Bizliner, société de consultance spécialisée dans les architectures d’entreprise et de systèmes d’information, a ajouté, ces derniers temps, deux domaines dans lesquels proposer ses services d’accompagnement et de “détachement d’expertise”. Ils ont pour noms les “smart city” et le GDPR (règlement européen pour la protection des données personnelles).

La société, basée à l’AxisParc de Mont-Saint-Guibert, propose des conseils et des services d’analyse de processus et de compétences, de l’ingénierie des contraintes (“requirement engineering”) et de la gestion de l’information.

En matière de GDPR, elle intervient en soutien au DPO (data protection officer) s’il en existe un au sein de la société ou de l’administration, en proposant son référentiel, ses outils, la production de rapports… Sinon, elle opère en mode “DPO as a service”, assurant conseils et accompagnement, en déléguant ses propres collaborateurs. 5 d’entre eux ont été formés – à la Solvay Business School, à la VUB ou au Data Privacy Institute – de telle sorte à pouvoir coiffer la casquette de DPO, même en l’absence de certification officielle (encore inexistante chez nous).

Mid-market et secteur public

Clientèle visée par Bizliner pour ses missions GDPR: aussi bien les entreprises que les pouvoirs publics et, en particulier, les villes et communes. Dans un cas comme dans l’autre, la société vise surtout des entités de petite à moyenne envergure. Côté privé, l’un des critères est par ailleurs la présence d’un centre de décision en Belgique.

Pourquoi avoir choisi les villes et communes comme cible de clientèle?

“Elles génèrent elles-mêmes beaucoup de données personnelles et sont sans doute les moins conscientisées et les moins bien équipées en termes de compétences nécessaires pour se conformer au GDPR”, estime Dominique Scheuren.

“Il y a un clair besoin de standardiser les choses. Elles ont besoin de sessions d’information et de conscientisation, d’accompagnement et de conseils. Par exemple sur le rôle d’un DPO, d’un responsable du traitement (“data controller”), d’un “sous-traitant” (“data processor”)… Bien souvent, elles n’ont par ailleurs pas les budgets nécessaires pour internaliser la gestion d’une mise en conformité GDPR. C’est pour cela que du DPO as a service se justifie, soit en mode détachement de compétences, soit en mutualisation [entre plusieurs entités].”

Qui pour faire passer le message et jouer les bergers pour le petit troupeau des villes et communes en manque de moyens et d’informations, voire pour imaginer des pistes de financement abordable? L’AdN? Les provinces? L’UVCW (Union des Villes et Communes de Wallonie)?

La question est ouverte. Et… pourrait achopper sur un problème. Se donnera-t-on le temps, mais sans trop traîner, de concocter un accompagnement mutualisé alors que les responsables politiques locaux n’auront pas forcément cette patience – poussés dans le dos par la nécessité, à un jet de pierre des prochaines élections communales, de donner l’image à leurs ouailles qu’ils agissent et prennent les choses en mains, même mal, même en ordre dispersé?

De son côté, Bizliner prépare un “business case” type, basé sur un canevas élaboré selon les processus typiques d’une ville ou commune. Il servira d’argument à faire valoir auprès de tout organisme qui déciderait de jouer les intermédiaires de conscientisation vis-à-vis des villes et communes et d’évangéliser d’une solution GDPR/DPO as a service… Mais il servira surtout de base de départ pour du conseil et de l’accompagnement “à tronc commun”, réintégrable de pouvoir local en pouvoir local, même s’il y aura nécessairement des spécifiés à prendre en compte.

Toujours pour accélérer le processus de mise en conformité du côté des villes et communes, un méta-modèle a par ailleurs été créé quitte fonde sur les questionnaires et guides les plus pertinents élaborés par la CNIL (l’équivalent français de notre Commission Vie Privée). Moyennant adaptation au contexte belge, cet outil devrait permettre aux villes et communes, voire aux sociétés faisant appel à l’offre DPO as a service de Bizliner, de faire un diagnostic plus rapide de leur situation et de leurs besoins, de mettre en évidence les données à caractère personnel à surveiller, et à structurer une analyse d’impact.

Documenter la progression

Première étape, classique et indispensable, dans un contexte de mise en conformité GDPR: le dimensionnement du problème (diagnostic et évaluation des coûts), tel qu’il se pose pour l’entreprise ou le service public. Quelle est la situation, quels sont les systèmes, solutions et logiciels qui utilisent des données ayant une dimension vie privée, quels traitements nécessitent un PIA (“Privacy Impact Assessment”, ou analyse d’impact)…?

Une fois le diagnostic posé (état et qualité des processus, du système d’information, de l’architecture de données, de sécurité) viennent les étapes d’analyse de priorités et de mise en conformité.

“Cette démarche permet de baliser le projet jusqu’à la date-butoir du 25 mai 2018 [date d’entrée en vigueur obligatoire du règlement GDPR]. On le sait, 90% des sociétés ne seront sans doute pas conformes à toutes les exigences du GDPR”, déclare Dominique Scheuren, directeur général de la société, “mais tout ce qui doit être réalisé sera enregistré dans nos outils pour pouvoir poursuivre en mode gestion de portefeuille (PIA, projets…). L’essentiel est de gérer le “to be”, d’avoir une image précise de là où on veut être arrivé par exemple le 31 décembre 2018…”

Si la société n’est pas en ordre, au moins aura-t-elle documenté les efforts accomplis et les étapes prévues: “on conserve ainsi une “image” afin de pouvoir prouver aux autorités qu’on est bel et bien inscrit dans la démarche de mise en conformité.”

Le fait de référencer les mesures prises et planifiées, dans l’outil proposé par Bizliner (voir note de bas de page), permet aussi de définir des balises et étapes et de préciser l’importance des ressources qui seront sollicitées pour les étapes suivantes.

Dominique Scheuren (Bizliner): “90% des sociétés ne seront sans doute pas conformes GDPR à la date-butoir [mai 2018]. L’essentiel est de gérer le “to be”, d’avoir une image précise de là où on veut être arrivé par exemple le 31 décembre 2018…”

En mode “GDPR as a service”, Bizliner définit un trajet de mise en conformité structuré en plusieurs étapes (voir schéma ci-dessous). Ces étapes ne s’arrêtent d’ailleurs pas à la mise en adéquation: “le GDPR implique un cycle continu. En effet, toute modification de l’existant impose une réflexion par rapport à la compliance. Il faut revérifier s’il est par exemple nécessaire de procéder à de nouveaux tests de pénétration…”

Ceci n’est pas un grand méchant loup

Comme d’autres acteurs, Bizliner voudrait faire passer le message qu’aussi impressionnant que puisse paraître un trajet de mise en conformité GDPR, c’est aussi une opportunité à saisir.

Aux yeux de Bizliner, l’arrivée du règlement GDPR est en effet l’occasion de “jouer la carte de l’e-réputation de l’entreprise, de prendre conscience des mesures de sécurité nécessaire, de prendre conscience de l’importance des données, en particulier à caractère privé, de documenter ses processus, de les replacer au centre des préoccupations – celles du métier et celles de l’IT – , de centraliser les données, d’initier des projets MIM (mobile information management) et MDM (mobile device management), de replacer la gestion des risques au niveau de la direction générale…

Dominique Scheuren: “Le GDPR est l’occasion de remettre en ordre une architecture IT pour générer davantage de valeur. Pour le métier, c’est l’occasion de “reconscientiser” ses processus, de les reprendre en main, de regagner la propriété de ses données et de déterminer la manière dont elles sont traitées.”

Privilégier une démarche pragmatique

Quels que soient la nature et le secteur d’activités de ses clients, Bizliner dit privilégier une démarche “pragmatique plutôt qu’académique.” Autrement dit, pas d’a priori, pas de rigueur inflexible, où tout devrait par exemple passer par du Cobit ou du Togaf intégral. “Il s’agit d’éviter les longs effets de tunnel induits par des projets sans fin. Ces longs parcours sont d’autant moins recommandables que l’horizon de temps de l’entreprise se rétrécit”, souligne Dominique Scheuren. “Elles ont intérêt à concrétiser une architecture à très court terme. Il existe toujours quelque chose sur quoi s’appuyer pour poser les premières briques, mettre en place les premières guidelines, implémenter les premières normes.”

Pour les mêmes raisons, Bizliner prêche en faveur d’une reprise en mains de la responsabilité métier par… le métier. “C’est à lui de comprendre, de reprendre la maîtrise de ses processus. Il faut partir de là pour déterminer l’architecture (IT) de l’entreprise. Il est nécessaire d’être “IT agnostique” pour que la méthode livre réellement des résultats exploitables.”

Patrick Pouilliart (Bizliner): “Nous ne voulons pas faire de l’architecture pour faire plaisir aux architectes IT.  L’essentiel est de coller à la réalité de l’entreprise.”

Dans sa démarche de consultance, la société met donc un point d’honneur à “faire parler le métier.” A lui de formuler et de constituer un “dossier stratégique et fonctionnel, débouchant sur un cahier de charges, qu’un intégrateur ou le département IT pourra comprendre et utiliser”, ajoute Patrick Pouilliart, directeur commercial et marketing.

______________

Bizliner propose plusieurs outils:

• Cognitio: pilotage et suivi du déploiement d’un projet de transformation numérique, d’un nouveau schéma de gouvernance de données, par le biais de tableaux de bord
• Requiro: outil de “requirement engineering” pour la mise en lumière des exigences, des objectifs stratégiques et des contraintes, dans le cadre d’un plan stratégique ou d’un plan directeur informatique
• Exhibeo: référentiel d’architecture et gestion de portefeuille, utilisable en mode SaaS via un portail dédié

Pour les besoins du GDPR, Requiro permet par exemple de déterminer les raisons pour lesquelles le métier doit conserver telle ou telle donnée et pour quelle période.

Type de services proposés: conseils, missions prestées en mode “time and matériel” ou à prix fixe (forfait), consultance “équipée” (s’appuyant sur les trois outils mentionnés ci-dessus). L’un des modes contractuels proposés consiste en une “grille de points que le client consomme au fur et à mesure. Mais nous lui donnons aussi la possibilité de l’intégrer en Opex”, explique Dominique Scheuren.

“C’est une sorte de régie contrôlée. Quel que soit le cadre qu’on ait défini au départ, il est en effet toujours possible que l’on découvre en cours de route des problèmes inattendus, des carences en compétences internes auxquelles il faudra pallier…”  [ Retour au texte ]