Delicious Digg Facebook Favorites More Stumbleupon Twitter

Protection des données personnelles et conformité au règlement européen (RGDP) : 1 an après, où en sont les entreprises ?

-

A l’heure des nouvelles technologies, la protection de la vie privée constitue un enjeu
majeur pour les citoyens et les Etats. C’est dans ce contexte que s’inscrit le nouveau
règlement général sur la protection des données (RGDP), qui sera applicable à l’ensemble
des pays de l’Union Européenne en mai 2018. Elle vise à renforcer les droits des citoyens en
matière de confidentialité et de protection des données et incite les organisations et les
entreprises à être davantage vigilantes. Lancé en avril 2016, le processus de mise en
conformité invite ces organisations et ces entreprises à se mettre au diapason des nouvelles
règles de sécurité et de protection des données. 1 an après, où en sont les grands acteurs
concernés ? Seront-ils conforment d’ici mai 2018 ? Quels sont les chantiers les plus
complexes aujourd’hui ? Wavestone, le 1er cabinet de conseil indépendant en France, publie
un bilan de leur état d’avancement. Les résultats son issus des travaux que le cabinet
réalise pour plus de 20 grands comptes présents internationalement dans de multiples
secteurs (banque, assurance, transports, énergie, services…).

Des programmes importants qui mobilisent plusieurs centaines de personnes dans les entreprises

Les programmes de mise en conformité impliquent très largement les
entreprises, de quelques dizaines à quelques centaines d’acteurs à
chaque fois. Les charges consolidées entre ces acteurs vont de 3 à 4
ETP (équivalent temps plein) pour les environnements les plus petits
et les plus conformes, et jusqu’à plusieurs dizaines d’ETP pour les
environnements les plus complexes et les plus éloignés de la cible.
 » Contrairement à certaines idées préconçues, la charge pour les
équipes juridiques et sécurité reste limitée au regard de la charge
globale », indique Raphaël BRUN, manager expert de la conformité RGDP, chez Wavestone.

Investissements allant de 1 à 50 millions d’euros
Les programmes RGPD se chiffrent aujourd’hui pour
de grands groupes internationaux, dans des
fourchettes allant de 1 à 5 millions d’euros pour les
organisations manipulant un nombre raisonnable de
données personnelles et peu mobilisé sur le big data
ou le profiling ; et jusqu’à des fourchettes allant de
20 à 50 millions d’euros lorsque que l’entreprise a
plusieurs métiers et de très nombreuses
entités/filiales.

Répartition observée des charges d’un programme RGPD

TOP 10 des chantiers mobilisant les investissements

 » Le facteur de coût le plus important est relatif aux nombres d’applications métier à faire évoluer, chacune d’entre elle pouvant nécessiter des investissements de plusieurs dizaines, voire plusieurs centaines de milliers d’euros » ajoute Raphaël BRUN.

5 points à traiter en priorité pour accélérer la conformité

Que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité des entreprises analysées :

l’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants ;

la mise en conformité des nombreux contrats existants ;

la mise en oeuvre d’une méthodologie simple d’accompagnement des projets (Privacy By Design / Privacy Impact Assessment) ;

la mobilisation des rares ressources expertes du sujet à même de contribuer aux chantiers

l’organisation de l’équipe DPO.

Mai 2018 : une première étape de la mise en conformité

Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardé. Pour autant, depuis le début de l’année 2017, de nombreux programmes sont à présent dans leur phase de remédiation et des premières solutions émergent. Toutefois, tous les chantiers ne pourront être terminés pour mai 2018. Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts.

Source:: Global Security Mag

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Intrusio

Trop curieux pour ne pas le faire, trop honnête pour ne pas le dire.