RGPD : de l’obligation de conformité aux enjeux économiques
Le Règlement Général sur la Protection des Données organise la collecte, le traitement, les échanges, l’accès, la protection, le nettoyage, la suppression, ainsi que la gestion des fuites de données... et plus particulièrement de celles dénommées "sensibles".
Depuis mai 2016, après des mois de négociation, entreprises, administrations et acteurs du numérique se préparent à la mise en œuvre d’un texte savamment concocté par l’Union Européenne, Etats, experts juridiques et organisations professionnelles. Data Controller et Data Processor, fournisseurs de produits et services doivent s’organiser en conséquence pour mettre en œuvre des solutions et processus appropriés et protéger les données de manière proportionnées aux risques.
Au-delà des questions de gestion des données (collecte, consentement, droit à l’oubli), les acteurs doivent répondre aux exigences spécifiques relatives au chiffrement, au contrôle d’accès, à l’anonymisation, à la destruction et à la notification d’incidents. Une grande question reste posée : disposeront-ils des moyens économiques, technologiques et humains adéquats ? Par exemple, Forrester a estimé qu’environ 28 000 DPO seront nécessaires en Europe et 75000 dans le monde, impliquant une nouvelle gouvernance des risques numériques.
En termes économiques et sur la base d’un modèle de 12 services appliqué aux 120 grandes entreprises privées et aux grands organismes publics français, nous estimons qu’il faudrait engager a minima entre 2 et 4 Mds d’euros sur la période 2016 / 2019 (hors frais d’avocat et audit / certification). C’est en moyenne 10 M€ soit peut-être 3 M€ par an. Des sommes relativement modérées au regard des sanctions potentielles (centaines de millions d’euros pour un grand groupe) sachant que certaines entreprises plus matures ont déjà des mesures en place en s’appuyant sur les textes antérieurs et les standards du marché (ISO, PCI). Selon le 1er baromètre (avril 2017) produit par l’AFCDP auprès d’un échantillon de plus de 100 organismes publics et privés, seulement 19% estiment pouvoir être en conformité en mai 2018.
La période 2017-2018 voit une forte accélération notamment en termes de conseil et sera suivie en 2018-2019 par la mise en œuvre d’outils (pilotage et sécurité); certains existent déjà (IAM, chiffrement, DLP) mais devront évoluer ou être complétées (gestion des registres et PIA, découverte et classification des données, anonymisation et destruction, monitoring et détection).
Le conseil stratégique (transformation avec les métiers, organisation / processus, PIA) mobilise les efforts sur la période 2016-2018. Il est complété par le conseil opérationnel (transformation de l’IT, pilotage de la conformité notamment avec les sous-traitants et acteurs du Cloud) sur la période 2017-2019 et au-delà. S’il faut couvrir les systèmes anciens, la démarche touche surtout les nouveaux projets de transformation digitale (Cloud, Big data et objets connectés).
Il est aussi intéressant de noter que des services complémentaires comme la surveillance du deep / dark web (la fuite a déjà eu lieu), le threat hunting (la menace est présente mais non active), ou le contrôle du shadow IT / cloud (usages à risque) s’adressent d’ores et déjà aux organisations les plus matures, visant un bon équilibre entre protection et détection.
Etre conforme ne signifiera jamais être sécurisé ! Adage bien connu des professionnels. Les CIO, CDO, CISO et DPO doivent collaborer avec les métiers et les fournisseurs de services / solutions pour limiter les risques (atteinte à la réputation et sanctions financières). Il leur faut aussi mener une analyse économique pointue des efforts et définir l’équilibre entre organisation et technologie, protection et détection, investissement et fonctionnement.
C’est maintenant …