RGPD et Shadow IT : une opportunité pour repenser les pratiques internes

13 juin 2018


Paroles d'experts

RGPD et Shadow IT : une opportunité pour repenser les pratiques internes

Comme tout citoyen européen, vous n’êtes probablement pas passé à côté du phénomène « RGPD ». Entré en vigueur le 25 mai dernier, il représente un enjeu de taille pour les entreprises, en termes de collecte, stockage et sécurisation des données personnelles. A l’heure du big data mais aussi du BYOD (Bring Your Own Device) et de l’avènement du Cloud, si la mise en conformité reste un chantier conséquent pour les entreprises, le shadow IT rend les choses plus difficiles à appréhender.

Depuis le 25 mai, date d’entrée en vigueur du Règlement Général de Protection des Données (RGPD), nous recevons tous des dizaines d’emails d'entreprises annonçant une mise à jour de leur politique de confidentialité ou offrant la possibilité de se désabonner de leurs communications. Si le RGPD est plutôt une bonne chose du point de vue de la personne, elle représente davantage un challenge pour les entreprises. Créé par la commission européenne, le RGPD est en effet destiné à harmoniser les pratiques de collecte et de traitement des données personnelles afin de sécuriser les données des citoyens européens et mieux encadrer leur utilisation dans le temps. Alors que la course à la data bat son plein et que les solutions Cloud se multiplient, le sujet n’a jamais été aussi épineux pour les entreprises !

Le shadow IT : un frein pour la mise en conformité

La mise en conformité au RGPD nécessite la mise en place d’une feuille de route pilotée par un Chief Data Officer. Cela se traduit notamment par une cartographie des données et l’optimisation des processus pour l’ensemble du cycle de vie des données collectées. Pour ce faire, il est nécessaire d’avoir de la visibilité sur l’ensemble des outils utilisés, dans, et à l’extérieur de l’entreprise.

Le RGPD impose donc de recenser tous les outils utilisés par les collaborateurs et de réguler certaines pratiques. Le chantier n’est pas simple quand on sait que bon nombre de directions ou services sont de plus en plus autonomes dans le déploiement de leurs outils métiers. Sans compter les collaborateurs qui utilisent des solutions aux dépends même de leur propre service.

Avec l’essor du Cloud et du Bring Your Own Device (BYOD), de plus en plus d’applications échappent en effet au contrôle de l’entreprise. Wetransfer pour l’envoi de fichiers lourds, Trello ou Asana pour la gestion de projet, Google Drive pour l’échange de fichiers, Whatsapp pour l’envoi de messages et de photos, Facebook pour l’interaction avec ses pairs sont autant d’exemples d’outils de contournement utilisés par les collaborateurs lorsque rien ne répond à leurs usages en interne. On appelle ça le shadow IT. C’est-à-dire le fait d’utiliser des solutions Cloud hors du spectre IT défini par l’entreprise. Le shadow IT est donc a priori une menace pour la protection des données. Et ce d’autant plus, si ces solutions sont utilisées sur des appareils personnels.

Comment faire lorsqu’un collaborateur se crée un compte sur une plateforme qui ne rentre pas dans la feuille de route « RGPD » ?

Prendre en compte les besoins des collaborateurs

Si l’interdiction totale de l’utilisation des outils shadow IT semble difficilement imaginable à appliquer, quelles solutions restent envisageables pour les entreprises ?

Comme dans tout projet ou chantier, il est difficile de faire évoluer les pratiques sans accompagner le changement. La sensibilisation de tous les collaborateurs aux enjeux du RGPD doit être une priorité pour les entreprises. D’une part, pour qu’ils connaissent mieux les contours de la nouvelle législation et, d’autre part, pour qu’ils comprennent les enjeux au niveau opérationnel, notamment concernant l’utilisation des outils shadow IT. Bien entendu, cette sensibilisation doit s’accompagner d’une nécessaire formation aux nouveaux process définis dans la stratégie « RGPD » de l’entreprise.

Par ailleurs, si de nouvelles solutions techniques, appelées les Cloud Access Security Brokers (CASB)*, font leur apparition pour tenter de mettre fin au shadow IT en entreprise, il est aussi peut-être temps de repenser l’offre de services proposée aux collaborateurs. En effet, au-delà du recensement des applications, l’arrivée du RGPD doit être avant tout l’occasion de lister les pratiques et les usages digitaux des collaborateurs afin de leur proposer des solutions répondant à leurs besoins.

  • Existe-t-il des outils professionnels similaires déjà en place dont les salariés n’auraient pas connaissance et qui répondraient à leurs besoins ?
  • Peut-on envisager de développer des fonctionnalités nouvelles au sein d’outils déjà utilisés en interne ?
  • Peut-on envisager d'investir dans de nouvelles solutions du marché, répondant aux règles de sécurité déployées dans l’organisation ?

Si le RGPD est l'occasion de réguler le shadow IT, cette mise en conformité doit avant tout prendre en compte les usages et pratiques des collaborateurs afin de proposer des solutions à la fois sécuritaires mais aussi répondant aux enjeux notamment collaboratifs et sociaux des collaborateurs.

 

* Cloud Access Security Brokers (CASB), ou Passerelle d'Accès au Cloud Sécurisé : outil inséré entre l'infrastructure IT de l'entreprise et les services Cloud permettant de détecter l'utilisation de ces services et de faire appliquer la politique de sécurité de l’entreprise.

Par Marie Leroy

retour au blog

mots clés


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autour des mêmes sujets