Les systèmes d'information à l'épreuve du RGPD

Les systèmes d'information à l'épreuve du RGPD
ktsimage/Getty Images/iStockphoto

Le Règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai prochain. Cependant, il impose une transformation des systèmes d’information importante qui nécessitera plusieurs années d’aménagement.

Adopté il y a bientôt deux ans, le nouveau Règlement européen sur la protection des données à caractère personnel ne constitue pas une véritable révolution. « Le RGPD, pour l’essentiel, n’est pas nouveau : 90 % du règlement correspond à des obligations qui existaient déjà dans la loi Informatique et Libertés de 1978 », estime Alain ­Pradaud, responsable de la protection des données personnelles au sein d’Allianz France. Cependant, la loi Informatique et Libertés ne prévoyait, il y a encore peu, qu’une amende maximum de 150 000 €. Avec le règlement euro­péen, les sanctions peuvent aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires du responsable du traitement... Son bon respect devient donc critique !

Philippe Merville, directeur des systèmes d’information d'Agrica
« Nous sommes entrés dans l’action »

« En veille active depuis plus d’un an, nous sommes entrés dans l’action depuis le début de l’année, avec une accélération au second semestre. Nous avons anticipé certains chantiers, comme par exemple l’exigence d’informer les clients en moins de 72 heures en cas de fuite de leurs données à caractère personnel. Nous ne partions pas de zéro : notre correspondant informatique et liberté avait bien préparé le terrain et nous avions déjà entamé une démarche sur la qualité des données dans le cadre de Solvabilité 2. Cependant, nous ne serons pas prêts sur toutes les exigences du règlement d’ici à mai. C’est impossible. Les grandes lignes du RGPD ont été publiées en 2016, mais c’est un travail colossal. Deux ans pour se mettre en situation de conformité complète, c’est trop court ! »

 

Un chiffrage conséquent

Si les assureurs se sont bien saisis du sujet en amont, les directions des systèmes d’information (DSI), elles, n’y travaillent que depuis peu. Soit parce que les services juridiques ne les avaient pas mis dans la boucle dès le départ, soit parce qu’elles ne disposaient pas d’éléments assez précis afin de pouvoir engager les travaux... Pourtant, le règlement est loin d’être neutre sur le plan informatique. « Sur les 99 articles du RGPD, nous estimons que 48 d’entre eux ont des impacts directs sur le groupe, dont 7 concernent véritablement la DSI », souligne Philippe Merville, DSI du groupe de protection sociale Agrica.

Nombre d’assureurs sont donc en train de réaliser des études de cadrage, analysant les écarts entre la situation actuelle et ce qui devrait être un système d’information (SI) en conformité. Il va ensuite falloir réaliser les arbitrages. « Si nous investissons beaucoup d’argent en 2018 sur le RGPD, nous ne le mettrons pas ailleurs, notre enveloppe étant par nature contrainte. Le RGPD va prendre la place d’autres projets, alors que nous sommes en période de ­développement de chiffre d’affaires et de personnalisation de la relation client », souligne Claire Mayaux, DSI de la Mutuelle nationale territoriale (MNT).

Les différents scénarios et leurs chiffrages commencent à arriver, parmi les plus avancés. Si ­Philippe Merville estime que la mise en conformité avec le RGPD sera moins coûteuse que Solvabilité 2, il reconnaît qu’elle représentera tout de même un important budget l’année prochaine. « En 2017, nous avons travaillé sur le financement des études d’impact et de cadrage, et avons envisagé ce qui devait être adapté. En 2018, il faudra réaliser les aménagements nécessaires, soit beaucoup de développements ­internes », souligne-t-il.

En effet, le RGPD exige d’être capa­ble de fournir ses critères de choix à la Cnil et de prouver sa bonne foi en cas de contrôle. « Le point positif de cette réglementation concernant le SI, c’est qu’il va permettre d’amé­liorer la gouvernance des données, et va nous obliger à parfai­re les documen­tations. Tous les processus concernant les données à carac­tère personnel doivent être documentés », poursuit Claire Mayaux.

Alain Le Corre, partner risk management chez Optimind Winter
« Beaucoup d’assureurs sont en retard »

  • Les assureurs seront-ils prêts pour mai 2018 ?
    Le RGPD a, jusqu’à présent, été traité sous les angles juridique et conformité, mais peu sous celui des systèmes d’information (SI). Beaucoup d’assureurs seront en retard sur la déclinaison de la mise en conformité sur les SI. Le RGPD ne se limite pas à positionner un niveau de sécurité supplémentaire, mais à déployer plus largement des fonctionnalités déjà existantes. Et toucher aux systèmes de gestion revient à toucher à l’usine de production. Il s’agit donc de projets de transformation du SI conséquents, qui prendront plusieurs mois à être opérationnels. Tout ne pourra être bouclé pour mai 2018 pour les établissements qui n’ont pas encore identifié ces projets de mise en conformité.
  • Quels sont les risques encourus ?
    A priori, la Cnil demandera une feuille de route démontrant que l’entreprise a bien listé les travaux de mise en conformité à mener. L’assureur devra être capable d’expliquer comment il va procéder, ses priorités et démontrer qu’il alloue les moyens nécessaires. Il est encore temps d’établir cette feuille de route pour mai 2018. Les entreprises doivent ­obligatoirement allouer des moyens pour se mettre en conformité, mais les budgets ne sont pas extensibles... Il y aura forcément des arbitrages.

 

Contenant et contenus !

Il s’agit donc de créer un véritable dictionnaire de données afin de préciser comment les datas sont collectées, par qui, ­comment elles sont transportées, archivées, ­détruites, leur durée de conservation... Solvabilité 2 ­exigeait déjà de posséder des dictionnaires de données, de tout cartographier et documenter. Pour autant, selon Alain Le Corre, part­ner risk management chez Optimind Winter, « nombreux sont les assureurs qui n’ont pas de vrais référentiels de ­données ». « On constate que certains n’ont pas encore identifié précisément le type de données existantes dans leur SI et où elles sont positionnées... C’est un changement important pour les DSI : ils vont devoir changer de prisme, et s’occuper non plus uniquement du contenant, c’est-à-dire des ­appli­cations, mais aussi du contenu. Il va falloir recentrer le SI sur les données », poursuit-il.

« Avec le RGPD, il faut être ­capable, en cas de destruction, de détérioration, de vol ou d’accès non autorisé, si nous considérons que la vie privée des personnes est atteinte, d’alerter la Cnil en 72 heures ou les ­personnes concernées dans les meilleurs délais », rappelle Alain Pradaud. Cela signifie qu’il faut pouvoir détecter les fuites ou les intrusions, et donc parfois déployer de nouvelles solutions. « Le RGPD va beaucoup impacter les habilitations, et il va falloir tracer tous les accès réguliè­rement. À tout moment nous devons pouvoir dire que telle personne a accès à telles données et a fait telle et telle opération. Tous les accès aux données à caractère personnel doivent être enregistrés de manière probatoire, il nous faudra donc utiliser le chiffrement », estime Claire Mayaux.

Michel Bazet, directeur des risques opérationnels et correspondant informatique et libertés d'AG2R La Mondiale
« Trois demandes de droit d’accès ! »

« Le RGPD suscite beaucoup de commentaires et certains consultants ont tendance à donner une vision maximaliste de ses impacts. Pourtant, avec une approche par les risques et un principe de proportionnalité, ce règlement laisse une certaine latitude sur les priorités et les moyens à mettre en œuvre dans le temps. Nous évaluons ainsi les risques, afin de traiter en priorité les domaines comportant le plus de menaces, notamment les données de santé avant ceux de la relation client. Notre approche est pragmatique et opportuniste. Nous préférons concevoir des mesures d’attentes, qui pourront ensuite être automatisées ou non en fonction des volumes. En quatre ans, le groupe qui couvre 15 millions de personnes n’a eu que trois demandes sur l’exercice du droit d’accès ! »

 

Revoir la conception des applications

Mais avec le RGPD et le concept de privacy by design (protection de la vie privée dès la conception), les chefs de projet devront également modifier leur méthode. Et notamment analyser les risques en amont avec les métiers. « Le privacy by design nécessite vraiment de revoir la façon de concevoir les applications et pas uniquement la sécurité. Mais le déploiement prendra du temps, car il est nécessaire de composer avec des éléments RH, culturels, de compétences... Nous allons y travailler en 2018 », souligne Michel Bazet, directeur des risques opérationnels et correspondant informatique et libertés chez AG2R La Mondiale. Les DSI remettent ­également à plat tous leurs contrats avec leurs prestataires afin de s’assurer qu’ils seront bien conformes au nouveau ­règlement européen, pour le droit à l’oubli, la purge des ­données...

Mais des points, tels le consentement explicite dans les contrats collectifs, le droit à l’oubli ou la portabilité des données restent à éclaircir. La majorité des assureurs, qui ne souhaitent pas ­dépenser plus que nécessaire sur ce projet réglementaire, vont donc investir a minima : s’ils regardent comment adapter le SI pour automatiser certaines procédures, ils attendent de voir si les citoyens vont réellement exercer ces droits avant de se lancer dans de tels ­travaux. « Le règlement prévoyant la mise en place de moyens adéquats, il n’est pas nécessaire d’automatiser d’emblée les procédures qui permettront la portabilité des données ou le droit à l’oubli. Il suffit d’être capable de les extraire, et d’avoir identifié très clairement qui fait quoi à quel moment », assure Michel Bazet. Un principe de proportionnalité qui va laisser un peu de répit aux DSI pour s’adapter...

Alain Pradaud, responsable de la protection des données personnelles chez Allianz France
« Des procédures d'abord manuelles »

« La portabilité des données à caractère personnel est une des nouveautés introduites par le RGPD, un sujet encore assez flou. Le règlement évoque toutes les données collectées, directement ou indirectement, avec l’accord de la personne. Nous menons des réflexions sur la signification de ces données portables en assurance vie, en MRH, en emprunteur... Il nous faut définir ce que l’on doit porter, sur quoi on le porte, à qui on le porte, et, si on est sur de la portabilité entrante, quel est le point d’entrée ? Tant que tout cela n’est pas affiné, la DSI peut difficilement travailler. Dans un premier temps, nous serons sur des procédures manuelles, car nous souhaitons vérifier le volume des demandes avant de mettre en place un système transverse et automatisé. »

 

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Services d'assurance

Fondation de Selves

20 août

24 - Sarlat-la-Canéda

Proposé par   Marchés Online

Commentaires

Les systèmes d'information à l'épreuve du RGPD

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié