RGPD – Révision de la Gouvernance des Risques Numériques

La transformation digitale est porteuse de nombreux risques qu’il faut gérer et minimiser. Elle est aussi centrée sur la donnée dont la gestion et la protection s’inscrivent dans une logique juridique et technologique mais aussi organisationnelle et culturelle. Elle est autant une aventure humaine que technologique. Dans le domaine du risque, on distingue de plus en plus mal les principes anciens tels la sûreté et la sécurité, le matériel et l’immatériel, le physique et le logique . L’IA et la robotique en sont deux exemples flagrants. Enfin, le modèle d’organisation par « offre » (produits / services) et / ou « demande » (marchés / clients) est perturbé par la digitalisation notamment en accélérant la liaison entre la R&D et la relation client. Le binaire est omniprésent mais imparfait… Qui sont les gentils et les méchants, les bons et les mauvais ?!

Le « binaire » atteint ses limites face à la complexité croissante et à la forte accélération apportées par le numérique. Le Digital, et la donnée en particulier, rabattent les cartes. Ils introduisent le concept de « plate-forme » reposant sur le « réseau » et le « Cloud ». Nous entrons dans une galaxie à 3 dimensions incarnées par le triptyque Digital, Data et Cloud.
Le RGPD revêt alors une opportunité unique pour revisiter comment peuvent être abordées les questions de responsabilités et de compétences dans ce modèle tridimensionnel. Il peut aussi devenir un véritable catalyseur de refondation de la Gouvernance des risques numériques. Le RGPD introduit formellement 3 niveaux d’intervention :

  • Le Responsable de traitement (avec Sous-traitant et Délégué à la Protection des données)
  • La Personne concernée
  • L’ Autorité de contrôle

De nombreux éléments sont déjà mis en place et doivent encore être précisés ou se renforcer. La notion de « propriétaire des données » n’a d’ailleurs pas été définie. Utopie ? Les nouveaux droits pour les personnes concernées et la responsabilité sont des points clés du RGPD. Mais comment accompagner et contrôler effectivement les acteurs du Numérique et du Cloud en particulier ? Les labels et la certification devraient se développer fortement mais ce ne sera pas simple face à la « volatilité » des données et le poids des « GAFAM ».

Le Délégué à la Protection des Données (DPD) est requis si : « le traitement est effectué par une autorité publique ou un organisme public » et pour des activités qui exigent « un suivi régulier et systématique à grande échelle des personnes concernées ». Ses activités sont a minima : « a) informer et conseiller, contrôler le respect du règlement … y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel, dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci …, coopérer avec l’autorité de contrôle; Il tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement. »

Cette fonction ressemble beaucoup au RSSI , apparue dans les années 90 et qui opère dans un contexte différent, généralement plus technique et opérationnel, et désormais fortement influencée par le Digital et le Cloud. Ce RSSI là, opérationnel, deviendra parfois un Responsable de la Sécurité du Cloud et des Infrastructures (RSCI). DPD et RSCI remplaceront-ils les CIL et RSSI d’hier ?

Ce binôme ne pourra rien si on ne ferme pas le triangle avec une fonction de « Responsable des Risques Numériques » au cœur de la transformation digitale et centrée sur les processus et activités « métier ». Celui-ci deviendra le point d’équilibre de la gestion des risques numériques soutenu par les piliers « conformité » (juridique) et « sécurité » (technologique). Dans certains cas, on peut imaginer un pilotage commun rapprochant des activités encore trop cloisonnées et peu communicantes.

Ce modèle d’évolution est-il une utopie ou une illusion ? Pas si sûr dès lors qu’on accepte l’idée que l’enjeu majeur de la Transformation Numérique et de la Protection des données est aussi de rassembler ce qui est épars (pillé) !

Cookies

En continuant à naviguer sur le site web, vous acceptez l'utilisation des cookies

Pour changer la configuration des cookies sur votre ordinateur ou obtenir davantage d’information, veuillez consulter la page Données personnelles

Fermer

Fermer les informations cookies