FAIRE DE LA CONTRAINTE UNE OPPORTUNITÉ

Au niveau opérationnel, le respect de ces règles permet de protéger l’information, et notamment les données personnelles, mais aussi de garantir la bonne exécution des processus et la qualité des résultats. « Si ces obligations peuvent s’apparenter à des contraintes, elles définissent aussi le cadre dans lequel il est possible d’exploiter les données, de les valoriser, explique Sylvie Dessolin, Consulting Senior Manager au sein de Sopra Steria Consulting Luxembourg en charge de la practice Regulatory Compliance, Data Protection & Information Management. Dès lors, il est intéressant de bien les cartographier pour identifier l’avantage que l’on peut en tirer, et les possibilités de changement. »

Dans le cadre d’un projet de conformité réglementaire, on peut en effet améliorer le parcours des clients (onboarding), digitaliser et renforcer des processus (contrats en ligne). De nouvelles obligations peuvent aussi constituer une opportunité de dématérialiser certains processus, de mutualiser des infrastructures, de créer de nouvelles activités (autour du KYC par exemple) en vue de réduire le coût global de la conformité. « En aidant les organisations à établir leur cartographie réglementaire, on peut trouver les moyens de mieux naviguer dans un environnement complexe, fait d’exigences légales, réglementaires et de normes (AML/KYC, GDPR privacy, reportings, risk assessments, ISO 27K…), poursuit Sylvie Dessolin. De cette manière, on peut envisager les opportunités d’améliorer, de numériser et d’industrialiser à la fois les processus métier et réglementaires. »

DATA PROTECTION GAMES

Pour mieux sensibiliser et susciter une prise de conscience, Sopra Steria a développé une sensibilisation aux enjeux réglementaires via des serious games, en s’appuyant sur les ressorts puissants du storytelling. Dans le cadre de la mise en oeuvre de GDPR, la société de conseil a par exemple imaginé des Data Protection Games, qui ont déjà connu deux saisons. « Lors de la première saison, nous avons pu très tôt aider nos clients luxembourgeois à comprendre le règlement et son impact sur leurs activités, poursuit Sylvie Dessolin. Pour cela, nous avons par exemple développé des sessions de sensibilisation gamifiées à grande échelle pour certaines organisations traitant des données de santé très sensibles. Ensuite, nous les soutenons dans la mise en conformité, en élaborant leur cartographie des données, les registres des activités de traitement, les politiques et les procédures, en réalisant les analyses d’impact. Nous avons également identifié et proposé des outils, développé des regtechs, les avons aidés à crypter ou anonymiser les données lorsque cela était nécessaire. »

Lors de la deuxième saison, cette approche a permis de travailler d’autres enjeux, comme la protection de la vie privée dès la conception et, par défaut, les analyses d’impact sur la protection des données pour les traitements présentant des risques élevés pour la vie privée, la conformité des sous-traitants. « Un de mes sujets favoris est la définition des règles de gestion et de conservation des données et des enregistrements, car cela est lié à d’autres exigences et réglementations, comme KYC ou MIFID par exemple, et toutes les exigences de gouvernance de l’information et de gestion des informations à valeur de preuve et d’actif », commente Sylvie Dessolin.