4 ans… Il y a quatre ans jour pour jour, le RGPD entrait en application influençant la perception de la donnée personnelle par les entreprises, sensibilisant ces dernières aux conséquences des risques cyber, imposant des bonnes pratiques en matière de gouvernance des données et insufflant un premier élan pour imposer une souveraineté numérique européenne (depuis renforcée par le Data Act, le Digital Services Act, le Digital Markets Act et le Data Governance Act). Pourtant, les effets attendus du RGPD tardent encore à apparaître. Parce qu’au delà de la peur du gendarme, les entreprises doivent encore changer de culture. Un changement qui doit s’imposer dès la conception des produits et services.

Par Mehdi Medjaoui, CEO et cofondateur d’Alias

« Lorsqu’il y a une innovation, les Américains en font un commerce. Les Chinois, une copie. Les Européens, quant à nous, nous en faisons un règlement », disait Emma Marcegaglia, ancienne présidente du Medef italien.

Car oui, en retard sur le numérique, le RGPD a été mis en place en Europe pour redistribuer les cartes avec les GAFAs. Mais qu’en est-il quatre ans après ? Bien qu’il soit un succès juridique international en ayant inspiré plus de 60 pays, le RGPD est encore un « tigre de papier ».

Le 25 mai 2018 à sa sortie, il était censé briser le monopole des Big Tech en libérant le droit sur les données personnelles. Le RGPD n’a pas encore délivré sa promesse et, pire, il est en l’état en train de faire passer la protection des données pour un fardeau pour les entreprises, sans avoir réussi à être une émancipation du consommateur et du citoyen.

« Le vieux monde se meurt, le nouveau monde tarde à apparaître et dans ce clair-obscur surgissent les monstres », disait le philosophe italien Gramsci.

Eh bien ce monde post-RGPD tarde vraiment à apparaître… En effet, il y a certes 1,6 Md€ d’amendes, le RGPD est accusé par le think tank Digital Europe d’être un poids sur l’économie européenne allant jusqu’à 2  000 Md€ d’ici 2030.

Se pose alors l’alternative qui tue. Pour sauver le RGPD, doit-on baisser son niveau d’exigence, ou plutôt investir dans la technologie pour le rendre facile d’application ?

UN COÛT DE GESTION QUI A AUGMENTÉ DE 100 % EN 2021

La liste des outils pour gérer le RGPD n’a pas vraiment évolué depuis 2018. La plupart des entreprises utilisent Excel pour déclarer leurs traitements de données dans le système d’information. Certes, des outils en SaaS existent afin de rendre le tableur plus joli, mais on reste dans des outils statiques, déclaratifs et surtout non connectés à la réalité du SI.

Et on comprend bien que ce n’est pas adapté quand il s’agit de suivre et mettre à jour des millions de jeux de données dans des centaines de systèmes informatiques en temps réel. Cela crée des problèmes de version, de modification et de mise à jour, et entraîne beaucoup de travail manuel et des audits kafkaïens interminables.

Toutes ces inefficacités ont un coût pour les entreprises, estimé en moyenne à 2,4  M$ en 2021 par entreprise de plus de 250 salariés, selon le benchmark Cisco Data Privacy, avec une augmentation de 100 % depuis 2020.

La première génération d’outils et de plateformes de mise en conformité RGPD de la période 2018-2022 n’a donc pas délivré ses promesses. Le constat est amer : aujourd’hui, les entreprises n’ont ni la gestion efficace leur permettant de s’assurer d’une conformité en temps réel et d’une agilité d’exécution, ni des coûts raisonnés.

Il faut en fait sortir de la peur de l’amende comme seul moteur de conformité. Car investir dans une conformité RGPD a minima coûte au final plus cher en coût opérationnel et en travail manuel.
Il faut au contraire aller vers une ingénierie de la donnée personnelle pour faire du RGPD une opportunité business de creuser la différence avec la concurrence auprès des consommateurs. Une stratégie validée par le rapport Cisco Data Privacy qui montre même que le ROI d’une démarche de protection des données est de 190 % en 2021.

INVESTIR DANS LE DEVREGOPS POUR UNE CONFORMITÉ EN CONTINU

Depuis le 25 Mai 2018, un acteur a émergé qui bloque fréquemment les équipes tech sur le développement et le déploiement des applications : le data protection officer. Souvent de culture non technique, le DPO remet en question ce qui a été installé ou développé, pour cause de non-conformité RGPD.

Le principal problème est que la vérification de la conformité arrive trop tard dans la chaîne de valeur, ce qui crée de grosses tensions dans les équipes IT. Comme le disait le général McArthur, « les batailles perdues se résument en deux mots : trop tard ».

Dans la lignée de la culture DevOps, qui a solutionné le problème entre développeurs et administrateurs, ou du DevSecOps qui a résolu les conflits entre DSI et RSSI avec le fameux « Shift Left Testing », il existe une solution pour abattre les cloisons entre DPO et DSI : le DevRegOps.

Cela consiste à rendre le code et les données conformes au RGPD dès leur création. En faisant les tests de conformité en amont et non pas en aval, on est sûr que la conformité est respectée du développement jusqu’au déploiement, sans accrocs. Cette intégration de la réglementation dans le DevOps permet d’être agile sur l’ensemble de la chaîne de production de code et de valeur.

 


À lire également :

Des textes et des labels pour agir en tant qu’Européens souverains

Comment faire de la mise en conformité un atout plus qu’une contrainte ?

Protection et souveraineté des données : comment ne pas se perdre avec le cadre législatif ?

Le Code de Conduite pour la Protection des Données est enfin mis en pratique

Comment transférer ses données à l’ère du RGPD ? Grâce à un réseau sécurisé !

« RGPD, Souveraineté, Cloud… Il faut désormais remettre en question en permanence la façon dont on fonctionne… »

Comment garantir la bonne application du RGPD, même en état d’urgence ?

Les enjeux juridiques de l’intelligence artificielle