Seuls ceux qui ont vécu ces derniers mois sur une île déserte, sans radio, ni télé, ni connexion Internet baignent encore dans l’ignorance : rappelons qu’un nouveau règlement européen est venu perturber notre train-train quotidien de managers de systèmes d’information. Nom de code : RGPD, pour Règlement Général sur la Protection des Données personnelles.
Vous l’avez certainement remarqué, la seule évocation de ces quatre lettres maudites provoque des manifestations physiques chez vos interlocuteurs (faites donc le test…) : des poussées de fièvre à la direction commerciale, des sueurs froides à la direction générale à la vue des sanctions potentielles, des bouffées délirantes chez les juristes qui auront enfin l’impression d’être utiles, des picotements chez les utilisateurs qui ont planqué des fichiers Excel remplis de données personnelles de provenance douteuse, des convulsions, associées à des crampes à la direction financière à la vue des investissements pour se mettre en conformité, ou des maux de tête au marketing, parce qu’il va falloir travailler un peu plus au lieu de tout refiler à des prestataires véreux, revendeurs de fichiers qui le sont tout autant… Sans oublier des spasmes, tremblements et autres rougeurs suspectes chez tous ceux qui n’ont toujours rien compris au RGPD et à ses implications. Et une nervosité récurrente chez tous les DSI qui vont devoir adapter le SI, les applications et les bases de données pour montrer patte blanche le 26 mai 2018.
Rassurez-vous, je vais vous expliquer comment contourner le RGPD. Pour commencer, oubliez la notion de données personnelles, très anxiogène, et considérez que l’acronyme RGPD signifie Retrouver Gaillardement une Plénitude Durable. Rien qu’avec cette petite astuce psychologique, vous vous sentirez beaucoup mieux ! Parole d’Olivier Séhiaud (je n’en ai qu’une, je vous la laisse en location courte durée jusqu’au prochain numéro de Best Practices) ! Reste le plus dur : sauvegarder concrètement votre tranquillité de DSI.
Pour cela, je vous suggère cinq mesures.
- N’acceptez aucune responsabilité vis-à-vis du RGPD : transformez-vous en militant de la cause des DPO (Data Protection Officer) et encouragez le recrutement d’une ou plusieurs personnes (appelez-les des « talents », ça leur fera toujours plaisir, même s’ils n’en ont aucun et qu’on les a sortis de leur placard). Insistez sur le fait que nommer un DPO est fortement conseillé dans le règlement européen, et même obligatoire pour les entreprises qui manient de nombreuses données personnelles. Et que ce DPO ne doit surtout pas reporter à la DSI.
- Faites financer tout projet de mise en conformité par la DAF (faites-lui peur, ça devrait marcher…), ou les métiers, bref n’importe qui, mais pas par le budget de la DSI ! Et, bien évidemment, faites sous-traiter tous les projets à des consultants, des intégrateurs et des éditeurs qui n’attendent que ça.
- Mouillez la direction juridique, si possible jusqu’au cou, surtout pour les obligations d’information des personnes concernées par les traitements et faites-lui gérer tout le processus d’obtention du consentement et de tenue du registre (c’est un vrai casse-tête, éloignez-vous-en le plus possible…).
- Pour la portabilité des données, en gros le droit d’un individu à emmerder une entreprise juste pour le plaisir, prenez exemple sur les opérateurs de télécoms qui ont été précurseurs pour traîner des pieds avec la portabilité des numéros de téléphone. Ne vous engagez jamais sur les délais, imposez que ce soit le métier responsable de l’application concernée qui gère les demandes (de toute façon, à la DSI, il n’y personne pour s’en occuper…) et suggérez d’être strict sur la production des justificatifs d’identité. Comme le texte européen n’impose que des « moyens raisonnables », tentez aussi d’imposer la production d’un justificatif de domicile… Tout cela devrait freiner les velléités de ceux qui voudraient une portabilité de leurs données, source de perte de temps et de paperasse.
- Devenez intransigeant pour les nouveaux projets. Le règlement européen impose la « Privacy by Design » : voilà une belle occasion de réduire de moitié, au moins, le nombre de projets à traiter, parce que leur cahier des charges ne sera pas conforme. On peut compter sur la créativité de vos équipes sécurité pour trouver le petit détail qui fera qu’un projet ne sera jamais aligné avec les exigences du RGPD…
Quoi que vous fassiez, rappelez-vous des quatre fléaux à éviter dès qu’il est question de RGPD : Responsabilités, Gouvernance, Paperasse, Données personnelles. Facile à retenir, non ?