GDPR : Les entreprises françaises prêtes pour l’échéance de mai 2018 ? Pas sûr…

09 Déc

GDPR : Les entreprises françaises prêtes pour l’échéance de mai 2018 ? Pas sûr…

Les attentes de beaucoup d’entreprises vis-à-vis de leur transformation numérique concerne les données et leur exploitation possible par le Big Data, le prédictif et l’intelligence artificielle. Mais attention, il faut se préparer à l’arrivée rapide du GDPR (General Data Protection Regulation) qui va profondément encadrer l’usage de la data à partir de 2018. Bien sûr, le BtoC est le premier secteur concerné. Mais les autres ne sont pas en reste. Retours de nos participants sur ce sujet lors de nos récents dîners débats  sur le sujet, les 13 octobre (avec Commvault) et le 15 novembre (avec Symantec).


C’est devenu un poncif : les données sont le pétrole du 21e siècle. Collectées en masse, partout et en temps réel, les données sont un élément incontournable de la croissance. Mais attention, la plupart du temps ces données traitent des informations personnelles qui touchent les clients ou les collaborateurs de l’entreprise. Le stockage de ces informations sensibles dans le Cloud ou leur traitement en masse imposent un encadrement de plus en plus strict, avec notamment la mise en place d’une règlementation commune à tous, récemment fixée par la Communauté Européenne : le GDPR (General Data Protection Regulation) dont la date butoir est fixée au 26 mai 2018. Une échéance finalement très courte qui va imposer aux entreprises de s’organiser afin de stocker et traiter ces données en toute conformité.

La plupart des entreprises qui opérent dans le BtoC (au contact direct des consommateur) ou celles qui sont considérées par la loi comme des OIV (Opérateurs d’Importance Vitale, comme comme les banques, les fournisseurs d’énergie et les opérateurs télécoms) sont sensibles à cette problématique et ont déjà une approche régulée de la donnée. Pour elles , « la gestion des données personnelles des clients est un sujet déjà bien connu et fait l’objet d’une vigilance et d’une organisation particulières ». En revanche, pour les autres, visiblement, tout reste à faire… ou presque. Elles considèrent à juste titre qu’à priori elles manipulent beaucoup moins de données personnelles . Elles devraient néanmoins prendre en compte rapidement cette problématique car le GDPR englobe également les données des employés, des partenaires et des fournisseurs. Il va donc falloir cartographier, recenser, classifier les données. Une étape dans la mise en oeuvre du GDPR qui sera sans doute lourde, voire douloureuse.

Par ailleurs, des questions liées à la gouvernance et au juridique restent en suspens. En cas d’éparpillement du SI, avec une architecture hybride par exemple, qui sera responsable de la traçabilité et de la protection des données : l’hébergeur ? Le détenteur ? Le donneur d’ordre ? Car dans les faits, la règlementation prévoit que l’analyse du risque s’applique non seulement sur les traitements existants mais aussi rétroactivement sur les traitements passés, ce qui est très contraignant. Finalement, il ressort que les charges sur l’informatique deviennent de plus en plus lourdes et que les DSI sont contraints à arbitrer entre « gestion de projets et règlementaire ».

Le stockage dans le Cloud présente des réponses beaucoup plus unanimes. Si le Cloud est utilisé, les participants sont très clairs à ce sujet : aucune donnée personnelle ou sensible n’y est hébergée, les risques de sécurité étant perçus comme trop grands. Malgré tout, un participant souligne avec justesse que les SI propriétaires ne sont pas forcément mieux logés en terme de sécurité « avec des dizaines de prestataires externes qui se connectent tous les jours aux données de l’entreprise ».

L’impact de la règlementation sur la DSI ? Il est multiple et complexe à gérer. Selon nos participants il sera par exemple plus difficile de faire de l’outsourcing en dehors du territoire national, les contrôles vers les prestataires devront être renforcé ou encore se posera la question de la suppression des données. Qui sera le responsable ? Certains évoquent la nécessité d’un nouveau poste : le Chief Data Officier assumant la liaison entre les métiers et l’IT. Oui mais voilà, l’autre CDO – le fameux Chief Digital Officer généralement rattaché au «marcomm» et aux métiers – est déjà en place ! In fine, cette démultiplication des « chefs » risque de poser quelques problèmes de territorialité dans les entreprises ou, pire encore, de recréer de nouveaux silos en lieu et place de ceux que l’on détruit aujourd’hui…

Enfin, pour beaucoup de nos intervenants la mise en oeuvre d’applications exploitant le Big Data n’est encore qu’en phase d’expérimentation, ce qui explique une certaine distance face au problème du GDPR dans ce contexte. Gageons que cette posture va changer rapidement compte tenu de la mutation rapide du marketing à laquelle les entreprises font face.

Ecrire un commentaire: