Le 27 avril dernier, Umanis avait convié à Paris une centaine de clients et d’experts pour son premier grand événement dédié à la GDPR (General data protection regulation), le nouveau règlement européen qui s’appliquera en matière de protection des données à partir de mai 2018. L’occasion pour la société de service de passer en revue les impacts présumés de cette nouvelle réglementation sur le SI de ses clients et de mettre en exergue l’outillage et les expertises qu’elle a réunis pour les accompagner dans leur mise en conformité.
L’occasion également de mesurer le niveau de maturité des participants face à la GDPR. Un sondage réalisé à l’issue de l’événement montre que seuls 20% des participants ont amorcé une démarche de mise en conformité, quand 30% en sont encore à prendre la mesure de la réglementation en vue de déterminer les chantiers prioritaires à mener (« contextualisation juridique ») et que les 50% restant n’ont strictement engagé aucune réflexion. Umanis observe au passage que les entreprises ayant déjà amorcé leur mise en conformité sont souvent celles avaient déjà fait la démarche de nommer un Correspondant Informatique et Libertés (CIL) en interne.
De son côté, Umanis a entamé la formalisation de son offre GDPR en novembre pour aboutir au début du printemps. Une réflexion motivée par la nécessité, en tant que prestataire de services de traitement pour le compte de tiers, de se mettre en conformité en interne afin de garantir la sécurité des données de ses clients, mais aussi par l’intuition que la demande d’accompagnement des entreprises sur ce sujet allait être forte.
Considérant qu’en matière de conformité GDPR, on ne peut dissocier le juridique, du fonctionnel, de l’infrastructure IT, de la gouvernance des données et de la sensibilisation des équipes, la société a donc décidé de proposer un package complet, allant du conseil à la mise en œuvre, associant les prestations d’un cabinet d’avocats spécialisé dans la protection de donnée, Ulys, les prestatations de cabinets spécialisés dans la sécurité (physique et numérique), Cegeco et Adexio, et celles d’un cabinet spécialisé dans la sensibilisation et l’information autour de la GDPR, Ageris.
Côté outillage, Umanis s’est associé à IBM pour ses outils StoredIQ (cartographie des données), Optim (anonymisation) et Kenexa (e-learning). La SSII a également sélectionné Collibra et Meta Analysis, pour leurs outils de cartographie et de documentation GDPR, et Varonis, Splunk et Teleran pour leurs solutions de détection d’intrusion. Egalement associés à son offre GDPR, ses partenaires historiques de master data management : Informatica, Orchestra Networks et Semarchy.
En complément de cette offre, Umanis a systématisé la notion de devoir de conseil sur la GDPR lorsqu’il répond à un appel d’offre ou à une sollicitation. De même, la société a mis en place le concept de Privacy by design qui permet de s’assurer dès la conception d’un projet de sa conformité GDPR.
Au final, c’est toute l’activité de conseil d’Umanis qui tend se réorienter vers la GDPR et à terme une bonne partie de l’activité de ses pôles expertise technologique et mise en œuvre, explique Denis Skalski, directeur du consulting chez Umanis et spécialiste de la GDPR. La GDPR impacte la direction conseil CRM, la direction conseil Big Data, la direction digitale le practice manager gouvernance de données et tous les managers BI, détaille-t-il. Au sein de l’équipe consulting, une dizaine de consultants sur 120 sont déjà dédié GDPR et Denis Skalski estime qu’ils seront cinq fois plus d’ici à la fin de l’année. Parmi ces consultants dédiés, plusieurs sont certifiés Ebios (impact sur la vie privée). Et un ingénieur expert en protection des données est en cours de recrutement.
On sent que les grands clients sont prêts à se lancer dans des projets, poursuit Denis Skalski. De sorte que la GDPR devrait peser 50% de l’ensemble de l’activité conseil de la société sur les trois derniers mois de l’année et même plus en 2018. Denis Skalski se dit convaincu qu’il y aura des entreprises sanctionnées durant l’été 2018 pour non respect de leurs obligations en matière de protection des données et que cela amplifiera encore la demande.