Les systèmes d'information à l'épreuve du RGPD

Les systèmes d'information à l'épreuve du RGPD

Le Règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai prochain. Cependant, il impose une transformation des systèmes d’information importante qui nécessitera plusieurs années d’aménagement.

Adopté il y a bientôt deux ans, le nouveau Règlement européen sur la protection des données à caractère personnel ne constitue pas une véritable révolution. « Le RGPD, pour l’essentiel, n’est pas nouveau : 90 % du règlement correspond à des obligations qui existaient déjà dans la loi Informatique et Libertés de 1978 », estime Alain ­Pradaud, responsable de la protection des données personnelles au sein d’Allianz France. Cependant, la loi Informatique et Libertés ne prévoyait, il y a encore peu, qu’une amende maximum de 150 000 €. Avec le règlement euro­péen, les sanctions peuvent aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires du responsable du traitement... Son bon respect devient donc critique !

Un chiffrage conséquent

Si les assureurs se sont bien saisis du sujet en amont, les directions des systèmes d’information (DSI), elles, n’y travaillent que depuis peu. Soit parce que les services juridiques ne les avaient pas mis dans la boucle dès le départ, soit parce qu’elles ne disposaient pas d’éléments assez précis afin de pouvoir engager les travaux... Pourtant, le règlement est loin d’être neutre sur le plan informatique. « Sur les 99 articles du RGPD, nous estimons que 48 d’entre eux ont des impacts directs sur le groupe, dont 7 concernent véritablement la DSI », souligne Philippe Merville, DSI du groupe de protection sociale Agrica.

Nombre d’assureurs sont donc en train de réaliser des études de cadrage, analysant les écarts entre la situation actuelle et ce qui devrait être un système d’information (SI) en conformité. Il va ensuite falloir réaliser les arbitrages. « Si nous investissons beaucoup d’argent en 2018 sur le RGPD, nous ne le mettrons pas ailleurs, notre enveloppe étant par nature contrainte. Le RGPD va prendre la place d’autres projets, alors que nous sommes en période de ­développement de chiffre d’affaires et de personnalisation de la relation client », souligne Claire Mayaux, DSI de la Mutuelle nationale territoriale (MNT).

Les différents scénarios et leurs chiffrages commencent à arriver, parmi les plus avancés. Si ­Philippe Merville estime que la mise en conformité avec le RGPD sera moins coûteuse que Solvabilité 2, il reconnaît qu’elle représentera tout de même un important budget l’année prochaine. « En 2017, nous avons travaillé sur le financement des études d’impact et de cadrage, et avons envisagé ce qui devait être adapté. En 2018, il faudra réaliser les aménagements nécessaires, soit beaucoup de développements ­internes », souligne-t-il.

En effet, le RGPD exige d’être capa­ble de fournir ses critères de choix à la Cnil et de prouver sa bonne foi en cas de contrôle. « Le point positif de cette réglementation concernant le SI, c’est qu’il va permettre d’amé­liorer la gouvernance des données, et va nous obliger à parfai­re les documen­tations. Tous les processus concernant les données à carac­tère personnel doivent être documentés », poursuit Claire Mayaux.

Contenant et contenus !

Il s’agit donc de créer un véritable dictionnaire de données afin de préciser comment les datas sont collectées, par qui, ­comment elles sont transportées, archivées, ­détruites, leur durée de conservation... Solvabilité 2 ­exigeait déjà de posséder des dictionnaires de données, de tout cartographier et documenter. Pour autant, selon Alain Le Corre, part­ner risk management chez Optimind Winter, « nombreux sont les assureurs qui n’ont pas de vrais référentiels de ­données ». « On constate que certains n’ont pas encore identifié précisément le type de données existantes dans leur SI et où elles sont positionnées... C’est un changement important pour les DSI : ils vont devoir changer de prisme, et s’occuper non plus uniquement du contenant, c’est-à-dire des ­appli­cations, mais aussi du contenu. Il va falloir recentrer le SI sur les données », poursuit-il.

« Avec le RGPD, il faut être ­capable, en cas de destruction, de détérioration, de vol ou d’accès non autorisé, si nous considérons que la vie privée des personnes est atteinte, d’alerter la Cnil en 72 heures ou les ­personnes concernées dans les meilleurs délais », rappelle Alain Pradaud. Cela signifie qu’il faut pouvoir détecter les fuites ou les intrusions, et donc parfois déployer de nouvelles solutions. « Le RGPD va beaucoup impacter les habilitations, et il va falloir tracer tous les accès réguliè­rement. À tout moment nous devons pouvoir dire que telle personne a accès à telles données et a fait telle et telle opération. Tous les accès aux données à caractère personnel doivent être enregistrés de manière probatoire, il nous faudra donc utiliser le chiffrement », estime Claire Mayaux.

Revoir la conception des applications

Mais avec le RGPD et le concept de privacy by design (protection de la vie privée dès la conception), les chefs de projet devront également modifier leur méthode. Et notamment analyser les risques en amont avec les métiers. « Le privacy by design nécessite vraiment de revoir la façon de concevoir les applications et pas uniquement la sécurité. Mais le déploiement prendra du temps, car il est nécessaire de composer avec des éléments RH, culturels, de compétences... Nous allons y travailler en 2018 », souligne Michel Bazet, directeur des risques opérationnels et correspondant informatique et libertés chez AG2R La Mondiale. Les DSI remettent ­également à plat tous leurs contrats avec leurs prestataires afin de s’assurer qu’ils seront bien conformes au nouveau ­règlement européen, pour le droit à l’oubli, la purge des ­données...

Mais des points, tels le consentement explicite dans les contrats collectifs, le droit à l’oubli ou la portabilité des données restent à éclaircir. La majorité des assureurs, qui ne souhaitent pas ­dépenser plus que nécessaire sur ce projet réglementaire, vont donc investir a minima : s’ils regardent comment adapter le SI pour automatiser certaines procédures, ils attendent de voir si les citoyens vont réellement exercer ces droits avant de se lancer dans de tels ­travaux. « Le règlement prévoyant la mise en place de moyens adéquats, il n’est pas nécessaire d’automatiser d’emblée les procédures qui permettront la portabilité des données ou le droit à l’oubli. Il suffit d’être capable de les extraire, et d’avoir identifié très clairement qui fait quoi à quel moment », assure Michel Bazet. Un principe de proportionnalité qui va laisser un peu de répit aux DSI pour s’adapter...

Emploi

KAPIA RGI

DVELOPPEURS ANGULARJS H/F

Postuler

KAPIA RGI

CHEFS DE PROJETS Vie et/ou IARD H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

Commentaires

Les systèmes d'information à l'épreuve du RGPD

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié