Les implications du RGPD


Rédigé par William Bailhache, Alfresco le 18 Septembre 2017

D'ici un an, le Règlement (UE) 2016/679, nouveau règlement général sur la protection des données (RGPD) de l'union européenne, entrera en vigueur. Les préparatifs des entreprises pour leur mise en conformité commencent à prendre forme. Cependant, les idées fausses et la mauvaise compréhension des implications et de l'impact du RGPD entravent leurs efforts. Selon un rapport, certaines entreprises ont, à tort, mis fin à leurs préparatifs du fait d'un malentendu sur les effets du Brexit. (1) Un grand nombre d'entre elles ne savent même pas encore ce que le terme « données » désigne dans « protection des données » ; elles pensent, à tort, qu'il se limite au contenu des bases de données, et ne concerne pas les informations personnelles contenues dans les documents, feuilles de calcul, enregistrements de conversations téléphoniques, etc.



William Bailhache, Vice-Président EMEA Sud d'Alfresco
Jusqu'ici, la cybersécurité était la principale préoccupation des spécialistes, mais les entreprises ne peuvent ignorer les problèmes liés au droit à l'effacement, à la portabilité des données et à la gouvernance. Le RGPD va au-delà de la simple protection des données contre les risques de sécurité ; il concerne, à importance égale, leur utilisation appropriée par les entreprises.

La clé : une stratégie solide de gouvernance de l'information

Fondamentalement, la conformité au RGPD est une question de gouvernance de l'information. Les entreprises doivent commencer par identifier les contenus dont elles disposent et adopter une approche cohérente pour leur gestion et leur protection. Si cela paraît simple sur le papier, un document qui définit la politique à suivre et quelques tableurs ne peuvent suffire à mettre en place une stratégie de gouvernance digne de ce nom. Tous les contenus sont différents et une seule politique ne saurait couvrir tous les types de données. L'emplacement du contenu et la manière dont il est utilisé bouleversent la façon dont les entreprises créent, partagent et sécurisent leurs fichiers, sous la pression de nombreux enjeux : modes de travail mobile et flexible, nouveaux appareils mobiles et connectés, politiques BYOD laxistes et explosion des applications de productivité mobiles et dans le cloud. Les entreprises doivent regarder vers l'avenir et concevoir un mécanisme capable d'assurer la conformité au RGPD de façon organique, à l'échelle de toute l'organisation.

Identification et classification du contenu

Pour dissiper la confusion, les entreprises doivent dans un premier temps identifier les entrepôts de données qui contiennent des informations personnelles sensibles et mettre en place des systèmes pour capturer, étiqueter et sécuriser ces données. Une fois les informations identifiées, leur gestion peut être confiée aux bonnes personnes conformément aux spécifications du RGPD. Une fois encore, la tâche n'est pas simple et nécessite une approche intelligente et stratégique. Concernant la portabilité des données, les entreprises rencontrent des obstacles comme le simple fait de savoir avec certitude à quel type de données s'applique la portabilité ou encore de disposer des outils adéquats pour constituer un jeu de données cohérent, au format adapté, avant sa restitution à un client ou à un tiers. À défaut de format spécifique ou universel recommandé par le RGPD pour le transfert des données personnelles, les entreprises doivent choisir un logiciel capable de crypter le contenu pour garantir une protection supplémentaire.

Respect du « droit à l'oubli »

L'effacement complet des données personnelles ou le « droit à l'oubli » peut être un aspect particulièrement épineux en termes de conformité au RGPD. Les entreprises doivent rapidement s'assurer que plus aucune donnée client ne figure dans les contenus qu'elles conservent. De plus, chaque entreprise doit pouvoir prouver, hors de tout doute raisonnable, que lesdites données ont été effacées. La situation est encore plus complexe lorsqu'une entreprise ne sait pas avec précision de quels contenus elle dispose et où ils sont stockés. Si la plupart d'entre elles contrôlent la propagation et la duplication des données de leurs clients et employés, stockées dans les bases de données relationnelles, il en va autrement des informations stockées dans les fichiers, documents et autres supports. En termes de dissémination du contenu, les référentiels de contenu distribués et le travail mobile sont les principaux points d'ombre. Dans ces conditions, difficile de savoir si les données personnelles ont bien été effacées et encore plus d'en apporter la preuve. Par ailleurs, un processus cohérent doit être instauré pour gérer les demandes client recevables et justifiables. Les outils utilisés pour réunir la preuve de l'effacement des données doivent également être performants.

La menace du Shadow IT

Même si des procédures fiables sont en place, le Shadow IT peut poser un risque de conformité. C'est un phénomène qui ne cesse de prendre de l'ampleur et une menace qui plane sur la sécurité des données. Si le service informatique d'une entreprise n'est pas capable de répondre aux attentes des employés, ces derniers utilisent leurs propres méthodes, avec pour conséquence une dispersion des données. Sans des politiques claires ou un suivi du service informatique, ces fichiers « renégats » deviennent de véritables bombes. Si le Shadow IT s'est développé de manière incontrôlée, c'est notamment en raison de la nécessité de collaborer dans l'entreprise comme en dehors. En effet, 70 % des employés des multinationales(2) utilisent leurs propres plateformes de collaboration. Et ce chiffre devrait augmenter compte tenu de l'utilisation croissante des appareils mobiles dans l'entreprise et de la stagnation des dépenses d'une année sur l'autre dans de nombreuses sociétés. Pour assurer la continuité du workflow et encourager une collaboration transparente, un registre d'informations RGPD devrait être créé. Toutefois, sans gestion centralisée et sans visibilité, c'est une véritable gageure du fait de la dispersion des contenus sur une multitude d'appareils non approuvés, partages de fichiers, sites collaboratifs et disques durs.

Si les inquiétudes concernant la sécurité des données sont justifiées, une méthode d'identification et de contrôle de l'accès aux informations sensibles doit être instaurée pour assurer la conformité au RGPD, avec une complète traçabilité et des processus automatisés pour les principales fonctions qui utilisent des données personnelles. Une plateforme capable d'assurer la conformité au RGPD doit être spécifiquement conçue pour s'intégrer aux applications métier et être à la fois évolutive et flexible pour accélérer le flux des informations. Il doit s'agir d'un système modulaire, ouvert, conçu pour la gouvernance, facile à intégrer, à faire évoluer et à adapter, pour un retour sur investissement plus rapide et une vraie transformation digitale. Une fois les contenus clairement identifiés (et les fichiers obsolètes supprimés pour éviter toute accumulation inutile), l'entreprise doit mettre en œuvre les processus et procédures de gouvernance nécessaires via une plateforme qui garantit le respect des exigences de conformité, sans perturber le bon déroulement et l'efficacité du workflow.



Dans la même rubrique :