La notion de conformité franchit un nouveau cap avec l’arrivée, en mai 2018, du très attendu Règlement général sur la protection des données, le RGPD. Un Règlement qui contredit toutes les idées reçues selon lesquelles la conformité serait fastidieuse, une corvée, réalisée régulièrement dans des back-offices poussiéreux. Il appartient aux comités de direction, les Comex, de mettre en œuvre une conformité en continu et en temps réel, susceptible d’encadrer l’utilisation des données personnelles au sein des frontières commerciales de l’Union Européenne. A défaut, l’entreprise devra faire face à des sanctions financières draconiennes.
Les lourdes amendes prévues en cas de violation du nouveau Règlement sont connues, elles peuvent représenter 4% du chiffre d’affaires annuel. Une menace largement connue. C’est un bon argument pour que les Comex prennent le RGPD au sérieux. Il existe aussi une carotte, une récompense pour ceux qui observeront le RGPD : le nouveau Règlement réclame en effet un nouvel état d’esprit, une approche par liste de choix et c’est bénéfique pour toute l’activité de l’entreprise.

Assurer un niveau de sécurité adapté au risque

Ce nouvel état d’esprit des cadres dirigeants leur fait considérer la protection des données comme une évaluation et un renforcement en continu des normes de cybersécurité, plutôt qu’un effort qui resterait ponctuel. L’article 32, par exemple, stipule qu’ensemble, le contrôleur et le gestionnaire des données doivent mettre en oeuvre des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque.
Emma Wright, associé au cabinet d’avocats Kemp Little spécialisé sur les technologies, conseille à ses clients d’adopter pour le RGPD une approche «privacy by design», comme en matière de cybersécurité. Pour les entreprises, démontrer «l’intention» comme le précise le Règlement signifie qu’il doit y avoir un flux d’information dans les deux sens, entre les équipes et le Comex, de manière à observer les meilleures pratiques.
Les entreprises numériques performantes avec leurs chaînes d’approvisionnement hyper connectées, ont besoin d’une vigilance renouvelée et d’une approche en temps réel de la protection des données. Le risque de violation des données clients en cas de mauvaise manipulation par un tiers est effectivement très élevé selon l’institut SANS, qui signale que 80% des violations commencent dans la chaîne d’approvisionnement. Un audit approfondi de toute la chaîne d’approvisionnement, ainsi que des contrôles ponctuels périodiques s’avèrent indispensables.

Automatisation et conformité

Les pistes d’audit deviennent toutefois de plus en plus complexes à suivre. L’automatisation va jouer un plus grand rôle. Et l’architecture de référence CRA (Cyber Reference Architecture) de DXC Technology devient un cadre d’audit pertinent.
L’entreprise étendue va pouvoir mettre en place une gouvernance à partir du Comex qui renforcera la conformité. Les équipes chargées de la protection des données et celles en charge de la cybersécurité doivent par exemple collaborer avec la chaîne d’approvisionnement dans le cadre d’événements comme les fusions et acquisitions.
Dernier argument, si les avantages d’une plus grande visibilité et d’une meilleure transparence ne sont pas une motivation suffisante pour les dirigeants, il y a un autre bâton dans RGPD. Une clause de notification de 72 heures oblige toutes les organisations, et pas seulement les opérateurs télécoms, à signaler les violations de données. L’assurance en ligne couvrira en partie ce type d’incident. Mais il ne fait aucun doute que le Comex aura besoin de renforcer la prise ne compte de la conformité dans toute l’entreprise pour affronter les nouvelles échéances.