L’arrivée du Règlement Générale de Protections des données (RGPD) et son échéance au 25 mai 2018, fait de cette nouvelle réglementation un sujet brulant. Comme tout professionnel de l’IT , il m’a été difficile de ne pas me sentir concerné. Comme beaucoup, à la simple évocation du mot Data, je me suis mis à rêver à une nouvelle source d’activité!
Après quelques mois à lire tout ce que j’ai pu sur le sujet, j’ai creusé la question dans tous les sens. J’ai regardé les offres existantes, dévoré les multiples dossiers spéciaux sur ce thème, rempli les formulaires et questionnaires d’évaluation de sa « maturité RGPD », regarder les offres des éditeurs,…
Finalement, il faut se faire à l’idée que le RGPD est un sujet transverse certes, mais avant tout juridique!
Effectivement les personnels IT peuvent être sollicités sur la partie « outillage » et robustesse de l’infrastructure mais ça ne devrait pas aller plus loin dans la plupart des cas!
Pourquoi?
A cause de 2 points :
- Les DSI ne sont pas souvent responsables de traitement de données personnelles pour leur propre compte. Une DSI n’est souvent qu’un acteur technique
- La responsabilité de la conformité au RGPD est un acte juridique, pas un acte technique. Je n’ai trouvé aucun référentiel technique à suivre pour être en conformité
Cela explique pourquoi on trouve des offres où des consultants se posent en DPO externalisé et proposent des audits sans se déplacer physiquement dans les entreprises et sans même être informaticien.
Cette prédominance du juridique fait aussi, qu’en cas de sanction les entreprises vont naturellement demander des comptes à leur DPO (quand elles en ont un).
Pour illustrer un peu plus ma vision, je vous propose l’infographie suivante que montre l’impact du RGPD sur la fonction RH. Vous constaterez que la DSI n’intervient assez peu en direct dans ma présentation.
Bref, il va falloir que je trouve autre chose pour gagner ma vie…