Tendance
Moins d’un an avant l’entrée en vigueur de nouvelles règles européennes, les entreprises s’attaquent aux difficultés technologiques de la protection des informations personnelles. Les volets juridiques des plans de conformité étant souvent déjà terminés.

La mise en conformité des grandes entreprises avec le règlement européen sur la protection des données personnelles pose plus de difficultés que prévu. « Quand les équipes informatiques ont étudié les coûts, les budgets ont dû être révisés », constate Raphael Brun, consultant chez Wavestone et auteur d’une synthèse-bilan d’un an de travaux destinés à faire respecter le texte communautaire dans une vingtaine de grands groupes.

Abrégé en RGDP, ce règlement « général » doit entrer en vigueur en mai 2018. Pour protéger la vie privée des citoyens européens, 
il accroît la responsabilité des entreprises qui collectent, traitent et analysent des données associées à une personne
. Alors que le sujet a d’abord été essentiellement perçu comme une problématique juridique, Wavestone estime que 40 % des efforts à mener sur ce front incombent aux équipes informatiques.

Le RGDP coûte 20 à 50 millions d’euros aux grandes entreprises

Pendant les premières semaines des plans de mise en conformité, fin 2016, les équipes juridiques ont interprété le texte et revu la rédaction de certains contrats. Des travaux qui sont souvent déjà terminés.
Des opérationnels ont ensuite cartographié les process à risque
. Et il revient maintenant aux informaticiens de déployer les préconisations de chacun sur les systèmes existants. « C’est le travail le plus lourd car ils doivent anticiper les effets de bord liés à l’anonymisation ou à l’effacement des données », pointe Raphael Brun. Dans certaines entreprises, supprimer un nom dans une base de données, à la demande d’un client, peut paralyser d’autres systèmes.

Pour une entreprise aux multiples activités et nombreuses filiales, Wavestone situe le coût des programmes de mises en conformité RGDP dans une fourchette de 20 à 50 millions d’euros. Sachant que ces programmes mobilisent « plusieurs dizaines d’équivalent temps plein ». Dans les budgets, les informaticiens se taillent la part du lion, notamment pour créer les logiciels susceptibles de permettre aux internautes européens d’exercer leurs nouveaux droits – par exemple, 
la portabilité des informations personnelles
– et d’intégrer les nouvelles exigences de privacy by design dans les projets en cours. Des efforts sont également prévus en matière de sécurité informatique.

En mai 2018, les entreprises ne seront pas 100 % conformes au RGDP

Neuf mois avant la date d’entrée en application du texte européen, les entreprises voient déjà le printemps arriver à grand pas. D’après une étude menée par Varonis, un éditeur de logiciels de classification des données, 74 % de ses clients français expliquent qu’ils devront faire face à de sérieux défis pour être en conformité dans les temps. Wavestone est plus direct : « La grande majorité de nos clients ne seront pas prêts. Ils voient plutôt l’échéance de mai 2018 comme la fin d’une première étape, celle au cours de laquelle ils auront réalisé les travaux les plus importants et communiqué leur feuille de route aux régulateurs européens pour la suite », explique Raphael Brun.

Au vu des sommes nécessaires à une mise en conformité complète, les directions générales demandent souvent à leur directeur des systèmes d’information (DSI) de prioriser un volet du texte plutôt qu’un autre. Les entreprises sont aussi conscientes de souffrir d’un manque de compétences pour déployer certaines technologies, nouvelles pour elles, comme l’anonymisation. Les régulateurs – la CNIL en France – déclarent être conscients de la situation incofortable dans laquelle se trouvent les entreprises. Ils évalueront leur bonne volonté, mais s’ils jugent leurs efforts insuffisants, elles seront exposées à une amende égale à 4 % de leur chiffre d’affaires mondial.