Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’applique à toutes les entreprises et administrations. Ce règlement exige de la part des organisations de gros efforts pour répertorier les données et les procédures, mettre en place de nouvelles procédures adaptées ou réformer les procédures existantes. Dans ce contexte, le RGPD impose un travail préalable d’analyse de l’existant et de constitution de registres. Mais les actions doivent être permanentes pour garantir que toutes les transformations futures de l’entreprise prennent en compte la réglementation, et pour surveiller le bon déroulement des processus.
Privacy By Design : la protection prévue par l’architecture
L’existant, par nature, n’a pas pris en compte le RGPD, ce qui nécessite des adaptations spécifiques pour se mettre en conformité. Le RGPD introduit le concept de « Privacy by Design », qui consiste pour une organisation, à intégrer cette notion dès la conception des évolutions des Systèmes d’Information et des organisations pour piloter les changements de l’entreprise, en mettant en œuvre les principes suivants :
Proactivité : Des mesures proactives et préventives pour une protection implicite et automatique c’est-à-dire une prise en compte de la confidentialité par défaut (c’est le Privacy by Default).
Privacy by Default : La prise en compte de la vie privée dans la conception des systèmes et dans les pratiques sous-jacentes, signifiant en particulier de ne collecter que les informations vraiment nécessaires aux traitements, et de proposer, par défaut, le meilleur niveau de protection des données.
Protection intégrale : Une protection intégrale car c’est toujours le maillon le plus faible qui fragilise la chaine de confidentialité.
Protection de bout en bout : Une sécurité pendant tout le cycle de vie des données.
Visibilité et transparence : Assurer visibilité et transparence sur les modalités et finalités des traitements pour la Personne concernée.
Souveraineté de l’individu : Respecter la vie privée des utilisateurs et en particulier les autoriser à refuser le partage des données avec un tiers.
C’est pourquoi le « Privacy by Design » est un défi technique et organisationnel : il devient nécessaire d’architecturer l’entreprise, l’organisation, les processus et le Système d’Information en réalisant une analyse des risques et des préventions tenant compte du RGPD. Une approche « Privacy by Design » garantit plus aisément la conformité, grâce à des applications, des procédures, des organisations qui intègrent dès l’origine les contraintes afférentes à leur fonctionnement.
Les avantages du « Privacy by Design » sont donc pour l’organisation qui fournit le service :
-Une réduction des risques liés à un usage inapproprié des données personnelles,
-Une réduction des risques liés à sa responsabilité et aux sanctions en cas de défaillance,
-Une capacité à proposer des services conformes à la règlementation nationale et européenne,
-Un avantage compétitif pour les entreprises,
– Une réduction des coûts de maintenance des services par la prise en compte de la confidentialité des données dès le lancement du projet.
De même, pour le citoyen européen, le « Privacy by Design » apporte une réduction des risques découlant d’un usage inapproprié de ses données personnelles et une confiance accrue dans l’usage des services proposés et donc dans les organisations et marques qui les proposent.
Au final, le RGPD implique un investissement important des entreprises, d’une part initial et d’autre part dans la durée. Cette contrainte, avec l’approche « Privacy By Design » supportée par les techniques d’Architecture d’Entreprise, se transforme en opportunité afin de mieux connaître, organiser, et optimiser le fonctionnement global de l’entreprise. Elle permet à tous les acteurs concernés au sein de l’entreprise de collaborer et de partager leurs connaissances.
Par Philippe Desfray, Directeur Général et Directeur Innovation SOFTEAM Group
Livre blanc : RGPD – Privacy by Design : Mise en pratique et valeur ajoutée