La General Data Protection Regulation (GDPR, ou RGPD en français) entre en vigueur le 25 mai 2018. L’information n’est pas nouvelle, cela fait déjà un an que l’on en parle. Cependant, nombre de sociétés ne s’y intéressent qu’aujourd’hui.

GDPR ?

Avant d’aborder le sujet de fond de cet article, clarifions ce qu’est cette fameuse GDPR. Commençons par établir le public concerné :

• Tout ressortissant de l’Union Européenne (UE)
• Toute personne ou société qui recueille, traite ou stock des données liées à un ressortissant de l’UE.

Exemple hypothétique : une société américaine vent des brosses à dents à des clients de l’UE et qui a son infrastructure au Pérou est concernée. Car elle utilise : l’identité de l’utilisateur, des données bancaires, une adresse de livraison….

Dans les grandes lignes, les règles établies par la GDPR sont :

• Consentement : L’utilisateur de l’UE doit pouvoir donner son consentement ou le retirer de manière tout aussi simple. Le texte expliquant le consentement doit être simple et clair (fini les 20 pages qui redirigent elle aussi vers 20 pages). Il n’existe aucun consentement à défaut ni de contentement implicite (ex : si le formulaire utilise une case à cocher pour donner le consentement, celle-ci est décochée par défaut).
• Édition / Suppression : L’utilisateur de l’UE est en mesure de supprimer ses données aussi facilement qu’il les a fourni. S’il veut totalement disparaître de vos bases de données, il en a le droit, et ce doit être facile. (ex : Il n’est pas normal d’avoir à envoyer une demande écrite par mail pour modifier/supprimer des données, si le processus qui a permis de les fournir passait par un simple formulaire sur un site)
• Transfert de données : La personne / société qui traite les données doit informer l’utilisateur de l’UE si ses données peuvent être transmises à un tiers (via le formulaire de consentement). Les données peuvent être transmises entre pays de l’UE (donc qui respectent la GDPR). Pour effectuer un transfert hors UE, il y a des conditions particulières établies par la GDPR (accords avec les USA, et liste de sociétés autorisées)
• Information : L’utilisateur peut demander comment sont traitées ses données (par qui, comment et à quelles fins). La personne / l’entreprise en possession de ces données doit lui répondre et lui indiquer les éventuels sous-traitants, leurs localisations et leurs interactions avec les données. Oui le Cloud est concerné (il vaut mieux savoir où sont ses données et si le fournisseur respecte la GDPR).

La GDP fixe aussi des modalités de contrôle, de régulation, des moyens pour les saisir et des sanctions. Une société qui ne respecte pas la GDRP peut encourir une sanction de 20 millions d’euros ou 4% de son chiffre d’affaires annuel (on prend le montant le plus important). La sanction peut être minorée si la GDRP est partiellement respectée.

Autant ne pas prendre de risque.

Pourquoi est-ce un eldorado ?

Toutes les sociétés de l’UE ont à respecter la GDP. Ce sont donc des quantités d’applications, de sites, de bases de données et de services qu’il a fallu repenser et faire évoluer. Ce sont autant de prestations à vendre. Du fait de l’impératif légal, une petite psychose s’est développée autour du sujet. De nombreuses sociétés ont donc voulu voir apparaître sur leurs budgets une ligne GDPR, afin de prouver qu’ils avaient pris en compte la GDPR et qu’ils avaient bien l’intention de la respecter.

Pour les ESN (ex SSII) et les éditeurs, la GDPR est et a été la poule aux œufs d’or de l’année.

Si vous êtes dans une ESN qui n’a pas su profiter de ce mouvement, c’est peut-être le moment de vous bouger ou de travailler au corps votre équipe. Il y a malheureusement encore des sociétés qui sont en retard sur la mise en place de la GDRP.

Pour les éditeurs, l’habitude du « réglementaire » fait que les projets sont déjà réalisés ou planifiés.

Mais pourquoi est-ce un cauchemar pour les ESN ?

Je dirais bien que les cordonniers sont toujours les plus mal chaussés. Mais dans la profession, on entend bien trop souvent cette phrase.

Attaquons donc les sujets qui fâcheront les personnes en ESN:

• Vous utilisez des services du Cloud ? Vous savez où sont vos données ? « Bahhh oui, dans le cloud va ! »
• Avez-vous déjà donné votre consentement pour quoi que ce soit ? « Mais non, on le sait bien ! Dans le métier tout est tacite. »
• Votre entreprise a déjà signé des engagements contractuels avec le client où figurait votre nom ? Vous avez connaissance de tous ces engagements ? Bien évidemment, vous en avez une copie !?
• Manipulez-vous des données d’un ou plusieurs clients ? Avez-vous une copie de ces données dans votre entreprise pour tests ? Vous savez que ces données ne sont pas à vous !?... Le client est au courant ?
• Vos serveurs sont sécurisés ? « Les patchs ? c’est pour le client, nous n’avons pas de temps et d’argent à dépenser pour les mettre en place, et cela ne rapporte pas ».
• Vous utilisez les dernières versions de vos applicatifs ? « On n’a pas besoin de faire l’upgrade, ça coute de l’argent et ça ne reporte rien ! » … et la sécurité ou l’insécurité qui en découle ?
• Avez-vous la liste des applications utilisées dans votre société ? Avez-vous la liste des données qu’elles exploitent ? Vous savez : « Pour la prospection, on garde tout, plus on en a mieux c’est. En plus, on a 10 ans d’historique ».
• Vous communiquez les profils de vos collaborateurs pour mieux vendre une prestation de service ? Tenez-vous une liste des clients et des informations communiquées ?
• Savez-vous à qui votre société a présenté votre profil ? Votre supérieur vous a déjà répondu qu’il n’y avait rien de confidentiel dans votre profil quand il le communiquait ? Vous a-t-on déjà dit « mais tu sais bien pourquoi on te demande de remplir une fiche ! »
• Vos pièces d’identité n’ont jamais circulé pour une accréditation ?
• … etc…

Oui, ça va être la catastrophe, nous sommes tous d’accord. Hormis pour ceux et celles qui auront aussi compris que la GDPR ne concerne pas que leurs clients.

Si vous êtes en ESN et que votre entreprise a encore des méthodes de SSII old school, aidez là. J’ai bien conscience que dans certains cas, le sujet ne pourra pas être abordé sans créer des conflits. Mais il y a peut-être un ou deux sujets qui pourront passer et éviter à votre entreprise de se faire lourdement sanctionner ?