Interview de Marco Rottigni, Chief Technical Security Officer EMEA de Qualys

Quelles mesures avez-vous prises pour soutenir les entreprises dans la conformité GDPR ?

En tant que société multinationale présente dans 137 pays, Qualys est parfaitement consciente des implications et des défis liés à la conformité en général, et au RGPD en particulier, à la fois en tant qu'entreprise et comme soutien auprès de ses clients dans ce domaine. Nous avons mené des actions spécifiques pour garantir la conformité de nos centres de données et l'adéquation des mesures que nous avons prises pour protéger les données de nos clients stockées dans nos systèmes avec les recommandations du règlement RGPD.

Nous avons également inclus dans nos solutions des modules et des modèles qui garantissent la conformité à différents niveaux. Ainsi, notre appli Cloud Policy Compliance comprend des modèles qui garantissent la conformité au règlement RGPD. Quant à notre appli Cloud Security Assessment Questionnaire, elle comprend sept questionnaires qui détaillent de manière granulaire les exigences du RGPD et permettent aux équipes d'évaluer le niveau de préparation de leur entreprise à la conformité au RGPD. 

Quels problèmes avez-vous remarqué dans les entreprises ? Pouvez-vous donner un exemple, même anonyme ?

D'après notre constat, les entreprises se sont préparées au RGPD avec différents niveaux de maturité. Celles les moins avancées ont une approche opportuniste, elles sont globalement inconscientes de la situation et espèrent que tout ira bien. Il s'agit seulement d'une petite minorité d'entre elles et nous avons bon espoir qu'elles corrigeront rapidement le tir, même si la précipitation n'est jamais une bonne chose en matière de conformité à la réglementation. Il y a des entreprises qui agissent à l'extrême opposé, peut-être parce que leur cœur de métier s'appuie sur le traitement des données personnelles et qu'elles se sentent donc contraintes d'être en parfaite conformité... là encore, nous ne pensons pas qu'il s'agisse de la majorité. Nous voyons la plupart des entreprises se conformer de façon pragmatique, soucieuses de préserver l'intégrité des données de leurs clients. 

Selon vous, quels sont les secteurs qui ont répondu le plus rapidement au défi du règlement ? Et les moins rapides ?

Ceux qui ont réagi le plus rapidement sont certainement issus du secteur financier, ainsi que les entreprises dont le traitement des données personnelles est l'activité principale. Si on prend l'exemple d'une société dont l'activité principale est la génomique, on peut imaginer que ce type d'entreprise est parfaitement en phase avec les exigences les plus rigoureuses en matière de conformité. Concernant les moins réactifs, nous n'avons pas assez d'éléments pour stigmatiser un secteur tout entier. Nous pensons qu'il s'agit davantage d'un problème de maturité ou de contraintes importantes en termes de budget et de ressources. Là encore, les réactions à ces situations très diverses sont trop différentes pour identifier un dénominateur commun.

Selon vous, la majorité des entreprises est-elle préparée ? Ou est-ce l'inverse?

Nous sommes convaincus que la grande majorité des entreprises a déjà trouvé un bon moyen de se conformer, à différents niveaux. Nous croyons aussi dans les bonnes intentions du législateur qui tendent à définir un modèle comportemental plutôt qu'une réglementation stricte avec une sanction à la clé. Il y aura certainement des amendes exemplaires pour les comportements les plus déviants, mais aussi une grande compréhension et une attitude de clémence pour les entreprises dont la volonté est de s'améliorer.

Comment avez-vous fait face aux «zones grises» de la réglementation ?

Ce règlement est très clair dès le départ afin de se différencier d'une directive qui aurait dû être ratifiée et confirmée par chaque État membre. Notre approche visait deux objectifs majeurs : d'une part nous assurer que notre centre de données et nos processus internes étaient parfaitement conformes aux exigences du RGPD et, d'autre part, adapter nos solutions et notre gamme de produits pour fournir un support à la fois proactif, pragmatique et concret avec des outils dédiés permettant d'évaluer et de réagir pour être en phase avec les exigences et les recommandations du RGPD.

Que pensez-vous de la conversion en loi, prévue pour l'été ? Et pensez-vous que les entreprises que vous avez soutenues auront besoin d'une nouvelle intervention de conformité massive ?

Nous ne pensons pas que la transformation en loi changera grand chose mais qu'il s'agit plutôt de promouvoir la conformité et l'adaptation aux recommandations et aux exigences. Comme expliqué précédemment, le RGPD est déjà lui-même une réglementation de l'Union Européenne qui n'a pas besoin de ratification nationale pour être pleinement appliquée. De plus, les médias et Internet ont largement contribué à diffuser le message et le détail des obligations. La conversion en loi mettrait peut-être un peu plus de pression, mais elle serait minime selon nous.

Quelle est votre opinion en général sur GDPR ?

Nous estimons que le RGPD est un projet d'envergure, bien organisé pour sensibiliser au traitement approprié des données personnelles. Nous pensons qu’il a aussi largement contribué à ce que les entreprises analysent de manière productive leurs processus de sécurité internes ainsi que leur traitement et leur protection des données personnelles. Ce réglement européen a mis en évidence la nécessité d'une meilleure visibilité, a réduit l'obsession d'une prévention irréaliste (étant donné que les violations sont inévitables) et a poussé les entreprises à repenser et à réévaluer leurs processus internes. In fine le RGPD est une chance donnée aux entreprises pour bâtir la confiance, la transparence et de solides relations avec leurs clients, avoir une vue complète des données (celles qu'elles ont et celles dont elles ont besoin), définir les données de grande valeur, repenser les bonnes pratiques métier et se réorganiser en fonction de leur activité. Pour citer le célèbre Philipp Jan Albrecht, membre du Parlement européen : « Il est fondamental de comprendre comment le RGPD changera non seulement les lois européennes sur la protection des données mais aussi le reste du monde tel que nous le connaissons actuellement. »