GDPR*, il y a urgence !

Comme l’illustre une étude menée par Wavestone en 2016 sur la «Vie privée dans le numérique» et publiée début 2017, toutes les données sont sensibles aux yeux des citoyens interrogés, qu’elles soient simples données à caractère personnel ou qu’elles présentent des caractères avérés de sensibilité (données de santé, financière…).

La masse des données que nous «fournissons» dans notre vie quotidienne ne cesse de grandir, en variété comme en volume: données d’identification, données spécifiques à la banque ou l’assurance (*se reporter au Pack de conformité Assurance de la CNIL), mais aussi données liées aux nouveaux produits ou services connectés (transport et mobilité, santé et hygiène de vie, habitation et sécurité…).

Compte tenu de ces variétés et de ces volumes, l’Assuré, au-delà de profiter du meilleur service attendu, veut avoir ou regagner de la maîtrise sur ses données à caractère personnel. Coté Assureur, on veut en profiter pour innover et gagner en parts de marché tout en préservant l’équilibre financier. La convergence se fait sur la relation de confiance. La protection de la vie privée, au-delà de l’obligation de conformité, est une occasion d’installer une confiance durable entre assureurs et assurés. C’est une des conditions de base du développement futur du marché.

La maitrise de la donnée est ainsi essentielle, autant pour l’assuré que pour l’assureur, dans un contexte en pleine mutation: explosion technologique, évolution des comportements et des attentes et du contexte concurrentiel, craintes et menaces amplifiées… Sous la menace de sanctions potentiellement énormes (jusqu’à 4% du CA monde), le GDPR va imposer en réponse des règles plus exigeantes pour les entreprises et les administrations, quels que soient leur taille et leur secteur d’activité.

Le cadre de contraintes qui s’appliquent à ces dernières les met encore plus sous pression dans un contexte déjà sous tension, notamment pour les assureurs : application de la Loi Informatique et Libertés et de la loi pour la République Numérique, déficit de confiance, contexte économique induisant des budgets toujours très contraints avec des arbitrages pouvant aussi toucher les projets de mise en conformité règlementaire, et en conséquence une aggravation des risques de conformité et d’image.

La mise en conformité GDPR est donc clé pour maintenir ou regagner la confiance des clients. Quel que soit le niveau de maturité de l’organisation, il est grand temps de se mettre vite en marche et de façon adaptée !

Il faut se doter d’une interprétation unique du règlement au travers de l’organisation, avec des «acteurs de référence» qui portent cette cible opérationnelle : le DPO et l’équipe cœur du programme GDPR.

Il faut choisir la bonne démarche pour déterminer les processus à risques, les non-conformités dans les traitements et les travaux à lancer (Self-Assessment sur un périmètre bien connu à l’aide d’un questionnaire, entretiens ou d’ateliers complémentaires sur des sujets moins maitrisés, mode plateau si le périmètre est très vaste, ou lorsque les sujets sont très imbriqués).

Concernant le Privacy By Design (dès la conception) et le Privacy by Default (en minimisant les besoins autour des données à caractère personnel), il faut stopper au plus tôt la génération de non-conformité (méthodologie IT, formations internes, l’Assurance Qualité, processus de création de produits et de services, sourcing et gestion des fournisseurs et sous-traitants…).

De très nombreux sujets sont à traiter pour être conforme au GDPR: information et mentions, recueil explicite de la validation du consentement, droit à l’oubli, effacement, protection de la donnée à caractère personnel, détection et alerte, minimisation, sensibilisation et responsabilisation des acteurs… ! Nombre de parutions les énumèrent, présentent ou illustrent actuellement.

L’étendue des travaux est grande, c’est une problématique complexe, multi-sujets, multi-acteurs, transverse, et de longue haleine ! Le projet ou le programme doivent être organisés autour d’une équipe Cœur (pilotage, coordination, directives, reporting…), et de chantiers par grands sujets cohérents et permettant d’impliquer tout au long et facilement les métiers concernés. Car ce n’est surtout pas uniquement un sujet IT, cela concerne toute l’entreprise !

En synthèse, les travaux sont d’une étendue critique :

– Du fait des transversalités : les problématiques GDPR ne concernent pas qu’un métier, qu’un produit, qu’un traitement mais toute l’entreprise et sa culture.
– De part les implications nécessaires : les acteurs à mobiliser proviennent donc de l’ensemble de l’organisation, fonctions support incluses.
– Et compte tenu des efforts à consentir : les budgets sont toujours très élevés en proportion de la taille de l’organisation, ils sont consommés au titre d’un portefeuille de projets s’articulant généralement sur plusieurs semestres.

Le GDPR s’impose aux entreprises et aux administrations : c’est une obligation. Cela implique une mise à niveau, voire un «rattrapage» sur plus ou moins de sujets qui ont pâti d’arbitrages au fil des ans. Mais le caractère global de l’exigence Data Privacy oriente forcément l’organisation vers plus de responsabilité, de transparence et donc de confiance.

La date du 25 mai 2018, c’est après-demain, car c’est maintenant dans moins d’un an ! Le calendrier va comporter nombre de chemins critiques d’ici là : il y a urgence !

Olivier QUINET, Manager – WAVESTONE

*General Date protection regulation, GDPR

Que pensez-vous du sujet ?