Data management : et si le RGPD était une chance ?

Le Règlement Européen de Protection des Données, une chance ? Les Chief Data Officers, leurs équipes, et tous les responsables métiers chargés de recenser l’ensemble de leurs traitements de données se sont probablement étranglés en lisant ce titre.

Car bien sûr, le règlement européen, qui entrera en vigueur le 25 mai 2018, va leur empoisonner la vie dans les semaines qui viennent. Les nouvelles obligations qu’il impose en matière de données personnelles risquent d’occasionner quelques nuits blanches et pas mal de migraines dans les entreprises européennes -et au-delà, dans toute société qui propose des produits ou services à un ressortissant de l’UE.

Et pourtant, nous maintenons : se mettre en conformité avec le RGPD peut constituer une belle opportunité de reprendre la main sur sa collecte de données. D’en améliorer non seulement la qualité de traitement, mais la qualité tout court. Voici comment.

RGPD : une cascade de nouvelles obligations

Le RGPD entraîne, pour ceux que le texte appelle les « responsables de traitement » (les entreprises et institutions, et aussi désormais leurs sous-traitants), de nouvelles obligations. Les principales nouveautés ?

  • Un délai de notification à la Cnil raccourci à 72 heures en cas de violation (« breach ») de leurs bases de données ;
  • Des sanctions qui deviennent vraiment dissuasives si le manquement à leurs obligations de protection des données est avéré. En fonction de l’infraction : 10 à 20 millions d’euros, ou 2 à 4% du chiffre d’affaires annuel (le montant le plus élevé étant retenu) ;
  • Le « privacy by design » : l’obligation d’inclure la protection des données personnelles dès la conception d’un nouveau système d’information ;
  • La nomination d’un Data Protection Officer ;
  • Et enfin, la garantie de la portabilité des données. Couplée au droit à l’oubli, cette exigence du RGPD est potentiellement la plus problématique, et en tous cas la plus complexe à mettre en place.
Les 8 exigences du RGPD

Confrontés à ces obligations nouvelles, les entreprises et leurs sous-traitants vont être tentés de recourir à la méthode « coup de poing ». En résumé : faire plancher chaque service impliqué dans les traitements de données sur un recueil de l’ensemble de leurs traitements. Puis compiler le tout, édicter des règles, le tout en quelques semaines…

Aborder le RGPD en mode « coup de poing » : une approche limitante

Si cette approche semble rapide de prime abord, elle n’en présente pas moins de nombreux points faibles: une version « silotée » des choses, un audit à refaire périodiquement (dès qu’un nouveau traitement est imaginé, en réalité, si l’on veut être en conformité), aucune analyse de l’impact de ces changements sur le parcours de la donnée et donc une difficulté réelle à réaliser les études d’impact sur la vie privée (EIVP).

Une action « coup de poing » permet certes d’être dans les clous du règlement européen. Mais au prix de nombreux efforts, et sans le moindre retour sur investissement à attendre de ce fastidieux chantier.

Pire, l’approche risque de « stériliser » toute la stratégie data de l’entreprise. Si chaque nouveau traitement oblige à en repasser par un audit aussi chronophage, pour aboutir potentiellement à la conclusion qu’il n’est pas conforme, qui va prendre le risque de se lancer dans le processus ?

La gouvernance des données : conforme au RGPD « by design »

Chez Pramana, nous pensons qu’il existe une alternative, beaucoup plus prometteuse. Elle consiste à envisager la mise en conformité avec le RGPD non plus sous le seul angle de la contrainte, mais aussi comme une opportunité de mettre en place une vraie gouvernance des données.

La gouvernance des données est un sujet que nous portons de longue date, notamment en tant que créateurs de la section française de l’association DAMA International. Elle permet de répondre point par point aux exigences du RGPD :

  • Les exigences de cartographie des données sensibles, de tenue d’un registre de traitements et de mise en place de procédures internes pour garantir la protection des données correspondent à l’un des principes fondateurs de la gouvernance des données ;
  • Le système de gestion des priorités pour se conformer aux obligations présentes et à venir est « couvert » par la stratégie de management des données qui consiste précisément à prioriser et focaliser les efforts de data management ;
  • Le système de gestion des risques, l’étude d’impact sur la vie privée (EIVP) et la documentation nécessaire pour prouver la conformité sont eux aussi inclus par défaut dans une démarche de gouvernance des données.

Quelle marche à suivre pour la gouvernance des données ?

Dans les grandes lignes, la gouvernance des données consiste à partir des données elles-mêmes (ce que vous collectez pour les données personnelles) pour dans un premier temps les recenser. De quelles données s’agit-il ? Comment sont-elles collectées, comment et par qui sont-elles ensuite traitées ? La cartographie issue de ce recensement, et le dictionnaire qui l’accompagne, permettent déjà d’avoir une vision d’ensemble de votre capital-données, partagé par l’ensemble des acteurs, SI comme métiers de l’entreprise.

Ensuite, et ensuite seulement, on va instaurer des politiques. C’est-à-dire se pencher sur la définition des règles d’usage (à quoi servent ces données, un point clé dans le cadre du RGPD). Et mettre en place des mesures, techniques ou organisationnelles, avec des responsabilités humaines pour les définir, appliquer, et vérifier que les mesures sont respectées. C’est là un point central de la gouvernance des données car la data n’est pas qu’un problème informatique -loin de là !

Conformité RGPD, et (beaucoup) plus si affinités

Mais la gouvernance des données n’est pas simplement une autre méthode pour parvenir à être fin prêt le 23 mai 2018. Ses avantages débordent même très largement du cadre du RGPD. S’inscrire dans cette démarche va en effet vous permettre :

  • De se placer dans une approche évolutive par rapport à l’exploitation des données personnelles. En cas de nouvelle évolution réglementaire, vous disposerez d’une « base saine » sur la connaissance de vos données personnelles, des outils et des méthodes pour vous y conformer sans heurt. Nul besoin dans le futur de recommencer à identifier vos données personnelles, leur localisation, leur parcours dans vos systèmes : ceci est déjà fait, et maintenu à jour « by design » par la gouvernance des données ;
  • De travailler bien sûr sur la bonne gestion et le bon traitement des données, mais aussi sur la qualité même des données collectées — il suffit pour cela de se pencher sur des mesures relatives à la conservation ou la mise en qualité des données ;
  • D’insuffler enfin une vraie « culture de la data » dans l’entreprise. La gouvernance des données a une image de légifération. Image qui ne correspond pas à la réalité, car légiférer n’est jamais une finalité. Un déploiement de gouvernance des données est considéré comme réussi si les comportements de chacun deviennent naturels et vertueux vis-à-vis des données. Ceci vaut bien entendu par rapport aux données personnelles. Corollaire : il n’y a plus d’un côté un DPO qui ne serait qu’un « Monsieur Conformité », et de l’autre des métiers qui utilisent à leur façon les données. Mais des utilisateurs responsabilisés, et aptes à signaler tout manquement (et tout risque) d’eux-mêmes.

En conclusion

Comparatif des deux approches de la mise en conformité RGDP

Marcel LEE
Associé et co-fondateur de Pramana