A l'heure des nouvelles technologies, la protection de la vie privée constitue un enjeu majeur pour les citoyens et les Etats. C'est dans ce contexte que s'inscrit le nouveau règlement général sur la protection des données (RGDP) qui sera applicable à l'ensemble des pays de l'Union Européenne en mai 2018. Il vise à renforcer les droits des citoyens en matière de confidentialité et de protection des données et incite les organisations et les entreprises à être davantage vigilantes.
Plus d'un 1 an après la publication du règlement, où en sont les grands acteurs concernés ? Seront-ils conformes d'ici mai 2018 ? Quels sont les budgets engagés ? Quels sont les chantiers les plus complexes aujourd'hui ? Wavestone, le 1er cabinet de conseil indépendant en France, publie un bilan de leur état d'avancement. Les résultats sont issus des travaux que le cabinet réalise pour plus de 20 grands comptes présents internationalement dans de multiples secteurs (banque, assurance, transports, énergie, services…).
Des programmes importants qui mobilisent plusieurs centaines de personnes dans les entreprises
Les programmes de mise en conformité impliquent très largement les entreprises, de quelques dizaines à quelques centaines d'acteurs à chaque fois. Les charges consolidées entre ces acteurs vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes, et jusqu'à plusieurs dizaines d'ETP pour les environnements les plus complexes et les plus éloignés de la cible.
« Contrairement à certaines idées préconçues, la charge pour les équipes juridiques et sécurité reste limitée au regard de la charge globale », indique Raphaël BRUN, manager expert de la conformité RGDP, chez Wavestone.
Investissements allant de 1 à 100 millions d'euros
Les programmes RGPD se chiffrent aujourd'hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d'euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisées sur le big data ou le profiling ; et jusqu'à des fourchettes allant de 20 à 100 millions d'euros lorsque l'entreprise a plusieurs métiers et de très nombreuses entités/filiales.
« Le facteur de coût le plus important est relatif aux nombres d'applications métier à faire évoluer, chacune d'entre elle pouvant nécessiter des investissements de plusieurs dizaines, voire plusieurs centaines de milliers d'euros » ajoute Raphaël BRUN.
5 points à traiter en priorité pour accélérer la conformité
Quel que soit le contexte, le secteur d'activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité des entreprises analysées :
/ l'application des délais de rétention et du droit à l'oubli au sein des systèmes informatiques existants ;
/ la mise en conformité des nombreux contrats existants ;
/ la mise en œuvre d'une méthodologie simple d'accompagnement des projets (Privacy By Design / Privacy Impact Assessment) ;
/ la mobilisation des rares ressources expertes du sujet à même de contribuer aux chantiers ;
/ l'organisation de l'équipe DPO.
Mai 2018 : une première étape de la mise en conformité
Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardée. Pour autant, depuis le début de l'année 2017, de nombreux programmes sont à présent dans leur phase de remédiation et des premières solutions émergent. Toutefois, tous les chantiers ne pourront être terminés pour mai 2018.
Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts. « Le 100% conforme pour mai 2018 est inatteignable mais on le sait depuis longtemps. La vertu du règlement c'est de mettre les organisations dans une dynamique positive qui aujourd'hui est bien lancée. Certains en profitent pour rénover des pans de leurs relations clients numériques en y intégrant plus fortement la notion de transparence, clé pour la confiance ! ».
À propos de Wavestone
Dans un monde où savoir se transformer est la clé du succès, l'ambition de Wavestone est d'apporter à ses clients des réponses uniques sur le marché, en les éclairant et les guidant dans leurs décisions les plus stratégiques. Wavestone rassemble 2 500 collaborateurs présents sur 4 continents. Il figure parmi les leaders indépendants du conseil en Europe, et constitue le 1er cabinet de conseil indépendant en France.
Issu du rapprochement, début 2016, de Solucom et des activités européennes de Kurt Salmon (hors consulting dans les secteurs retail & consumer goods), Wavestone est coté sur Euronext Paris et est éligible au PEA-PME. Wavestone a été labellisé Great Place To Work® en 2016.
Plus d'informations sur wwa.wavestone.com
Wavestone Sarah LAMIGEON / Vincent Chaudel Direction de la communication Tel. : + 33 1 49 03 20 00 |
Wellcom PR Agency Sonia El Ouardi sonia.elouardi@wellcom.fr donna Clément donna.clement@wellcom.fr laure Curien laure.curien@wellcom.fr Tel. : + 33 1 46 34 60 60 |
– SECURITY MASTER Key : xmxrlMZnkm6Yy21tZJZnnGRmb2phlmeWmmXLl2hwZczKa3FjmG9mZpbHZm1qmmVs
– Pour contrôler cette clé : https://www.security-master-key.com.