Alors qu’elles sont aujourd’hui pressées par le temps, les entreprises ont trois voies pour améliorer la protection de leurs données personnelles : l’unification et l’auditabilité des systèmes de gestion des données mais aussi la vérification et la responsabilisation des tiers qui traitent ces dernières.

Alors que la date fatidique du 25 mai 2018, entrée en vigueur du règlement européen sur la protection des données personnelles, approche à grands pas, les entreprises commencent tout juste à prendre la mesure du chantier. Avec parfois une certaine naïveté, beaucoup d’entreprises estiment, encore aujourd’hui, que la GDPR est un projet certes important, mais dont elles peuvent avoir la maîtrise au prix de quelques travaux informatiques… Ce n’est qu’après avoir commencé leur inventaire et plongé dans les détails de leur architecture informatique qu’elles se rendent compte de l’importance et de la difficulté réelle du sujet.

Un simple exemple pour illustrer : j’ai rencontré la semaine dernière un client qui venait de constater que, pour gérer le personnel de l’entreprise, ses services utilisaient non pas une, deux ou trois applications mais plus d’une trentaine, permettant de gérer les talents, suivre les recrutements et les formations, mais aussi pulse surveys, les avantages en natures ou encore les frais de déplacement, sans compter les fichiers Excels et divers développements internes etc. Dans ce cas précis, il va lui falloir s’assurer de la bonne protection des données personnelles de ses employés réparties sur plus de 30 systèmes différents !
De fait, il apparaît qu’en matière de gestion des données personnelles, plus encore qu’ailleurs, le diable est dans les détails.

C’est en mesurant le nombre d’applications, officielles ou non, utilisées par les responsables de l’entreprise, que l’on peut avoir une idée de l’importance des travaux à mener d’ici… un mois. Jusqu’à présent, un certain nombre d’entreprises sont malheureusement restées à un niveau trop général sur le sujet. Trop peu de personnes dans l’organisation ont regardé le détail les implications du nouveau texte européen. Qui, concrètement, a la responsabilité de voir ce qui se passe sur le terrain et mettre le nez dans les applications et les fichiers : le DSI ? Le DRH ? Le DPO, lorsqu’il a déjà été nommé ? En réalité, beaucoup d’entreprises sont encore dans une position d’attente et espèrent – que cela ne va pas leur tomber dessus. Mais la date du 25 mai approche à grand pas. Le gouvernement a clairement exprimé sa volonté de faire bouger les choses sur le terrain de la protection des données personnelles : il est prévu que l’amende de 4% du chiffre d’affaires prévue par le texte européen soit réclamée aux entreprises qui n’auront pas rempli leurs obligations, à moyen terme, si n’est dès le mois de juin.

Trois éléments majeurs

Concrètement, trois éléments doivent aujourd’hui être privilégiés pour se préparer aux nouvelles exigences européennes de protection des données personnelles. Premier d’entre eux, l’unification des systèmes de gestion des données RH. Une petite application, même marginale, dans le traitement des données de l’entreprise peut conduire au naufrage, tout comme, dans un bateau, il suffit d’une toute petite fissure pour que la fuite d’eau arrive. En réduisant le nombre d’applications utilisant des données personnelles, en limitant la coexistence de systèmes parallèles, bref, en en unifiant son système d’information, l’entreprise va limiter ses risques et éviter la prolifération de nouvelles applications. Mais cela implique évidemment, dans une première étape, de recenser l »ensemble des applications et développements utilisant des données personnelles. Cette unification va permettre de mettre en place une des fondations de la mise en conformité à la RGDP qui est le modèle de sécurité unique du système RH, avec une claire définition des rôles et des droits de chaque collaborateur de l’entreprise qui accède aux données personnelles.

Autre élément essentiel : l’auditabilité des systèmes. L’entreprise doit pouvoir facilement identifier l’usage fait de ses données personnelles. C’est à dire savoir qui a utilisé ses données, quand, pour quel usage et bien sûr, quelles données ont été utilisées… Le suivi de l’utilisation des données est essentiel non seulement dans un objectif de contrôle mais surtout pour pouvoir répondre aux demandes qui sont faites. Ainsi, si un employé souhaite connaître – ou reprendre – les données personnelles que l’entreprise détient sur lui, l’entreprise doit pouvoir accéder rapidement à sa demande. Et même apporter une garantie sur le sujet. Il est clair que cette garantie est difficile, voire impossible à donner dans les structures qui utilisent des systèmes disparates. Moins un système sera unifié, plus il sera difficile à auditer. Surtout, les anciens systèmes n’ont pas été conçus pour être audités, seules les applications les plus récentes offrent ce qu’on peut appeler la « data privacy by design », c’est à dire la prise en compte, dès la conception, des nouvelles obligations liées à la protection des données personnelles.

Dernier point majeur, l’analyse des tiers de confiance de l’entreprise. Il existe, en particulier dans le domaine des ressources humaines, un grand nombre de start-ups qui proposent apporter – ou apportent – des services complémentaires à l’entreprise, par exemple dans les domaines de la formation, de la gestion des talents, etc. Le problème est qu’un grand nombre de ces acteurs sont loin d’avoir pris la mesure des contraintes de la nouvelle réglementation sur la protection des données et surtout, n’ait pas la capacité d’investissement pour se mettre en conformité avec la RGPD. En résumé, ils évitent… et génèrent ainsi des risques importants chez leurs client. Il est aujourd’hui de la responsabilité des entreprises d’aller voir leurs fournisseurs et de leur demander, très concrètement, quelle est l’importance donnée à la sécurité dans leur organisation. Quelles sont les mesures de protection des données personnelles qui ont été mises en œuvre ? Quels sont les tests et les audits qui sont réalisés ? Quelles sont les certifications de sécurité qui ont été obtenues ? Quels sont les investissements ont été réalisés jusqu’à présent ? Et quels sont ceux qui seront faits au cours des prochaines années ? Ces questions sont majeures pour évaluer son risque, non seulement aujourd’hui mais aussi à moyen terme : c’est dans le temps que la sécurité des données sera éprouvée. Le résultat des investissements réalisés aujourd’hui se verra demain… Il faut non seulement que les tiers de confiance de l’entreprise investissent mais aussi qu’ils disposent d’une véritable assise financière. L’une des questions à se poser lorsqu’on confie ses données à une entreprise est : sera-t-elle encore là demain pour garantir leur sécurité ?

Il y a évidemment un lien entre les trois points. Ce n’est qu’en entrant dans le détail du traitement de leurs données personnelles que les entreprises pourront prendre la mesure des travaux nécessaires à leur mise en conformité. A moins d’un mois de l’échéance du RGPD, il leur faut privilégier les solutions unifiées et offrant le « data privacy by design »…