De la part de NRB, c’est une opportunité de services dans laquelle s’engouffrer: l’arrivée du GDPR (Règlement général européen sur la protection des données) est l’occasion de proposer des missions de conseil et d’accompagnement mais aussi d’intervenir comme prestataire, à la demande ou de manière récurrente, pour pallier à l’absence d’un DPO (Data Protection Officer) au sein des entreprises.

En ce début d’année, trois premiers contrats ont été signés, “des projets encore modestes, auprès de clients existants, dont un se situe dans le monde des institutions internationales gravitant autour de la Commission européenne”, souligne Pascal Laffineur, PDG du groupe NRB. On n’en saura pas plus sur l’identité des trois premiers signataires.

Contrats jugés “modestes” donc, mais l’essentiel, pour la société, était d’amorcer la pompe, de pouvoir annoncer qu’elle se positionnait sur ce créneau, et de justifier la mobilisation de compétences internes.

Mutualiser la fonction de DPO

“Le DPO est un peu un mouton à cinq pattes”, commente Charles Delhaye, responsable du département Consulting de NRB. Le DPO (ou délégué à la protection des données) “est sensé avoir des connaissances et des compétences dans toute une série de domaines: conformité, législation, cybersécurité, évaluation et gestion des risques, gestion des incidents, modélisation de données…”

Pour nombre de sociétés d’envergure modeste, la faculté de faire appel à un profil spécialisé externe, qui en a fait son métier et ses activités au quotidien, ou à un “pool” d’experts couvrant ces différents domaines et travaillant en équipe, de manière dédiée et à la demande, peut être dès lors s’avérer à la fois une solution et un soulagement pour leurs finances et le défi du recrutement.

Compte tenu du positionnement choisi par NRB, les entreprises auxquelles elle propose des interventions en mode DPO as a service sont des sociétés moyennes, “de 200 à 500 personnes”, dans différents secteurs (distribution, industrie, services publics…). “Cette catégorie d’entreprises sont trop grandes pour “bricoler” une solution GDPR mais trop petites pour s’autoriser la mise en oeuvre de l’infrastructure nécessaire”, raisonne Charles Delhaye.

Comment se présente l’offre de NRB? “Nous proposons aux clients divers experts, pointus dans leurs domaines respectifs, qui opèrent selon un contrat de services, en mode mutualisation pour plusieurs clients.”

Source: NRB.

Pour l’étape d’évaluation préalable de l’existant, NRB propose un audit effectué sur base d’un canevas comportant 60 objectifs de contrôle, répartis en 7 domaines (voir schéma ci-contre).

“Cela permet de prendre un premier cliché de l’existant et d’évaluer le niveau de maturité du client. Nous pouvons ainsi avoir une conversation efficace avec la société à propos des éléments sur lesquels le curseur devra être placé à court terme”, explique Charles Delhaye. “Ce canevas permet de développer une dynamique en vue de concrétiser les objectifs de contrôle à atteindre d’ici la fin mai 2018 [entrée en vigueur du Règlement GDPR] mais aussi au fil des ans.”

Les services NRB peuvent être prestés à la demande en “one shot” ou de manière récurrente, selon les besoins. Dans le premier cas, le prestataire propose un SLA (convention de service). Dans le second, le modèle est celui de l’“abonnement”.

Les spécialistes mis à disposition couvrent 5 domaines: exigences légales et managériales, conformité et transformation, évaluation de risques et d’impact, sécurité de l’information et protection des données, et gestion des incidents (brèches, violations, fuites de données…) et des interventions (en réponse aux incidents).

Charles Delhaye (NRB): “Nous recourons à des outils d’automatisation du marché. Notre rôle n’est en effet pas de développer nous-mêmes ce genre d’outils de détection, de contrôle ou de suivi. Notre métier consiste surtout à conseiller et accompagner le client en vue d’une mise en conformité progressive.”

D’autres prestations sont également proposées en termes de gestion des connaissances, de gouvernance, de mise à disposition d’outils automatisés contrôlant la conformité, le degré et nature de risques… Et, bien entendu, NRB espère ainsi s’ouvrir un canal, auprès de ces sociétés, pour d’autres interventions futures “au fil de l’eau”.

Le fait est qu’il est un conseil – objectif – que toute société serait bien inspirée de suivre: ne pas considérer la mise en conformité GDPR comme un exercice ponctuel et valable une fois pour toutes. Des vérifications et contrôles de la pertinence des règles et des processus mis en oeuvre devront être effectués régulièrement. NRB – mais aussi les autres prestataires – espèrent donc devenir des intervenants réguliers, que ce soit en évaluation de risques, de vulnérabilités, en contrôle de processus et procédures, en formation, en certification…

Mutualisation vs spécificités

La situation, l’architecture, les systèmes déployés, le type de données et les utilisations qui en sont faites étant potentiellement spécifiques à chaque client, en raison de son contexte ou de la nature de ses activités, comment un prestataire extérieur peut-il “mutualiser” ses propres équipes pour les assigner à différents clients?

Source: NRB

“C’est la règle des 80/20”, explique Charles Delhaye. “Nous considérons que 80% des activités des entreprises sont génériques, identiques. Restent 20% de spécificités qui sont collectées et gérées dans une base de connaissances.

Nous avons par ailleurs recours à des outils automatisés de grands acteurs du marché pour toute une série de tâches: analyse de risques, évaluation des actions prises face à ces risques, gestion des consentements [des personnes dont les données sont collectées]… Ces outils sont mis à la disposition des clients en mode SaaS.”

La voie choisie par NRB n’étant pas la mise à disposition, pour chaque client, d’un DPO-mouton-à-5-pattes mais bien l’intervention de divers spécialistes travaillant en équipe, une coordination rigoureuse de ces derniers est bien entendu nécessaire pour garantir cohérence et pertinence pour l’entreprise cliente. C’est le rôle du service manager. “Il gère plusieurs clients mais doit les connaître individuellement et assurer le suivi en personnalisant le service.”

Accompagnement sur le long terme

Au-delà de ses prestations de services, ponctuels ou récurrents, NRB se propose aussi de servir de source de formation et d’information pour les entreprises en matière de GDPR.

Ces formations pourront prendre plusieurs formes. Des sessions spécialisées, thématiques, par exemple à destination des responsables IT ou sécurité IT des entreprises clientes. “Elles prendront la forme d’ateliers au cours desquels nous développerons ensemble le cadre d’application pertinent pour chaque entreprise.”

Autre solution proposée: la réalisation de capsules vidéo que les responsables mais aussi – et peut-être surtout – les employés des clients pourront télécharger et visionner à leur rythme. “Il s’agira d’informations génériques [sur le GDPR, la protection des données, la sécurité…] et non pas spécifiques à chaque entreprise, étant donné que les réalités de terrain sont variées. L’idée est de permettre aux entreprises de diffuser régulièrement ce genre de capsules, par exemple tous les 15 jours, afin de faire petit à petit percoler le message auprès de l’ensemble de leurs employés…”