Mener une stratégie active de protection des données est susceptible de procurer aux entreprises un avantage concurrentiel. Même si ce travail peut s’avérer colossal, PME et ETI doivent l’inclure dans leur feuille de route, explique Yuksel Aydin, le responsable de la sécurité des systèmes d’information (RSSI) et délégué à la protection des données (DPO) de RSM. Décryptage d’un sujet aussi complexe que passionnant.
Pour quelles raisons les entreprises doivent-elles mener une gestion proactive de leurs données ?
Elles doivent avant tout s’y intéresser parce qu’il s’agit d’un sujet qui les touche dans leur globalité : avec la numérisation des processus, l’importance des données représente un phénomène qui va bien au-delà de la direction des systèmes d’information et concerne tous les services, sans exception. Cela est d’autant plus important que nombre d’entreprises découvrent qu’elles peuvent ainsi capitaliser sur l’informatique qu’elles ont déployé et en retirer de la valeur ajoutée – tout en agissant avec précaution, étant donné les risques de piratage de plus en plus fréquents. Enfin, cela intervient sur fond d’émergence de l’identité numérique des entreprises, avec la somme de tous ses composants : adresses IP, numéros de téléphone, adresses e-mails, etc.
C’est notamment pour répondre à l’ensemble de ces tendances de fond que le législateur a souhaité attribuer des droits dans ce monde virtuel, de sorte à protéger les données des individus comme des entreprises. En complément de la loi Informatique et Libertés, le RGPD pose le cadre d’un nouveau modèle à respecter depuis son entrée en application, en mai 2018.
Qu’implique déjà ce cadre réglementaire ?
A l’échelle internationale, on assiste à la séparation entre deux mondes : les zones géographiques faisant l’objet d’une régulation forte, dans le sillage de l’exemple tracé par le RGPD, et les autres. A l’échelle des entreprises, il y aura également une segmentation nette car celles qui s’y conformeront se doteront nécessairement d’un avantage concurrentiel, en particulier lorsqu’il s’agira d’apporter la preuve de leur « compliance » lors des appels d’offre ou encore de répondre aux attentes des consommateurs en matière de responsabilité extra-financière. Dans ce contexte, néanmoins, nombre de PME et d’ETI n’ont pas encore pris la mesure de l’atout que cela peut représenter dans leur plan de croissance.
Il est vrai que, malgré l’accompagnement qu’elles peuvent trouver tant auprès de la CNIL que de nombreuses associations (comme l’AFCDP), elles font face à un travail colossal lorsqu’il s’agit de se mettre en conformité. Pour les plus récentes, difficile de dégager un budget pour recruter un DPO avant d’atteindre une taille critique ; pour les autres, il s’avère souvent compliqué et coûteux d’analyser en détail son organisation et tout l’historique pour y appliquer une approche totalement inédite – et ce d’autant que les talents sont rares pour être en mesure de gérer un tel projet.
Est-ce obligatoirement un processus complexe ?
Une chose est sûre : le fond du sujet est particulièrement important, voire critique, car toute entreprise qui s’inscrit dans une démarche RGPD touche aux données de ses clients, de ses fournisseurs, de ses salariés, etc. Il faut donc impérativement gérer cette question en mode projet pour la traiter correctement.
Surtout, il est nécessaire de ne pas procéder en mode « one-shot » mais bien de s’inscrire dans la durée. C’est l’erreur commise par certaines entreprises : plutôt que de fournir un travail considérable pour « être dans les clous » une fois pour toute – ce qui s’avère irréaliste –, il faut privilégier la mise en place d’un processus récurrent. Tel est l’objet de la démarche « privacy by design », qui doit passer par l’identification des correspondants internes pour identifier et assurer le suivi des données, l’élaboration des premiers indicateurs, etc. N’oublions pas que toute politique de protection des données doit s’inscrire dans un processus continu de transformation des entreprises.
Comment appréhendez-vous le sujet chez RSM ?
C’est avant tout une question de sensibilisation : comme dans toute entreprise s’adaptant à un cadre réglementaire récent, nous devons faire prendre conscience à l’ensemble des équipes de l’importance des données. Mais c’est aussi une question d’apprentissage, car dans un métier de conseil où l’humain figure au cœur du réacteur, nous devons afficher un fort niveau d’exigence pour être irréprochables à l’égard de nos clients.
En matière de protection des données, comme de cybersécurité, je reste persuadé que l’intelligence humaine sera toujours la clé. Partager les meilleures méthodes et démontrer leur efficacité permet de faire office d’ambassadeur et de convaincre de la nécessité d’aborder le sujet par le côté positif – et non en simple réaction à une contrainte légale. En expliquant ce que sont les données à caractère personnel et en partageant notre expérience, chaque collaborateur devient potentiellement un référent auprès de nos clients.
