Le contexte réglementaire investit de plus en plus la sphère des systèmes d’information, suivant en cela l’importance grandissante prise par ces systèmes.
C’est en particulier le cas du Règlement Européen pour la Protection des Données (RGPD, ou GDPR en anglais). Ce texte publié en mai 2016 sera de fait applicable en mai 2018 et apporte des évolutions notables quant aux exigences de conformité et aux conséquences d‘une non-conformité. L’enjeu pour les organismes concernés est donc de mettre en place les processus nécessaires à une conformité au texte à l’horizon 2018.
Techniquement, le texte expose un grand nombre d’exigences dont la finalité est d’assurer la sécurité des données personnelles de la « personne concernée ». L’examen de ces exigences montre qu’un grand nombre de celles-ci sont particulièrement structurantes. Il montre aussi qu’elles sont mutualisables avec des pratiques de gestion vouées à la sécurité des processus de l’organisme. C’est par exemple le cas de l’analyse d’impact citée par le règlement qu’il convient d’aligner et de mutualiser avec l’analyse de risque SSI.
Enfin, un autre point à prendre en compte vis à vis du règlement est la nécessaire implication d’un panel très étendu de parties prenantes, allant bien au-delà de la seule sécurité des systèmes d’information.
Pour répondre à ce besoin de conformité au meilleur coût global, il convient donc de mettre en place une démarche permettant d’identifier toutes les synergies possibles entre conformité au règlement et gestion du risque SSI. Cette démarche permet notamment de valoriser les pratiques existantes et de développer des nouveaux processus qui soient mutualisables pour les deux finalités.
Aspects économiques :
Si la conformité au RGPD est indispensable, elle est aussi un centre de coût, autant lors de l’atteinte de la conformité que lors de son maintien.
pour qu’un projet de mise en conformité soit bénéfique à l’entreprise, il est indispensable de maitriser ces coûts. Cette maitrise repose sur :
- des processus adaptés à l’organisation
- la recherche systématique de synergies
L’objectif, lors de l’élaboration du schéma d’évolution puis lors de la mise en oeuvre du plan d’action, est de concevoir une organisation et des processus qui soient pertinents et réalistes dans le contexte, au moment du projet et au cours des années à venir.
Auteur : Thierry CHIOFALO
Retrouvez la conférence de Thierry CHIOFALO, sur le même sujet, ici : https://www.youtube.com/watch?v=ku3p7w1Qu0Y