Retour aux actualités
Article suivant Article précédent

Revue TELECOM 185 - GDPR océan rouge ou bleu ? La bonne stratégie pour profiter des opportunités cachées

Articles Revue TELECOM

-

15/06/2017

 

GDPR : OCEAN

ROUGE OU BLEU ?

 

La bonne stratégie

pour profiter des       

            opportunités cachées

 

Par François Gratiolet (1999) dans la revue TELECOM n° 185

 

En matière d’exploitation des données à caractère personnel, les dirigeants d’entreprise n’ont plus que quelques mois pour s’assurer de répondre aux exigences édictées par le nouveau règlement européen. Cet enjeu réglementaire doit être abordé avec stratégie, afin de profiter des opportunités business qui peuvent en découler.

 

 

 

 

 

 

 

 

Il reste un an, à peine, aux organisations pour se mettre en conformité avec le nouveau règlement général sur la protection des données (RGPD ou GDPR). Le défi n’est pas des moindres. L’échéance approche rapidement, et avec celle-ci les risques de sanction.

Ce nouveau règlement définit précisément le cadre dans lequel pourront être exploitées les données personnelles des citoyens résidant sur le territoire de l’Union européenne et les exigences à mettre en œuvre en matière de protection. Mais le législateur européen a aussi pris soin de préciser les sanctions qui pourront être appliquées en cas de non-respect des exigences édictées.

 

Deux ans pour se mettre en conformité

Hier, le principal risque pour tout acteur qui contrevenait à la directive en vigueur se situait au niveau de la perte de réputation. Désormais, les sanctions financières, largement dissuasives, sont précisées noir sur blanc. Elles pourront atteindre jusqu’à 4% du chiffre d’affaires global du groupe ou 20 millions d’euros. Pour le législateur, l’enjeu est double. D’une part, il s’agit de garantir la protection des données à caractère personnel à chacun des citoyens et consommateurs européens. D’autre part, il entend établir un cadre de confiance permettant une meilleure exploitation des données. Car, oui, GDPR ne doit pas être uniquement considéré comme une contrainte supplémentaire. Le défi pour chacun est de bien l’appréhender pour mieux profiter des opportunités qui peuvent en découler.

Force est de constater, cependant, que beaucoup d’acteurs se sentent bien dépourvus face à ce règlement. Certains se penchent sur la question depuis plusieurs mois, tandis que d’autres, malheureusement, semblent seulement en découvrir les contours. En avril 2016, une étude de Vanson Bourne / CA pour Veritas Technologies montrait qu’à 18 mois de l’échéance 54 % des entreprises n’avaient pas encore mis en place les mesures nécessaires pour être conformes au GDPR. Inquiétant. D’autant plus que, selon les estimations d’IDC, « par son ampleur, sa complexité, son coût et son importance stratégique, la mise en conformité au règlement GDPR prendra (au moins) deux ans aux entreprises » (source IDC - Executive Brief on GDPR: A Primer for Getting Started Towards Compliance » Duncan Brown, mars 2016).

 

Bien positionner les ressources

Peu importe où l’on se situe dans le voyage de mise en conformité, il y a donc urgence. Et il est clé, dans le chef des dirigeants d’entreprise, de pouvoir appréhender ce défi avec stratégie et sérénité.

La question qu’ils doivent désormais se poser a trait au niveau de ressources à allouer pour s’assurer de répondre aux exigences définies par le législateur européen.

Comme pour beaucoup de choses, c’est une question de juste équilibre. L’effort dépendra de ce qui existe déjà, mais surtout des risques identifiés. D’une part, il y a des synergies à établir avec les initiatives existantes de sécurité de l’information et de conformité, comme une démarche ISO 27001 ou une approche en Cybersécurité optimisée dans les nouveaux projets. D’autre part, il faut pouvoir établir des priorités en fonction des gisements de données à caractère personnel et des risques identifiés.

 

Des opportunités à saisir

Profiter des opportunités pouvant découler de GDPR, c’est d’abord s’assurer d’allouer les ressources aux bons endroits et au juste niveau. La stratégie, dès lors, se doit d’être justement équilibrée. Considérer un niveau de risque trop élevé amène à des investissements trop importants et à la mise en œuvre de procédures trop lourdes. Appréhender le niveau de risque avec trop de légèreté, c’est s’exposer à des sanctions lourdes. GDPR peut exiger des adaptations de l’organisation. L’introduction du principe de Privacy by Design, simplement, exige d’intégrer dès le départ les enjeux de protection à tout nouveau projet impliquant un traitement de données. Les mesures de protection, dans l’ensemble, devront être documentées. Des reportings sont à établir.

 

Intégrer une approche business

Les acteurs seront bien avisés d’envisager leur démarche de mise en conformité sans négliger une logique business, mais aussi « engager » les différents départements de l’organisation – R&D, Sales, business development. La mise en conformité à GDPR est à considérer comme une transformation, et nécessite d’utiliser les outils traditionnels du changement. GDPR est une opportunité offerte à chacun de mieux appréhender la donnée et, dès lors, de mieux l’exploiter, en garantissant un réel niveau de confiance au client final. Si les acteurs sont obligés de revoir leurs pratiques, ils doivent profiter de cette occasion pour aller plus loin. Toutes les parties prenantes des lignes métiers, l’IT et le CISO (chief information security officer), le juridique, les achats, les partenaires extérieurs (en particulier les fournisseurs de cloud computing) et, pourquoi pas, le client, sont à mobiliser. Demain, ceux qui seront parvenus à une mise en conformité tenant compte des opportunités business auront un avantage compétitif sur tous les autres. La confiance, dans l’économie digitale, est clé pour créer de la valeur au départ de la donnée. Mais ce chantier exige toutefois un pilotage précis et complexe à établir.

Encore une fois, donc, la stratégie est essentielle. Le cabinet McKinsey a évalué à plus de 70% de coûts supplémentaires une mise en conformité selon une approche non-structurée. Quand on sait que pour un acteur du CAC40, le coût de la mise en conformité s’élève facilement à minimum 10 millions d’euros, il est donc essentiel d’adopter, si ce n’est pas encore fait, une réelle approche stratégique. Pour ceux qui sont avancés dans ce processus d’adaptation, il est intéressant de penser aux opportunités business qui peuvent en découler, en « revisitant » ses processus et pratiques métier. Car, GDPR, à n’en pas douter, peut leur permettre de faire la différence et obtenir un avantage compétitif.

 

Quelle situation prévaut actuellement quant à la protection des données dans l’UE ?

Le GDPR est applicable le 25 mai 2018, mais sa rédaction guide actuellement l’interprétation et l’évolution des lois locales. Notamment, car les « CNIL » de chaque pays sont représentées auprès du groupe de l’article 29 (issu de la directive de 1995) qui rédige actuellement le mode d’emploi opérationnel des règles du GDPR. En France, la loi de 1978 s’applique jusqu’à cette date du 25 mai 2018. Elle a encore été récemment modifiée par la loi pour une république numérique du 7 octobre 2016. Et une partie survivra au GDPR, car sortant de son cadre ou s’inscrivant dans les cas où le GDPR donne une latitude aux États.

 

Vos fournisseurs de cloud sont-ils “GDPR ready” ?!

Selon une étude réalisée par Skyhigh networks en 2016 :

• 84% des fournisseurs de services cloud n'effacent pas immédiatement les données utilisateurs lors de la résiliation du contrat

• Seuls 1% des fournisseurs de services cloud notifient les incidents de sécurité en moins de 24 heures

 

Biographie de l'auteur

 

François Gratiolet (1999) est le Président de BUSINESS DIGITAL SECURITY (cabinet de conseil en stratégie et marketing dans le domaine du digital et Cybersécurité). Précédemment Deputy Head of Group IT risk, Security & Assurance La Poste ou Chief Strategy Officer EMEA Qualys, il travaille depuis 18 ans à des projets de transformation business et de gestion des risques IT pour des grands groupes et à des missions de conseil en stratégie, marketing, évangélisation et développement d’affaires pour des start-up, éditeurs technologiques ou fournisseurs de services. Diplômé de l’Executive MBA de l’ESCP Europe (2011) et de Télé com ParisTech (1999), il est certifié ISACA CISM, CISA et Risk Manager ISO 27005. Il est membre de l'IFA et du groupe Cybersécurité de Télécom ParisTech où il copilote l'initiative cyber assurance.

Web : https://business-digital-security.com/

 : @gratiolet

345 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril