Lëtzebuerger Gemengen

ICT

La protection des données au cœur de l’actualité

itrust consulting

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera enfin en application. Carlo Harpes, fondateur et directeur d’itrust consulting, revient avec nous sur les premières implémentations de la réglementation au sein des entreprises au Luxembourg et aux démarches qu’il reste à entreprendre tant dans le secteur privé que public. Interview.
 
Au Luxembourg, y a-t-il eu une prise de conscience par rapport à l’importance de la protection des données?
Cette prise de conscience ne fait que commencer, à la veille de la mise en application de la réglementation. Après avoir eu deux ans pour s’y préparer, les acteurs concernés ne s’en inquiètent qu’aujourd’hui et nous sommes plus que jamais sollicités dans ce cadre. Heureusement, il n’est jamais trop tard pour se mettre en règle. Il n’y aura pas de pénalités au premier jour, l’important est donc d’entamer les démarches pour être à jour le plus rapidement possible.
 
Comment se sont passées vos premières implémentations?
Depuis le mois d’octobre, un petit nombre de clients ont commencé à travailler sur leur mise en conformité. Cela nous a permis de nous intégrer dans un certain rythme et de poser les priorités. Maintenant que les démarches importantes ont été mises en place, nous avançons peu à peu pour atteindre un bon niveau de conformité avant la date butoir. Les entreprises vivent ce changement comme une lourdeur. Nous tentons alors de les soulager et de leur montrer la marche à suivre pour rendre cette adaptation moins difficile.
Au départ, il est important d’implémenter une bonne politique générale de sécurité sans quoi aucune protection des données ne pourra vraiment être garantie. Notre méthodologie est plus large et s’étend à la sécurité générale des informations de l’entreprise. Par exemple, notre outil d’analyse de risque, TRICK Service, permet de mesurer le niveau de sécurité requis de façon détaillée et a été étendu aux exigences du RGPD.
Il faut ensuite analyser les processus, s’assurer de leur légitimité et en informer les personnes concernées. Pour chacun de ces points, nous avons créé une méthodologie ou des documents types pour l’aide à l’implémentation. Par ailleurs, un dirigeant doit s’assurer que tous ses employés connaissent et appliquent la réglementation.
 
Comment améliorer votre approche? 
Nous nous sommes aperçus que la plupart des entreprises ne voyaient pas la nécessité d’avoir un niveau de sécurité bien documenté. Suite à ces remarques, nous avons adapté notre stratégie; nous proposons alors aux clients de réaliser eux-mêmes les démarches en interne et leur offrons en parallèle un coaching, forts de nos compétences et de notre savoir-faire. Nous leur donnons nos outils et nos modèles puis n’intervenons plus que ponctuellement pour les aider dans leurs démarches.
Depuis le 26 mars dernier, nous avons établi un partenariat avec la Fédération des Artisans pour le coaching de près de 70 entreprises. Nous avons ainsi créé des formations génériques en auditoire suite auxquelles nous organisons des workshops par thème où chaque personne peut poser des questions spécifiques. Ces formations donnent un point de départ aux entreprises et leur apportent une base pour leur mise en conformité avant le 25 mai; d’autres workshops seront encore organisés par la suite pour poursuivre ces démarches. Au total, nous proposons dix ateliers thématiques et jusqu’ici, les workshops proposés ont rencontré un franc succès.
 
Que penser du rôle qu’a joué la CNPD dans l’information aux entreprises par rapport au RGPD?
La CNPD a investi beaucoup dans la sensibilisation, ce qui est utile. Elle a longtemps annoncé la création d’un outil qui aurait aidé les entreprises à se conformer au RGPD. Cette annonce a découragé les entreprises privées comme la nôtre à créer leur propre outil, puisque l’organe de référence se proposait d’en fournir un gratuit. Or, le simple questionnaire d’audit qui en est sorti n’est en rien une aide pour se mettre en règle; les secteurs public et privé ont besoin d’une aide, d’un coaching et d’outils concrets pour atteindre les objectifs fixés par le RGPD. De plus, le secteur public n’a pas pris les devants pour montrer l’exemple, comme on aurait pu s’y attendre et encore aujourd’hui de nombreuses entités publiques doivent se mettre à jour et se pencher sur la mise en application imminente du règlement.
 
Quels conseils adresseriez-vous aux entreprises face à cette nouvelle réglementation?
Tout d’abord nous conseillons à toute entreprise n’ayant pas encore enclenché le processus de prendre cette réglementation au sérieux. Même si la date butoir est passée, il n’est jamais trop tard pour s’y conformer.
Nous voyons cette réglementation comme une opportunité pour les entreprises d’améliorer certains de leur processus et d’éliminer toutes les données inutiles. Nous leur conseillons par ailleurs d’améliorer la façon dont sont documentés les processus, surtout dans les petites entreprises où il n’y a pas de culture de la documentation pour les décisions prises au quotidien. Apprendre à recueillir et documenter des décisions peut avoir des effets positifs au niveau de l’amélioration de l’efficacité du management, au-delà du fait que la réglementation oblige cette documentation. Ce règlement peut pousser les entreprises à adopter un nouveau mode de fonctionnement dont les bienfaits s’en ressentiront dans l’exercice quotidien de leur activité.
Pour les plus grandes entreprises, nous les encourageons à poursuivre sur leur lancée d’application d’un management de la sécurité et de la protection des données, et ce, au travers d’un changement de culture dans l’entreprise supporté par une documentation adéquate. Nous avons également élaborés 50 points d’améliorations des prochaines normes internationales ISO sur la gestion et la protection des données à caractère personnel qui pourraient aider les dirigeants dans leurs démarches.
 

Lire sur le même sujet: