IBM se met en ordre de bataille pour le RGPD

IBM vient de présenter son offre visant à accompagner les entreprises dans leurs efforts de mise en conformité avec le nouveau règlement européen de protection des données (RGPD, ou GDPR en anglais) avant son entrée en vigueur dans un an.

Et cela commence par un guide préparation, un outil interactif conçu sur la plateforme de réponse à incident acquise avec Resilient Systems au printemps 2016. Il s’agit en fait là de proposer un outil de gestion des tâches préconisées pour la préparation. Ces dernières peuvent être personnalisées et affectées. Vient ensuite une simulation visant à tester la préparation effective au travers d’exercices de réaction à des incidents susceptibles d’induire des actions requises dans le cadre du RGPD. Avec par exemple la notification de brèches sous 72 heures, en impliquant toutes les parties concernées au sein de l’entreprise.

Enfin, s’ajoute à cela un module de confidentialité qui prend en compte les exigences réglementaires actuellement en vigueur et qui sera actualisé dès que certaines précisions relatives au RGPD seront rendues publiques, à commencer par les normes à appliquer aux notifications.

L’arrivée d’IBM Resilient sur le sujet du RGPD n’est pas une surprise : des mécanismes comme ceux de notification des brèches sont appelés à être au moins partiellement automatisés. Mais il s’agit peut-être moins de processus techniques que de processus juridiques.

Dans un échange avec la rédaction, John Bruce, Pdg et co-fondateur d’IBM Resilient, explique comment les équipes juridiques peuvent être ainsi impliquées : « comme dans d’autres régions, nous aidons à déterminer s’il s’agit d’un incident à déclarer, et répondre aux obligations – ce qui recouvre la forme de notification, l’identification des destinataires, etc. ».

Les éléments de notification sont générés à la volée, mais pas question forcément de les transférer directement : « ce que l’on anticipe, c’est l’envoi de ces éléments au service juridique pour vérification ». Au moins pour le début, car dans la pratique, ce qu’observe Resilient, c’est une forte implication des services juridiques sur les premières notifications, mais après, la confiance progresse et rapidement, « on s’appuie entièrement sur le système ». Mais John Bruce ne recommande de se reposer ainsi intégralement et aveuglément sur l’outil, pour tentant que cela puisse être. Mais le gain est bien là : « l’outil fournit un brouillon dans l’instant. Ce qui laisse véritablement 72 h pour décider ».

Et si John Bruce ne peut que reconnaître les efforts que vont devoir consentir de nombreuses organisations pour assurer leur conformité avec le RGPD, il n’y voit pas moins une initiative positive : « c’est quelque chose de très sain, une manière de relever collectivement le niveau en matière de protection de la confidentialité et de la sécurité des données ». Car pour beaucoup, le nouveau règlement européen ne fait qu’imposer des bonnes pratiques pour la gestion « des données de ses clients et de ses employés », des pratiques « que l’on devrait adopter, et s’il faut pour cela qu’un régulateur menace de sanction, eh bien qu’il en soit ainsi. C’est bon pour la communauté dans son ensemble ».