[JdR] Data Risk : mise en conformité du RGPD et premiers retours d’expérience

À moins de trois mois de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), les Jeudis du Risque se sont rendus le 15 mars dernier à la conférence de l’AMRAE pour évoquer le rôle du Risk manager au sein des projets de mise en conformité numérique ainsi que les premiers retours d’expérience de ces chantiers récents.

Le rôle du Risk manager dans la mise en conformité des entreprises

Nous vivons dans un environnement où tout est connecté. Le risque de non-conformité au RGPD existe, bien sûr ; il est cependant purement juridique et il est lui-même lié à d’autres risques. Citons, entre autres, les risques cyber, les risques réglementaires et, de façon plus large, les risques liés à la façon dont l’entreprise protège ses données. La vraie difficulté de l’entreprise se situe-là.

Ainsi, quels que soient les objectifs du Risk manager, il est partie prenante au projet conformité. Il doit intégrer globalement la data dans les analyses de risque, puisque cette data est un enjeu business de son entreprise qu’il convient de sauvegarder. Cela fait sens pour les entreprises, d’autant plus lorsque cette data est perdue, volée, désintégrée, cryptée par des pirates, etc.

La mise en conformité suppose donc une démarche globale qui implique une multitude d’acteurs. Idéalement, il revient à la direction générale de nommer un chef de projet conformité, ou « compliance officer », qui est chargé de coordonner les expertises des différents départements de l’entreprise. Ce chef de projet conformité doit ainsi revêtir une aura particulière et être soutenu par la direction générale : légitimité mais surtout ressources et budgets. Sans ce soutien de la direction générale, un tel plan de mise en conformité globale peut s’avérer plus que délicat à exécuter.

 

Le cahier technique 2018 : une aide pour permettre aux entreprises de se mettre en conformité pour le 25 mai      

L’entreprise qui n’aurait pas démarré un tel plan aujourd’hui ne sera pas entièrement conforme. En revanche, elle pourra se targuer d’avoir débuté son projet conformité suivant une trajectoire positive. La conformité est un objectif constant qu’il conviendra de maintenir après le 25 mai, notamment quand il y aura des évolutions et changements qui devront être suivis.

Le cahier technique de l’AMRAE initie le changement et donne les pistes de la mise en conformité. Il peut constituer un véritable guide technique à l’attention des compliance officers des différentes sociétés, grâce à une présentation claire, synthétique et agrémentée de schémas. Retenons ainsi trois éléments majeurs que l’entreprise doit identifier :

  • Les points-clés et les problématiques qui lui sont inhérentes, pour un bon cadrage du projet de conformité ;
  • Les traitements, leur nature et leur étendue. L’entreprise doit avoir identifié des traitements sensibles ;
  • Les risques de fuites de données à caractère personnel. Il faut évidemment les protéger au maximum, cela préviendra les difficultés avec les autorités, les clients et les salariés.

Une démarche globale …

A partir du moment où une entreprise doit travailler sur des données, il faudra faire intervenir les départements sécurité, informatique et juridique. Une implication du département R&D peut également être souhaitable, au cas par cas. C’est donc un projet global avec de nombreux acteurs impliqués. Les directions doivent se saisir de ce sujet et nommer un chef de projet qui peut être le directeur juridique ou le Risk manager. Ce chef de projet désigné doit bien comprendre le règlement européen, ce qui est attendu par l’entreprise et bien connaître l’organisation et les acteurs de façon à les fédérer avec légitimité.

 

Chercher à confiner le projet à la seule sphère juridique – cabinets d’avocats, directions juridiques – est précisément ce qu’il faut éviter. Il est nécessaire que des acteurs de l’IT soient impliqués dans le projet. On ne peut faire fi de ces experts, tout comme on ne peut faire fi de l’expertise juridique à proprement parler. Gouvernance de la donnée, cyber-sécurité, gestion de la relation-client (la gestion du consentement est un savoir-faire propre) sont autant de thématiques qui doivent peser à travers des experts impliqués dans le changement. Ainsi, toutes ces expertises doivent s’allier au bon moment, sans que l’une prenne l’ascendant sur l’autre ni qu’elle soit la seule à répondre à la problématique

Lorsque l’on parle d’impact du risque, sa probabilité et son niveau de contrôle, il faut voir les types de risques qui affectent l’entreprise. Cela peut, par exemple, être en fonction de ses clients : si l’on officie au sein d’une structure en BtoC et qu’on gère les données de clients, un hacking compromettant des données clients aurait un impact considérable.
Sous cet angle, le Risk manager a-t-il vocation à être désigné chef du projet de mise en conformité ? Il faut voir au cas par cas. Cela dépend de l’entreprise. Au minima, le Risk manager peut tout à fait former le chef de projet, sur l’approche Risk management du sujet, et éviter l’approche trop segmentée sur l’IT ou le juridique pur. Dans tous les cas, ce Risk manager doit participer à sensibiliser la direction générale sur la protection des données et les risques associés.

L’action a lieu en trois temps :

  • La sensibilisation en amont ;
  • La méthode, les diagnostics, les suivis et les audits durant la phase de conformité ;
  • La compréhension des risques transférables aux assureurs en aval.

 

… qui doit inclure les sous-traitants de la chaîne de valeur

Le risque vient souvent de maillons faibles ou d’entreprises éloignées. Les entreprises sont globalement intégrées au sein d’une véritable supply chain dont le périmètre est entièrement saisi par la nouvelle réglementation RGPD.

Il faut donc continuer à rappeler au sous-traitant qu’il est susceptible d’engager sa responsabilité. La voie contractuelle semble être toute choisie, avec le choix de clauses dédiées rappelant ces obligations. De la même façon, il doit s’organiser et faire remonter l’incident à l’entreprise donneuse d’ordre le plus rapidement possible, compte tenu du délai – très court – de 72 heures. Il faut avoir le courage de dire à un client qu’on s’est fait pirater : ce n’est pas forcément négatif dans la mesure où l’entreprise assume et démontre, le cas échéant, une bonne gestion de la crise avec un niveau d’agilité et de résilience supérieur à la moyenne.

Un processus de gestion de crise indispensable

Il est nécessaire de mettre en place une organisation de gestion de crise qui a déjà fait ses preuves. Le RGPD fait peser une obligation plus rapide de notifier l’incident au régulateur, sous 72h suivant l’incident. L’entreprise doit être très réactive et inclure les mécanismes d’alerte dès lors qu’il y a compromission des données personnelles. La non-conformité sera un facteur aggravant aux yeux des régulateurs en cas de piratage.

Une question est souvent mise en lumière : combien coûte une notification à la CNIL et au client ? Considérant que toute organisation vivra nécessairement un jour une crise cyber, il est important de se faire accompagner par des avocats, dès le début de la crise. Quant au coût strict, cela dépend du mode de notification choisi : courrier, hotline, e-mails voire appels téléphoniques, etc. Une fois de plus, ces éléments peuvent être assurés car certaines compagnies proposent ce service additionnel.

Les risques indirects liés à la protection des données

Les principaux risques se situent aujourd’hui sur l’aspect réputationnel et leurs conséquences : perte de confiance et mécaniquement perte de chiffre d’affaires.

Les risques de recours ne doivent pas non plus être sous-estimés, qu’il s’agisse de class action (par des clients contre une entreprise BtoC) ou d’actionnaires mécontents, comme dans le cas de Target, après une cyberattaque de grande ampleur. Il n’est pas exclu que cela se reproduise demain, en cas de non-conformité au RGPD.

De la même manière, les entreprises peuvent subir un risque de dépréciation de leur valeur. Dans un cadre de rachat de société, se posent désormais des questions sur sa protection cyber : si celle-ci est négligée, sa valeur peut diminuer.

Le coût humain et financier de la mise en conformité 

Le coût dépend de la taille d’entreprise, ses clients, son activité, son l’âge et sa maturité, son niveau de préparation en amont, etc. Il n’y a pas de référentiel unique pour de tels projets. La protection du patrimoine informationnel doit rester une constante. À titre d’exemple, les coûts estimés pour une mise en conformité dans des secteurs que sont la banque et l’assurance s’expriment entre 20 et 50 millions d’euros. Il y a également des reportings réglementaires et financiers spécifiques aux secteurs d’activité.

En conclusion, l’AMRAE délivre les premiers retours d’expérience quant à la mise en conformité et avertit sur les risques à identifier et à circonscrire. La dernière édition du cahier du technique, laquelle comprend de nombreux schémas et informations pratiques, peut s’avérer être un précieux guide pour tous les acteurs souhaitant mener à bien leur chantier de mise en conformité au RGPD.

 

Guillaume DARTINET