Neuf mois environ avant que le Règlement Général sur la Protection des Données (RGPD) ou Règlement (UE) 2016/679 ne prenne effet, quelle est la situation sur le marché ?
Le RGPD est un sujet sur lequel je travaille depuis neuf mois dans le cadre de mes fonctions. Cela suppose beaucoup de lectures et de recherches, des échanges avec un grand nombre de clients et de collègues sur le sujet, de savoir ce que chacun fait en la matière, et d’aider les clients à élaborer une approche qui sera garante d’une conformité totale. (Lisez nos autres articles consacrés au RGPD.)
Attention aux informations trompeuses
Je suis inquiet de voir que le RGPD est assez souvent l’objet de malentendus ou d’interprétations erronées. J’ai ainsi entendu dire que le RGPD exigerait que les données soient chiffrées, ou que des centres de données devraient être transférés des États-Unis vers l’Union Européenne afin de respecter les exigences du Règlement. Il s’agit de deux assertions inexactes, mais leur formulation est assez proche de certaines dispositions du RGPD pour les rendre plausibles. Cela me fait penser à l’histoire de cette personne qui pouvait subir jusqu’à 17 migraines par jour, et à l’approche originale qui a permis de résoudre ce problème (mais j’y reviendrai plus tard).
Le souci vient en partie du fait que des fournisseurs et agences présentent sciemment le RGPD sous un faux jour pour mettre en avant les solutions spécialisées qu’ils peuvent proposer. J’ai aussi remarqué qu’une certaine paresse les pousse parfois à ne pas lire eux-mêmes le Règlement mais à se reposer sur l’interprétation ou la synthèse de tiers pour élaborer leurs cartographies fonctionnelles et leurs supports de communication. Il arrive ainsi que des logiciels proposés par des fournisseurs (et achetés par des clients) soient sensiblement éloignés des exigences véritables du RGPD.
Les informations présentées sont non seulement fausses et trompeuses, mais conduisent aussi l’entreprise à accumuler une pléthore de logiciels très pointus et déconnectés les uns des autres, sans pour autant traiter les besoins réels qui naissent du Règlement.
Prenez votre courage à deux mains, lisez le RGPD
Le RGPD n’est peut-être pas une lecture captivante, il est vrai, mais le texte est plutôt bien structuré. Et il prend tout son sens si l’on s’attache à sa finalité, qui est de protéger les données personnelles de pertes ou d’utilisations indues, accidentelles ou organisées. Tout un chacun peut comprendre l’importance de cette finalité.
J’ai récemment assisté à un séminaire où le représentant de l’autorité de tutelle d’un état membre m’a appris que les experts RGPD de son organisme étaient en train d’être débauchés par le secteur privé. On m’a également fait remarquer que le RGPD avait un champ d’application d’ordre opérationnel et non juridique, de sorte que les juristes seuls ne peuvent pas déterminer la réponse de l’entreprise.
Les objectifs commerciaux entretiennent une certaine confusion
Les éditeurs de logiciels veulent commercialiser des licences et pouvoir pénétrer rapidement sur le marché. Elles doivent permettre à leurs équipes commerciales de développer autour du RGPD un argumentaire plus convaincant que celui de leurs concurrents. Pour servir cet objectif purement commercial, il faut simplifier le message.
Mais le RGPD pris dans sa globalité n’a rien de simple, et affecte un très large éventail de fonctions et de niveaux hiérarchiques au sein d’une organisation. Service juridique, service financier, conformité, audits, informatique, sécurité, formation, sans oublier le conseil d’administration, tous sont concernés par le RGPD. De multiples outils techniques doivent être associés, à quoi s’ajoutent une procédure de gouvernance permanente et un changement culturel.
Compte tenu de l’ampleur du RGPD, la majorité des fournisseurs sur ce créneau ne peuvent proposer que des solutions partielles. De ce fait, il leur est difficile d’apporter une contribution réellement substantielle à la conformité RGPD. Cela ne les empêche pas cependant de développer des arguments vendeurs.
Diagramme fourni par Neil Patrick
Le diagramme ci-dessus permet de représenter et communiquer un ensemble clé d’exigences du RGPD pouvant être prises en charge sur le plan opérationnel par une solution unique, dans le cadre d’une réponse centralisée de l’entreprise. Il a été élaboré en se fondant directement sur la teneur réelle du Règlement. La solution peut être intégrée avec d’autres nouveaux outils ainsi qu’avec des anciens systèmes pour une approche coordonnée et centralisée de la conformité RGPD.
Je pense que les fournisseurs de logiciels devraient prendre directement connaissance du contenu du Règlement, puis établir la réponse que leur logiciel apporte aux exigences et redéfinir leur message. Cela permettra de limiter les déclarations trompeuses, d’éviter de lasser les clients par des discours confus sur le RGPD, et d’élaborer une approche unifiée qui bénéficiera aux clients.
Une approche holistique du RGPD sera à la fois efficace et créatrice de valeur
Revenons à la personne qui souffrait de 17 migraines par jour. Des examens considérables ont été pratiqués sur la tête, le sang, les hormones, les enzymes et ainsi de suite, dans l’optique de résoudre ce problème de céphalées. Après un certain temps, un médecin holistique a été engagé. Ce dernier a examiné le problème en tenant compte de la globalité du corps, sans s’intéresser uniquement à la tête. Le médecin a ainsi pu identifier un défaut d’alignement des vertèbres, ainsi qu’un mode de vie qui induisaient une constriction de la colonne vertébrale, entraînant les migraines. Cela se rapproche fortement de l’approche ayurvédique de la médecine, fondée sur la croyance que la santé et le bien-être reposent sur un équilibre délicat entre corps, esprit et âme.
Une même approche contextualisée et holistique doit être appliquée au RGPD.
Plutôt que d’acheter et d’implémenter des outils de niche pour répondre à des problèmes spécifiques mis en avant par des tiers, les organisations doivent adopter une approche holistique pour déployer les changements qu’exige le RGPD. Cela comprend notamment des logiciels, mais aussi une mutation culturelle permanente pour faire évoluer la façon dont l’organisation envisage et traite les données personnelles.
L’approche ayurvédique du RGPD
Quels sont les éléments nécessaires ? De bons logiciels axés sur les exigences du RGPD (chiffrement, mais aussi pseudonymisation et autres mesures techniques opportunes), une gouvernance couvrant les processus de conformité RGPD, et les initiatives requises pour mettre en œuvre au sein de l’entreprise la mutation culturelle évoquée ci-dessus. En d’autres termes : il faut agir sur le corps, l’esprit et l’âme de l’organisation.
Si ces activités sont entreprises correctement et minutieusement, les avantages retirés seront les suivants :
- Coûts de conformité réduits (qui ne se limitent pas au RGPD) et moins de risques de sanctions ;
- Risques organisationnels et individuels réduits grâce à une meilleur planification et gestion des missions ;
- Bonne gouvernance des données ;
- Réduction des risques de cybersécurité et des risques sur la réputation ;
- Outils informatiques moins nombreux et mieux organisés ;
- Gestion plus nette des privilèges des utilisateurs ;
- Agilité organisationnelle accrue.
Cet article, GRC Tuesdays: “Ayurvedic” GDPR, qui a fait l’objet d’une première publication en langue anglaise sur le blog SAP BusinessObjects Analytics, a été republié avec l’autorisation de son auteur.
