Accueil / blog / RGPD, un an après : l’analyse des auditeurs et professionnels européens du risque.

RGPD, un an après : l’analyse des auditeurs et professionnels européens du risque.

RGPD, un an après : l'analyse des auditeurs et professionnels européens du risque

L’étude sur « le RGPD et la gouvernance des entreprises », réalisée par l’ECIIA (European Confederation of Institutes of Internal Auditing) et FERMA (Federation of European Risk Management Associations) a été rendue publique. Plus de 350 professionnels de l’audit et du risque y ont participé à travers l’Europe. Olivier Sznitkies, Directeur d’audit interne et membre du Groupe Professionnel Système d’Information/Cybersécurité de l’IFACI, a participé à son élaboration. Il revient sur ses principaux enseignements.
Pourriez-vous nous dire vos principales motivations à participer à ce projet et quel a été votre rôle ?
Olivier Sznitkies : C’était intéressant de faire ce travail en commun au niveau européen, de pouvoir constater les différences entre les pays et les niveaux de maturité concernant ces questions et pourquoi pas d’essayer d’influer sur les politiques européennes en la matière. Mais au-delà de la réglementation, le sujet de la protection des données me paraît très important. J’ai participé à l’élaboration des questionnaires, auxquels j’ai répondu. J’ai contribué à identifier le panel de personnes adapté et j’ai collaboré plus généralement aux travaux de synthèse.
Quels sont les principaux enseignements que l’on peut tirer de cette étude ? Ce qui m’a un peu surpris, ce sont les disparités au niveau européen. En France, nous avions déjà atteint un certain niveau de maturité et d’expérience, notamment grâce à la CNIL, qui existe depuis 1978. Puis nous avons connu une refonte des réglementations en 2004. Dans beaucoup d’autres pays, le sujet était plutôt nouveau, alors que pour nous il fait partie du quotidien des entreprises. Pour certains, la fonction de Data Protection Officer (DPO) est par exemple encore assez peu répandue. Ce qui est important, et que souligne d’ailleurs dans son avant-propos1 Jo Willaert, Président de FERMA, c’est que le RGPD est l’une des premières réglementations européennes ayant en fait une portée mondiale, puisqu’elle est destinée à protéger les citoyens européens où que se trouvent leurs données. Il y a aujourd’hui très peu de réglementations européennes à dimension extraterritoriale, et c’est à souligner.
L’étude fait état d’un certain nombre de recommandations ; quelles sont celles qui vous paraissent les plus intéressantes ? L’une des principales est d’inciter le législateur à encourager les entreprises à développer les trois lignes de maîtrise, un modèle qui est assez naturellement mis en place pour d’autres sujets. Autre recommandation importante : bien déterminer qui fait quoi en matière de RGPD. Et donc savoir quelles sont les fonctions prestataires d’assurance en la matière. Il est inutile et contre-productif que tout le monde traite de cette question au sein de l’entreprise.
Pensez-vous que la législation doit encore évoluer, et sur quels points ?
Ce que l’on a constaté, pour commencer, c’est que ce n’est pas le risque de sanctions qui a vraiment poussé les entreprises à se mettre en mouvement, mais plutôt un risque plus déterminant : celui de leur réputation si les données personnelles qu’elles détiennent se retrouvent « dans la nature ». D’ailleurs, si l’on constate que le RGPD - en tant que tel - est peu souvent intégré dans la cartographie des risques, il est néanmoins inclus dans les risques de compliance ou de cybersécurité. Les amendes prononcées paraissent assez peu dissuasives, si l’on omet certains cas de négligence patents. Récemment, la CNIL a délivré son amende la plus importante : 500 000 euros réclamés à une entreprise du secteur de l’isolation thermique, soit 2,5 % de son chiffre d’affaires (le risque maximum étant de 10 % du CA). Mais généralement, le montant est beaucoup plus faible. En revanche, l’étude montre qu’une harmonisation est encore nécessaire au niveau de chaque pays. Si la réglementation est applicable partout, l’est-elle partout de la même façon, avec la même rigueur ? Sans surcharger la loi, il faudrait apporter des modalités d’application pratique.
Que pensez-vous des projets des commissions sur la régulation du numérique, de l’intelligence artificielle ?
Ce sont de vrais sujets qui touchent à la cybersécurité et à la souveraineté européenne, pour lesquels il y a effectivement des efforts à faire et une vraie réflexion à mener. Je pense qu’un cadre clair devrait être mis en place pour protéger les libertés individuelles, sans pour autant empêcher les entreprises de faire du business et d’innover. Qu’il s’agisse de reconnaissance faciale, et comment elle peut être utilisée par certains pays, ou de l’ingérence numérique croissante dans la politique et les élections, il faut pouvoir exprimer clairement ce que l’on accepte et ce dont nous ne voulons pas.
FICHE D’IDENTITÉ Olivier Sznitkies est membre du Groupe Professionnel Système d’Information/ Cybersécurité de l’IFACI. Il est notamment titulaire du CISA, du CISM, et du CFE. Après une expérience d’une quinzaine d’années comme Auditeur SI chez KPMG et Arthur Andersen, il a dirigé l’audit interne Europe, Moyen-Orient-Afrique du Groupe LafargeHolcim. Olivier participe actuellement à la session nationale Souveraineté numérique et Cybersécurité organisée par l’Institut des Hautes Études de la Défense nationale et l’Institut national des Hautes Études Sécurité Justice. Il a contribué à la rédaction de nombreuses publications comme le Guide d’Audit de la Gouvernance des Systèmes d’Information ou le Guide pratique de l’IIA concernant la prise en compte de la fraude lors de la planification de missions d’audit interne.
1 https://www.ferma.eu/publication/ferma-eciia-cyber-risk-gover- nance-report/ Pour accéder aux résultats de l’étude de la FERMA https://www. ifaci.com/wp-content/uploads/GDPR-and-corporate-gover- nance-ECIIA-FERMA-1.pdf  

A propos joanna

Avatar