Le RGPD : un problème taillé pour les plateformes de services de contenu ?

Se préparer au RGPD est souvent synonyme de protection et sécurité des données. Il ne faut cependant pas oublier la nécessité de traiter les demandes d'accès aux informations personnelles.

Ce n'est plus un secret pour personne, le Règlement général sur la protection des données (RGPD) entrera en vigueur en Europe le 25 mai et s'accompagnera de nombreux changements liés à la protection des données et informations personnelles.

De nombreuses organisations considèrent le RGPD comme un problème de sécurité des données, oubliant qu'il s'agit également d'un problème de contenu. En effet, les informations relatives aux clients sont généralement stockées dans de nombreux répertoires et solutions disparates, bien souvent sans moyen efficace pour les rechercher et les utiliser.

Si l'on se concentre uniquement sur la gestion et la protection des informations personnelles au sein des organisations - s'assurant que l'information est stockée de manière sécurisée et que seules les bonnes personnes peuvent y accéder - cela ne pose pas nécessairement de difficultés.

Mais le RGPD introduit également une autre problématique plus complexe : la gestion des droits d'accès aux informations personnelles (Subject Access Requests - SAR), qui permet à tout citoyen européen de demander aux organisations l’accès à l’ensemble des données personnelles le concernant. Etre capable d'accéder facilement au contenu et informations résidant dans divers répertoires d’information devient alors essentiel lors du traitement de ces demandes.

Les demandes d'accès aux données personnelles facilitées sous le RGPD

Pour résumer, lorsqu'elles reçoivent de telles demandes, les entreprises doivent collecter l'ensemble des informations personnelles stockées dans leurs systèmes, les rassembler et les partager avec les citoyens.

Et si les entreprises pouvaient jusqu’à présent facturer de telles demandes, cela ne sera plus le cas sous le RGPD.

Dans ce contexte, il est fort probable que les demandes de droit d’accès se multiplient dès la fin du mois de mai. Une partie de la population risque de contacter sa banque, son opérateur de téléphonie ou son conseil municipal dès le lundi matin qui suivra l'entrée en vigueur du règlement pour demander à recevoir toutes les informations les concernant.

De nombreux DSI n'ont tout simplement pas pris en compte cette charge de travail supplémentaire dans leur planification. Cela peut poser un réel problème, surtout lorsque les citoyens commenceront à effectuer des demandes et à réaliser que les organisations prennent bien plus de temps que prévu pour y répondre, car sous le RGPD, les organisations devront répondre aux demandes d’accès sous un mois, contre deux auparavant.

On dit souvent que les mauvaises nouvelles voyagent sept fois plus vite que les bonnes. Et c'est d'autant plus vrai à l'ère des réseaux sociaux : l'information ne connaît plus de frontières et les mauvaises critiques peuvent rapidement submerger les entreprises.

Mais il y a tout de même une bonne nouvelle : les plateformes de services de contenu peuvent constituer une solution pour répondre à ce genre de défi.

Les plateformes de services de contenu sont-elles la clé ?

Les organisations s'appuient généralement sur plusieurs systèmes pour gérer leur information métier (systèmes de gestion de contenu ECM, applications de partage de fichier, réseaux partagés, etc.), parfois même au sein d'un seul département. Cette multiplicité complique la tâche des utilisateurs qui tentent de trouver la bonne version de l'information : tout le contraire de ce que promettaient les éditeurs ECM : un référentiel unique pour le contenu d’entreprise.

À l'inverse, de nombreuses plateformes de services de contenu permettent de se connecter aux différents systèmes afin que les utilisateurs puissent trouver rapidement l'information dont ils ont besoin pour travailler et ce, quel que soit l’endroit où elle se trouve. Mieux encore, l'intégration de la plateforme aux autres solutions métier permet de proposer le contenu dans son contexte, transformant ainsi l'information en connaissance et facilitant la prise de décision.

La majorité des plateformes de services de contenu (CSP) permet aux entreprises devant gérer des demandes d'accès aux données personnelles de se connecter à ces systèmes afin de traiter les demandes des citoyens et de leur apporter une réponse rapide et dans un format approprié. D'un point de vue organisationnel, les CSP aident les entreprises à identifier tous les endroits où de telles informations sont stockées, facilitant ainsi leur contrôle.

On note sur le marché de nombreuses solutions « clé en main » facilitant la mise en conformité au RGPD. Une CSP est-elle donc vraiment nécessaire ? La réalité est qu'aucune solution ne peut concrètement assurer la conformité totale au RGPD, notamment pour deux raisons :

- Le RGPD n'est pas un problème qu'on résout. Il s'agit d'un ensemble de bonnes pratiques et de processus permettant de mieux gérer les informations personnelles.

- Il n'existe aujourd'hui aucune solution capable de répondre à l’ensemble des exigences réglementaires imposées par le RGPD. Et même si c'était le cas, il serait impossible de garantir la mise en conformité dans le temps et de manière pérenne.

Cette multitude de solutions estampillées RGPD cherche les informations personnelles stockées dans les systèmes de fichiers et les lecteurs réseau (documents Word, feuilles de calcul Excel et autres documents non structurés). Cependant, elles ne vont pas analyser les systèmes de CRM et d'ERP, les plateformes RH ou tout autre système métier, alors que c'est pourtant là que les informations personnelles sont en majorité stockées. Les plateformes de services de contenu vont au contraire analyser les systèmes de fichiers (stockant les contenus non structurés) et les solutions d'entreprise (généralement des bases de données contenant des données structurées) afin de proposer une vue complète de l’ensemble des informations et permettre de répondre efficacement aux demandes de droit d’accès aux données personnelles.

Les organisations doivent prendre toute la mesure du RGPD au-delà de l’aspect sécuritaire. Il est essentiel de se préparer de manière adéquate aux futures demandes d'accès aux informations personnelles, et ce dès maintenant, avant l'entrée en vigueur du RGPD et avant les premières demandes.

Dans le cas contraire, les critiques négatives relatives au RGPD pourraient rapidement se multiplier, pas à cause d'un défaut de conformité, mais en raison d'une mauvaise expérience et d'un manque de réactivité pour délivrer ces informations.