Pour Elizabeth Maxwell, directrice technique EMEA chez CompuwareLes, la question se pose : les entreprises se sentent-elles concernées par les législations européennes ? En matière de protection des données personnelles, l’impact risque d’être plus retentissant que ne le laisse penser l’éloignement géographique d’institutions dont les objectifs sont parfois obscurs. Transferts des données encadrés, amendes réévaluées à la hausse, profilage sous condition, l’ensemble du cadre législatif européen aura des conséquences sur les investissements IT des entreprises. Protection des données personnelles, voici les 5 étapes d’un plan de mise en conformité.
· Comprendre les implications de la législation
Cela va sans dire mais il appartient aux entreprises de comprendre les conséquences du nouveau cadre législatif européen sur leurs opérations quotidiennes et récurrentes. Cette première étape est essentielle à l’identification des processus de collecte et de transferts applicables chez elles. L’erreur à ne pas commettre est de minimiser l’impact et le coût. Il faudra s’attendre, au contraire, à d’importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s’appuyaient jusque-là sur des données non anonymisées.
· Auditer et localiser les données sensibles
La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d’achoppement, où sont les risques de violation ? Encore une fois, le temps nécessaire à cette analyse ne doit pas être sous-estimé.
· Adapter ses processus aux nouvelles contraintes
Une fois la localisation et l’identification des données et des risques associés réalisées, il devient plus aisé d’introduire à ses processus de traitement existants l’anonymisation de la donnée. Il est également envisageable de créer de nouveaux flux de travail qu’il sera plus facile et plus rapide d’adapter aux exigences à venir de la législation européenne.
· Développer une solution conforme aux exigences
En fonction des résultats de l’audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l’entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d’accès aux données, sur le choix d’une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.
· Donner de l’air à la DSI
L’ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n’est pas de trop au regard des très nombreux paramètres à prendre en compte. Le volume de données, leur interaction complexe, leur qualité et leur intégrité ne sont qu’une étape d’un plan plus général de révision des processus afin de répondre rigoureusement aux obligations européennes.
Les DSI européennes travaillent aujourd’hui, bien malgré elles, à flux tendu. La charge de travail qu’implique le dispositif européen de protection des données personnelles peut être supportée en s’appuyant sur une expertise extérieure, afin de réduire à la fois le risque d’erreur, les délais d’initiation à la législation et donc le coût global.
