Pour Thibaut De Vylder, CEO de dFakto, le constat est sans appel : « De nombreuses organisations en sont encore au stade de l'analyse du gap, trop peu ayant déjà commencé l'implémentation proprement dite. Or, c'est justement grâce à l'implémentation qu'il sera réellement possible de comprendre l'étendue du travail à prester. »

Dans ce genre de régulations, trois phases se distinguent : « les assessments, l'implémentation et l'opérationnalisation. Actuellement, toute l'activité se concentre essentiellement sur l'assessment, surtout au niveau des avocats qui analysent les contrats de leurs clients, à ce qui est lié au droit de bien utiliser les données, etc. Parallèlement, des spécialistes de la sécurité analysent l'infrastructure, le réseau, la manière dont les données sont stockées. Enfin, de nombreux consultants généralistes aident à produire des analyses du gap entre la situation actuelle et la situation cible respectant la régulation. La finalité de toutes ces analyses étant, pour chaque entreprise, de faire un état des lieux de la gestion des données personnelles au sein de leurs activités. »

 

Dépasser la théorie
 

Par rapport à ces trois types d'acteurs actifs dans l'assessment, des outils existent, mais se limitent à la théorie. « D'où l'intérêt de passer au stade de l'action », explique Thibaut De Vylder. « Il existe des solutions de pilotage, telles que GDPR360, simples à utiliser et ayant pour particularité de suivre non seulement les tâches à réaliser, mais aussi les risques associés aux tâches. Dans un deuxième temps, des contrôles seront effectués sur base des données réputées sensibles et qui permettront de détecter les données non conformes et surtout de suggérer les actions précises pour les rendre conformes. »

 

L'objectif est donc d'instaurer une vraie culture data : chaque collaborateur devient ainsi une sorte de « citoyen data » de l'entreprise et prend ses responsabilités à son niveau par rapport aux données. D'autres réglementations comme l’e-Privacy ne feront que renforcer ces responsabilités.

 

Un signal fort
 

Néanmoins, il est clair qu' « il y aura une période transitoire, la communication à la base n'ayant pas forcément été des plus limpides », précise Thibaut De Vylder. « Il n'en reste pas moins que le GDPR constitue une bonne pratique et envoie le signal qu'on ne pourra plus faire n'importe quoi sans demander aux gens leur consentement. L'image digitale des gens est de plus en plus utilisée pour des décisions qui les concernent. D'où l'importance de restituer la gestion de cette image à la personne à qui elle appartient. »