Bonnes pratiques et expertises IT
Rechercher

Comment contourner le RGPD quand on est DSI

Seuls ceux qui ont vécu ces derniers mois sur une île déserte, sans radio, ni télé, ni connexion Internet baignent encore dans l’ignorance : rappelons qu’un nouveau règlement européen va venir, à partir du 25 mai 2018, perturber notre train-train quotidien de managers de systèmes d’information. Nom de code : RGPD, pour Règlement Général sur la Protection des Données personnelles.

Vous l’avez certainement remarqué, la seule évocation de ces quatre lettres maudites provoque des manifestations physiques chez vos interlocuteurs (faites donc le test...) : des poussées de fièvre à la direction commerciale, des sueurs froides à la direction générale à la vue des sanctions potentielles, des bouffées délirantes chez les juristes qui auront enfin l’impression d’être utiles, des picotements chez les utilisateurs qui ont planqué des fichiers Excel remplis de données personnelles de provenance douteuse, des convulsions, associées à des crampes à la direction financière à la vue des investissements pour se mettre en conformité, ou des maux de tête au marketing, parce qu’il va falloir travailler un peu plus au lieu de tout refiler à des prestataires véreux, revendeurs de fichiers qui le sont tout autant... Sans oublier des spasmes, tremblements et autres rougeurs suspectes chez tous ceux qui n’ont toujours rien compris au RGPD et à ses implications. Et une nervosité récurrente chez tous les DSI qui vont devoir adapter le SI, les applications et les bases de données pour montrer patte blanche le 26 mai 2018.

Rassurez-vous, je vais vous expliquer comment contourner le RGPD. Pour commencer, oubliez la notion de données personnelles, très anxiogène, et considérez que l’acronyme RGPD signifie Retrouver Gaillardement une Plénitude Durable. Rien qu’avec cette petite astuce psychologique, vous vous sentirez beaucoup mieux ! Parole d’Olivier Séhiaud (je n’en ai qu’une, je vous la laisse en location courte durée jusqu’au prochain numéro de Best Practices) ! Reste le plus dur : sauvegarder concrètement votre tranquillité de DSI.

Pour cela, je vous suggère cinq mesures.

  1. N’acceptez aucune responsabilité vis-à-vis du RGPD : transformez-vous en militant de la cause des DPO (Data Protection Officer) et encouragez le recrutement d’une ou plusieurs personnes (appelez-les des « talents », ça leur fera toujours plaisir, même s’ils n’en ont aucun et qu’on les a sortis de leur placard). Insistez sur le fait que nommer un DPO est fortement conseillé dans le règlement européen, et même obligatoire pour les entreprises qui manient de nombreuses données personnelles. Et que ce DPO ne doit surtout pas reporter à la DSI.
  2. Faites financer tout projet de mise en conformité par la DAF (faites-lui peur, ça devrait marcher...), ou les métiers, bref n’importe qui, mais pas par le budget de la DSI ! Et, bien évidemment, faites sous-traiter tous les projets à des consultants, des intégrateurs et des éditeurs qui n’attendent que ça.
  3. Mouillez la direction juridique, si possible jusqu’au cou, surtout pour les obligations d’information des personnes concernées par les traitements et faites-lui gérer tout le processus d’obtention du consentement et de tenue du registre (c’est un vrai casse-tête, éloignez-vous-en le plus possible...).
  4. Pour la portabilité des données, en gros le droit d’un individu à emmerder une entreprise juste pour le plaisir, prenez exemple sur les opérateurs de télécoms qui ont été précurseurs pour traîner des pieds avec la portabilité des numéros de téléphone. Ne vous engagez jamais sur les délais, imposez que ce soit le métier responsable de l’application concernée qui gère les demandes (de toute façon, à la DSI, il n’y personne pour s’en occuper...) et suggérez d’être strict sur la production des justificatifs d’identité. Comme le texte européen n’impose que des « moyens raisonnables », tentez aussi d’imposer la production d’un justificatif de domicile... Tout cela devrait freiner les velléités de ceux qui voudraient une portabilité de leurs données, source de perte de temps et de paperasse.
  5. Devenez intransigeant pour les nouveaux projets. Le règlement européen impose la « Privacy by Design » : voilà une belle occasion de réduire de moitié, au moins, le nombre de projets à traiter, parce que leur cahier des charges ne sera pas conforme. On peut compter sur la créativité de vos équipes sécurité pour trouver le petit détail qui fera qu’un projet ne sera jamais aligné avec les exigences du RGPD...

Quoi que vous fassiez, rappelez-vous des quatre fléaux à éviter dès qu’il est question de RGPD : Responsabilités, Gouvernance, Paperasse, Données personnelles. Facile à retenir, non ?

VOIR LA VIDEO "DSI THRILLER - RGPD : la lutte finale"

TESTEZ VOS CONNAISSANCE SUR LE RGPD : http://RGPD.autodiagnostic.eu

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Olivier Séhiaud

Olivier Séhiaud

Olivier Séhiaud est le pseudonyme du DSI d’un grand groupe industriel français. Il nous livre en exclusivité ses réflexions sur son métier et les technologies de l’information.

Nos Ouvrages

  • Best Practices Spotlight
Symposium Gartner 2018

    Ce numéro de Best Practices Spotlight regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2018, qui s’est tenu en novembre à Barcelone.

  • La sécurité du système d’information en 180 questions

    Les cyber attaques n’ont jamais occasionné autant de dégâts dans les entreprises. Comment mieux se protéger ? Ce guide pratique regroupe les 180 questions que doivent se poser les responsables sécurité et les DSI. Avec des réponses concrètes…

  • Best Practices Spotlight 
Atlas - Édition 2018

    L’Atlas du DSI regroupe tous les sujets publiés dans le cadre du service de benchmarking et de veille Best Practices Spotlight. L’Atlas du DSI propose des articles synthétiques pour rester à l'état de l'art, des chiffres-clés pour se benchmarker, des argumentaires pour convaincre les métiers, des bonnes pratiques à partager avec vos équipes et des résumés d'études que vous n'avez jamais le temps de lire.

A ne pas manquer

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris