Le chantier de la mise en conformité au règlement européen sur la protection des données personnelles (RGPD) ne peut pas être abordé via une porte d’entrée unique adaptée à toutes les entreprises. Francis Pondard, directeur des ventes services de SAP France, membre du comité exécutif, conseille de démarrer par le domaine où l’organisation se sent le plus à l’aise. Tout en s’inscrivant dans le temps long.
« Aujourd’hui, la plupart des entreprises ont entamé, avec l’appui d’avocats ou de sociétés conseil, des études sur leur mise en conformité au RGPD, le Règlement général pour la protection des données personnelles (GDPR en anglais), qui entrera en vigueur le 25 mai prochain. Cette phase d’évaluation doit aboutir à la création d’une liste des actions et processus à couvrir pour être en conformité et à la définition précise des données sensibles au regard du texte.
SAP intervient dans une seconde phase, marquée par la mise à disposition d’outils adaptés aux contraintes du règlement. Mais il faut bien garder à l’esprit qu’il n’existe pas en la matière une méthodologie standard, avec une porte d’entrée unique que pourraient emprunter toutes les entreprises. La mise en conformité au RGPD s’apparente en réalité à un programme composé d’une multitude de projets : dans la sécurité des systèmes d’information, dans les processus touchant aux données personnelles, dans les relations aux administrations, dans la suppression des données en cas de requête d’un client, etc.
Face à ces enjeux, SAP dispose d’outils adaptés, pour certains agnostiques, pour d’autres dédiés à nos systèmes. Pour analyser l’impact du règlement sur les processus, nous proposons ainsi un outil de Process Mining by Celonis. La suppression de données ou leur anonymisation sont gérées par notre portefeuille dit ILM (Information Lifecycle Management). Pour la traçabilité des opérations, qui permettra de fournir des preuves au régulateur en cas de contrôle, nous préconisons SAP Process Control. Et nous disposons aussi de solutions pour cartographier les données personnelles à travers tout le système d’information ou pour auditer le code – SAP ou non – afin d’y détecter d’éventuelles failles de sécurité.
Politique des petits pas… en regardant l’horizon
Ce rapide panorama permet de prendre la mesure de l’étendue du programme de mise en conformité. Notre préconisation ? Que chaque organisation démarre par le domaine où elle se sent le plus à l’aise. Si une entreprise est déjà bien avancée en matière de qualité des données, commencer par la cartographie des données personnelles apparaît comme la porte d’entrée la plus logique. A l’inverse, une société dont les processus sont très encadrés aura tout intérêt à se lancer d’abord dans la traçabilité de ses opérations, via SAP Process Control.
Les dirigeants doivent s’inscrire dans une politique de petits pas, réalisés en parallèle, tout en gardant à l’esprit qu’il faut inscrire la conformité au RGPD dans le temps long. Recueillir, dans Excel, tous les traitements impliquant des données personnelles revient, par exemple, à dépenser de l’énergie en pure perte. Car ce référentiel ne sera plus à jour dès le lendemain de sa finalisation. Par ailleurs, se servir de ce type d’outillage comme base de preuve auprès de l’administration en cas de contrôle apparaît des plus hasardeux. Si elle investit, l’entreprise doit le faire dans un outillage qui peut être industrialisé. Sans pour autant se lancer dans un projet pharaonique. Au 25 mai 2018, l’objectif est avant tout de montrer à l’administration que le chantier a démarré, pas qu’il est achevé.
Les 3 phases de la méthodologie SAP
Chez SAP Services, nous recommandons une méthodologie de projet en trois temps. La première phase, que nous appelons ‘Discovery workshop’, vise à découvrir le paysage IT de l’entreprise et à définir les futures actions pour parvenir au niveau souhaité de conformité. Cette étape, qui aboutit à l’écriture d’une documentation, peut être bouclée en 3 à 5 jours. La seconde phase, dite d’exploration, s’étale sur environ deux semaines et vise à entrer dans le détail, en définissant les actions et outils requis. Enfin, vient la phase d’implémentation, où les outils sont mis en œuvre et où nous accompagnons l’entreprise concrètement dans sa mise en conformité. Sur ce volet, SAP Services se positionne sur la mise en place de la 1ère itération de la solution, avant d’organiser le transfert de technologies vers le client directement ou vers un de nos partenaires. La durée de cette étape d’implémentation du projet varie évidemment en fonction de la maturité de l’organisation et de l’outil concerné. Compter une quinzaine de jours pour un projet de cartographie des données personnelles. Entre 2 et 3 mois pour la mise en place d’une stratégie ILM. Et jusqu’à 6 mois maximum pour l’implémentation de Process Control, processus par processus.
Alors que les entreprises sont aujourd’hui en train de prendre conscience des multiples impératifs du RGPD, avec des niveaux de maturité très disparates y compris à l’intérieur d’un même groupe, le projet de mise en conformité est souvent vécu comme un exercice imposé par le régulateur. Nous sommes pourtant convaincus qu’il constitue aussi l’occasion rêvée d’optimiser la qualité des données au sein des organisations. Les travaux qu’impose le règlement doivent pousser les entreprises à réfléchir en détail à leur stratégie en matière d’exploitation de leur patrimoine informationnel. Un sujet qui figure au coeur de la transformation digitale, en particulier de la création de nouvelles offres, voire de nouveaux modèles économiques portés par la révolution numérique. »