Alors que l’échéance de la mise en oeuvre de GDPR n’est plus que dans une poignée de semaines, Dan Frank, analyste principal chez Deloitte Risk and Financial Advisory, apporte un éclairage sur les défis à relever pour se mettre sur les rails de la conformité. Les entreprises à l’étranger sont également concernées.
Dan Frank de Deloitte veut clarifier GDPR pour les DSI et CISO d’entreprises établies hors de l’Union européenne mais concernées par le Règlement (photo Deloitte).
L’Union européenne commencera à appliquer son règlement général sur la protection des données (en anglais GDPR) le 25 mai pochain. Votre organisation est-elle prête ? La question est moins simple qu’elle n’en a l’air. « Avec GDPR vous ne savez jamais quand une violation va avoir lieu », explique Steve Durbin, directeur général du Forum sur la sécurité de l’information (ISF, Information security forum), un organisme mondial indépendant sur la sécurité de l’information. « L’un des plus grands défis de cette conformité tient à sa diffusion dans toute l’entreprise. GDPR, ce n’est pas un simple exercice où on coche des cases. C’est un changement fondamental dans l’entreprise. »
Le sujet concerne aussi les entreprises établies en dehors de l’Union européenne qui traitent des données personnelles de citoyens européens. Soit de manière massive, soit même de manière succincte. Il s’applique, par exemple, à un hôtel aux États-Unis qui stocke des informations comme les noms de ses clients qui sont des citoyens de l’UE. CIO US a enquêté sur ces acteurs extérieurs à l’Union, mais concernés par le GDPR, en se basant sur des interviews et les recommandations de l’ISF.