En mai prochain, les entreprises devront être conformes au règlement européen RGPD. Pour Thierry Brun, « GDPR Ambassador » chez IBM France, ce règlement impose avant tout une démarche opérationnelle de mise en conformité dans laquelle les outils restent des accélérateurs. Reste à trouver les bonnes ressources…

| Cet article fait partie du dossier « Nouvelles stratégies data et RGPD : Une route encore bien longue »

Alliancy. En quoi le RGPD change la donne en termes de transformation numérique des entreprises ?

Thierry Brun. C’est un enjeu important et une vraie opportunité pour les sociétés car ce règlement va accélérer leur transformation. Notamment dans la capacité pour le client de pouvoir consolider la confiance qu’il peut avoir dans la marque. Ce que craignent beaucoup les Comex, c’est surtout la mauvaise réputation qui pourrait subvenir d’avertissements venant de la Cnil, l’autorité de contrôle. Ensuite, le fait de mieux maîtriser les données personnelles et surtout leur traitement, va permettre de proposer des services additionnels aux clients et de monétiser éventuellement ces données.

Quel est le niveau d’avancée des entreprises sur le sujet ?

Thierry Brun. Les entreprises ne sont pas toutes exposées aux mêmes risques en fonction de leur secteur d’activité. Aujourd’hui, on catégorise trois grands secteurs différemment exposés. La banque-assurance, le BtoC (hors assurances) et le BtoB qui est moins exposé, mais qui n’a pas forcément la culture de la data et doit agir. On voit même d’ores et déjà des sociétés, du fait de leurs pratiques dans la démarche RGPD, qui réfléchissent à devenir opérateur pour accompagner leurs propres clients.

Chez IBM, comment se définit votre offre sur cette mise en conformité ?

Thierry Brun. La mise en conformité est une démarche opérationnelle, les outils n’étant que des accélérateurs qui permettent la mise en conformité. Quand on regarde le panorama des outils à la disposition des entreprises pour cette démarche, on a mis en exergue cinq chantiers principaux, que l’on résume autour de trois mots clés : gouvernance du programme RGPD, data et sécurité. L’un des premiers chantiers importants est de tenir un registre de traitement des données personnelles (on teste tous les process  qui en collecte) ; concernant la data, ce sera la cartographie des données (structurées ou non) dans un contexte de traitement (on le fait par métiers). L’enjeu étant de reconstituer des traitements dans des localisations attendues, mais également « anormales ». Enfin, pour la protection, il existe des outils pour la rétention, l’anonymisation, le chiffrement, l’effacement, l’archivage… Restent ensuite la gestion des demandes et du consentement et les enjeux de sécurité (détection et gestion des incidents).

En mai prochain, tout le monde sera-t-il prêt ?

Thierry Brun. Raisonnablement, il y aura peu de sociétés qui seront conformes d’ici là, car c’est un travail de conformité qui prend du temps. De tels programmes prennent environ 2-3 ans, c’est un peu comme un programme de certification ISO 9000… Beaucoup d’entreprises ont une feuille de route financée sur le sujet, et ce qui est important est d’avoir commencé le processus. L’esprit du règlement n’est pas d’apporter une sanction, mais de faire prendre conscience de l’importance du capital que représente la donnée personnelle. En 2020, le capital globalement de la donnée personnelle sera de 1 000 milliards d’euros. Il y a donc un énorme enjeu business qui se doit d’être régulé. C’est là le vrai sujet. Les organisations doivent y répondre.

Beaucoup de vos clients ont-ils nommé des « Data Protection Officer » (ou DPO) ?

Thierry Brun. C’est une des premières étapes que conseille la Cnil dans ses recommandations… Dans les grandes entreprises, c’est le cas. Le besoin serait de l’ordre de 80 000 DPO en fonction. On n’en est pas encore là. Mais ce qu’il faut voir également, c’est l’ensemble des ressources et moyens alloués au DPO. Sur le marché, on constate qu’il y a eu une sous-estimation de la complexité du GDPR et son impact sur l’organisation, les processus et le système d’information. Autour du DPO, il faut une organisation de plusieurs centaines de personnes parfois… L’impact sur le SI est bien réel et on voit apparaître la nomination d’un « référent GDRP » au sein de l’IT pour accompagner cette transformation. Mettre en place une politique d’anonymisation, ou de portabilité, c’est un outil à mettre en place au sein du SI… Ce duo apparaît de plus en plus depuis le second semestre 2017, mais il n’avait pas obligatoirement été anticipé dans les entreprises.

Selon une étude menée par Vanson Bourne pour IBM, 47 % des organisations interrogées au Royaume-Uni, en France et en Allemagne pensent qu'il reste beaucoup à faire pour se conformer à la #GDPR d'ici à mai prochain. Cliquez pour tweeter

Comment conseillez-vous les entreprises sur le sujet ?

Thierry Brun. On a plusieurs niveaux d’engagement sur la transformation du SI. Certains clients anticipent la RGDP en lançant des projets ponctuels d’anonymisation, de registre de traitement… qu’il réconcilie ensuite avec la cartographie par exemple. D’autres mettent en place une plateforme de services sur l’ensemble des chantiers. Je crée mon registre de traitement, je fais la cartographie, je gère la sécurité… puis je définis en interne des services que je vais apporter à mes différentes entités. Ainsi, il se crée cette notion de plate-forme technologique de services modulaires au niveau d’un groupe, c’est très concret. Cela peut aller de la conception des besoins à l’intégration des outils ou même aux services managés. Le point-clé, au-delà de la technologie, est surtout de voir où je crée mon centre de compétences ou de services RGPD par thèmes.

Cette plate-forme est-elle de plus en plus l’ordre du jour ?

Thierry Brun. Sur les grands groupes totalement, car cette logique de plate-forme technologique, soit par projets, soit par chantiers, soit de manière globale, évite la dispersion et l’explosion des coûts dans le temps. Il faut rationnaliser pour mieux maîtriser globalement. Le RGPD nécessite l’implication de l’ensemble des acteurs métiers, d’où l’importance d’une gouvernance pour piloter ce programme global et aller dans le même sens.

Au niveau des ressources sur le sujet, que diriez-vous ?

Thierry Brun. C’est un vrai sujet de réflexion pour nous. C’est bien d’avoir des outils, mais il faut aussi des ressources et des compétences disponibles autour de la conformité. C’est pourquoi nous venons de lancer un cursus sur le RGPD pour former, en partenariat avec Fitec, des consultants orientés conformité, d’autres orientés data et enfin, sécurité, dans des conditions subventionnées par l’Etat. Par exemple, un jeune sortant de l’école peut bénéficier d’un cursus de 50 jours sur la conformité, basé sur les technologies IBM. On a la conviction qu’il va y a voir une contrainte sur ces ressources chez nos partenaires, mais aussi chez nos clients qui voudraient créer des équipes en interne. La 1^ère formation démarrera en avril prochain pour 2 mois avec une cinquantaine de candidats. D’autres dates suivront, mais nous n’avons pas d’objectif précis sur le nombre de personnes à former.