Le Règlement européen sur la protection des données (RGPD ou GDPR en anglais) est devenu un thème de travail majeur dans les entreprises. Pour les DSI, mais pour d’autres directions également, les responsables de la sécurité, des données, de la relation client. Les impacts se retrouvent dans les directions financières ou ressources humaines. Toutes détiennent des données personnelles. Et le Règlement s’applique non seulement aux entreprises et organismes établis au sein de l’Union européenne (UE), mais également à ceux qui travaillent avec des personnes ou avec des entreprises qui sont résidentes ou établies hors de l’UE, détenant des données personnelles.
Tout le monde connaît plus ou moins profondément les enjeux. Le règlement va s’appliquer à partir du 25 mai 2018 dans tous les pays de l’Union européenne. Quelle que soit la taille ou l’appartenance au secteur, public ou privé, tout le monde doit être conforme. Mais le degré de maturité n’est pas le même partout. Le Règlement prévoyant des amendes fortes pour non-respect et l’échéance, des éléments anxiogènes ont pu être mis en avant. Ils ne reflètent pas la réalité.

L’exemple des banques

Si RGPD est nouveau par son ampleur, la conformité est déjà très présente dans les entreprises. Par exemple dans le secteur banques et assurances où la protection des données s’ajoute à la lutte contre la corruption, le blanchiment, les conflits d’intérêt ou les abus de marché qui mobilisent déjà fortement les équipes internes. Toute banque compte dans son comité de direction une direction de la conformité et une direction des risques. Et les règles s’appliquent dans toutes les filiales dans le monde.
Le RGPD mobilise d’abord les DSI mais s’adresse à de multiples directions de l’entreprise, exigeant un travail particulier, avec un comité de projet et la nomination rapide d’un DPO (data protection officer), qui sera le référent en externe pour toute requête, en particulier celles venues du régulateur. Le nouveau Règlement est suivi et se décide au comité de direction du groupe avec des politiques de plus en plus structurantes.

Un élément différenciant

C’est l’opportunité pour les entreprises de montrer comment la protection de leurs données et leur gestion est pour elles un atout et non plus une contrainte. Elles devront pouvoir affirmer à leurs clients et leurs partenaires qu’elles sont bien conformes au nouveau Règlement. C’est une obligation, ce sera un élément différenciant par la qualité de cette gestion des données.
Les entreprises vont devoir également vérifier la qualité de leurs partenaires cloud. Toute la chaîne de gestion et de protection, interne ou externe de l’entreprise est concernée. En s’appuyant sur une approche permanente de la protection des données et une panoplie d’outils d’audit, comme l’architecture de référence CRA (Cyber Reference Architecture) de DXC Technology, les entreprises gagneront en visibilité et en crédibilité.