Avril 2016, mai 2018, 2 ans pour se mettre en conformité, et il ne reste déjà plus que 11 mois pour mener les travaux exigés par le Règlement Général sur la Protection des Données (RGPD ou GDPR). Où en sont les grands acteurs concernés, seront-ils conformes d’ici mai 2018 ? Quels sont les chantiers les plus complexes aujourd’hui ? Qu’apprendre des travaux déjà réalisés ?
Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.
Revenons tout d’abord sur la charge nécessaire, les principaux chantiers et points durs de la mise en conformité au RGPD.
Des programmes importants mobilisant toutes les directions de l’entreprise
Les programmes de mise en conformité au RGPD impliquent très largement dans les entreprises, de quelques dizaines à quelques centaines d’acteurs à chaque fois. Les charges consolidées vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes ; jusqu’à plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible.
Cette charge est généralement répartie comme suit :
- 15 % pour l’équipe en charge du pilotage du programme, de la coordination et de la communication/formation
- 15 % pour les équipes DPO, risques ou conformité afin de formaliser les politiques, directives et process, définir l’organisation cible, et s’assurer de la conformité des solutions déployées par les équipes métiers et IT
- 5 % pour l’expertise juridique afin d’interpréter le texte, proposer des clauses et mentions légales conformes et arbitrer sur des points juridiques identifiés au cours du projet (notamment les durées de conservation proposées)
- 25 % pour les responsables métiers/business en vue de cartographier leurs processus, les mettre en conformité et faire évoluer les modalités de fonctionnement avec leurs clients et partenaires
- 40 % pour les équipes IT et Digital (dont la filière cybersécurité) afin de faire évoluer les systèmes informatiques existants, intégrer les exigences du RGPD dans les développements en cours et proposer des offres de services pour les solutions IT de conformité (en particulier, anonymisation, exercice des droits et portabilité)
Contrairement à certaines idées préconcues, la charge pour les équipes juridiques et pour le RSSI reste limitée au regard de la charge globale.
En effet, les travaux d’analyse du règlement qui ont occupés les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacés par des chantiers plus opérationnels où la dimension juridique est plus faible.
Pour les chantiers de cybersécurité, ils se révèlent souvent non directement portés par les programmes RGPD mais plutôt par les programmes Cybersécurité existants. Les coûts IT sont donc plus souvent liés à des problématiques d’exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc.
Cette répartition devrait être stable dans le temps et lors des phases de mise en œuvre des projets. En particulier les équipes autour du DPO vont se focaliser de plus en plus sur un rôle de contrôle et d’accompagnement des projets.
10 chantiers RGPD qui concentrent les investissements…
La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :
- L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.
- L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)
- L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)
- La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)
- La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)
- La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)
- La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)
- L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)
- La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)
- Le pilotage du programme (15 %)
…Pour 5 points durs à traiter en priorité
Une fois les cadrages de programme réalisés, les premiers résultats des analyses d’écarts produits, les sujets difficiles émergent. Nous constatons que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité de nos clients :
1. L’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants.
En effet la situation est souvent complexe du fait de choix historiques : données personnelles utilisées comme identifiant unique dans les systèmes de base de données, champs obligatoires techniques non indispensables d’un point de vue business… Ce sujet requiert un investissement pouvant être important sur des applications historiques (généralement de 40 k€ à 200 k€ par application). La contrainte de suppression est parfois quasi impossible à mettre en oeuvre au regard des impacts non maitrisés sur le SI et l’ensemble des données concernées sont souvent difficile à identifier. Ce problème peut être traité au travers d’un remplacement des données par une autre valeur voire par de la tokenisation.
2. La mise en conformité des contrats existants : des volumes de milliers voire de dizaines de milliers de contrats sont rencontrés sur le terrain.
Un effort de collecte, de recensement et d’adaptation qui peut prendre une ampleur importante suivant le degré de décentralisation de la gestion des contrats. Il s’agit alors d’appliquer des solutions simples et efficaces en se concentrant sur l’intégration des clauses RGPD dans les contrats à venir. Et pour l’existant ? Communiquer vos exigences (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier.
3. La mise en oeuvre d’une méthodologie d’accompagnement des projets (Privacy By Design) et des outils d’analyse de risques sur la vie privée (PIA) appréhendables en autonomie par les chefs de projets et réalistes en termes de charge et de contraintes.
Même si certaines organisations avaient déjà mis en oeuvre des processus d’intégration de la sécurité dans les projets, il est nécessaire de refondre ces processus et de former les acteurs concernés. Quelles bonnes pratiques ? Construire des méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité et ne pas vouloir dérouler les méthodologies sur tous les projets en mettant en place un tri initial afin de focaliser l’attention sur les plus sensibles.
4. L’identification de ressources expertes du sujet et à même de contribuer aux chantiers.
Celles-ci sont aujourd’hui extrêmement rares et difficiles à trouver, que ce soit en interne ou auprès de sociétés de services, de cabinets de conseil ou d’avocats. Il convient donc de bien répartir les tâches et ne pas chercher à positionner des experts sur toutes les dimensions du programme et à tous les postes. Les directeurs de programme peuvent par exemple venir de la DSI, les juristes en droit de contrats être formés rapidement à la problématique vie privée, les équipes contrôle interne peuvent aider à l’évolution des processus afférents. En sus, dans des environnements très concernés par des réglementations clients, il conviendra d’intégrer ou partager les initiatives afin de mutualiser au mieux les travaux et livrables produits. À la vue des enjeux et de l’ampleur des programmes, un pilotage rigoureux et réaliste est un pré-requis.
5. L’organisation de l’équipe DPO, et les profils particuliers requis, la plus à même d’apporter expertise juridique, pilotage du programme (qui ira bien au-delà de mai 2018), accompagnement des projets et contrôle des traitements.
Suivant les contextes, le poste de DPO attire à la fois des convoitises dans les filières conformités ou CIL existantes, mais des appréhensions pour des profils qui ne souhaitent pas endosser ce rôle parfois vu comme apporteur de contraintes et relayant rarement des messages positifs. Le pilotage du programme peut donc être confié de façon temporaire à une équipe spécifique, indépendante de la future organisation DPO.
Les chantiers de mise en conformité au RGPD impliquent donc un large panel d’interlocuteurs au sein des entreprises. Cela est d’autant plus nécessaire pour prioriser les chantiers et traiter les points durs tout en respectant les échéances et les contraintes budgétaires. Ces sujets seront traités dans un second article.