"RGPD : un an après, êtes-vous en conformité ?" est la question qui intéresse la plupart des entreprises. Elles ont tout faux : la simple mise en conformité ne suffit pas. Les sanctions records infligées à des entreprises comme Google l’ont montré. Comment aller plus loin et garantir une protection globale des données ? Dans ce contexte, la protection des données by design est indispensable et l’automatisation et l’orchestration recommandées.
RGPD : la mise en conformité, oui, mais pas seulement
La promulgation du Règlement général sur la protection des données (RGPD) a fêté ses un an. L’occasion pour la CNIL de tirer un bilan sévère, et surtout d’avertir les entreprises qui ne sont pas encore en conformité : elle ne va plus se montrer aussi tolérante. Dans son rapport d’activité 2018, la Commission nationale de l’informatique et des libertés pointe de grands comptes comme Uber, Optical Center, Dailymotion ou encore Google, sanctionné en début d’année d’une amende de 50 millions d’euros. En Europe, 90 000 incidents ont été répertoriés, 150 amendes publiées dans la presse. Pour rappel, l’amende peut aller jusqu’à 4 % du chiffre d’affaires… La CNIL est donc claire : les entreprises doivent être plus vigilantes en cette seconde année d’application du texte les responsabilisant dans la collecte et le traitement des données à caractère personnel des résidents de l’Union Européenne.
Face à la réglementation, la dépense moyenne constatée est de 3 millions de dollars sur les programmes RGPD (IAPP-EY Annual Privacy Governance Report 2018), selon deux approches stratégiques. Les entreprises avec de faibles budgets ont géré le RGPD comme un exercice de conformité, quand les entreprises bénéficiant de moyens plus conséquents ont adopté une démarche de protection systématique des données privées. Mais finalement, peu d’entreprises ont réellement compris les enjeux autour de la protection des données personnelles : elles sont trop orientées sur la conformité manuelle et l’achat de solutions techniques pour montrer patte blanche et ne pas se voir sanctionnées.
La mise en conformité n’est pourtant pas l’objectif initial de RGPD. Il est nécessaire pour les entreprises d’entrer dans une véritable stratégie de protection des données personnelles, selon un modèle complet de protection qui s’intègre de bout en bout dans les processus business.
Une nécessité : revenir à la base de la protection des données
Face aux enjeux du RGPD, les “rustines” ne suffisent pas. Certes, le Big data pose des défis colossaux aux entreprises, qui vont souvent préférer détruire la donnée pour s’épargner la gestion de données personnelles, qu’elles pourraient utiliser et valoriser commercialement. Face à la peur de la sanction, les procédés techniques d’anonymisation et de “pseudonymisation” ne manquent pas : pour autant, ces actions ne peuvent être que momentanées, et ne constituent en rien une option pérenne.
Pour entrer dans un cercle vertueux d’amélioration, pas de secret : les organisations doivent revenir à la base du RGPD et s’intégrer dans une démarche de “protection by design”. La solution : l’automatisation et l’orchestration de la gestion des données selon une protection des données directement intégrée dans le système autour des usages. Et donc de l’humain : les utilisateurs sont la clé.
Assurer une maîtrise des données de bout en bout
Si l’automatisation est un moyen, l’éducation et la formation sont néanmoins centrales. Mieux comprendre les usages, c’est nécessairement assurer une meilleure protection au niveau global. Car si on parle constamment de données personnelles via la mise en application du RGPD, l’ensemble des données des entreprises comme des utilisateurs sont finalement concernées : patrimoine informationnel, données de ressources humaines, informations financières… Il faut donc bénéficier de leviers pertinents et efficaces pour valoriser les systèmes de protection de données globales intégrées.
Finalement, il faut encore et toujours réfléchir en termes de risques. Les entreprises qui se contentent de la conformité font toujours face à une menace existentielle : elles prennent finalement plus de risques que les autres. La sanction record infligée à Google l’a montré : le flou et le manque de clarté ne sont pas admis. Plutôt que de se laisser submerger par la “shadow data”, ces données qu’elles ne maîtrisent pas, les entreprises doivent donc avant tout comprendre les usages. Elles pourront ainsi se concentrer sur les écarts propres au traitement de la donnée et détecter les comportements utilisateurs anormaux, voire malveillants.
L’objectif : assurer la maîtrise des données de bout en bout, selon une capacité à voir, à modéliser et à condenser. Et pas uniquement être en conformité, donc. Car au-delà de la contrainte, l’on peut voir une véritable valeur ajoutée proposée par le RGPD : en suivant la voie de la gestion globale du risque numérique via l’automatisation, la connaissance client et l’éducation, il y a fort à parier que les entreprises gagneront en capacité de différenciation stratégique et en valeur ajoutée sur le long terme.