Non, le GDPR n’est pas juridique ou technique

Normes et Réglementation
Non, le GDPR n’est pas juridique ou technique

Avant toute chose, il faut souligner que cet article n’a pas vocation à tirer à boulet rouge sur telle ou telle corporation, ni les avocats ni les fournisseurs de solutions techniques. Les premiers sont clés dans les travaux de mise en conformité, ne serait-ce que pour s’assurer que l’on comprend le texte ! Quant aux autres, les différents outils qu’ils proposent vont permettre de gagner un temps précieux – et même mieux, de faciliter la pérennité de la mise en conformité.

Cependant, force est de constater que ce qui se dit sur ce fameux GDPR est parfois déroutant. A en croire certains, le sujet serait d’ordre purement juridique. Il ne pourrait être traité que par des juristes, pour des juristes avec une approche juridique.

Il y aurait quelques documents à rédiger, quelques revues à effectuer ou encore quelques contrats à ajuster. Un volume de travail conséquent, proportionnel à la taille de la structure, mais qui pourrait presque être de nature purement documentaire. Une fois la montée en compétences réalisée (moyennant une formation dispensée par les experts juridiques), on pourrait réduire le plan de mise en conformité à une série de livraisons documentaires.

A en croire d’autres, une série d’outils et de technologies apporterait la réponse à tous nos problèmes de conformité. Les plus cryptophiles ont décidé de tout chiffrer, de A à Z, du data-center maison à toutes les instances dans les clouds. Les moins avertis se sont laissés convaincre que oui, la solution chiffre les données – sans se rendre compte qu’en réalité seuls les disques durs sont chiffrés à bas niveau.

Les plus dépensiers ont fait l’acquisition du dernier module « GDPR-ready » de chacune des solutions en place ou bientôt en place dans le SI. Détection des données, gestion des accès, traçabilité, tout est bon pour contribuer à la conformité ! A quand une appliance qui couvrirait l’ensemble des articles du règlement et qui apporterait la réponse dont chacun a besoin ?

Ces approches sont ici caricaturées. Mais les clichés ont la vie dure. Pour certaines organisations, le sujet n’est effectivement qu’une problématique juridique de plus, à transférer au service en question. Pour d’autres, le sujet est déjà traité puisqu’on a tout chiffré l’an dernier !

Ça serait passer à côté de la richesse du texte et de son apport pour la maîtrise de risques numériques. Et richesse ne signifie pas complexité. Le texte propose une vision finalement logique, plutôt pragmatique. L’organisation doit se saisir du problème et y apporter la réponse la plus adaptée, en fonction du niveau de risque, du volume et de la sensibilité des données - et ce en pleine connaissance des enjeux.

Dès lors, la réponse doit être multiple. Elle s’alimentera bien sûr des travaux juridiques et techniques. Il faudra sans doute poursuivre les efforts en matière de clauses contractuelles de sécurité et de conformité. Il faudra se battre pour s’assurer que la traditionnelle clause d’auditabilité est bien acceptée. Et il faudra aussi s’assurer que les technologies nécessaires sont déployées et effectives dans le SI – ou au-délà dans les clouds. Car oui le marché s’est formidablement adapté et propose des solutions pertinentes pour protéger ses données.

Mais qui va piloter les travaux ? Comment va-t-on capitaliser sur le GDPR pour instaurer une véritable gouvernance de la donnée et des risques associés ? Quelles seront les forces vives impliquées dans la fonction DPO ? Qui va réaliser les audits fournisseurs ?

Une fois les travaux de « build » réalisés, comment s’assurer du « run » ? Qui est capable d’expliquer à un chef de projet les subtilités du privacy-by-design-and-by-default ? Qui va former un développeur aux méthodes de développement adaptées au traitement de données sensibles ? Comment créer en 2017 une plateforme de big data qui s’appuie sur un socle conforme ? Qui va pouvoir minimiser les données collectées et intégrer cette exigence dans les spécifications ? Qui va informer les personnes de leurs droits ?

Toutes ces problématiques doivent être traitées pour réussir le challenge du GDPR. Et pour que chacun en profite, en tirant le niveau vers le haut. Il faudra compter sur la participation active de chaque acteur clé impliqué dans le numérique. Architectes, urbanistes, PMO, lead developpers, MOA : chacun doit contribuer.

Et comme le RSSI en son temps, le DPO va revêtir le costume du chef d’orchestre. Et s’assurer que l’orchestre joue ensemble, sans fausse note ni solo inattendu. Car finalement oui, le GDPR est juridique et technique. Mais surtout, il est aussi managérial, fonctionnel, applicatif, organisationnel…

Benjamin Leroux, Innovation & Marketing, Advens