GDPR : où en sont les grandes entreprises ?
Le cabinet conseil Wavestone publie une étude sur les priorités et les investissements des grandes entreprises sur GDPR.
PublicitéDans dix mois, toutes les entreprises détenant des données personnelles de particuliers européens devront être conformes au règlement GDPR (*). Le cabinet conseil Wavestone a synthétisé les réactions de vingt de ses clients grands comptes et d'une quarantaine de donneurs d'ordre, sur leur état de préparation et les moyens mis en oeuvre.
En termes de ressources humaines, GDPR mobilise entre trois et quelques dizaines d'ETP, équivalents temps plein, dans les entreprises. Une compagnie d'assurance parle de 40 business unit concernées, 300 personnes mobilisées, et 4 ETP en central. En première ligne, se retrouvent des IT managers : responsables IT ou digital et RSSI, qui concentrent 40% de la charge GDPR en entreprise. « Contrairement à certaines idées pré-conçues, note l'étude, la charge pour les équipes juridiques et pour le RSSI reste limitée, au regard de la charge globale ».
Une 2ème phase plus opérationnelle
Le travail sur GDPR se fait en deux temps. Une première étape d'analyse est franchie, place à l'opérationnel. Désormais, « les coûts IT sont donc plus souvent liés à des problématiques d'exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc », assure Wavestone. La partie juridique devient moins importante, la cybersécurité développe des programmes déjà existants qui ne sont pas liés à l'origine à GDPR, mais le prennent en compte en cours de déploiement.
Après l'IT, les métiers, avec 25% de la charge globale, sont très impliqués dans GDPR, suivis du DPO et du juridique (20%), enfin, l'équipe de pilotage intervient pour coordonner, accompagner et former. Les ressources sont aussi budgétaires et Wavestone constate, qu'après une mise en route laborieuse, les budgets de ses clients ne cessent d'augmenter pour la mise en application du Règlement. Les analyses d'écarts et la complexité du sujet poussent à cette augmentation.
Cinq points à travailler
Wavestone identifie d'ailleurs cinq points de blocage dans la mise en place de GDPR. D'abord, l'application des délais de rétention et du droit à l'oubli au sein du SI. Il en coûte de 40 à 200 000 euros par application. La mise en conformité des contrats existants, lui, bute sur la présence de milliers, voire de dizaines de milliers de ces contrats dans les entreprises. Troisième sujet, la méthodologie d'accompagnement de projets et les outils d'analyse de risques sur la vie privée (les PIA, Privacy Impact Assessment). La question des compétences venues de la DSI, du juridique ou du contrôle interne et de leur pilotage, vient après. Enfin, l'organisation de l'équipe DPO, qui ira bien au-delà de mai 2018, forme un cinquième chantier.
PublicitéUne échéance qui sera respectée pour les risques majeurs, l'organisation DPO et ses budgets permettant de mettre ensuite l'entreprise en totale conformité. Ce sera la troisième grande étape. Les directions générales en prennent conscience, elles demandent actuellement, selon Wavestone, aux DSI et aux directions métier de « dé-prioriser » certains budgets pour les allouer à GDPR. Wavestone s'est livré à quelques estimations budgétaires édifiantes.
Des fourchettes budgétaires très larges
Le cabinet d'études livre trois fourchettes budgétaires. « De 1 à 5 millions d'euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling .... Entre 20 à 50 millions d'euros lorsque l'entreprise a plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d'euros, aujourd'hui en cours d'optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants ».
Wavestone estime que les entreprises revoient le planning initial et le budget, les deux sont très liés, mai 2018 n'est plus une échéance, mais une étape. Les entreprises vont revoir leur budget pour être conformes avec un planning plus réaliste que celui initialement envisagé.
(*) Le Monde Informatique, du même groupe que CIO, organise cet automne la sixième édition de l'IT Tour, dont le thème dominant cette année sera GDPR : Inscriptions et programme à cette adresse.
Article rédigé par
Didier Barathon, Journaliste
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire