MyDigital-life.online

Ce blog va me permettre d'écrire tout ce qui me passe par la tête et de vous en proposer une lecture.

Le RGPD pour les nuls

Le RGPD pour les nuls

Ca y est, qui dit nouvelle réglementation dit marketing de la peur ! Surtout dans le domaine des données personnelles.
Cette année, c'est le Règlement européen sur la protection des données personnelles (RGPD, donc ?!) qui est paru au journal officiel de l’Union européenne et qui entrera en application le 24 mai 2018 qui fait la Une des magazines spécialisés et des réseaux sociaux.

La CNIL, rappelle que L’adoption de ce texte doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique. !

La CNIL à raison, mais bien plus que cela, c'est ici un cadre réglementaire qui va permettre aux entreprises d'être bien plus performantes.

  • Ah ? Comment une reglementation peut-elle permettre d'être plus performante ? On va encore avoir des tonnes de paperasse à faire et de déclarations en tout genres

Pas faux, surtout quand on connait l'état Français, bien qu'avec le nouveau gouvernement et son secrétaire d'Etat chargé du Numérique "geek" et "jeune", on risque d'avoir de bonnes surprises sur ces questions de "paperasse". Regardez donc les propositions ici !

En attendant, qu'est-ce que le RGPD... En résumé rapide c'est uniquement un outils réglementaire permettant d'assurer la bonne gestions des données personnelles et leurs traitements. Oui ce n'est que cela, ni plus, ni moins.

En quoi est-ce que cela va optimiser les entreprises ? Et bien simplement en leur permettant d'avoir une gestion plus efficaces de ces données !

Prenons un exemple simple. Si un Hôpital veut supprimer les données d'un patient de son système d'informations hospitalier (SIH) il est confronté aujourd'hui à une complexité immense car son SIH intègre un SIRH (système d'informations des ressources humaines) un dossier patient, un dossier d'imagerie, un dossier... Bref tout pleins de dossiers différent ou se trouve de la donnée. Si un patient veut connaitre toutes les données que cet hôpital conserve sur lui, il devra donc attendre que le service informatique recoupe toutes les sources et lui fasse un compte rendu. Dans les faits, ce n'est jamais le cas et c'est en général une copie du dossier patient uniquement qui est sorti. Grâce au RGPD et à sa bonne mise en application, l'hopital pourra fournir toutes les données relatives au patient en 1 clic (ou presque). Si le patient (pour une raison x ou y) demande leur suppression, idem, TOUTES les données seront supprimées.

Et la c'est un gain inestimable en espace de stockage qui est libéré d'un coup ! (quand on sait que le To est à 5000€ dans les SIH on se dit qu'il y a pas mal d'économies à faire).

Maintenant, comment mettre cela en place ?
Et bien c'est simple comme bonjour, il suffit de "suivre" la données et de la cartographier ! Oui c'est tout.

Cartographier les flux de données personnelles permettra ensuite d'identifier rapidement des doublons de traitements, des logiciels inutiles, des flux inutiles et donc de supprimer ces abérations des SI. Qui dit suppression de logiciel dit forcément économie (contrat de maintenance, contrat de support, ...).

La CNIL fourni d'ailleur un excellent guide de mise en place en 6 étapes (ici) dont voici les grandes lignes :

1- désigner un pilote ! Mine de rien un projet comme celui-ci nécessite une personne courageuse. Ce pilote (nommé Data Protection Officer ou Gardier des données personnelles en bon français) va permettre de jouer les chefs d'orchestre dans ce projet. C'est donc la première étape clé de ce RGPD !

2- Cartographier les traitements des données personnelles. Pas de surprises ici, je l'ai dit plus haut (et pourtant cela devrait déjà être fait dans toutes les entreprises, mais ce n'est pas le cas). Notez que cartographier est applicable à toute l'informatique. Quand on dispose d'un schéma clair et précis des équipements informatique d'une entreprise on peut rapidement identifier des points de faiblesses, des points de redondances et donc encore une fois, identifier des coûts inutiles !!

3- Prioriser les actions à mener. Logique ! On ne va pas gérer tous les écarts de notre SI vis à vis du RGPD en une fois, on va prioriser en fonction de la criticité des données traitées.

4- Gérer les risques. Tous risques élevés pour les droits et libertés des personnes concernées doit être adressé en priorité mais surtout faire l'objet d'une analyse des impacts sur la protection des données (PIA).

5- Organiser les processus internes. Et oui, qui dit cartographier, dit forcément identifier des processus internes inefficients et donc les perfectionner. Et c'est ici que le gain sera le plus important pour les entreprises !!

6- Documenter la conformité. Et oui, pour pouver que l'on est conforme il faut documenter, mais c'est ici la base (la documentation) de tout système d'informations. La documentation est souvent mise de côté par les informaticiens car ils n'aiment pas rédiger (c'est d'ailleurs très dommage) mais c'est la base, le premier cours que l'on apprend en developpement c'est la documentation de son code. Ca permet d'accelerer les opérations de maintenance et de simplifier l'exploitation du système, encore un gain de temps donc !

Voilà pour les 6 points pour se préparez, regardez les en détails sur le site de la CNIL, au final cela ne fait pas très peur !

Suivant la taille de l'entreprise c'est réellement un projet intéressant qui monopolisera le DPO (qui peut être une personne déjà dans l'entreprise) durant 3 à 8 mois (je ne parle pas des grands groupes du CAC40) sur les parties 1 à 4 et un bon 4 à 12 mois sur la parie 5 et 6.

Le retour sur investissement (si investissement il y a) sera énorme à mon avis, si l'entreprise joue le jeux correctement bien sur !

Enfin voilà les premières infos sur le RGPD.
A+
Tony B.