Les DSI sont-ils prêt pour prendre en compte l’impact sur leur entreprise du règlement européen sur les données à caractère personnel ? Leur stratégie cloud est-elle compatible ? Attendu depuis quatre ans, le règlement a été voté jeudi 14 avril. Il unifie le droit européen pour tous les États membres. Les DSI ont 2 ans avant son entrée en application mais certaines directives sont reprises dans le projet de loi numérique Lemaire.
Autrement dit, le sujet pourrait arriver sur la table des DSI, des RSSI, des Correspondants Informatique et Liberté (CIL) et des DPO (Data Protection Officer, une responsabilité amenée à se diffuser dans les entreprises) dès l’automne 2016. Le sujet est d’autant plus pressant que les DSI ne sont a priori pas nombreux à s’être préparé à l’avance. En octobre 2014, ils étaient encore 81%* à ne pas avoir entendu parler du règlement. Le temps va être très court : quelles sont les priorités ?
1) Prendre la mesure de ses responsabilités
« Pour les entreprises, le règlement correspond à moins de formalités mais plus de responsabilités » résume-t-on à la CNIL. Y compris pour les sous-traitants, dont le système d’information et les outils sont souvent amenés à traiter des données pour d’autres. Des données à caractère personnel ? Une très grande majorité des données utilisées par les entreprises dans leur activité peuvent être considérés ainsi, souligne la commission.
Les sanctions déjà en vigueur dans le droit existant, notamment pénal, reste d’actualités. Le règlement introduit des amendes pouvant atteindre 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires mondial d’une entreprise, en cas d’atteinte à la sécurité des données. Le double en cas de violation des mesures à mettre en place pour protéger les données. Plus rien à voir avec la menace agité par la CNIL d’une sanction d’un montant de 150 000 euros…
Le DSI n’est pas le seul concerné, mais il va notamment devoir mettre en musique dans un système d’information de plus en plus complexe et hybride :
- Le consentement « clair » des individus lors du recueil des données
- Le traitement efficace du « droit à l’oubli »
- La mise à disposition et le transfert des données à caractère personnel d’un individu qui le demande
- La sécurité des données (pseudonymisation, chiffrement… mais aussi disponibilité du système de traitement de données et mesures d’urgences, y compris dans le cas complexe de SI hybride cloud)
2) Collaborer avec le nouvel acteur clé
Le Data Protection Officer va devenir une fonction vitale de l’entreprise. Le règlement le rend obligatoire pour les administrations et les entreprises qui manipulent « des volumes significatifs de données sensibles ou du suivi du comportement de nombreux utilisateurs ». La définition large englobe beaucoup de réalités différentes. De nombreuses grandes entreprises avaient déjà des CIL, qui leur permettaient d’être labellisés par la CNIL, d’autres avaient des responsabilités officieuses équivalentes. Le vivier des futurs DPO est là, mais il ne sera sans doute pas suffisant et d’autres acteurs vont devoir émerger dans les plus grandes structures. Le DSI ne va pas pouvoir se passer d’une grande proximité avec eux. La data et le Cloud sont centraux au SI et à l’activité de toutes les entreprises : la collaboration DSI-DPO sera donc une des clés de voute de l’évolution du business.
Cette proximité sera particulièrement importante pour :
- Sensibiliser l’ensemble de l’entreprise aux nouveaux enjeux
- Rénover la gouvernance sur la data, du directeur marketing (données clients) jusqu’au DRH (données des collaborateurs)
- Assurer la qualité de l’autocontrôle, des processus de preuve et « d’accountability » et mettre en place les outils qui vont absolument devoir améliorer l’audit interne sur la question des données.
3) Se former et former ses équipes
Cette montée en puissance attendue du DSI sur les sujets de la data et l’impact réglementaire peut nécessiter des formations ad-hoc. Mieux, les nouveaux DPO pourraient venir directement des équipes IT, en complément des CIL.
« C’est tout à fait possible, y compris pour des personnes comme les RSSI. J’ai suivi une formation diplômante en droit et des formations complémentaires sur les droits des données dans les différents pays où est présent mon groupe. Pourtant j’ai un background de 20 années d’informaticien » témoigne un acteur IT d’un groupe de distribution, devenu DPO en anticipation du règlement.
La force des acteurs de la DSI à mettre en valeur ? La connaissance primordiale du SI, les contacts avec les nombreux acteurs clés – techniques ou métiers – dans l’entreprise, qui se retrouvent impactés par le règlement, et l’avance qu’ils ont sur des sujets comme le Cloud, l’IoT et le Big Data. Ceux-ci sont par nature au centre des enjeux du règlement sur les données personnelles.
4) Définir et intégrer le « Privacy by Design »
Last but not least, le règlement pousse la philosophie du « Privacy by Design », c’est-à-dire de prendre en compte dès la conception des projets, des produits et des services, les impacts et mesures sur les données personnelles. L’interprétation de ce point est encore assez libre, car les législateurs et experts ne se sont pas mis d’accord sur une définition unique. Les méthodologies existantes correspondent donc peu ou pas à cet objectif. Fort de sa nouvelle proximité avec le DPO, le DSI peut avoir un rôle conséquent dans la définition de cet objectif et surtout, son industrialisation sur l’ensemble des projets. Plus son engagement en amont sera fort, plus il se facilitera la vie sur la durée.
* Étude Kroll Ontrack/Blancco