GDPR : quel impact sur la Gouvernance des données ?
Shadow IT & Risques / Privacy by Design / Organisation & process

Jeudi 20 avril 2017

Plaza Athénée
25 Avenue Montaigne, 75008 Paris

Jeudi 20 avril, IT for BUSINESS réunissait une vingtaine de DSI/RSSI au Plaza Athénée à Paris pour échanger sur les enjeux et les impacts du Règlement général sur la protection des données (RGPD, ou GDPR en anglais). En grande majorité, les entreprises en sont plus au stade de l’information que de l’action.

Dîner BOX

« Le RGPD concerne essentiellement les données à caractère personnel, et vise à garantir l’utilisateur d’un service contre toute identification abusive », explique Ariane Mole, avocate au cabinet Bird & Bird, en ouverture du dîner. Et d’enchaîner : « Attention, les adresses IP et les adresses MAC sont des données personnelles ». De quoi éveiller la conscience des participants !

Ariane Mole poursuit l’électrochoc en abordant les sanctions – jusqu’à 4% du CA mondial – qui sont sans commune mesure avec les amendes applicables aujourd’hui par la CNIL (3 M€). Le RGPD touche le service public et toutes les entreprises de plus de 250 personnes.

Le RGPD comporte 99 articles, dont l’avocate synthétise les principaux axes : constitution d’un registre interne des traitements; obligation de gouvernance impliquant les différents métiers; responsabilisation de l’entreprise à travers des procédures; obligation d’audits et de formation des utilisateur; protection des données dès la conception (Privacy by Design); chiffrement; « pseudonymisation »; notification des failles; droit à l’opposition au profilage; portabilité rapide (moins d’un mois) des données…  Bref, pas simple d’adresser d’un coup tous ces sujets !

« Tout le monde se demande comment faire, quels outils utiliser, quelles procédures mettre en place… », lance Elena Gilotta, Director of Legal Compliance (Data Privacy) de Box. Et de préciser : « Box fait du Privacy by Design depuis le début. Nous conseillons vivement aux entreprises de choisir des solutions, des applications conformes et certifiées ».

Ariane Mole renchérit : « le RGPD encourage et pousse à la certification. Box a obtenu des BCR (Binding Corporate Rules), certifications que peu d’acteurs affichent ».

Beaucoup des entreprises présentes vivent le RGPD comme une contrainte forte, sans apport de valeur ajoutée, à moins de tenter d’en faire un avantage concurrentiel. Elles sont en retard car elles ne savent pas par où commencer. Avec les projets Big Data et IoT, la pression devient en tout cas de plus en plus forte, et les DSI/RSSI sont tout à fait conscients de l’ampleur du problème et du travail à fournir.

Mais il s’agit également de porter le sujet au plus haut dans la hiérarchie : la DG, le juridique, les directions opérationnelles… Le sujet n’est en effet pas que IT. Il y a certes un important volet technologique mais, pour l’essentiel, il s’agit d’un sujet organisationnel nécessitant la mise en place de processus bien définis. L’écosystème est en train de se former et de peaufiner son offre de conseil et d’accompagnement.

Certains acteurs présents sont un peu plus avancés que les autres. Certains ont nommé un délégué à la protection des données (DPO, pour Data Protection Officer). D’autres ont entamé l’analyse des risques (Privacy Impact Assessment), commencé à impliquer les sous-traitants et à réviser les contrats, se font accompagner par un cabinet d’avocats… La priorité des chantiers est fonction des niveaux de risque.

Tous espèrent une certaine bienveillance de la CNIL dans l’application de la réglementation, car tous s’accordent à dire qu’ils ne seront pas 100% opérationnels le 25 mai 2018.

RETOUR EN IMAGES

VOTRE AVIs

CONTACT

Nom :

Amélie Lénique

Téléphone :

+33 (0)1 75 60 64 73

INFORMATIONS PRATIQUES

Plaza Athénée
25 Avenue Montaigne, 75008 Paris

Métro
Ligne 9 I station Alma-Marceau

Parking payant
Alma George V ou François 1er

Copyright © 2017 ITforBUSINESS Le Club.
Tous droits réservés