RGPD, un horizon sans nuage pour le cloud ?

Le RGPD entrera en application le 25 mai 2018. Comment en tirer parti à l’heure où 42% des entreprises françaises disent prendre tout juste conscience du sujet ?

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en application de manière uniforme dans tous les états membres de l’UE. Il implique pour les entreprises de réviser leurs procédures, de constituer la documentation nécessaire prouvant leur conformité et de nommer un délégué à la protection des données. Elles doivent désormais prouver que leurs données à caractère personnel sont bien protégées, non seulement contre les intrusions, mais aussi en terme de disponibilité. Se mettre en conformité, au delà du déploiement de technologies venant répondre aux exigences de cette réglementation, implique la mise en place d’une base juridique appropriée. Idem pour les sociétés établies en dehors de l'Union européenne, qui ont accès aux données personnelles des résidents de l'UE ou qui les traitent, indépendamment des méthodes de collecte. 

Cette nouvelle réglementation bouleverse les pratiques des directions générales comme des directions informatiques des entreprises qui devront garantir un haut niveau de protection des données personnelles et mettre en place des procédures internes prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie des données (failles de sécurité, gestion des demandes de rectification ou d’accès, modification par l’entreprise des données collectées, voir un changement de prestataire dans le stockage de ces données). 

Comment tirer parti du RGPD ? 

La vie des données pose trois questions primordiales :

  • Sont-elles protégées dans la durée ?
  • Qui risque d’y avoir accès ?
  • Qui pourra être concerné par leur collecte ? 

La plupart des acteurs IT positionnés sur le data management au service de la gestion de la donnée dans le cloud hybride ont d’ores et déjà anticipé la mise en conformité avec les lois sur la protection des données en intégrant le privacy by design de bout en bout, de la collecte  de la donnée à sa mise à disposition dans les systèmes appropriés pour la protéger, afin de garantir sa gouvernance quel que soit l’endroit où elle est stockée : dans le cloud in situ, chez le client, chez un service provider. Cette démarche nécessite de mettre en œuvre une  collaboration étroite avec l’ensemble du réseau de partenaires parties prenantes au travers d’une approche de consulting intégrée.  Avant même de parler de mise en conformité, il faut connaître ses données et identifier notamment celles qui sont de l’ordre du privé (en interne et externe) et où elles seront stockées.  

Au-delà de ses propres processus internes, il est donc primordial pour une entreprise de se demander si les solutions de gestion de données de ses fournisseurs sont également conformes au RGPD. Eux-aussi doivent être à jour vis-à-vis de la nouvelle réglementation. Avec le cloud hybride, la donnée est de plus en plus exploitée dans le cloud, recherchée puis stockée un peu partout. Cela nécessite de repenser son organisation pour passer d’un traitement confidentiel de la donnée à une approche holistique, qui s’applique à tout le monde. La logique de confiance et de consentement donnés par l’utilisateur final fonctionne si la donnée a été bien pensée de bout en bout. Outre le fait que le RGPD représente  un investissement technique, juridique, RH et opérationnel lourd, il faut également considérer l’avantage concurrentiel qu’il offre aux acteurs qui se sont emparés tôt du sujet. L’encadrement RGPD joue un rôle clé en libérant le potentiel de la donnée. Les projets innovants naissent dans le cloud, ce n’est donc pas un hasard si les entreprises investissent dans cette technologie pour produire de l’innovation.

La stratégie data fabric offre justement la liberté de pousser les données dans le cloud et les exploiter à l’endroit le plus pertinent possible, chez un service provider ou pour une exploitation en local. Cette approche ouverte permet de capitaliser sur l’intelligence du système à différents endroits dans le cloud en y intégrant une couche de management de la donnée pour laisser cette liberté totale à chaque organisation de l’exploiter comme elle l’entend.

La mise en conformité et le fait de le rester au fil du temps est une démarche de longue haleine qui doit être réactualisée en permanence et qui implique une véritable montée en gamme sur la culture de la donnée. Le RGPD d’apparence anxiogène est finalement structurant pour les entreprises et ses data, « nouvel or noir » autour duquel se catalysent des enjeux considérables.

Le consommateur souhaite que ses données numériques privées le restent et soient respectées, on peut penser que les entreprises collectant ses données se tourneront naturellement vers le cloud provider le plus transparent. Cette démarche forcée de compliance permet, in fine, de nourrir et améliorer la relation de confiance avec les citoyens,  tous acteurs de la donnée à leur niveau. Pour les entreprises, l’enjeu est celui d’une meilleure connaissance de ses propres data, avec, à la clé, une exploitation optimisée. Elle ouvre la voie vers des marchés au fort potentiel. La mise en place d’un Master Data Management ouvre l’horizon vers de multiples perspectives reposant sur cette technologie. Cela permettra le déploiement de nouveaux services, sans avoir à créer de l’information en silo, pour gérer « de l’innovation » à de multiples niveaux.

Le RGPD impose de travailler vite, d’analyser un grand nombre de processus complexes de traitement des données personnelles afin de mettre en place tout aussi rapidement des solutions permettant de répondre au nouveau règlement.  Sa mise en œuvre impose aussi de regarder au-delà des frontières de l’entreprise. Elle incite également à une coopération renforcée entre les acteurs de la chaîne de valeur de la donnée, une bonne nouvelle dans un écosystème IT qui plébiscite de plus en plus un cloud ouvert pour garantir une croissance continue des entreprises et éviter un effet de silo.