Il va de soi que vous êtes conforme au RGPD (Règlement Général européen sur la Protection des Données personnelles, GDPR en Anglais). Toutes les entreprises affirment l'être. Il est vrai que, depuis mai 2018, les amendes encourues pour non-conformité (2 à 4 % du chiffre d'affaires mondial) incitent fortement à ne pas avouer l'inverse. Mais qu'en est-il de la réalité ? Les entreprises se sont-elles mises totalement en conformité ? Et, surtout, leurs pratiques réelles et quotidiennes sont-elles désormais véritablement conformes au RGPD ? Pour faire le point sur le sujet, CIO organise une matinée « RGPD, un an après - Du premier bilan aux bonnes pratiques ». Celle-ci aura lieu à Paris, le 21 mai 2019. Pour ce premier anniversaire, bien des sujets méritent d'être passés en revue. S'inscrire à la conférence « RGPD, un an après ».
La plupart des organisations se sont dotées d'un DPO (Data Privacy Officer), souvent une fonction supplémentaire pour un cadre ayant déjà un poste. Ses missions au quotidien sont pourtant lourdes. Il doit notamment travailler au plus près avec le RSSI pour garantir la sécurité des données personnelles et notifier les incidents mais aussi avec le DSI pour connaître les données traitées et leur stockage.
Des problématiques souvent sous-évaluées
La question du stockage des données est sensible. Surtout si l'entreprise a recours à du cloud public, ce qui est tout de même fréquent. La localisation des données doit être maîtrisée. Et l'utilisation d'un stockage sous un contrôle américain pose de nombreuses questions à cause du Cloud Act. Ajoutons que le Brexit implique que la Grande Bretagne soit en dehors de l'Union Européenne : tout stockage sur son sol ou transfert entre l'Union Européenne et son territoire est donc par défaut non-conforme.
Une autre mode actuelle est le développement des systèmes que l'on appelait experts jadis, à base d'algorithmie ou d'intelligence artificielle, de deep learning, etc. Le RGPD impose une transparence forte sur les algorithmes utilisés. Ce qui suppose de connaître les IA utilisées et leurs raisonnements. Enfin, la portabilité des données ou leur communication imposent une réelle maîtrise des flux de données. Savoir où sont les données ne suffit pas : il faut pouvoir les extraire aisément. Les API doivent avoir été prévues pour cela.