Depuis la mise en vigueur du RGPD, au moins 234 entreprises ont été prises en infraction à cette règlementation, menant à des amendes de plus de 467 millions d’euros à l’échelle européenne. La France est connue pour être un des pays les plus stricts en la matière, avec notamment une amende record de 50 millions d’euros infligée à l’encontre de Google.
Ce règlement européen oblige les entreprises, entre autres, à protéger plus efficacement les données à caractère personnel, à les supprimer selon des échéances précises et à signaler rapidement toute violation de données (faille, cyber-attaque, etc.). Seules les entreprises capables de visualiser l’ensemble de leurs données, de les protéger et d’en réglementer strictement l’accès peuvent répondre à ces exigences de conformité.
Mais de nombreuses entreprises sont débordées face à la gestion globale de leurs données, et en particulier face à la nécessité de contrôler plus strictement l'accès aux données personnelles. Les processus internes disposent souvent de failles et les responsables négligent donc d'importantes sources de données susceptibles de contenir des informations à caractère personnel.
Au cours des deux dernières années, nous avons pu constater des erreurs typiques au sein des entreprises en matière de conformité. Avec le recul que nous détenons à ce jour, il est important que les entreprises puissent apprendre des erreurs commisses et appliquer les bonnes pratiques.
Première erreur : une mauvaise compréhension de la conformité
En pratique, le service informatique est souvent l'un des premiers à être confronté aux nouvelles exigences du RGPD, comme la suppression des données en temps voulu ou l'obligation de fournir certaines informations. En conséquence, les projets de conformité ont été interprétés et abordés de manière purement technique, en se concentrant sur l’implémentation de solutions de pointe.
Pourtant, la conformité est bien une exigence légale. La technologie, les responsables des processus au sein de l’organisation et les employés doivent se coordonner étroitement pour parvenir à cet objectif. On remarque ainsi que les projets réussis sont ceux ayant réunis tous les acteurs impliqués, tels que le service juridique, le responsable de la protection des données, l'informatique et la direction. Cette collaboration permet à toutes les parties prenantes d’acquérir la même compréhension de la conformité et d’évaluer conjointement les risques potentiels.
Seconde erreur : un manque de support des dirigeants
Les projets de conformité sont, par nature, étroitement liés aux données clients et ont donc un impact direct sur le cœur même de l’entreprise : son business et ses sources de revenus. Si la responsabilité de tels projets reste uniquement au niveau informatique, les équipes se voient souvent attribuer au final trop peu de budget et de temps pour les réussir.
Il est crucial de montrer à la direction, de manière claire et sans équivoque, les risques encourus par l’entreprise. Ces derniers ne s’arrêtent pas seulement aux amendes. En cas de problème, c’est la réputation même de l’entreprise qui sera salie, occasionnant un impact négatif sur le business. En négligeant la protection des données clients, les professionnels prennent le risque de perdre la confiance de leurs clients et donc de faire chuter leurs ventes.
La direction d'une entreprise doit voir l'importance stratégique d'un tel projet et y accorder des ressources conséquentes.
Troisième erreur : penser que WORM rime toujours avec conformité
Le terme WORM (Write once, Read many) décrit les systèmes de stockage non effaçables, c’est-à-dire que les données qui s’y trouvent, une fois stockées, ne peuvent être modifiées. Si cela permet d’assurer l’intégrité des données, ce n’est pas pour autant que la conformité est garantie. Au contraire, avec de telles méthodes de stockage, il peut être compliqué d’effacer les données personnelles rapidement, en cas de demande ou selon les échéances fixées dans le RGPD. A titre d’exemple, une société immobilière allemande, appelée Deutsche Wohnen, a été sanctionnée d’une amende pour cette exacte raison.
Les entreprises devraient documenter en détail toutes les solutions et processus en place pour gérer les données personnelles. Cela inclut la restriction, en interne, de l'accès aux données et leur suivi précis dans des journaux d'audit. Les droits d’accès eux-mêmes doivent être clairement définis selon les rôles de chacun et documentés.
Il est tout aussi important de prévoir la suppression automatique des données personnelles après l'expiration de l'objectif pour lequel elles ont été recueillies. Cette tâche peut être résolue simplement grâce à une gestion des données capable de reconnaître automatiquement et précisément les données personnelles, et ce dans l’ensemble des espaces de stockage où elles auraient pu être stockées.
Quatrième erreur : se tromper d’objectif
Se conformer au RGPD n’est pas une tâche facile. Elle a, de fait, engendré deux réactions typiques. D’un côté, les responsables ont été dépassés par l’ampleur de la tâche et ont mis le projet de conformité en attente. Ils ont donc consciemment pris le risque de violer les directives. De l’autre côté, certaines sociétés se sont limitées au strict minimum en mettant en place les mesures techniques minimales et ainsi traiter la partie la plus visible de la tâche. En phase de tests comme en pratique, il est rapidement devenu évident que cette approche laissait trop de lacunes et que l’ensemble du projet devait être repensé.
Les meilleurs résultats ont été obtenus par les entreprises ayant suivi une méthodologie claire et un plan précis, basé sur un inventaire des données et des processus en place. Ainsi, toutes les parties prenantes du projet ont pu définir ensemble un objectif final, mais aussi des étapes intermédiaires et un cahier des charges complet, afin de mener à bien le projet de mise en conformité. C’est de cette approche qu’il faut aujourd’hui s’inspirer.
Ce règlement européen oblige les entreprises, entre autres, à protéger plus efficacement les données à caractère personnel, à les supprimer selon des échéances précises et à signaler rapidement toute violation de données (faille, cyber-attaque, etc.). Seules les entreprises capables de visualiser l’ensemble de leurs données, de les protéger et d’en réglementer strictement l’accès peuvent répondre à ces exigences de conformité.
Mais de nombreuses entreprises sont débordées face à la gestion globale de leurs données, et en particulier face à la nécessité de contrôler plus strictement l'accès aux données personnelles. Les processus internes disposent souvent de failles et les responsables négligent donc d'importantes sources de données susceptibles de contenir des informations à caractère personnel.
Au cours des deux dernières années, nous avons pu constater des erreurs typiques au sein des entreprises en matière de conformité. Avec le recul que nous détenons à ce jour, il est important que les entreprises puissent apprendre des erreurs commisses et appliquer les bonnes pratiques.
Première erreur : une mauvaise compréhension de la conformité
En pratique, le service informatique est souvent l'un des premiers à être confronté aux nouvelles exigences du RGPD, comme la suppression des données en temps voulu ou l'obligation de fournir certaines informations. En conséquence, les projets de conformité ont été interprétés et abordés de manière purement technique, en se concentrant sur l’implémentation de solutions de pointe.
Pourtant, la conformité est bien une exigence légale. La technologie, les responsables des processus au sein de l’organisation et les employés doivent se coordonner étroitement pour parvenir à cet objectif. On remarque ainsi que les projets réussis sont ceux ayant réunis tous les acteurs impliqués, tels que le service juridique, le responsable de la protection des données, l'informatique et la direction. Cette collaboration permet à toutes les parties prenantes d’acquérir la même compréhension de la conformité et d’évaluer conjointement les risques potentiels.
Seconde erreur : un manque de support des dirigeants
Les projets de conformité sont, par nature, étroitement liés aux données clients et ont donc un impact direct sur le cœur même de l’entreprise : son business et ses sources de revenus. Si la responsabilité de tels projets reste uniquement au niveau informatique, les équipes se voient souvent attribuer au final trop peu de budget et de temps pour les réussir.
Il est crucial de montrer à la direction, de manière claire et sans équivoque, les risques encourus par l’entreprise. Ces derniers ne s’arrêtent pas seulement aux amendes. En cas de problème, c’est la réputation même de l’entreprise qui sera salie, occasionnant un impact négatif sur le business. En négligeant la protection des données clients, les professionnels prennent le risque de perdre la confiance de leurs clients et donc de faire chuter leurs ventes.
La direction d'une entreprise doit voir l'importance stratégique d'un tel projet et y accorder des ressources conséquentes.
Troisième erreur : penser que WORM rime toujours avec conformité
Le terme WORM (Write once, Read many) décrit les systèmes de stockage non effaçables, c’est-à-dire que les données qui s’y trouvent, une fois stockées, ne peuvent être modifiées. Si cela permet d’assurer l’intégrité des données, ce n’est pas pour autant que la conformité est garantie. Au contraire, avec de telles méthodes de stockage, il peut être compliqué d’effacer les données personnelles rapidement, en cas de demande ou selon les échéances fixées dans le RGPD. A titre d’exemple, une société immobilière allemande, appelée Deutsche Wohnen, a été sanctionnée d’une amende pour cette exacte raison.
Les entreprises devraient documenter en détail toutes les solutions et processus en place pour gérer les données personnelles. Cela inclut la restriction, en interne, de l'accès aux données et leur suivi précis dans des journaux d'audit. Les droits d’accès eux-mêmes doivent être clairement définis selon les rôles de chacun et documentés.
Il est tout aussi important de prévoir la suppression automatique des données personnelles après l'expiration de l'objectif pour lequel elles ont été recueillies. Cette tâche peut être résolue simplement grâce à une gestion des données capable de reconnaître automatiquement et précisément les données personnelles, et ce dans l’ensemble des espaces de stockage où elles auraient pu être stockées.
Quatrième erreur : se tromper d’objectif
Se conformer au RGPD n’est pas une tâche facile. Elle a, de fait, engendré deux réactions typiques. D’un côté, les responsables ont été dépassés par l’ampleur de la tâche et ont mis le projet de conformité en attente. Ils ont donc consciemment pris le risque de violer les directives. De l’autre côté, certaines sociétés se sont limitées au strict minimum en mettant en place les mesures techniques minimales et ainsi traiter la partie la plus visible de la tâche. En phase de tests comme en pratique, il est rapidement devenu évident que cette approche laissait trop de lacunes et que l’ensemble du projet devait être repensé.
Les meilleurs résultats ont été obtenus par les entreprises ayant suivi une méthodologie claire et un plan précis, basé sur un inventaire des données et des processus en place. Ainsi, toutes les parties prenantes du projet ont pu définir ensemble un objectif final, mais aussi des étapes intermédiaires et un cahier des charges complet, afin de mener à bien le projet de mise en conformité. C’est de cette approche qu’il faut aujourd’hui s’inspirer.
Autres articles
-
Analytique et IA générative : la confiance et la gouvernance en première ligne
-
La souveraineté des données est loin d’être une chimère
-
Veritas améliore la maîtrise et la gestion des données non structurées et sensibles avec Veritas Data Insight SaaS
-
77 % des Français pensent que l’utilisation de l’IA au bureau devrait être mieux encadrée
-
Données dans le cloud : Quels sont les défis actuels à surmonter ?