GDPR : l’Architecture d’Entreprise doit créer les fondements durables

La réglementation sur la protection des données personnelles concerne de nombreuses entreprises au titre des clients, des prospects, des salariés, des partenaires…

Qui est responsable en cas de non-conformité : en premier lieu les dirigeants, et les Directeurs aux quels ils ont délégué la responsabilité. Mais les sanctions ne sont pas les seuls risques pour l’Entreprise ou l’Administration publique : en cas de scandale, l’image est atteinte, comme toutes les affaires liées à la sécurité, à la traçabilité, qui se sont produites, et se produiront dans notre société obsédée par les rendements d’échelle et la transformation numérique.

Le sujet GDPR est un sujet global.

Sur le plan du SI, il en va de même. Certes, à la DRH de prendre les bonnes mesures pour protéger les salariés, à la Direction Financière d’en faire de même pour les prestataires, à la Direction commerciale de veiller à la déontologie vis à vis des prospects et des clients, etc … Mais, somme toutes, les personnes physiques, quelles qu’elles soient vis à vis de l’entreprise, ont les mêmes droits. Certes les traitements sont atomisés, les données peuvent être éparses, mais, au final, le DPO doit avoir la même vision sur tous ces archipels, et veiller à la licéité de tous les traitements de données personnelles, où qu’ils soient gérés au sein de l’organisation métier et DSI.

La réglementation pousse l’Entreprise à voir son SI autrement, par rapport aux données personnelles : un SI centré sur ces données. Certes, il ne s’agit pas de déconstruire le SI pour l’organiser sur cet axe… Il s’agit simplement de se doter d’une Architecture adaptée.

Dans les grands groupes, il existe souvent une équipe centrale en charge de l’Architecture, de ce que l’on appelait l’urbanisme du SI, et qu’on baptise maintenant Architecture d’Entreprise.

A cette équipe centrale de régler une bonne fois ce problème central, en créant les fondamentaux d’une Architecture conforme à la GDPR. Confier cette responsabilité à chaque Direction des systèmes d’information de chaque métier serait une démission éclatante, prouvant l’inefficacité de cette structure centrale. La GDPR, problématique transversale, la concerne au premier chef, il en va de sa responsabilité, les Directions métiers n’étant responsables que de l’adaptation aux particularités métier.

L’évidence de cette responsabilité, qui ne semble pourtant pas caractériser les très grandes structures, apparaît avec le projet d’accélérateur GDPR du Laboratoire du Club Urba-EA : on voit clairement, à terme, l’émergence d’APIs à imposer aux nouveaux projets et aux évolutions du patrimoine SI. C’est justement le rôle de l’équipe centrale de l’Entreprise ou du Groupe ! A elle de lever la tête du guidon, de dépasser le recensement des applications et des impacts épisodiques de la réglementation : si l’infrastructure transverse n’est pas créée, les errements actuels perdureront. L’investissement, en terme de normes et d’APIs est faible, infinitésimal par rapport aux enjeux d’image et de pénalité, et aux budgets de programmes et projets de court terme de mise en conformité.