C’est en résumé ce qu’a souligné Sheila FitzPatrick, responsable de la protection de la vie privée chez NetApp, lors de la conférence DataCloud Ireland qui s’est tenue à Dublin le 21 septembre.

Dans une intervention à contre-courant et sans langue de bois, elle s’est attachée à séparer la vérité des mensonges liés à la déferlante marketing autour du GDPR.

N’achetez pas n’importe quoi (et ne commencez pas par acheter)

Avant l’entrée en vigueur de règlement le 25 mai 2018, elle constate que tous les vendeurs et fournisseurs prétendent disposer dans leur catalogue d’une expertise interne ou de technologies spécifiques que les clients peuvent acheter pour s’assurer qu’ils respectent bien le RGPD.

« Il y a beaucoup de désinformation. C’est dû en grande partie au fait que les fournisseurs se précipitent pour prendre le train en marche. Ils essaient de faire peur aux entreprises en utilisant l’épouvantail de la conformité, voire leur donnent des renseignements trompeurs, pour les amener acheter de la technologie. La technologie sera certainement importante, mais on ne commence pas par là »,  prévient-elle.

« Si vous n’achetez que des outils de suivi des données, de data discovery ou des outils de suppression, ils ne vous aideront pas à obtenir la conformité ».

D’après Sheila FitzPatrick, dans cette période de transition, les entreprises doivent faire preuve de prudence et comprendre que, pour de nombreux fournisseurs IT, le GDPR n’est rien d’autre qu’une opportunité de nouveaux revenus.

« Des organisations qui ne savent même pas comment définir la protection de la vie privée proposent déjà de l’expertise GDPR sur leurs sites. Tout à coup, tout le monde est devenu experts de GDPR… et honnêtement, la plupart n’y connaissent rien », vilipende-t-elle.

Pour elle, cet instrumentalisation par la peur rappelle celle du bug de l’an 2000. « Il y a beaucoup de campagnes pour effrayer les entreprises, pour ensuite leur dire :”Il faut acheter nos outils et nos technologies et vous serez conformes”»

Or, le point de départ d’une mise en conformité passerait – avant tout investissement technologique – par le fait d’avoir une base juridique et un programme de protection de la vie privée bien en place.

« Je ne suis pas du tout anti-Cloud (je suis même une grande partisane des Clouds et du fait d’avoir des centres de données dans le pays), mais ceux-là seuls ne vont pas résoudre votre problème de GDPR », martèle-t-elle.

DPO : n’engagez pas le premier venu

Un autre mensonge vient d’une des recommandations (guidelines) finales du GDPR qui stipule que les autorités et les organisations doivent embaucher, nommer ou engager un délégué à la protection des données (DPO).

Sourced through Scoop.it from: www.lemagit.fr