La GDPR (General Data Protection Regulation) alias « Règlement UEn°2016/678 » n’a plus besoin d’être présentée. Alors, s’il est vrai que quelques personnes tendent encore l’oreille au son de cet acronyme, les principaux concernés savent de quoi on parle.
C’est ce que l’on croit.
N’est-il pas pertinent de rappeler que le premier concerné reste le citoyen ou le résident européen ? Ne faudrait-il pas s’adresser au peuple de l’Europe pour qu’il découvre que pour la première fois depuis la naissance de l’Europe Politique, un député écologiste vert a écrit cette loi dans le but de protéger notre identité et notre vie privé comme jamais aucun gouvernement de l’Union ne l’aura fait, pas même la France et la CNIL.
La GDPR est une belle nouvelle, car c’est une loi qui renforce l’Europe et promeut l’intérêt général des citoyens de l’UE. Elle va dans le sens de la démocratie des usages d’Internet et constitue une réponse démocratique contre l’autocratie de l’internet américain menée avec génie par les GAFA (Google, Apple, Facebook, Amazon).
C’est aussi une incroyable aubaine pour l’ensemble des acteurs de l’économie de service dédié au monde de l’entreprise qu’elle soit côté en bourse ou start-up.
Cette loi les concerne directement dès lors qu’un de ses prestataires gère un programme de fidélisation par exemple.
Parce que c’est une loi, beaucoup se sont soudainement éveillés pour crier haut et fort à leurs clients que la GDPR sera terrible voire parfois mortelle. On entend partout (des avocats comme des éditeurs de logiciels et même des constructeurs) que la GDPR ne sera pas supportable par l’entreprise sauf si elle fait appel à leurs expertises hautement reconnues et indiscutables. Beaucoup d’acteurs se revendiquent « expert technique de l’exploitation des données » sans comprendre le rôle, certains concepts de déduplication déportée. Et si la notion de chiffrement peut se vulgariser, la blockchain reste un sujet incroyablement bien maîtrisé à en croire certains !
DSI et DPO : les deux gardiens majeurs des données de l’entreprise
Il est temps pour les DSI de reprendre leur autorité sur les données de l’entreprise. C’est à eux d’assurer la pérennité, l’intégrité et la disponibilité des données. C’est à eux de qualifier un DPO, techniquement compétent pour que ce dernier entende les compensateurs établis par l’organisation du système d’information et ainsi répondre à l’objectif final de cette loi. Aucun acteur à part le DSI n’a la légitimité pour être DPO et les consultants techniques en informatique ont aujourd’hui toutes les notions pour comprendre, apprendre et raisonner sur une loi aussi technique et complexe. Les éditeurs et constructeurs peuvent offrir des solutions en vue de faciliter les entreprises à rentrer dans un processus de conformités, mais ils ont encore du chemin à parcourir pour lire une gouvernance opérationnelle (quand cette dernière, d’ailleurs, existe…).
Les dirigeants doivent entendre leurs services juridiques quant aux enjeux de cette loi. Mais le Directeur des Systèmes d’Information doit retrouver sa légitimité à piloter et gouverner la mise en œuvre de cette loi au sein de son organisation et pour toute l’entreprise. Il est le seul à pouvoir optimiser sa mise en œuvre à moindre coût.
La GDPR ne doit pas engendrer de précipitation et être détenue dans son application par les seuls juristes. C’est une loi transverse qui touche trois mondes : Le droit, la technique et le citoyen. Le « Monsieur GDPR » dit DPO de l’entreprise doit comprendre cela et ne peut être ni un juriste, ni un Directeur Informatique. Il est un nouveau métier de l’ère 4.0, aux connaissances pluri disciplinaires et surtout doué d’un sens de l’éthique et moral irréprochable. Il en va de l’intérêt de toutes nos économies, de nos citoyens et par-delà, de notre démocratie.