Rares sont les règlements européens ayant profité d’autant de médiatisation que celui consacré à la protection des données personnelles, qui entrera en vigueur en mai 2018. Depuis son apparition en 2012, il est la star des conférences professionnelles.
L’emballement autour de ce règlement européen n’a pas été suivi d’effet, et les premières années ont été dominées par un sentiment général de confusion et souvent, de désintérêt. Aujourd’hui, l’échéance approche à grands pas et il n’est plus temps d’hésiter. Mais les entreprises et le secteur informatique sont-elles prêtes aux changements que va apporter le texte ?
La fin de la bonne vieille bande magnétique
Dans les entreprises qui utilisent traditionnellement des bandes pour protéger leurs données, il est quasi impossible (ou du moins très coûteux) de répondre à une demande d’accès, formulée par des citoyens ayant le droit de savoir quelles données personnelles sont détenues à leur sujet par une entreprise.
L’autre aspect, encore plus complexe, porte sur le droit à l’oubli. Des données conservées sur bande doivent pouvoir être effacées en réponse à une demande légitime, sous peine d’une amende. Or le problème des bandes est qu’elles ne stockent pas les données de la même façon que les disques : il n’est pas possible de supprimer un seul fichier sur une bande mais seulement d’effacer celle-ci dans sa totalité.
La situation se complique encore si l’on prend en compte le temps nécessaire à l’identification des données archivées sur bandes. S’il est possible de restaurer les bandes pour y récupérer ou effacer systématiquement les données concernées, le fardeau que cela imposerait à des départements informatiques déjà surchargés empêche quasiment de respecter le délai d’un mois fixé par le GDPR.
L’ennemi : les données non structurées
Les données non structurées sont partout : e-mails, tableaux de chiffres, vidéos, textes, images, pages web, réseaux sociaux… Elles sont un enjeu majeur car, une fois organisées et analysées méthodiquement, ce sont ces données qui recèlent le plus de valeur pour les entreprises.
Mais les données non structurées ont aussi leur part d’inconnu. Formats variés, volumes gigantesques, production en continu et niveaux de criticité hétérogènes… Organiser et protéger ces données peut représenter une tâche herculéenne.
Les entreprises doivent prévoir avec méthode des solutions pour la capture et le partage pertinents de leurs connaissances. Qu’il s’agisse d’établissements hospitaliers collectant des données sur les pathologies de leurs patients ou de banques tenant le compte des interactions avec leurs clients, tous les secteurs d’activité sont confrontés au défi de taille de faire en sorte que toutes les données non structurées renfermant des informations personnelles puissent être récupérées et, si nécessaire, effacées.
La migration vers un datacenter pourrait être la seule solution
La décision de la Commission d’élaborer un Règlement général sur la protection des données ne constitue ni une révolution ni une surprise mais une évolution nécessaire. Les consommateurs prennent peu à peu conscience de la valeur des données qu’ils produisent et la pression qu’ils font peser sur les entreprises et leurs gouvernements ne va que s’intensifier dans les années qui viennent.
D’ici quelques mois, toute entreprise prévoyant de transférer des données dans l’Union européenne devra concevoir une solution de stockage qui soit à la fois facile d’accès et simple à gérer, et répondant aux impératifs de confidentialité et de protection.
Compte tenu de cela, nombre d’entreprises pourraient en fait trouver plus simple et économique de se tourner vers une solution Cloud ou hybride, car le Cloud a un double avantage.
Tout d’abord, il va faciliter la prise de contrôle des données par les utilisateurs. Le GDPR va obliger les entreprises à obtenir le consentement éclairé et clairement exprimé des individus dont elles collectent et traitent les données. Ce consentement devra pouvoir être recueilli et prouvé, En ce qui concerne la conservation des données, les entreprises devront pouvoir en garantir l’accès, la modification et la restitution jusqu’à effacement et les conserver aussi longtemps que nécessaire. Difficulté supplémentaire : ces règles s’appliquent de façon rétroactive. Le Cloud représente l’avantage d’assurer un consentement centralisé. Les données et les services sont stockés au même endroit ; charge ensuite à l’entreprise de donner plus de contrôle à l’utilisateur.
Le Cloud va permettre une division des responsabilités avec des partenaires de confiance. Pour beaucoup d’entreprises, les investissements technologiques et organisationnels indispensables pour assurer la conformité avec le GDPR représentent des montants colossaux par rapport au chiffre d’affaires. Dans ces conditions, elles ont tout intérêt à s’appuyer sur un écosystème d’experts – ESN, fournisseurs, revendeurs ou intégrateurs – capables de les accompagner dans la conduite du changement et dans la fourniture de solutions technologies au quotidien.
Bien que la législation du GDPR émane de l’UE, les entreprises à travers le monde sont quasi certaines de l’appliquer à leur propre stratégie. Dans une ère donnant la priorité au numérique, où la notion de fidélité de la clientèle a pratiquement disparu, les entreprises peuvent-elles se permettre d’être à la traîne ?
Tandis que les solutions technologiques existent pour accompagner les entreprises dans cette voie, celles-ci doivent saisir le GDPR comme une opportunité de revoir la protection des données dans leur stratégie, leur structure et leur culture. Alors elles commenceront à enregistrer des bénéfices significatifs grâce à la réglementation, au lieu d’en avoir peur.
