données (RGPD ou, GDPR, pour General Data Protection Regulation). Mais celle-ci est d’abord et avant tout question de processus et d’organisation.
Raphael Brun, responsable de département gestion du risque et sécurité de l’information chez Wavestone, souligne ainsi que le GDPR exige la mise en place de nombreux processus, comme ceux d’exercice des droits, qu’il s’agisse de l’accès aux données personnelles, leur modification, ou encore leur suppression. Et là, « il est nécessaire de concevoir et formaliser les procédures permettant de les réaliser ». Cette formalisation passe notamment par des échanges au sein de l’organisation « pour récupérer une information souvent disséminée dans de nombreuses directions », mais également de travailler avec la DSI pour étudier les questions d’extraction, les formats, etc.
Et c’est d’autant plus important qu’il convient de s’assurer que les processus d’exercice de droits peuvent s’effectuer avec un impact fonctionnel acceptable. Raphael Brun fait par exemple référence au risque de supprimer des données personnelles qui s’avèreraient essentielles à l’exécution d’un contrat.
Il souligne également que si le GDPR entraîne aujourd’hui « d’importants efforts pour établir le registre » exigé, il est moins « explicite » sur les questions de mise à jour et d’actualisation. Et pourtant, il faudra bien faire en sorte qu’il soit encore à jour dans trois ou cinq ans. Plus généralement, des processus seront nécessaires pour « vérifier et prouver dans le temps que les solutions mises en place fonctionnent ».
De son côté, Jean-Marc Grémy, président du Club de la sécurité de l’information français (Clusif), évoquant les travaux du groupe de travail du Clusif dédié à l’étude des possibles synergies entre RSSI et responsable de la protection des données, le fameux DPO, renvoie bien sûr aux procédures de gestion des droits et des réclamations, des consentements, mais également à celles de gestion des incidents et des notification.
Vincent Laurens, vice-président de Sogeti Luxembourg et directeur de sa practice cybersécurité, évoque des processus organisant un triptyque entre DPO, RSSI et Pdg ou framework de conformité, devant « créer un cercle vertueux entre ces fonctions ». Cela implique ainsi un processus d’audit interne de contrôle de la conformité, un autre de classification en continu des données, mais également d’adapter le processus d’évaluation et de gestion des risques « pour tenir compte du chiffrement et de la pseudo-anonymisation des données ». Et c’est sans compte avec un processus d’assurance RGDP avec les prestataires - là, le Clusif suggère notamment des clauses types pour les contrats de sous-traitance.
Raphael Brun estime que l’essentiel étant de se concentrer d’abord sur les processus, « il est possible là de démarrer rapidement ». Et cela semble plus qu’urgent. Car selon Vincent Laurens, « c’est moins sur les processus qu’il y aura beaucoup de travail, et plus un niveau en dessous, sur les politiques. Parce qu’elles vont se démultiplier ». Plus loin, à l’horizon 2018, Raphael Brun conseille la conduite d’un exercice de crise, « pour mobiliser tout le monde » dans l’organisation, et « se donner les moyens de communiquer positivement » à l’interne.