Vous avez un compte ?

  •   Contenu personnalisé
  •   Vos produits et votre assistance

Besoin d'un compte ?

Créer un compte

Enseignements tirés de la mise en conformité au RGPD

Malgré son expérience dans la gestion des données clients, une société autrichienne de paris sportifs en ligne a dû évoluer et s'adapter pour assurer sa conformité au RGPD.

Nous sommes au printemps 2017 et Michael Mrak se prépare à affronter l'arrivée du RGPD, un règlement décrit comme la série de modifications la plus radicale jamais adoptée en matière de confidentialité des données depuis deux décennies.

Entré en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) exige de chaque membre de l'Union européenne de protéger plus strictement les données clients et à caractère personnel de ses citoyens. Il appelle également à une plus grande cohérence entre les états membres de l'UE en matière de protection des données personnelles. Qu'elle soit ou non implantée dans l'UE, toute entreprise qui commercialise des biens ou des services aux résidents de l'UE est tenue de se conformer au RGPD.

Les amendes pour non-conformité sont lourdes : pour les entreprises qui ne respectent pas le RGPD, elles peuvent atteindre 4 % de leur chiffre d'affaires global annuel ou 20 millions d'euros (selon la plus importante de ces éventualités). Aujourd'hui, c'est au tour des États-Unis de se pencher avec attention sur les composantes du RGPD. Adoptée en juin 2018, la loi CCPA (California Consumer Privacy Act) impose certaines protections similaires au RGPD à l'État de Californie.

Pour les responsables de la conformité, les directeurs informatiques et les nombreux professionnels de l'IT et de l'entreprise, le RGPD a été au cœur des préoccupations des sociétés depuis avril 2016, date à laquelle l'UE avait validé le règlement.

Michael Mrak, Directeur du service Conformité chez Casinos Austria AG

« C'était stressant » se rappelle Michael Mrak, Directeur du service Conformité chez Casinos Austria AG, un consortium d'entreprises dédiées aux paris sportifs en ligne, lors d'une session de retours d'expérience sur la mise en conformité au RGPD organisée à l'occasion de la conférence RSA 2019. Et d'ajouter, « les sociétés s'inquiétaient de ne pas être capables de satisfaire aux exigences ».

Mais en vérité, la conformité au RGPD est un cheminement bien plus qu'une réalisation ponctuelle. « Le PDG et le conseil d'administration avaient pour objectif la conformité totale de l'entreprise avant le 25 mai 2018. C'est en général ce que les PDG nous demandent : il faut être conformes. . . . Alors faites en sorte de l'être. C'est ensuite que la réalité nous rattrape. »

C'est une constatation récurrente au sein des entreprises qui s'attachent à satisfaire aux exigences du RGPD. EY et l'IAPP (International Association of Privacy Professionals) ont interrogé 550 professionnels de la confidentialité des données sur la conformité RGPD dans le cadre du rapport annuel IAPP-EY sur la gouvernance en matière de confidentialité des données pour 2018. Plus de la moitié des entreprises interrogées (56 %) ont déclaré ne pas être conformes, ou ne jamais réussir à l'être totalement. Selon la dernière étude comparative sur la confidentialité des données menée par Cisco en 2019, 42 % de ces entreprises ont en outre désigné l'ampleur des diverses exigences de sécurité des données comme principal obstacle de la conformité au RGPD.

Au bout du compte, les entreprises qui consacrent le temps nécessaire à mettre de l'ordre dans leur politique de confidentialité des données sont les mieux placées pour se conformer au RGPD. Celles qui développent des processus de documentation, font collaborer leurs différents départements et abordent la conformité comme un travail de longue haleine sont les mieux positionnées pour réussir.

« Les consultants auxquels nous nous sommes adressés ont affirmé que la conformité totale au RGPD était impossible », écrit Claudiu Dascalescu dans un blog sur la conformité RGPD. « Il faut essayer de définir une stratégie de protection et de confidentialité des données efficace, selon son propre scénario. »

Recommandations relatives à la mise en conformité au RGPD

Michael Mrak a partagé certains des enseignements tirés de son expérience depuis 2016.

1.      Développer une communication à échelle de l'entité. Selon Michael Mrak, l'un des facteurs clés de la mise en conformité RGPD a été la mise en place d'une équipe dédiée au projet et la collaboration avec chacune des entités de l'entreprise ; certaines sont amenées à gérer des données personnelles et d'autres à jouer un rôle en cas de faille de sécurité (services d'audit interne et de communication entreprise, p. ex.). Il a précisé que les divers services ont été impliqués dès le début du processus et ont chacun eu un rôle spécifique à jouer.

2.       Mettre à l'épreuve ses plans RGPD. Casinos Austria a mis ses formations et ses processus RGPD à l'essai en simulant deux scénarios.

« Nous avons reproduit d'un côté une perte de données et de l'autre un piratage avec diffusion dans les médias », explique Michael Mrak. Lors de ces simulations, l'entreprise a su mettre à profit ses formations, mais elle a identifié des manquements dans ses processus. Par exemple, le centre de service client n'avait pas été informé de la violation de données. « Il s'agit d'un problème majeur, car il répond à une exigence RGPD : vous devez informer vos employés et vos clients. » Le coordinateur chargé de la confidentialité collabore étroitement avec les services de conformité.

3.       Créer une matrice de suppression des données. En matière de réglementation, les exigences de conservation des données peuvent être contradictoires. « Nous devons nous conformer à deux ensembles réglementaires contradictoires en la matière », précise Michael Mrak.

Par exemple, certains règlements imposent à Casinos Austria de conserver les données relatives aux transactions des clients pendant certaines durées spécifiques (les données fiscales doivent être conservées pendant sept ans tandis que d'autres données clients ne doivent l'être que pendant cinq ans). Or le RGPD exige la suppression rapide de ces données. Par ailleurs, le « droit à l'oubli » (un autre règlement européen) impose la suppression des données inexactes relatives à un utilisateur à la demande de celui-ci. Ces objectifs contradictoires (conserver les données pour permettre aux entreprises de vérifier leurs données clients et leur historique transactionnel et supprimer les données afin de prévenir leur violation ou piratage) exigent généralement d'établir une matrice de suppression des données de sorte que les responsables de la conformité puissent déterminer quand il est possible (et recommandé) de supprimer les données.

4.      Corriger les systèmes hérités dont les fonctionnalités de suppression automatisée sont insuffisantes. De nombreux systèmes hérités de base de données clients peuvent ne pas permettre de supprimer automatiquement les données selon une échéance ou une demande client. Sans automatisation, les responsables de la conformité peuvent être submergés par la gestion des horizons à long terme et des demandes ponctuelles. Les entreprises doivent développer des solutions temporaires afin d'encourager l'automatisation de ces pratiques de suppression de sorte à ne rien laisser au hasard.« En automatisant la gestion des processus, l'intelligence artificielle s'apprête à jouer un rôle majeur dans ce secteur », précise Michael Mrak.

5.       Garantir la conformité aux autres règlements. Se conformer aux autres normes et règlements peut favoriser la mise en conformité au RGPD. Par exemple, la norme ISO 27001 de l'Organisation internationale de normalisation (ISO) se concentre sur la sécurité des informations. Michael Mrak explique que « même si la sécurité des informations et la protection des données sont deux activités distinctes, elles peuvent être gérées à l'identique. C'est justement là que les normes entrent en jeu : si vous appliquez la norme ISO 27001, vous saurez facilement satisfaire aux critères techniques des exigences du RGPD ».

6.       S'assurer le soutien de la direction. Comme pour de nombreuses initiatives, le soutien des dirigeants est essentiel pour se conformer efficacement au RGPD. La direction affichant un « niveau de sensibilisation élevé » au RGPD, Casinos Austria a déployé un projet transversal hautement prioritaire, qui a remporté un certain succès. « Le nombre colossal de réunions organisées entre l'ensemble des responsables systèmes et des dirigeants m'a quelque peu étonné », confie Michael Mrak.

La mise en conformité au RGPD est un cheminement bien plus qu'un événement ponctuel.

En parallèle, il est nécessaire de rappeler régulièrement aux différentes entités et aux responsables de l'assistance qu'il est impératif de gagner en efficacité et de réduire les erreurs. « L'effort de communication interne reste titanesque », ajoute Michael Mrak. « Je continue à me faire l'ambassadeur du sujet auprès des différents départements. Je reviens en permanence sur la nécessité de rationaliser et d'automatiser les processus. »

Selon Michael Mrak, l'intégration de la suppression automatisée et des dates d'échéance dans les systèmes hérités pourrait s'étendre jusqu'en 2020. Cette activité peut être d'autant plus difficile à défendre que le RGPD ne contribue pas directement aux bénéfices de l'entreprise.

« Je vais vous confier un secret, le RGPD ne rapporte pas d'argent », ironise Michael Mrak, qui considère pourtant la conformité au RGPD comme un lien direct avec la fidélisation et l'expérience client.

Un concept que l'on retrouve dans l'étude menée par Cisco sur la confidentialité des données, puisque 41 % des personnes interrogées ont déclaré avoir renforcé leur avantage concurrentiel grâce aux investissements en matière de confidentialité dans le cadre de la conformité au RGPD.

Michael Mark ajoute que « les entreprises en mesure de dire qu'elles œuvrent pleinement à la sécurité des données de leurs clients, qui peuvent donc investir dans leurs produits en toute confiance, ouvrent la porte à de nouveaux clients ».

À l'inverse, les entreprises risquent de perdre gros si elles négligent la confidentialité des données.

« Si la conformité vous semble onéreuse, essayez la non-conformité ! », conclut Michael Mrak.

Lauren Horwitz

Lauren Horwitz est rédactrice en chef du site Cisco.com, sur lequel elle traite du marché des infrastructures IT et développe des stratégies de création de contenu. Avant cela, elle a occupé les postes de rédactrice en chef au sein du groupe Applications et architecture métiers de TechTarget, de rédactrice en chef chez Cutter Consortium, un cabinet d'étude IT, et de rédactrice à l'American Prospect, une revue politique. Elle a reçu plusieurs récompenses de l'ASBPE (American Society of Business Publication Editors), le trophée Best of the Web et le prix Kimmerling pour le meilleur mémoire universitaire pour son travail de rédaction sur l'article « The Fluid Jurisprudence of Israel's Emergency Powers ».