Lors du Forum international sur la cybersécurité organisé à Lille, Gilles Garnier, directeur de la Practice Protection des données chez Harmonie Technologie, une société de conseil, a bien voulu répondre à nos questions sur le Règlement général sur la protection des données. Un texte en vigueur dès le 25 mai 2018 dans toute l’Union européenne.
C’est dans un peu plus de trois mois que le futur règlement sur les données personnelles s’encastrera dans chacune des législations européennes. En France, Isabelle Falque-Pierrotin, présidente de la CNIL, nous a assuré qu’ « il n’y aura pas un couperet le 25 mai 2018 ».
À l’égard des PME, l’autorité opte pour une stratégie d’accompagnement dans la mise en conformité. En ce sens, une trousse à outils sera bientôt disponible à leur destination.
En attendant, sur le marché commercial, difficile de faire un tri dans la jungle des offres proposées par les différents prestataires. L’avènement de ce règlement est une opportunité, mais également un nid à potentiels abus. Pour tenter d’y voir plus clair, nous avons échangé avec Gilles Garnier lors du FIC à Lille, la semaine dernière. Celui-ci est spécialiste de la protection des données chez Harmonie Technologie, une société de conseil installée à Paris.
À quelques mois de l'échéance, on assiste à une profusion d’offres de conseils sur le RGPD. Comment fait-on pour se démarquer dans ce magma ?
Déjà à travers de manifestations comme le FIC et de rencontres avec des gens justement à la recherche d’acteurs dignes de confiance. Lors des Assises de la cybersécurité à Monaco, des personnes sont venues nous voir pour tester la crédibilité d’une liste d’acteurs qui prétendent « faire » du RGPD.
Sur cette base, ils tentent de faire un tri, entre ceux avec qui ils sont susceptibles de travailler et ceux qui ne développent que des arguments commerciaux. Se démarquer, c’est donc à travers les différents contacts, des retours d’expérience des clients – qui se parlent beaucoup entre eux. Pour notre part, dans une proche pragmatique, nous avons intégré des juristes, spécialisés sur la protection des données à caractère personnel avec un passé de correspondant Informatique et Libertés.
Il y a deux ans aux Assises, nombreuses entreprises avaient une approche attentiste sur le RGPD, scrutant les premières sanctions à venir...
Aujourd’hui globalement, il y a bien une attitude de relâchement, loin de l’effervescence constatée lors de la publication du RGPD. Beaucoup d’entreprises ont depuis réalisé l’ampleur d’un chantier complexe, long et coûteux.
Certaines, ayant un intérêt particulier et traitant des données sensibles en nombre, ont continué de manière sérieuse pour être désormais quasi prêtes. Et puis il y a celles pour lesquelles cette pression est retombée.
On se retrouve donc dans la même problématique qu’il y a quelques années. Une partie de la crédibilité de ce règlement passera aussi par les sanctions infligées par les autorités dans les mois à venir. Si ces amendes sont au niveau de celles pratiquées dans le domaine de la concurrence, cela redonnera nécessairement un coup de fouet.
En somme, une pédagogie par la sanction…
Oui, mais on voit aussi des évolutions dans les mentalités sur les aspects positifs du RGPD. Un exemple simple : des entreprises s’interrogent sur la question technique du consentement, comment le recueillir, le stocker, le présenter, etc. Il y a quelques jours une grosse mutuelle nous a consultés sur le sujet : comment donner envie à une personne que l’on traite ses données ?
Elle est toujours en phase de recherche essayant d’inventer des incitations. Si à la fin le client ne clique pas sur « oui, je consens », probablement elle se dit qu’il ira voir ce qui se passe chez le concurrent.
L’idée est de vraiment donner envie à la personne d’aller plus loin dans cette relation, un cheminement qui passe par une information explicite, claire qui paraît honnête par rapport à ce que l’entreprise fait des données collectées, en passant, pourquoi pas, par une action de fidélisation. La vraie approche consiste à se démarquer sur des problématiques qui peuvent sembler intrusives, de prendre un autre chemin du risque, de cette sanction financière, réputationelle ou juridique.
N’est-ce pas une mission difficile si ce n’est impossible ?
Peut-être que cette démarche passera aussi, pourquoi pas, par des certifications, des homologations qui auront un sens, qui véritablement apportent la garantie à l’utilisateur du respect d’un certain nombre de points, valorisant un savoir-faire, une expertise de l’entreprise pour garantir la déontologie ou le respect des utilisateurs.
Ce mur du consentement n’est pas le seul point dur du RGPD…
Non, il y a surtout la transformation opérationnelle des exigences réglementaires. Sur les aspects organisationnels, la mise en œuvre d’une gouvernance sur la protection des données, le corpus documentaire, les processus sur le droit d’accès, tout cela représente des choses relativement simples.
Ce qui est difficile est d’arriver surtout à analyser le risque potentiel que peut avoir une fuite de données et anticiper les mesures de sécurité adaptées, que ce soient en termes de chiffrement, « d'obfuscation », d’anonymisation, etc.
Beaucoup d’entreprises sont coincées à ce stade-là. Elles ont bien préparé un état des lieux, une documentation en cas de contrôle de la CNIL, un plan d’action, elles ont matérialisé des processus, documents à l’appui, etc. Elles sont désormais en phase de mise en œuvre opérationnelle de cette conformité, avec des proof of concept visant des produits et sécurité, mais le grand saut a du mal à se faire...
Et puis, il y a surtout la question du coût.
Ce coût est disproportionné pour les structures de type PME ou start-up. Des tailles ridiculeusement petites, des moyens à la hauteur de leur taille, mais des enjeux énormes en termes de traitement de données à caractère personnel. Nous leur conseillons de passer par des prestataires techniques dans lesquels elles peuvent avoir confiance.
La CNIL va peut-être avoir une approche réaliste et viser d’abord l’éléphant plutôt que la mouche, non ?
Certes, mais d’un point de vue purement client ou consommateur, quelle que soit la taille de la société, j’attends que mes données soient protégées. De plus en plus des petites sociétés viennent nous voir, alors que nos clients historiques sont plutôt dans le CAC 40.
Elles aimeraient un minimum de conseils pour augmenter le niveau de sécurité. J’en vois certaines traiter des centaines de millions de données, certaines très sensibles au-delà des nom, prénom, email, qui se sont développées dans le temps sans mettre d’autres moyens qu’un serveur sans redondance.
Je leur dis que cela ne leur coûterait pas beaucoup plus cher de faire héberger ces informations chez un acteur de confiance, de trouver un juste équilibre entre le coût d’une mise en œuvre sur leur propre système et celui d’un déport. On leur propose généralement de déléguer certaines fonctions de type RSSI à des sociétés comme la nôtre - ou qui ils veulent - puisqu’ils ont des comptes à rendre aussi auprès de partenaires.
Merci Gilles Garnier.
