Dans dix mois, toutes les entreprises détenant des données personnelles de particuliers européens devront être conformes au règlement GDPR (*). Le cabinet conseil Wavestone a synthétisé les réactions de vingt de ses clients grands comptes et d'une quarantaine de donneurs d'ordre, sur leur état de préparation et les moyens mis en oeuvre.

En termes de ressources humaines, GDPR mobilise entre trois  et quelques dizaines d'ETP, équivalents temps plein, dans les entreprises. Une compagnie d'assurance parle de 40 business units concernées, 300 personnes mobilisées, et 4 ETP en central. En première ligne, se retrouvent des managers IT : responsables IT ou numériques et RSSI, qui concentrent 40% de la charge GDPR en entreprise. « Contrairement à certaines idées pré-conçues, note l'étude, la charge pour les équipes juridiques et pour le RSSI reste limitée, au regard de la charge globale ».

Une 2ème phase plus opérationnelle

Le travail sur GDPR se fait en deux temps. Une première étape d'analyse est franchie, place à l'opérationnel. Désormais, « les coûts IT sont donc plus souvent liés à des problématiques d'exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc », assure Wavestone. La partie juridique devient moins importante, la cybersécurité développe des programmes déjà existants qui ne sont pas liés à l'origine à GDPR, mais le prennent en compte en cours de déploiement.

Après l'IT, les métiers, avec 25% de la charge globale, sont très impliqués dans GDPR, suivis du DPO et du juridique (20%), enfin, l'équipe de pilotage intervient pour coordonner, accompagner et former. Les ressources sont aussi budgétaires et Wavestone constate, qu'après une mise en route laborieuse, les budgets de ses clients ne cessent d'augmenter pour la mise en application du règlement. Les analyses d'écarts et la complexité du sujet poussent à cette  augmentation.

Cinq points à travailler

Wavestone identifie d'ailleurs cinq points de blocage dans la mise en place de GDPR. D'abord, l'application des délais de rétention et du droit à l'oubli au sein du SI. Il en coûte de 40 à 200 000 euros par application. La mise en conformité des contrats existants, lui, bute sur la présence de milliers, voire de dizaines de milliers de ces contrats dans les entreprises. Troisième sujet, la méthodologie d'accompagnement de projets et les outils d'analyse de risques sur la vie privée (les PIA, Privacy Impact Assessment). La question des compétences venues de la DSI, du juridique ou du contrôle interne et de leur pilotage, vient après. Enfin, l'organisation de l'équipe DPO, qui ira bien au-delà de mai 2018, forme un cinquième chantier.

Une échéance qui sera respectée pour les risques majeurs, l'organisation DPO et ses budgets permettant de mettre ensuite l'entreprise en totale conformité. Ce sera la troisième grande étape. Les directions générales en prennent conscience, elles demandent actuellement, selon Wavestone, aux DSI et aux directions métier de « dé-prioriser » certains budgets pour les allouer à GDPR. Wavestone s'est livré à quelques estimations budgétaires édifiantes

Des fourchettes budgétaires très larges

Le cabinet d'études livre trois fourchettes budgétaires. « De 1 à 5 millions d'euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling .... Entre 20 à 50 millions d'euros lorsque l'entreprise a plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d'euros, aujourd'hui en cours d'optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants ».

Wavestone estime que les entreprises revoient le planning initial et le budget, les deux sont très liés, mai 2018 n'est plus une échéance, mais une étape. Les entreprises vont revoir leur budget pour être conformes avec un planning plus réaliste que celui initialement envisagé.

(*) Le Monde Informatique organise cet automne la sixième édition de l'IT Tour, dont le thème dominant cette année sera GDPR : Inscriptions et programme à cette adresse.