Il y a des arguments autour de l’approche technique du RGPD qui présentent des similitudes frappantes avec ceux présentés lorsque la ” contreumérisation de l’informatique ” est devenue une réalité vers la fin de la dernière décennie. J’ai fouillé dans mes archives et j’ai trouvé un diagramme qui a été utilisé par l’un des grands fournisseurs mondiaux dans leur diaporama pour démontrer les avantages de la transition annoncée par la contreommation. Ensuite, l’accent a été mis sur l’autonomisation du personnel, d’autant plus que les millénaires commençaient à toucher la main-d’œuvre et à permettre à l’entreprise de s’épanouir dans le processus. À l’époque, il avait été suggéré que les équipes informatiques contrôlaient avec zèle toutes les questions informatiques et déterminaient comment et où les employés pouvaient interagir avec les systèmes. La contreommation était un idéal qui mettait l’accent sur le fait que les utilisateurs devaient prendre cette décision. Une réaction naturelle à l’échéance imminente du RGPDet à l’impact potentiel qu’elle pourrait avoir sur la viabilité d’une organisation est de verrouiller tous les systèmes et infrastructures afin d’éviter toute violation. Les lourdes sanctions prévues par la législation pour l’OIC vont faire peur à de nombreuses organisations, qui tenteront d’atténuer tous les risques en réagissant par à-coups. Le caractère raisonnable ne s’appliquera pas et les murs de la forteresse seront contretruits. En cherchant à éliminer tous les risques de cette manière, les entreprises introduiront involontairement plus de risques.
Comment cette mesure va rendre plus difficile l’accès à l’information ?
Une grande partie de la main-d’œuvre est habituée, grâce à la contreumérisation, à avoir accès à l’information dont elle a besoin pour être productive quand et où elle en a besoin. Limiter l’accès à ces pratiques semble certainement être une mesure raisonnable ; restreindre l’accès aux données de l’extérieur de l’environnement sécurisé du bureau ou du réseau. Les appareils personnels sont interdits, BYOD devient une chose du passé. Vous avez le contrôle. Vos données sont en sécurité. L’ICO ne vous obtiendra pas pour 4% de votre chiffre d’affaires global.
Cette approche aura forcément un effet sur la productivité. Elle impose des restrictions quant à l’endroit où le personnel peut travailler et à la façon dont il peut le faire. Elle n’accorde aucune confiance à leur capacité à s’occuper des données de l’entreprise et à les respecter. Les gens voudront toujours travailler d’une manière qui convient à leur style et à leur style de vie, ce qui créera des conflits. Tôt ou tard, ils trouveront un moyen de faire sortir les données du réseau et de les placer dans un endroit où elles pourront fonctionner efficacement. Cela commence généralement par une demande de niveau C pour travailler en dehors du bureau, soit en vacances, soit dans le confort de la maison, tard le soir. Lentement, et à l’insu de l’équipe informatique, les contrôles sont érodés à un point tel qu’il n’y a plus de contrôle sur les données. Cette énorme amende pourrait être dans le sac.
L’approche alternative !
L’approche alternative contreiste à adopter un équilibre de systèmes et de politiques qui permettent des pratiques de travail pour un personnel efficace et productif. Former vos équipes à gérer les données de manière appropriée mais aussi leur donner la possibilité d’atteindre l’équilibre entre vie professionnelle et vie privée. Les mesures de sécurité devraient étayer cela et servir de catalyseur et non d’inhibiteur. Cela permettra un véritable contrôle et les entreprises sauront où se trouvent réellement leurs données. S’il y a une brèche, elle doit être rapidement identifiée et signalée en temps opportun.
Il existe des solutions élégantes qui permettent la liberté des utilisateurs et le contrôle de l’entreprise. Un équilibre sain qui permettra de se conformer au RDPPIB et qui n’entravera pas les utilisateurs ou l’entreprise. La réglementation exige des mesures techniques raisonnablement appropriées et non des mesures draconiennes, c’est donc l’occasion de revoir votre TI et vos systèmes, de les améliorer au besoin et de s’assurer que le personnel possède la formation appropriée.
Il est important de se rappeler que le RGPD concerne les données personnelles, et pas seulement l’informatique. Bien que l’informatique dispose d’outils pour sécuriser les données et les systèmes, leur qualité dépend des politiques et des procédures de l’entreprise concernant la façon dont les données sont traitées et de la formation des personnes qui les manipulent ; ces deux éléments ne font pas partie des compétences normales du service informatique.
