securite-des-donnees

GDPR et LPD sont souvent envisagées comme une contrainte réglementaire… de plus, mais cette fois-ci particulièrement structurante. C’est sans compter sur les risques que ces réglementations vont permettre aux entreprises de mieux prévenir d’une part, et les opportunités de transformation qu’elles vont légitimer d’autre part.

Pour un Directeur Général, il n’est jamais évident d’acheter un plan de mise en conformité censé prévenir des risques financiers et de réputation aussi importants soient-ils.
En effet ceci reviendrait à signer un chèque en blanc, dont le montant pourra dans le cas de GDPR / LPD être très élevé.

GDPR / LPD – une formidable opportunité ?

Nous voyons plutôt GDPR/LPD comme une formidable opportunité. Celle de lancer une mise à niveau sur deux serpents de mer de la transformation métier/IT :

  • Gouvernance de la donnée
    • du côté métier : définition des circuits de traitement de l’information et des propriétaires tout au long de son cycle de vie
    • du côté IT : architecture d’entreprise, MDM et urbanisation du SI
  • Sécurité des données
    • aux plans métier (politiques internes, formation, responsabilisation, évolution des pratiques)
    • et IT pour être mieux armé face aux challenges de la nouvelle ère de cyber-criminalité dans laquelle nous entrons

Serait-ce fou que d’additionner aux coûts de mise en conformité les coûts et risques d’une transformation encore plus ambitieuse ?
Nous dirions plutôt qu’il s’agit davantage d’insérer la mise en conformité dans les plans de transformation de l’entreprise… de manière insidieuse mais vertueuse, en cherchant à aller un peu plus loin que ce qui était prévu initialement.

GDPR / LPD – les bénéfices du plan de mise en conformité

En effet, pour une entreprise tout investissement doit permettre de trouver un bénéfice. Il devra en être de même avec GDPR/LPD.
Comme nous l’expliquions dans un précédent article, l’objectif pour mai 2018 doit être de disposer d’un plan de mise en conformité détaillé. Rien n’empêche – à partir du moment où il est suivi en central par le DPO – que ce plan soit constitué d’une combinaison d’actions dédiées et d’initiatives portées par les projets/programmes de transformation de l’entreprise. D’autant que l’autorité de supervision sera flexible sur les délais d’implémentation dans la mesure où ils sont connus, réalistes et maîtrisés.

GDPR-benefices

Pour chaque écart constaté à l’occasion du « Privacy Impacts Assessment » conduit en début de démarche, les questions suivantes devront être posées :

Quels bénéfices opérationnels collatéraux peuvent être trouvés quitte à pousser un cran plus loin que la simple mise en conformité/remédiation ?

Quelles évolutions ou projets prévus sur le SI ou les processus métiers pourraient porter cette transformation – et porter de fait son financement ?

Les projets/programmes identifiés comme véhicules de la mise en conformité doivent-ils être fondamentalement réorientés voire retardés ou anticipés ?

Si aucun véhicule n’a été identifié : gagnerait-on à définir un programme de transformation dédié embarquant à la fois conformité et bénéfices opérationnels ?

Afin de maximiser les bénéfices associés à la prise en compte des réglementations GDPR/LPD, il est urgent de ne pas se presser afin de combiner intelligemment conformité et transformation…
Il ne faut toutefois pas oublier de parer au plus pressé au travers de quick wins portant sur les risques les plus sévères (au hasard : sécurité IT pour beaucoup…).

Lire d’autres articles concernant GDPR sur notre blog Redsen :

Rejoignez-nous le 20 juin pour en savoir plus : programme et inscriptions

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top