RSM France
Languages

Languages

RGPD, trop tard pour bien faire ?

La vague de cyberattaques qui a récemment affecté des milliers d'entreprises et d'organisations à travers le monde, a réveillé les consciences sur l'échéance prochaine du Règlement sur la Protection des Données Personnelles, ou RGPD. II faut dire qu'en plein Brexit, cette mesure européenne devra être effective  au mois de mai 2018. Bon nombre d'entreprises en sont encore à découvrir les contours du texte. Jean-Philippe Isemann, Associé RSM en charge de l'activité IT & Risk Advisory dresse un bilan d'étape, plutôt rassurant, sur cette mesure "porteuse d'opportunités pour les entreprises".

En résumé

 

L'interview complète 

A un an de l'échéance de mise en oeuvre du règlement général de protection de données (RGPD), où en sont, selon vous, les entreprises françaises ?

Jean-Philippe Isemann : Il est difficile de déterminer une tendance générale. Les grandes sociétés ayant des enjeux internationaux ou une exposition très forte des données personnelles (B2C par exemple) ont pour la plupart déjà pris le sujet en main. A vrai dire, elles l'avaient souvent déjà bien anticipé pour d'autres raisons réglementaires ou de protection des données. Ce n'est pas un sujet neuf. Ce qui est nouveau, c'est plutôt la sévérité réglementaire qui pèse sur ces dernières si elles ne répondent pas aux obligations. Les entreprises qui ne sont pas encore préparées devront en revanche faire face à des enjeux particulièrement lourds. Les grandes entreprises sont donc plutôt dans une actualisation, certes importante, voire une revue de ce qu'elles avaient déjà fait jusqu'à maintenant. Elles revoient leurs processus pour pouvoir attester et rendre opposables les travaux réalisés vis-à-vis d'une direction de la conformité ou de l'audit interne. Le couperet de mai 2018 les contraint à démontrer en priorité qu'elles sont en conformité ou - a minima - dans une dynamique de conformité. Evidemment, comme pour tout sujet réglementaire, il ne s'agit pas uniquement d'être dans une approche de conformité pour montrer sa bonne foi. Il faut également envisager le sujet de manière dynamique, tout au long de la vie de l’entreprise.

Un autre groupe est plutôt constitué des entreprises de taille moyenne voire petites. Ou qui avaient une exposition pas immédiatement perçue par les Comex. Dans ce cas, le sujet est pris de manière extrêmement sérieuse même si c'est parfois un peu tardif. Là encore on identifie deux groupes : les entreprises qui souhaitent être en conformité sans y voir un enjeu trop sérieux - elles estiment qu'il faut gérer ce risque et définir comment y répondre-, et celles qui perçoivent une opportunité, soit de bien cartographier - voire d'optimiser - les processus, soit de renforcer la sécurité.

La mise en conformité réglementaire permettra au management de mieux comprendre les zones d'exposition au risque

Cette réglementation permettra-t-elle à l’entreprise de se prémunir des attaques de type « Ransomware » ?

Le ransomware est une forme de terrorisme logiciel focalisé sur l’accès aux données. Le RGPD soulève beaucoup de questions chez les dirigeants et un peu de confusion : est-ce que le fait de répondre à cette réglementation va également être une nouvelle opportunité de sécuriser l'entreprise face aux nombreuses attaques numériques ? Ce qui est certain, c'est que la mise en conformité réglementaire permettra au management de mieux connaître et comprendre les zones d'exposition au risque de leur entreprise. Sécuriser apparaît encore comme une préoccupation réservée à ceux qui ont un niveau de maturité supérieur sur le sujet.

A côté de ces catégories de sociétés, les PME ne sont-elles pas encore à des lieues d'imaginer ce que représente le RGPD ?

Il est vrai que ces plus petites entreprises constituent un autre groupe. Mais leur comportement n'est pas très éloigné du deuxième groupe, si ce n'est qu'elles portent davantage leur attention sur les solutions. Dans les plus grandes structures, l’approche s’appuiera sur des audits, un mode projet, une gouvernance du management de la conformité et des outils. Dans les petites entreprises la tendance sera plutôt de se tourner vers un outil sur étagère ou des solutions qui permettent de cartographier leurs données pour les aider à rentrer dans le moule du RGPD. C'est un mode projet plus standardisé en somme.

Mais en réalité le degré de maturité dépend surtout de l’activité des entreprises. Il existe des sociétés du CAC 40 qui se sont lancées tardivement dans la démarche de mise en conformité parce que leurs activités ne les exposent que très peu à cette réglementation. D'autres, plus petites, sont beaucoup plus en avance, simplement parce que leurs activités sont très concernées par la mesure.

Le sujet ne dépend pas de solutions ou de logiciels mais de la connaissance de l'entreprise

Évidemment certains éditeurs et intégrateurs trouvent dans le RGPD une belle opportunité. Pour autant le sujet ne dépend pas d'une solution technique mais plutôt d'une bonne connaissance de son entreprise : ce qu’attendent les instances de contrôle - en l'occurrence la CNIL - c'est la preuve qu'on comprend, qu'on connait et qu'on est légitime.

Pour ceux qui s'y prennent aujourd'hui, n'est-ce pas déjà un peu tard pour être au rendez-vous de mai 2018 ?

Il n'est jamais trop tard pour bien faire. Qu'il s'agisse du RGPD ou d'autres réglementations - par exemple Sapin II -, nous savons par habitude qu'il y a une forme de "tolérance" et, qu'en tout cas, les entreprises ne seront pas toutes prêtes à 100% à l'échéance. Nous ne recommandons pas de jouer avec le feu et de tout faire pour respecter l’échéance car nous ne savons pas quelle sera la position de l’autorité de contrôle. Néanmoins, plusieurs analyses le confirment et nos échanges avec nos clients démontrent qu'il s'agit plutôt de prioriser que de tout faire. Mettre l’ensemble de l’activité en conformité à 100% est envisageable dans bien des cas mais en engageant des efforts parfois considérables. Encore une fois, il faut démontrer un effort et une road map sur les principaux processus et les données les plus exposées, et montrer qu'on a pris une décision en tant que manager d'aller jusqu'au bout de la démarche

Cela peut être fait de manière affirmée mais aussi pragmatique. Il s'agit donc de gérer les risques en identifiant sur quelles données ou quels processus très critiques les tiers peuvent venir chercher l’entreprise. D'ailleurs une approche consiste à travailler en amont sur des données prioritaires  domaine par domaine (CRM, bases clients, vidéo surveillance, comportement en supermarché...).

Quel est le délai moyen pour ce genre de chantier ?

La durée d'un tel projet peut difficilement s'envisager sur moins d'un an, même s'il est assez difficile de définir une durée moyenne.  C'est plus une question d'organisation et de remédiation. Encore une fois il n'est pas réaliste d'espérer atterrir à 100% en mai 2018 sans un planning et des moyens dédiés. Là encore, le standard de temps est très lié à l'activité. Certaines entreprises sont très focalisées sur les données des tiers externes, d'autres sur leurs données personnelles internes. Il arrive aussi que certaines entreprises s'avèrent beaucoup plus exposées qu'elles ne l’imaginaient.

57% des entreprises ne disposent pas d'un plan complet de préparation au RGPD, trois sur quatre se savent hors délais

De nombreuses études qui démontrent que beaucoup d'entreprises sont encore peu avancées dans le processus : 67% n'en sont qu'à la phase de veille, seules 23% ont désigné un responsable ? Constatez-vous ce retard ?

Les lectures peuvent être différentes. Beaucoup d'entreprises finalisent leur phase d'audit et seront donc en mesure d’aller très vite sur la suite du processus. Elles ne sont pas encore considérées en conformité - donc encore en phase de veille - mais, dans les faits, elles sont prêtes à lancer efficacement la démarche. Nous citons souvent l'étude de Vanson Bourne de mai dernier qui estime que 57% des entreprises françaises ne disposent pas d'un plan complet de préparation au RGPD et que 75% estiment ne pas être en mesure de respecter le délai de mise en conformité. Encore une fois, rares sont celles qui seront prêtes à 100% en 2018. Il faut en revanche qu'elles aient initié la démarche et qu'elles soient en mesure de démontrer leur volontarisme.

Ce règlement étant européen, le récent Brexit a-t-il un impact sur le sujet ?

Les équipes de RSM en Angleterre sont très actives sur le RGPD. Mais les anglais sortant de l’Europe, leur exposition devient différente, puisqu'ils doivent répondre à une réglementation qui petit à petit devient "étrangère". Leur problématique s’apparente désormais, en quelque sorte, à celle des américains. Traditionnellement ces derniers ont l'habitude de produire des réglementations qui s'adressent aux autres. Dans le cas de la RGPD, non seulement la réglementation vient de l'étranger, mais elle représente aussi un risque économique très élevé qui les contraint à prendre les devants. Les anglais, qui étaient bien intégrés au processus européen et à la réflexion, se retrouvent aujourd'hui dans une contrainte venue de "l'étranger". Sans compter qu'il faudra assurer une compatibilité avec des réglementations locales. Enfin il faudra aussi statuer sur les données étrangères hébergées en Angleterre et les données anglaises hébergées en union européenne ou concernant des tiers européens.

De nouvelles restrictions pèsent sur les données des tiers hébergées en dehors de l'Union Européenne, donc en Angleterre.

Il existe d’ailleurs un point de flou assez général sur ce qui concerne l'hébergement. En théorie on ne peut pas héberger des données de tiers aux USA - et donc en Angleterre, puisqu'elle ne fait plus partie de l'UE. Aujourd'hui de très nombreuses d'entreprises ont des données hébergées aux USA. Un bras de fer est donc à attendre sur ce sujet qui s'étend aujourd'hui donc au Royaume-Uni. C'est un ingrédient supplémentaire dans la complexité du Brexit.

Quels sont les organes de l'entreprise les plus concernés par la mesure ?

Il y a d'un côté les parties prenantes, c'est à dire les organes qui doivent agir pour la mise en conformité et ceux qui possèdent de la donnée. Dans les projets nos interlocuteurs sont généralement la DSI, la RSSI (responsable de la sécurité du système d'information, souvent assimilés par erreur à la DSI), le service juridique. Auxquels s'ajoutent les structures transversales comme la Conformité ou l'Audit interne. Tout cela généralement sous le haut patronage direct du Comex.

Côté "data owners" il y a le marketing et la communication qui sont les principaux utilisateurs des données de beaucoup de tiers. Ils sont de plus en plus souvent en charge du management de la chaîne digitale, autrefois sous la responsabilité de la DSI. Le métier est également très concerné par le projet RGDP notamment sur la donnée "client". Pour la donnée "fournisseur", on retrouvera les directions de la communication. Mais il faudra aussi bien cartographier les données liées aux fournisseurs ou aux comportements fournisseurs pour identifier s'il y a des données personnelles.
En interne la DRH est évidemment concernée. Elle devra bien maîtriser l'ensemble de la chaîne. Lorsque nous établissons une cartographie des processus, nous cherchons à identifier domaine par domaine tout ce qui peut être impacté ou concerné par les données personnelles. Si on utilise un CRM, des magasins avec caméras, des beacons... on identifie tout ce qui peut contenir des données personnelles

Le RGPD est un vrai levier de rentabilité : maitriser ses données permet d'identifier des opportunités 

Compte tenu de la diversité de ces canaux, il paraît assez irréaliste d'espérer recueillir l'accord des visiteurs concernant l'utilisation de leurs données personnelles. Comment pourra-t-on y parvenir ?

Si vous êtes trackés pour des raisons commerciales ou marketing, il faudra nécessairement que vous ayez donné votre accord. La loi prévoit clairement ces points en posant toujours la question de savoir si l'entreprise détient légitimement une information. S'il s'agit de vidéos conçues pour la sécurité, l'enregistrement est légitime. S'il s'agit de tracker un parcours, un accord est nécessaire. Cela devient compliqué lorsque l'entreprise détient une donnée de manière collatérale ou qu'elle enrichit une information par la fusion de plusieurs données.

Compte tenu de l'immensité de la tâche qui incombera à la CNIL, y a-t-il un risque réel de contrôle et qui sont les principaux visés ?

L'entreprise doit prendre au sérieux le risque de contrôle. La sanction est clairement indiquée. Mais le risque ne provient pas que du contrôle. Il peut également venir d'un risque de piratage ou d'une plainte d'un tiers qui identifie une utilisation sans son accord de données le concernant.

Sur le terrain, ressentez-vous une hostilité des DSI à l’égard de ce règlement qui vient s’ajouter à beaucoup d’autres contraintes et qui se traduit par un investissement significatif ?

Il ne faut pas voir la réglementation comme une contrainte, mais plutôt comme une opportunité. Et il est important de prendre cette exigence de manière dynamique et pas uniquement comme une cure à mettre en oeuvre. Les projets de transformation doivent être l'occasion de se poser les questions tant de conformité que de sécurité des données. En clair il ne faut pas limiter la réflexion aux tuyaux mais à ce qu'il y a dedans. Au bout du compte, le coût sera bien moindre. En embarquant cette manière de penser sur les données personnelles, l'intégration amène à transformer l'entreprise de manière agile dans sa façon de penser et de manager.

Chez RSM nous avons la conviction forte que c'est un levier de rentabilité. Nous avons toujours considéré que la gestion des risques était le symétrique du management par opportunité. Une entreprise qui maîtrise son activité, qui connaît ses données, dont les managers cherchent à savoir pourquoi et comment nous gérons ces données, pourra identifier de nouvelles opportunités. C'est une évidence : en y voyant plus clair, on peut découvrir de nouveaux leviers.

 

Propos recueillis par Charlotte Bosc

 

Auteurs