Dominique Pourchet, expert en cybersécurité chez Partner Magellan Consulting.
A moins d'un an du lancement officiel du GDPR, quelle est la situation des entreprises sur le terrain ?
Un climat anxiogène s'est installé par rapport au GDPR car les entreprises estiment qu'elles ont énormément de choses à réaliser pour être en conformité avec le GDPR. Dans la majorité des grandes entreprises, ce sujet s'inscrit déjà dans leurs priorités. C'est en revanche plus compliqué dans les PME et les ETI, certaines découvrent même le règlement et n'ont donc pas encore pris en compte l'impact des sanctions en cas de non-respect du règlement. C'est d'autant plus inquiétant pour les entreprises dont le métier est de traiter des données pour le compte de leurs clients. Pour accéder à la connaissance du GDPR, nous organisons régulièrement des matinales et des petits-déjeuners. Pour l'heure, nous ne pouvons pas encore communiquer sur des retours d'expériences, le GDPR étant toujours en cours de déploiement. D'ici à la fin du mois, voire début octobre, nous pourrons éventuellement lister les premiers cas d'usages.
Quels sont les principaux impacts du GDPR sur la DSI ?
Cette démarche de mise en conformité, c'est un triptyque entre le DPO, le DSI et le RSSI, le DPO faisant office de chef d'orchestre. Car au-delà des aspects juridiques, il y a un vrai travail pour identifier et cartographier les données personnelles dans l'entreprise et chez leurs prestataires, sans oublier la mise à jour des applications et des systèmes de sécurité. Il faut aussi prendre en compte l'analyse des risques (ndlr : comment sont gérées les données à caractère personnel ?) et le déploiement de nouveaux outils. Bien sûr, le DSI peut aussi faire office de DPO s'il suit une formation juridique, tout dépend de l'organisation de l'entreprise. Quant aux directions métiers, elles sont également impliquées dans le GDPR car elles traitent souvent des données personnelles. A ce titre, tout n'est pas négatif, ce règlement a vocation à élever le niveau de sécurité dans l'entreprise car l'ensemble des équipes est sensibilisé.
Quelles solutions proposez-vous pour accompagner les entreprises ?
Déjà de faire un bilan en binôme avec un cabinet d'avocat, nous travaillons à ce titre avec le cabinet Bensoussan spécialisé dans le droit numérique. Nous conseillons aussi aux entreprises d'avancer pas à pas et d'avoir une réelle approche de benchmarking avec les autres entreprises. De même, il est important de suivre les recommandations de la CNIL, du G29 ou de l'association des DPO (ADPO) -https://www.data-protection-officer-association.eu/ - qui disposent de calendriers précis sur ce sujet. Pour les outils, les solutions (de cartographie des données, de chiffrement, de détection d'incidents, etc.) existent mais les entreprises doivent comprendre comment les mettre en oeuvre. Enfin, nous faisons aussi office de DPO de transition pour les entreprises qui sont en cours de recrutement.
Quel est le coût de cette mise en conformité du GDPR pour une entreprise ?
Difficile de répondre, une récente étude estime le coût à 30 millions d'euros (ndlr : étude menée par Sia Partners) pour une entreprise du Cac 40. Tout dépend du niveau de maturité, le coût peut être de 10, 20 ou 30 millions d'euros. L'investissement reste très élevé, l'entreprise doit notamment revoir tous ses contrats pour atteindre cette mise en conformité. Elle devra aussi investir des sommes importantes dans l'outillage. Passée cette mise en conformité, cette charge diminuera.
Suivez-nous