Stratégie

Comment les DSI se sont conformés au RGPD

Comment les DSI se sont conformés au RGPD
David Jones, DSI d'AEG, attend plus de clarté et une jurisprudence sur le RGPD pour avancer. (Crédit Photo : CIO UK)

Interviewés par nos confrères de CIO UK, des DSI évoquent leur mise en conformité au RGPD et leur questionnement sur ce règlement européen.

PublicitéIl n'existe pas une seule méthode pour se conformer au RGPD. C'est l'enseignement d'une suite d'entretiens réalisées par nos confrères de CIO UK avec différents DSI. Chacun a mis l'accent sur certains sujets et s'interrogent sur la jurisprudence à venir.

Être proactif dans la définition des règles

John Sullivan, directeur de la technologie et des projets chez Virgin Trains, a utilisé Box pour répondre aux exigence de l'entreprise sur le RGPD autour de la collecte de données depuis les tickets numériques. « Avec le RGPD, vous devez être proactif et vous devez être en mesure de démontrer le processus suivi pour identifier et résoudre les problèmes », explique John Sullivan. Il poursuit en soulignant que « pour le processus d'analyse massive des données, lorsque cela est nécessaire en le notifiant à la personne concernée, ces règles peuvent être définies comme vous le souhaitez. Lorsque vous définissez ces règles dans le cloud, tout se déroule rapidement ».

Des hackers éthiques pour connaître les faiblesses

Chilly Falcher, DSI de Steinhoff, fournisseur d'ameublement et de literie en Angleterre, a choisi la voie de la formation en proposant un programme complet. L'objectif était de s'assurer que le personnel savait ce que l'on attendait de lui. Dans le cadre de cette préparation, le groupe a fait intervenir des hackers éthiques pour essayer de compromettre son réseau, afin que le DSI puisse identifier les faiblesses des défenses de l'entreprise. « Je ne dirais jamais que nous sommes au sommet de la sécurité, car vous ne l'êtes jamais, mais nous y consacrons beaucoup de temps et d'efforts », indique le dirigeant. Il ajoute que « nous avons adopté une approche intéressante, il faut cocher toutes les cases, qu'il s'agisse du PCI (Payment Card Industry) ou de la protection des données. Mais le fait de cocher une case ne signifie pas pour autant que vous êtes en sécurité ».

Par ailleurs, Chilly Falcher se déclare optimiste sur l'impact du RGPD. « Il changera la façon dont les distributeurs s'engagent auprès des clients. Je n'ai jamais été convaincu que l'ensemble des données des clients soit aussi utile que certains l'imaginent. Mais je pense que le RGPD est une bonne chose. Il protège nos droits de consommateurs et nous permet en tant qu'entreprise de nous concentrer sur pourquoi nous avons besoin de ces données ».

Pas de changement révolutionnaire

Simon Iddon, DSI de The Restaurant Group, comprenant plusieurs enseignes de restauration en Angleterre (Chiquito, Garfunkel's restaurant, Frankie et Benny's, ...) a pris plusieurs mesures pour assurer la conformité au RGPD. Mais il considère que des lignes directrices de la réglementation PECR (Privacy and Electronic Communications Regulations) se retrouvent au sein du règlement européen. « RGPD existe depuis 2 ans et n'aurait pas dû être une surprise », explique le dirigeant. « D'un point de vue commercial, il y a évidemment de nouveaux éléments : plus de droits pour les consommateurs, un consentement plus éclairé et la définition de ce qu'est une donnée personnelle. Mais il ne s'agit pas d'un changement radical ».

PublicitéCréer et répliquer les règles

Le gouvernement local d'Ecosse, en tout quoi son DSI, Martyn Wallace, n'est pas dupe sur l'aspect commercial derrière le RGPD. Le dirigeant utilise l'expression « the Elephant in the room » qui s'apparente à notre expression, « comme un nez au milieu de la figure ». Il fait référence « aux commerciaux qui vendent des offres capables de tout faire ». Le DSI a choisi une stratégie de réplication des règles adoptées par les principaux conseils aux 32 autorités locales. « Idéalement, dans ma stratégie de transformation digitale, nous réalisons une chose une fois et nous le répliquons 32 fois.

Des règles peu claires et soumises à interprétation

Pour le vice-président des technologies de l'information d'AEG, propriétaire de plusieurs lieux de divertissements et sportifs (O2 à Londres, Accor Hotels Arena à Paris, Ericsson Globe à Stockholm et Mercedes-Benz Arena à Berlin). David Jones, la problématique du RGPD porte sur la clarté et l'interprétation des lignes directrices par les régulateurs. Etant présent en Allemagne plus exigeante en terme de protection des données personnelles, AEG est probablement mieux préparé que d'autres entreprises. Le dirigeant est lucide, « la réalité est probablement que beaucoup d'entreprises sont loin d'être là où elles devraient être ». Il ajoute, « je pense que l'un des plus grands défis du RGPD est de résoudre le manque de clarté sur ce que le règlement signifie réellement dans la vie quotidienne ».

Conscient « d'avoir de la complexité en étant présent sur 3 pays européens, mais que l'avantage du RGPD est de disposer d'un ensemble commun de normes », il module son propos en soulignant que « la réalité sera différente car chaque régulateur interprétera les choses un peu différemment ». Le fait d'être présent en Allemagne est un atout, car le pays est plus en avance notamment sur la notion de consentement marketing. Sur les premières infractions et amendes, le DSI se veut pragmatique, « nous espérons que l'ICO (régulateur) s'attaquera d'abord à des entreprises comme Google et Facebook plutôt qu'à des sociétés plus petites. Un moyen d'établir une jurisprudence ».

Intégrer une brique assurance de l'information

L'Université de Londres et la DSI, Claire Priestley, doivent gérer les données du personnel et de 20 000 étudiants, dans une optique d'un enseignement personnalisé grâce aux données. Pour cela, la dirigeante explique qu'« il y a 8 mois, j'ai restructuré à nouveau les données en intégrant un pilier assurance de l'information en raison de l'importance des données. Ce travail a été fait pas tant pour des questions de conformité que des problématiques de sécurité, qualité et mobilité des données ».

La DSI se déclare « confiante » sur le RGPD et de souligner, « nous avons réalisé des comparatifs avec d'autres établissements et nous nous situons en bonne position. Nous avons travaillé sur ces sujets depuis quelques années et maintenant pas mal de choses sont sur la bonne voie ».

Thomas Macaulay/CIO UK-IDG News Services (adapté et traduit par Jacques Cheminat)

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis