GDPR : par-delà la conformité de façade

par | Mai 24, 2019 | Data Intelligence | 0 commentaires

La conformité n’est pas tout. Trop de projets GDPR ont été réduits au volet légal. Quid de la sécurité ? Quid de la gouvernance des données ? Il y a encore à faire.

«Je constate que le GDPR a été, avant tout, l’affaire du département légal : on a privilégié la conformité à la sécurité et à la gouvernance des données, avance Kristof Gobbens, Practice Leader Data Governance, Micropole. Tout s’est passé comme si la date du 25 mai 2018 était la ‘dead-line’ de la mise en conformité, alors qu’elle marque en réalité le début d’un nouvel agenda digital. Le GDPR n’est pas aboutissement, mais un cheminement !»

Peu d’organisations ont pris conscience que cette conformité se doit être dynamique, ce qui signifie la nécessité de réviser régulièrement les dispositions en place afin de s’assurer de leur pertinence au fil du temps. Certains y verront une contrainte de plus, une nouvelle difficulté à surmonter, alors qu’il s’agit d’une force : c’est un moyen de démontrer que l’on est performant et efficace !

«Loin de moi l’idée de critiquer les entreprises qui ont travaillé dur pour assurer leur conformité, poursuit Kristof Gobbens. Pour beaucoup, je serais tenté de qualifier leur démarche de ‘conformité de façade’. Elles ne sont pas rares les structures qui se sont limitées à mettre à jour leur politique de confidentialité et à créer une adresse-mail DPO générique, en se disant qu’elles n’investiront plus qu’une fois les premières amendes significatives tombées. D’autres, un peu plus consciencieuses, ont bien lancé la plupart des chantiers attendus, mais ont opté pour des mesures à court-terme ou de pure cosmétique, sans revoir en profondeur leur organisation, leurs process, leurs méthodes, et donc sans une approche différenciatrice pour leur business que pourrait leur apporter la gestion des données personnelles.»

De grandes disparités

Comme souvent lorsqu’il s’agit de mise en conformité réglementaire, les organisations se sont efforcées de viser un niveau de conformité a minima de et ce à moindre coût… Comment leur en vouloir alors que le mille-feuilles réglementaire ne cesse de s’épaissir année après année ? Mais avec le GDPR, l’approche doit être différente. Ce texte et le nouveau paradigme qu’il instaure doivent amener les entreprises à repenser de façon plus large leur stratégie, leurs services et leur culture du traitement des données personnelles.

«Derrière ce satisfecit, je n’observe pas moins de grandes disparités entre les entreprises; pour la plupart, elles n’ont pas encore pris à bras le corps l’enjeu de la gouvernance des données, constate encore Kristof Gobbens. Or, l’enjeu est important.»

Plus loin que la mise en conformité

Avant le GDPR, disons-le franchement, très peu d’entreprises avaient mis sur pied une véritable gouvernance autour de la protection des données personnelles. Depuis mai 2018, la question du stockage des données n’a jamais été aussi sensible. Surtout si l’entreprise a recours à du cloud public. La localisation des données doit être maîtrisée. Quid, par exemple, des données stockées en Grande-Bretagne. A l’heure du Brexit, tout stockage sur son sol ou transfert entre l’Union européenne et son territoire est donc par défaut non-conforme. Autre sujet d’actualité, l’usage de l’intelligence artificielle. Le GDPR impose une transparence forte des algorithmes utilisés, ce qui suppose de connaitre les raisonnements exploités… On en est loin !

La question du GDPR reste entière. Pour le spécialiste de Micropole, il s’agit de voir plus loin que la mise en conformité, ce qui nécessite la mise en place d’une stratégie claire, complète et cohérente. La feuille de route de cette stratégie devra valider trois étapes clés : l’évaluation de la conformité et la définition du niveau d’ambition; la mise en œuvre des grands principes GDPR couplée à une transformation digitale ambitieuse; la pérennisation capitalistique. «J’y vois une opportunité de dessiner une ligne directrice plus propre, avec des données sûres et transparentes qui aideront à créer de la confiance, aussi bien auprès des consommateurs, que des collaborateurs, des cocontractants et des prospects.»

 

Conscientiser, étape majeure de tout projet GDPR

«Quotidiennement, vous brassez quantité de données, à titre privé et plus encore à titre professionnel. Avez-vous pleinement conscience de leur valeur pour vous mais aussi pour l’entreprise qui vous occupe ? Comment, donc, prenez-vous en charge la question de la protection de la vie privée ?» DPO pour quatre ans à l’Aéroport de Liège, Didier Peters, Data Information Advisor, Micropole, a débuté son activité en janvier 2019 par un programme d’information et de conscientisation sur l’usage des données et de leur conséquence en matière de protection de la vie privée. Plus de deux cents collaborateurs, issus des différentes catégories de personnel de l’aéroport, y ont participé.

L’Aéroport de Liège -le huitième plus grand aéroport européen pour le transport aérien des marchandises- veut être un modèle en matière de protection des données.

«Pas de différences entre le personnel employé et le personnel ouvrier -même si les contenus des formations étaient différents. La motivation est la même, tout un chacun veut savoir, comprendre ce que suppose un engagement tel que le consentement. Si l’utilisateur -vous ou moi- donne son consentement à partager ses données afin de recevoir des offres personnalisées, voire à ce que ses données puissent être communiquées à des partenaires, on peut -il faut le savoir- partager ces données, faire du profiling, de la segmentation, voire même monétiser ces données»

L’Aéroport de Liège -le huitième plus grand aéroport européen pour le transport aérien des marchandises- veut être un modèle en matière de protection des données. Et si l’actualité des réseaux sociaux a donné du grain à moudre au cours des discussions, on a rapidement étendu le sujet, par exemple à propos des appels téléphoniques intempestifs, constate Didier Peters.

Deuxième étape de la mission, l’implémentation d’une plateforme en mode SaaS pour conduire efficacement le projet de mise en conformité de l’entreprise : registre des traitements, cartographie des applications, annuaire des parties prenantes, gestion des demandes de rectification, notifications et alertes, gestion de crise…

​A ce niveau, il a été nécessaire de mobiliser l’ensemble des parties prenantes (responsables de traitement, sous-traitants, collaborateurs, prestataires, etc.) dans le projet. Chaque partie prenante participe à son niveau à la mise en conformité globale de l’organisation. Les sous-traitants par exemple, pourront se connecter directement sur la plateforme, pour recueillir les instructions et nous transmettre leurs rapports de traitement.

Jusqu’ici, Didier Peters a comptabilisé une trentaine d’analyses d’impact de la protection des données (AIPD), cette procédure destinée à évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. «C’est un travail important. Chaque AIPD doit contenir des informations précises telles qu’une description détaillée de l’activité de traitement visée, un examen de la nécessité et de la proportionnalité du traitement ainsi qu’une analyse des risques pour les droits et libertés des personnes concernées. Il est également fait référence à des critères plus spécifiques : profilage, évaluations et prévisions basés sur les données traitées, prise de décision automatisée, contrôle systématique d’individus, traitement de données à caractère personnel à grande échelle et combinaison d’ensembles de données»

C’est donc un projet continu. En parallèle, en tant que DPO, Didier Peters est de plus en plus régulièrement consulté pour diverses questions. Ce qui le conforte dans sa position. «Ainsi, on vient désormais me consulter au sujet de la rédaction des appels d’offres. Les conditions sont-elles respectées ? Quid, en particulier, de la relation entre les responsables du traitement et les sous-traitants, auxquels est éventuellement délégué le traitement des données, dans le cadre d’un marché public ? Le GDPR, il faut le savoir, instaure un régime particulier pour encadrer les relations entre eux, en leur imposant toute une série d’obligations mais aussi en prévoyant des régimes de responsabilité spécifiques avec, à la clé, des sanctions.»

La prise de conscience est acquise. En soi, c’est déjà une victoire. Le reste, estime encore Didier Peters, c’est de la consolidation et de la standardisation des données de référence, soit l’examen des processus transverses et la question de la propriété des données. «Rappelez-vous que les parties prenantes au projet et les influenceurs sont la clé du succès ou de l’échec de votre initiative ! Par définition, la nature humaine résiste au changement, même s’il est positif. Si la communication est importante, l’écoute est vitale pour découvrir, comprendre et résoudre tous les problèmes cachés sous les préoccupations énoncées. Une stratégie d’engagement bien conçue peut faire beaucoup pour gérer le changement et promouvoir la transparence…»

 

 

 

 

 

Summary
GDPR : par-delà la conformité de façade
Article Name
GDPR : par-delà la conformité de façade
Description
La conformité n'est pas tout. Trop de projets GDPR ont été réduits au volet légal. Quid de la sécurité ? Quid de la gouvernance des données ? Il y a encore à faire.
Author
Publisher Name
Solutions Magazine
Publisher Logo