Rater un projet RGPD (Règlement Général sur la Protection des Données) est trop facile : il suffit de ne rien faire et d’attendre que les juges sonnent à la porte. Mais pour les plus consciencieux, on peut rater tout en ayant essayé. Il suffit de suivre nos treize commandements qui portent malheur.
2. Les treize commandements
qui portent malheur pour rater
son projet RGPD
1. Tu considéreras que le projet RGPD
est un sujet exclusivement juridique
Il suffit de parcourir les dizaines de pages du Règlement Général sur la Protection des Données
à caractère personnel pour s’apercevoir qu’il est tout droit sorti du jus de crâne de juristes qui
n’ont probablement jamais mis les pieds dans une entreprise et encore moins dans une DSI.
Tu resteras persuadé que ce RGPD (à ne pas confondre avec le Rayonnement Grandiose des
Professionnels du Digital, autrement plus sérieux) n’aura qu’un impact mineur sur le système
d’information, facile à absorber avec un logiciel ad hoc. Puisque seuls les juristes s’y retrouvent,
autant confier à ta direction juridique la mission de mettre l’entreprise en conformité. Pour
une fois qu’elle sert à quelque chose…
« C’est quand le droit va de travers qu’il faut penser à faire demi-tour »
Sân Tsû Tsoû, philosophe chinois
(VIème
avant l’invention de la CNIL)
2. Tu ne réaliseras pas d’analyse d’impact sur le
système d’information
S’il fallait analyser chaque disposition du RGPD et son impact sur le système d’information,
c’est certain, tu dépasseras allègrement la date limite du 25 mai 2018 ! Et tu seras de toute façon
dans les choux… Donc, autant éviter de mobiliser tes équipes sur ces fadaises règlementaires.
Tu as franchement d’autres projets à mener : entre doper le chiffre d’affaires de l’entreprise
ou se conformer aux caprices de juristes eurocrates, le choix est vite fait… Après tout, les
sanctions ne portent que sur 4 % du chiffre d’affaires. Ne te plains pas, il en restera 96 % !
« Les bénéfices du RGPD, ça se partage, les années de prison, ça s’additionne »
Le Cave de Bruxelles se rebiffe
3. 3. Tu ne cartographieras pas tes applications
Cartographier les applications qui traitent des données personnelles reste un travail de titan,
surtout lorsqu’il y en a plusieurs centaines ou, pire, plusieurs milliers ! D’autant que chercher
des données personnelles dans cette montagne d’applications ne sert à rien si l’on n’étudie
pas, dans le même temps, les liens entre les applications qui stockent, gèrent et font circuler
les données personnelles. C’est un coup à devenir dépressif en moins de deux semaines…
« La ségrégation des données, je ne suis pas vraiment pour »
Desmond Tût-Tût, fabricant de klaxons,
animateur du cercle des Pouêt-Pouêt disparus
4. Tu ne te concerteras pas avec les métiers
Impliquer les métiers dans un projet RGPD est une bien mauvaise idée. Tu auras affaire aux
froussards qui vont vouloir tout verrouiller, ou aux indifférents qui ne voient pas où est le
problème, en passant par les besogneux qui vont prendre le problème au sérieux, mais qui
vont traîner à se mettre au boulot. Imagine le nombre de réunions qu’il va falloir organiser,
auxquelles il va falloir assister et le nombre de comptes rendus qu’il faudra rédiger !
« Y’a quelqu’un qui m’a dit que tu aimais encore les données personnelles… »
Karl A. Bruny, chanteur qui cherche sa voie
5. Tu ne prioriseras pas les actions à mener
Il ne reste que quelques mois avant la date fatidique de l’entrée en vigueur du RGPD. Tu as
donc décidé d’en faire le plus possible pour tenir le délai ? Privilégie les actions les plus faciles,
celles qui se voient. Au moins, tu pourras justifier que, compte tenu du maigre budget qui
t’a été attribué par la direction générale et ton DAF, tu as fait ce que tu as pu…
« Accélérer pour prendre le virage du RGPD n’est vraiment pas une bonne idée »
R. Tonneséna, pilote de projets éphémères
qui a raté le virage vers le Big Personal Data
4. 6. Tu éviteras d’adapter les processus pour prendre
en compte les contraintes du RGPD
La meilleure stratégie, face au RGPD, est de privilégier une posture de déni. Jusqu’à ce
que l’on te prouve le contraire, tu minimiseras l’impact du RGPD sur les processus de
l’organisation. La gestion des processus, c’est comme la drogue : une fois qu’on a mis le nez
dedans, on ne peut plus revenir en arrière ! Surtout que les processus ne sont jamais purs,
on découvre toujours qu’ils sont coupés avec du logiciel, des macros Excel, du papier ou
de l’improvisation. En réalité, organiser la portabilité des données personnelles, imaginer le
circuit du consentement obligatoire des individus ou concevoir un système d’alerte dans les
72 heures, comme l’exige le RGPD, ne serviront finalement peut être à rien si personne ne
demande à exercer ses droits.
« Avoir l’œil sur un projet suppose d’avoir le nez dedans,
c’est vous dire si c’est casse-gueule »
Quasimodo, certifié RGPD
(Réparateur de Gueules Particulièrement Déglinguées)
7. Tu ne changeras pas les mécanismes
de sécurité en place
C’est dommage : le RGPD te tombe sur la tête juste après que tu as investi dans les derniers
outils de sécurité et que tu viens juste de finaliser les principes de la politique de sécurité
de systèmes d’information, après plusieurs mois d’intense labeur. Ne pense même pas à
demander une rallonge budgétaire au DAF pour adapter les logiciels, refaire un schéma
directeur sécurité et faire appel à une armée de consultants en sécurité pour repeindre ton
système d’information aux couleurs RGPD…
« À l’impossible, nul n’est détenu »
Franz Wafillon, fabricant de vestes sur mesure
8. Tu n’auditeras pas tes sous-traitants
pour vérifier leur conformité
Le RGPD rend co-responsables les sous-traitants qui gèrent les données personnelles de ton
entreprise. Comme tu es optimiste par nature, tu leur accorderas une confiance aveugle pour
5. veiller sur les données personnelles dont tu leur as confié la gestion. Et comme tu es poli,
tu mettras un point d’honneur à ne pas te mêler des affaires des autres. Après tout, s’ils ont
été choisis, c’est qu’ils étaient les meilleurs !
« À Vienne que pourra »
Sigmund Freud, auteur du bestseller « Psychopathologie des RSSI »
(Éditions du Dépassement Perpétuel)
9. Tu n’identifieras pas les données sensibles
dans le système d’information
Qu’est-ce qui distingue une donnée personnelle d’une autre donnée personnelle ? « Rien…
Non, rien de rien », pourras-tu chantonner à tes collègues qui piaffent d’impatience de connaître
la réponse de l’expert de la DSI. Le mieux est de considérer que toutes les données personnelles
sont stratégiques, y compris les plus insignifiantes, ou, au contraire, d’estimer qu’elles n’ont
pas de valeur particulière. Dans le premier cas, tu seras tranquille, mais ça coûtera très cher
à sécuriser. Dans le second, tu seras tranquille aussi… si tu prends soin de rendre complices
tous tes collègues des directions métiers !
« Les données personnelles auront été rectifiées d’elles-mêmes »
Al Capone, flingueur de bases de données personnelles
10. Tu n’achèteras pas de solution logicielle
pour faire le travail à ta place
Les éditeurs de logiciels sont formels : l’achat de leurs solutions résoudra tous tes problèmes
de RGPD. Comme tout bon manager IT, tu resteras sceptique quant aux possibilités d’être
sauvé de l’envoûtement juridique qui te menace avec une solution logicielle. À moins que les
éditeurs te démontrent le contraire et te certifient que tu seras définitivement tranquille avec
leur recette magique : une petite implémentation, un soupçon de paramétrage, une goutte
de cloud, quelques pincées jours de formation et une mise à jour aux petits oignons…
« Qui ne tente rien, dors dehors »
Proverbe quechua
6. 11. Tu n’intégreras pas la Privacy by Design
dans les projets
Les concepteurs du RGPD, par sadisme juridique, impose d’intégrer le Privacy by Design,
autrement dit de prévoir, dès le début des projets, les mécanismes de sécurité et de protection
des données personnelles. Tu considèreras que, comme tu ne l’a quasiment jamais fait, ce
n’est pas indispensable de commencer maintenant, au risque de rallonger les délais et de
mécontenter les métiers qui râlent en permanence sur le fait que les DSI sont « en retard sur
tout et surtout en retard. »
« Certains cons sont tellement bien réussis qu’on croirait
qu’ils ont été conçus par la Connerie by Design »
Phil Hipstark, décorateur d’intérieur de cerveau
12. Tu ne définiras pas les responsabilités
dans tes équipes
Le chantier RGPD s’annonce tellement vaste qu’il ne peut entièrement reposer sur tes seules
frêles épaules. Autant déléguer... Et si tu poses la question « Y-a-t’il un volontaire pour prendre
en charge le dossier RGPD ? », personne ne se lancera dans l’aventure ! Tu édicteras donc une
règle simple : tout le monde sera responsable de la bonne mise en œuvre du RGPD.
« Il faut toujours diviser pour mieux rainier »
Proverbe monégasque
13. Tu ne documenteras pas le respect de la conformité
Qui dit Règlement dit contrôle que les mesures appropriées pour sécuriser les données
individuelles ont bien été prises et sont respectées. Pour anticiper un éventuel contrôle de
conformité, tu consigneras, dans un épais manuel de plusieurs milliers de pages, toutes
les procédures de sécurité mises en œuvre. En « oubliant » la table des matières et l’index,
histoire de décourager d’emblée les auditeurs qui voudraient faire du zèle...
« Hey, Joe, cours pas comme ça, y’a pas d’RGPD chez toi… »
John Hyal-Hydais, vieux RSSI canaille
Avertissement
L’application de ces commandements est susceptible de nuire gravement à
la santé de votre système d’information, voire d’entraîner l’arrêt total de celui-ci.
7. Pour en savoir plus sur le site
www.bestpractices-si.fr
• RGPD : un nouveau chantier pour occuper des DSI
qui seraient trop tranquilles.
• Prestataires informatiques et traitements de données :
les neuf points à connaître.
• RGPD ou le syndrome de l’an 2000.
• Protection des données, les questions à poser
aux fournisseurs.
• Protection des données personnelles : les parties prenantes.
• L’individu contre le Web.
• Big Data, le meilleur des mondes ?
• Données personnelles : que risque-t-on devant
les tribunaux ?
• La gouvernance des systèmes d’information se nourrit
des réglementations.
• Atteinte aux données, jusqu’où peut-on s’assurer ?
• Cybercriminalité : ce qui attend les DSI en 2020.
• Des établissements financiers en état de risques.
• Juridique : DSI et RSSI restent dans le flou.
8. Comment rater est un supplément de la lettre Best Practices Systèmes d’Information, publiée par Best Practices
International, SARL au capital de 21 000 €, Pavillon Sisley, rue de la Croix Rouge, 78430 Louveciennes.
Comment rater est une marque déposée : toute utilisation, même partielle, du contenu de ce document est strictement
interdite sans un contrat de licence ou un accord écrit de Best Practices International. www.commentrater.fr
Le contenu de ce document relève de la seule responsabilité de Best Practices International.
Directeur de la publication : Philippe Rosé (philippe.rose@bestpractices-si.fr),
Contact : Marc Guillaumot (marc.guillaumot@bestpractices-si.fr)
ISSN : 1967-5097 - co-gérance : Marc Guillaumot & Philippe Rosé - Dépôt
légal : à parution. Toute reproduction même partielle est strictement interdite.
Impression : Best Practices International
Découvrez nos publications...
...sur www.bestpractices-si.fr
Revue indépendante
pour décrypter
les tendances
numériques et rester
à l’état de l’art des
pratiques managériales
Service de décryptage
des opportunités
et des stratégies
numériques
Service de veille et
d’identification des
bonnes pratiques