Le nouveau règlement général sur la protection des données (RGPD) de l’Union Européenne prend de plus en plus d’ampleur et, à l’approche de l’échéance du 25 mai, les spécialistes des différents secteurs et influenceurs sont nombreux à partager leurs points de vue et opinions. La plupart des articles sur le sujet se bornent toutefois à renoncer les contraintes qu’impose le RGPD et certains faits, notamment les amendes encourues (20 M$ ou 4 % du chiffre d’affaires annuel global), au lieu de prodiguer des conseils sur les moyens d’assurer la mise en conformité. Il en résulte une confusion chez les chefs d’entreprise qui restent incertains quant à ce que désigne précisément le terme « données » dans « protection des données ». Ils pensent à tort qu’il se limite au contenu des bases de données, et ne concerne pas les informations personnelles contenues dans les documents, feuilles de calcul et enregistrements de conversations téléphoniques. Très peu de conseils et encore moins de solutions pratiques sont proposés aux entreprises pour répondre de manière globale aux enjeux du RGPD.
Fondamentalement, la conformité au RGPD est une question de gouvernance de l’information. Chaque entreprise doit comprendre les informations personnelles qu’elle détient (via ses clients et son personnel), pourquoi elle les conserve, quelles réglementations s’y appliquent et qui a la responsabilité de les supprimer de manière sécurisée et de s’assurer que leur format est correct. Par ailleurs, le contenu doit être sécurisé et correctement géré pour protéger les personnes auxquelles il se rapporte. L’emplacement du contenu et la manière dont il est utilisé révolutionnent la façon dont les entreprises créent, partagent et sécurisent les fichiers, sous la pression de nombreux enjeux : modes de travail mobile et flexible, nouveaux appareils mobiles et connectés, politiques BYOD laxistes et explosion des applications de productivité mobiles et dans le cloud. Les entreprises doivent regarder vers l’avenir et concevoir un mécanisme capable d’assurer la conformité au RGPD de façon organique et homogène, à l’échelle de toute l’organisation.
Les contenus dispersés du fait du recours au Shadow IT constituent un autre problème et génèrent un risque de conformité. Si le service informatique de l’entreprise ne fournit pas aux employés les outils dont ils ont besoin pour travailler, ces derniers utilisent leurs propres méthodes. Conséquence : une dispersion des données sur des sites multiples. Sans des politiques claires ou un suivi du service informatique, ces fichiers « renégats » deviennent de véritables bombes. Si le Shadow IT s’est développé de manière incontrôlée, c’est notamment en raison de la nécessité de collaborer dans l’entreprise comme en dehors. Pour assurer la continuité du workflow et encourager une collaboration transparente, un registre d’informations RGPD devrait être créé. Toutefois, sans gestion centralisée et sans visibilité, c’est une véritable gageure du fait de la dispersion des contenus sur une multitude d’appareils non approuvés, partages de fichiers, sites collaboratifs et disques durs.
Une mise en conformité réaliste avec le RGPD doit satisfaire trois exigences principales :
- La gestion des informations qui relèvent du RGPD
Il s’agit dans un premier temps d’identifier, dans l’entreprise, les données concernées par le RGPD. La tâche peut sembler simple a priori mais, comme évoqué plus haut, ces informations peuvent être dispersées dans plusieurs emplacements et sous différentes formes. Une fois identifié, le contenu doit être enrichi avec des métadonnées qui décrivent d’où il provient, à quoi il sert et où il réside. La justification et toute information de consentement explicite doivent également être associées à ces données pour établir précisément pourquoi elles sont conservées et pour quelle durée. Une fois cette étape achevée, des mesures de sécurité adéquates doivent être appliquées pour protéger le contenu des risques potentiels, en interne comme en externe, et gérer l’intégralité de son cycle de vie, depuis l’acquisition, jusqu’à la suppression finale en passant par le traitement.
Enfin, il est crucial de mettre en place une piste d’audit complète pour l’accès à ces données. Concernant la portabilité des données, les entreprises rencontrent des obstacles. Il peut s’agir de savoir avec certitude à quel type de données s’applique la portabilité ou encore de disposer des outils adéquats pour constituer un jeu de données cohérent, au format adapté, avant sa restitution à un client ou à un tiers. À défaut de format spécifique ou universel recommandé par le RGPD pour le transfert des données personnelles, les entreprises doivent choisir un logiciel capable de crypter automatiquement le contenu pour garantir une protection supplémentaire.
- La gestion des processus RGPD
Les processus soumis au RGPD doivent être effectués de manière méthodique et réglementée afin d’assurer la conformité. Assurer la transparence, la traçabilité et le reporting vis-à-vis des régulateurs est crucial. Les entreprises doivent s’assurer que toutes les données qui permettent d’identifier personnellement leurs clients ont bien été supprimées des contenus qu’elles conservent, dans les meilleurs délais et dans le respect du « droit à l’oubli ». De plus, chaque entreprise doit pouvoir prouver, hors de tout doute raisonnable, que lesdites données ont été effacées. Automatiser les processus qui peuvent l’être peut permettre de réduire les coûts, d’éliminer les risques d’erreur humaine et d’améliorer lesdits processus, par exemple l’enregistrement du consentement explicite en cas de demande d’informations personnelles, le traitement des demandes d’accès, la portabilité des données et la suppression des données personnelles sur demande. Les entreprises ont également besoin de processus contrôlés pour répondre rapidement aux événements RGPD exceptionnels, par exemple en cas de notification de faille de sécurité ou d’évaluation des risques.
- Le respect des politiques
Différents services consultent et traitent les données sensibles RGPD dans le cadre de leurs fonctions : RH, Marketing, Opérations, Finance, etc. Tous ces services ont en effet besoin de contrôler et de traiter des informations personnelles. Il est par conséquent impératif que l’accès à ces informations passe par des services contrôlés qui garantissent que les données sont protégées et utilisées uniquement dans le cadre prévu. Il doit s’agir de services ouverts, qui maîtrisent les contraintes liées au RGPD, qui dépassent les fonctions, structures organisationnelles et systèmes pour garantir le respect systématique des exigences réglementaires.
À cette fin, la conformité au RGPD nécessite l’utilisation d’une plateforme qui sécurise les informations, contrôle et automatise les processus de mise en conformité et peut être facilement intégrée à chacun des départements qui utilisent des données RGPD. Cette plateforme doit être basée sur une architecture moderne, compatible avec les méthodes de travail habituelles. Elle doit pouvoir être déployée en local ou dans le cloud et prendre en charge les infrastructures existantes comme les déploiements futurs.
Un système modulaire ouvert, conçu pour la gouvernance de l’information, facile à intégrer, à faire évoluer et à adapter pour un retour sur investissement plus rapide et une vraie transformation digitale peut permettre de répondre à ces conditions. Une fois que l’entreprise a correctement identifié tous les contenus en sa possession (et supprimé les fichiers obsolètes pour éviter toute accumulation inutile), il lui suffit d’appliquer les processus et la gouvernance via une plateforme qui garantit le respect des exigences de conformité sans perturber le bon déroulement et l’efficacité du workflow. Et il devient urgent de mettre en place une plateforme de ce type, car l’échéance du 25 mai 2018 est déjà trop proche pour la plupart des projets de mise en œuvre de solutions logicielles.
____________
George Parapadakis est Director of Business Solutions Strategy chez Alfresco Software