Les Echos – 29 mars 2017 :

Les apports successifs de la Loi pour une République Numérique (LRN) et le Règlement Général européen sur la Protection des données (RGPD) imposent aux entreprises des projets conséquents en matière de conservation des données. Outre la dimension système d’information (SI), ces chantiers doivent également intégrer une dimension organisationnelle qui présente des opportunités considérables !

Applicable le 25 mai 2018, le RGDP va introduire de nouveaux droits en matière de protection des données et sanctionner davantage les entreprises en non-conformité. Une partie de ces modalités est d’ailleurs introduite en droit français par la LRN depuis fin 2016. Celle-ci augmente notamment les missions de la CNIL et lui confère des pouvoirs de sanction plus importants. La LRN introduit également des notions qui seront imposées par le RGPD comme le droit à l’oubli, aujourd’hui restreint aux mineurs.

Ces changements de réglementation constituent un enjeu de taille pour les entreprises européennes et notamment françaises qui devront faire un état des lieux des données stockées à ce jour dans leurs systèmes d’information. Car à l’heure de la collecte systématique de données et de la multiplicité de solutions de stockages, plusieurs éléments poseront de réels problèmes de non-conformité vis-à-vis du nouveau cadre légal : politiques d’archivages obsolètes sinon absentes, des processus d’archivage méconnus ou non homogènes et le non-respect des procédures imposées aux collaborateurs.

L’ étude Veritas Global Databerg montre que seuls 22 % des données stockées par les entreprises françaises sont qualifiables de « Clean Data », à savoir identifiées, archivées, sécurisées et représentant un intérêt stratégique pour l’activité de l’entreprise. Et les 78 % restants ? Ils sont constitués à 14 % de données dites « ROT Data », à savoir redondantes, obsolètes ou inutiles pour l’entreprise et à 54 % de « Dark Data » pouvant contenir aussi bien des données redondantes que des données stratégiques !

C’est donc dans ce Diogène de données que se situent les principaux risques de non-conformité, notamment ceux concernant le traitement de données personnelles. Ces dernières échappent en effet aux radars de l’entreprise qui n’est pas en mesure d’identifier le type de données stockées, leur sécurité, leur pertinence ou encore leur licéité.

Les entreprises ont ainsi moins de 18 mois pour se mettre en conformité et éviter procès, sanctions et mauvaise image suite au contrôle des organismes tels que la CNIL.

Alors comment peut-on voir ces changements comme une opportunité pour l’entreprise ?

Dans un contexte économique 2017 encore tendu et incertain, la mise en conformité au nouveau cadre légal nécessite d’agir sur deux fronts. D’un côté, le SI devra être mis à jour pour permettre un traitement conforme des données, notamment par l’application de règles sur l’accessibilité, la durée de conservation ou encore le sort des données. De l’autre, il est nécessaire de réactualiser voire mettre en place des politiques d’archivage qui devront être déclinées par la suite en procédures.

C’est dans ce domaine que résident plusieurs opportunités à saisir pour l’entreprise.

Optimisation des processus : l’actualisation de la politique d’archivage amène à comparer les procédures et les pratiques à la réglementation en vigueur ou à venir. En découlera la formalisation des pratiques en conformité et de modèles cibles d’organisation en cas de décalage, en les adaptant aux solutions SI actuelles ou à développer. C’est aussi l’occasion de revoir certaines pratiques obsolètes ou redondantes et ainsi de dégager du temps pour des activités à valeur ajoutée.

Implication des collaborateurs : cette démarche permet une prise de conscience des enjeux pour les collaborateurs et de mettre en lumière les raisons du non-respect des procédures : absence ou méconnaissance de ces dernières, lenteur des outils ou inadéquation aux besoins… poussant à collecter trop de données dans des circuits échappant au contrôle de l’entreprise. C’est également l’occasion de commencer une conduite du changement en vue de la mise en place des nouvelles procédures d’archivage, et ainsi obtenir l’adhésion des équipes.

Diminution des coûts de stockage : malgré une externalisation du stockage croissante avec des solutions jusqu’à cent fois moins onéreuses qu’un stockage en interne, le coût de l’informatique est trop souvent minimisé, principalement par méconnaissance des collaborateurs. En conséquence, la numérisation croissante, la tendance à la multiplication des doublons, l’absence de purge, augmentent notamment les risques de non-conformité de demain, tout en alourdissant considérablement la facture du système d’information. L’uniformisation du traitement des données et la chasse aux données redondantes et inutiles vont contribuer à la conscientisation des collaborateurs et à libérer des espaces de stockage. Un double levier salutaire !

Il reste donc un peu moins de 18 mois aux entreprises pour se mettre en conformité au nouveau cadre réglementaire. Ces chantiers, déjà amorcés par certaines entreprises, mobiliseront des ressources internes tant sur le SI que sur l’organisation, et devront ainsi permettre l’identification des Dark Data dont certaines stratégiques. Reste à savoir comment celles-ci seront traitées et combien d’entreprises parviendront à les exploiter et les transformer en opportunités.

Par Damien Parizia consultant du cabinet ADWAY

Références pour l’article :

https://www.veritas.com/fr/fr/news-releases/2015-10-28-emea-databerg

http://images.info.veritas.com/Web/Veritas/%7B364a7ca5-e05c-4fce-971b-88e18c62eafb%7D_45145_EMEA_Veritas_Strike_Report_Gulf.pdf

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

http://blog.eurodpo.net/loi-pour-une-republique-numerique-ou-rgpd-il-faut-choisir/

http://www.economie.gouv.fr/republique-numerique

http://www.avocats-mathias.com/donnees-personnelles/loi-republique-numerique-rgpd

http://blog.cr2pa.fr/wp-content/uploads/CR2PA_Livre-blanc-politique_complet.pdf

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s