La conformité est un sujet pour à peu près toutes les entreprises, en particulier dans les secteurs hautement réglementés tels que la santé, les services financiers et les administrations. Et si la conformité est souvent la responsabilité des services juridiques, de conformité, de gestion des risques ou d'autres départements similaires, l'IT a assurément un rôle à jouer dans les efforts de conformité de toute organisation. Les DSI et autres cadres techniques de haut niveau doivent être conscients de toutes les réglementations qui concernent les données, la confidentialité, la sécurité et d'autres éléments technologiques. Ils peuvent jouer un rôle clef en veillant à ce que leurs organisations ne se voient pas infliger de lourdes amendes en cas de non-conformité.
Pendant des années, les décideurs IT de la santé et des secteurs connexes ont dû gérer l'impact de la loi HIPAA (Health Insurance Portability and Accountability Act), qui impose la sécurité et la confidentialité des données électroniques de santé. Mais l'environnement réglementaire devient de plus en plus complexe, en particulier avec l'émergence de très nombreuses règles sur la confidentialité des données, notamment le Règlement général sur la protection des données (RGPD) de l'UE et le California Consumer Privacy Act (CCPA). Des dizaines de pays et d'États américains empruntent le même chemin, avec des réglementations similaires pour protéger les données des individus. Le cabinet d'études Gartner a prédit que d'ici la fin de 2023, les données personnelles de 75 % de la population mondiale seront couvertes par ces lois modernes sur la protection de la vie privée. La conformité réglementaire liée aux systèmes d'information, aux réseaux, aux appareils et aux données est aujourd'hui une réalité pour les entreprises, ce qui en fait un sujet de préoccupation important pour les DSI. Leur rôle est d'aider les efforts de mise en conformité et de prévenir ce qui peut causer des difficultés. Voici quelques erreurs à éviter, selon les experts.
1. Traiter les auditeurs en adversaires
Il est parfois difficile de ne pas adopter une attitude défensive, confie Gary Kern, CIO de Middlefield Banking. Cela peut se produire lorsque les auditeurs et les examinateurs questionnent les initiatives IT et leur impact sur la conformité. « Vous avez des gens qui décortiquent la stratégie que vous avez soigneusement pensée, et vous savez qu'ils vont trouver quelque chose à dire », dit-il. Cependant, laisser cette situation créer des frictions n'arrangera pas les choses. « Il est toujours préférable d'avoir des discussions en face à face, de discuter de leur point de vue et de réfléchir à la manière dont celui-ci pourrait améliorer votre environnement », estime Gary Kern. « Une raison d'espérer est que tout le monde partage le même but, y compris ceux qui ont établi les règles de conformité : il s'agit d'éviter les erreurs, d'améliorer les environnements et d'apporter davantage de transparence dans les processus. »
Commentaire