« En résumé, le RGPD implique : un audit data permettant de répondre aux questions que stocke t-on, sur qui, pour quoi faire ? ; un audit technique, entre autres sur la limitation du traitement et du profilage ; et une refonte totale de l’acquisition de données auprès de sources tierces. » Cette synthèse de Thomas Gerbaud, patron d’OceanData, une start-up basée à Eguilles et spécialisée dans la data science, donne une idée du chantier ouvert par le nouveau règlement européen.
Pour l’écosystème numérique métropolitain, il s’agit aussi bien d’un risque que d’une opportunité. Parce que le RGPD demande plus de vigilance face à une éventuelle fuite de données personnelles, Oxatis, société marseillaise spécialisée dans la création de sites et services e-commerce, a dû augmenter sa sécurité informatique, en particulier en mettant en place des tests de détection de failles quotidiens. Mais ce nouveau règlement lui a aussi permis de se distinguer en garantissant aux clients un niveau élevé de « compliance ». « Avec le RGPD, il va non seulement falloir conserver des fichiers de consentement [par exemple lorsque un utilisateur donne, ou non, son accord pour recevoir une newsletter, ndlr] mais aussi en garder tout l’historique » explique à Gomet’ Marc Schillaci, fondateur et PDG de la société. « Quand monsieur X, à la date Y avec l’adresse IP Z, modifie son consentement, nous stockons cette information de manière inaltérable, grâce à la blockchain. Même nos collaborateurs ne peuvent pas modifier cette information. Nous proposons aussi des études d’impact sur les principaux traitements de données, par exemple lorsqu’une commande est passée. Nous insistons en particulier sur l’importance de ne pas recueillir des informations inutiles : si vous vendez des boulons, demander la date de naissance ne sert à rien ».
Se protéger avec une cyber-assurance
Autre service opportun: les cyber-assurances. Une offre nouvelle qui a le vent en poupe selon Ely de Travieso, président du Clusir (club de la sécurité de l’information) Paca. « En cas de faille, une entreprise peut décider de se débrouiller toute seule pour écrire à ses clients. Mais elle peut aussi décider de s’appuyer sur une cyber-assurance. Dans ce cas, lors d’un sinistre, c’est l’assurance qui gèrera ». Comme chaque aspect du RGPD, cette exigence de transparence génère aussi bien des offres juridiques que technologiques. Chez Jaguar Network, dont le président, Kevin Polizzi, s’est fortement impliqué dans les efforts de sensibilisation de la French Tech Aix Marseille, on met l’accent sur un annuaire collaborateurs dédié. Là, l’objectif est d’enregistrer chaque accès fichier, et de déterminer qui a vu quoi et qui a accès à quoi.
La gestion des sources tierces, elle, est le point qui génère le plus d’incertitudes. « Une des clauses juridiques les plus complexes est celle relative à la sous-traitance » précise Kevin Polizzi. « Il va falloir bien cadrer leur conformité ». Un autre point d’interrogation majeur est la possibilité accordée aux particuliers de réclamer leurs données. Ce sujet suscite de nombreuses questions selon Thomas Gerbaud : « comment permettre aux citoyens de faire leurs demandes aux entreprises ? Comment s’assurer de la légitimité de ces demandes, de leur réelle identité derrière le formulaire qu’ils ont rempli ? Comment recouper cette identité partielle (des Jean Dupont dans le 91 il y en a sûrement des dizaines) avec les données présentes et fragmentées dans les bases de l’entreprise cible ? Quelles données lui fournir ? C’est une obligation légale de faciliter et de recueillir ces demandes, puis d’y répondre dans un délai d’un mois ».
Entre 8000 et 20000 euros
On l’aura compris, la mise en conformité RGPD est un vrai chantier, qui aura donc un coût, qu’il ne faudra pas nécessairement minimiser. Pour Ely de Travieso, « il faut faire attention à qui promet quoi. Je vois passer des offres d’accompagnement à 2000 euros, pour ce prix-la, vous n’aurez pas grand chose. Pour une PME, j’estime que le coût total peut osciller entre 8000 et 20000 euros. »
Parce que le RGPD est une obligation, cette dépense est quasi-incontournable. Pour faire passer la pilule, les acteurs du secteur rappellent la dimension stratégique de ce règlement. « Il va permettre de créer un marché européen de la donnée, basé sur la confiance » affirme Kevin Polizzi. « L’Europe va ainsi donner un grand coup d’arrêt à la donnée non-structurée, et pousser les entreprises à se structurer. C’est particulièrement vrai en France, un pays qui n’a jamais vraiment investi dans le business management ». En se rendant conforme avec le RGPD, les entreprises européennes deviendraient capables de profiter des avantages du big data, une fois leurs données structurées, tout en le faisant à la mode européenne, supposée plus respectueuse des intérêts des citoyens qu’aux Etats-Unis ou en Chine.
Lien utile :
Notre premier volet sur le RGPD avec notamment l’interview de l’avocat spécialisé Nicolas Courtier