GDPR : les 5 défis majeurs de transformation du SI

Aujourd’hui, comment qualifiez-vous le niveau de maturité des entreprises par rapport au GDPR ?

De nombreuses organisations ne sont pas encore prêtes pour la mise en conformité au règlement GDPR sur la protection des données personnelles, lequel entrera en application le 25 mai 2018. Toutefois, certains grands comptes ont déjà formalisé et financé leur feuille de route, et ainsi entamé une démarche opérationnelle. Les impacts sur les organisations, les processus et les systèmes d’information sont intimement liés à la collecte et aux traitements des données personnelles et donc dépendent fortement du métier de l’entité. Les entreprises ne sont effectivement pas toutes exposées aux mêmes risques en fonction de leur secteur d’activité. Selon SIA Partners, qui a réalisé une étude sur le coût de la mise en conformité du GDPR auprès des entreprises du CAC 40, le budget moyen pour le secteur de la banque et de l’assurance est de 90 M€, de 11 M€ pour le secteur B2B et de 35 M€ pour le secteur B2C hors banques et assurances. Par rapport à ces chiffres, les écarts, sur le terrain, sont parfois disparates. En effet, dans certains cas, la complexité du GDPR a largement été sous-estimée et il est difficile d’appréhender un budget maîtrisé dans le temps. Et pour cause, le GDPR nécessite l’implication de l’ensemble des acteurs métiers, juridiques, conformité, risques, données, sécurité et informatique de l’entreprise d’où l’importance d’une gouvernance pour piloter ce programme global et aller dans le même sens.

Comment IBM s’aligne sur les exigences du GDPR ?

Déjà, au regard des 5 familles d’exigences du règlement GDPR (Accountability, Privacy By Design & Default, Consentement, Droits des citoyens et Sécurité) s’ajoutent, selon IBM, cinq niveaux complémentaires indispensables pour adresser toutes les dimensions d’une transformation couvrant aussi bien les métiers que l’IT. Ces cinq niveaux se résument par : la gouvernance (organisation, GDPR « assessment », conduite de la feuille de route et maintien de la conformité), la formation et la communication (sensibilisation des personnes), la modification et les impacts sur les processus, les datas (Où sont situées les données personnelles ? Quel est l’inventaire des traitements de données personnelles ? Quelles sont les actions de remédiation : anonymisation, chiffrement, effacement, mise en quarantaine ? Comment traiter la gestion des demandes des personnes ?) et la sécurité avec un renforcement de ce socle pour protéger efficacement les données, détecter et gérer les incidents, les failles de sécurité. En fonction des différentes organisations, ce programme a soit été pris par le métier, plutôt d’un côté juridique, soit par l’aspect technique via la sécurité ou encore la data. Toutefois, il est préférable d’avoir une vue globale et certaines organisations en ont bien pris conscience.

Disponibilité d’une plateforme technologique de services modulaires 

Quelle est la proposition de valeur d’IBM ?

Notre proposition de valeur se définit suivant deux axes : des services d’accompagnement et la création d’une plateforme technologique complète à services modulaires. Par services d’accompagnement, nous faisons référence aux prestations d’audit, de recommandations, de création d’une feuille de route ou encore de gouvernance. Par exemple, pour localiser les données personnelles, nous encourageons les entreprises à réaliser des ateliers déclaratifs (inventaires des données) couplés à des scans de données dans les zones à risque sur des bases de données structurées et espaces non structurés. La localisation des données personnelles est d’ailleurs une étape très demandée. Concernant notre plateforme technologique (voir encadré), elle rassemble un certain nombre de méthodologies et d’outils en mode Saas ou On Premise qui vont aider les entreprises dans leur démarche opérationnelle. IBM qualifie cette plateforme de technologie augmentée apportant des services modulaires. Les CIO font face à 5 grands défis de transformation du système d’information au regard de GDPR : la mise en place d’un registre de traitement, la cartographie réelle des données personnelles dans le SI, la protection des données (anonymisation, effacement, chiffrement, mise en quarantaine), la gestion des demandes et du consentement et les enjeux de sécurité (détection et gestion des incidents).

Cette plateforme intègre pour plusieurs de ces outils une personnalisation au règlement, une bibliothèque de filtres dédiés au GDPR. Notre plateforme intègre également des applications de tenue de registre de traitement des données personnelles ou de gestion de consentement, par exemple, développées par nos partenaires, en complément de nos propres services.

Pouvons-nous indiquer que l’usage d’une telle plateforme permet de mieux appréhender le GDPR ? Quels en sont les bénéfices escomptés ?

Oui, elle le permet car notre plateforme technologique de services est un accélérateur pour industrialiser les activités, minimiser les risques et maîtriser ses coûts. Les cinq niveaux majeurs de transformation auxquels font face les décideurs informatiques appellent à la mise en œuvre de technologies augmentées constitutives d'une plateforme, et le plus souvent, au développement d'un centre de services. Les bénéfices escomptés sont bien sûr la mise en conformité réglementaire du SI  mais aussi l'opportunité de renforcer les moyens sur la gouvernance de la donnée sans oublier l'amélioration de la relation client et l'apport de nouveaux services. En effet, pour certaines entreprises, le GDPR est aussi une opportunité de marché leur permettant de promouvoir de nouvelles offres de services auprès de leurs clients.