La stratégie numérique ambitieuse de l’Union européenne vise à relever certains des défis actuels les plus urgents, notamment en termes de souveraineté numérique, de cybersécurité, de confidentialité des données, de concurrence loyale et de lutte contre la fracture numérique. Cette stratégie a pour but d‘élever la barre au niveau mondial sur les questions liées à la réglementation des marchés numériques, tout en veillant à maintenir les droits fondamentaux des individus au centre des préoccupations. Ces changements ont un impact significatif sur les entreprises opérant en Europe, en particulier les fournisseurs de services cloud.

Un élément clé de la stratégie a été introduit en mai 2018 sous la forme du Règlement général sur la protection des données (RGPD) de l’UE. Ce texte a obligé de nombreuses entreprises à revoir leur stratégie de conformité et à investir des ressources considérables pour développer des programmes solides en matière de protection des données. Aujourd’hui, avec la loi européenne sur l’intelligence artificielle (AI Act) et le règlement européen sur la résilience opérationnelle numérique (dit règlement DORA) qui se profilent à l’horizon, nous pouvons nous remémorer certains enseignements précieux tirés de notre expérience du RGPD pour nous guider dans ce nouveau paysage réglementaire.

Bien que certains aspects de ces nouvelles réglementations soient spécifiques au secteur financier, celles-ci auront un impact indirect sur toutes les entreprises qui interagissent avec les banques, y compris les compagnies d’assurance, les groupes d’investissement et les fonds de pension. Ces sociétés de services financiers devront en substance procéder à une refonte de leur approche de la gestion des risques, de la déclaration des incidents, de l’évaluation et de l’audit des tiers, ainsi que de la gouvernance des données et de la continuité de l’activité.

Pour mieux comprendre les implications pour un fournisseur de services cloud tel que Genesys, et ses clients, examinons quelques enseignements clés tirés de la mise en œuvre du RGPD et qui devraient faciliter la mise en conformité des entreprises à la loi sur l’IA et au règlement DORA.

Définition du RGPD, de la loi européenne sur l’IA et du règlement DORA

RGPD de l’UE

Le RGPD est le règlement sur la protection des données le plus connu au monde. Il définit les règles qui régissent la manière dont les organisations qui opèrent en Europe ou qui traitent des données issues de l’UE doivent manipuler ces informations pour garantir le respect des droits et des libertés des individus.

Loi européenne sur l’IA

La loi sur l’IA a pour objectif d’encadrer le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d’intelligence artificielle (IA) au sein de l’UE. Elle vise à garantir des systèmes d’IA sûrs, transparents et respectueux des droits fondamentaux. Pour cela, elle définit des règles de gouvernance des données, et de surveillance et d’utilisation des systèmes et applications d’IA à haut risque (par exemple, les systèmes d’identification biométrique à distance ou de reconnaissance des émotions, ou encore les systèmes servant à déterminer l’accès à l’éducation, à l’emploi ou à des services publics essentiels dans le cadre de tâches liées à l’immigration). Ces règles concernent également les applications utilisées par ou pour le compte d’organismes chargés de l’application de la loi.

DORA

Le règlement DORA vise à renforcer la résilience opérationnelle des acteurs de la finance dans l’UE face aux cybermenaces et aux incidents de sécurité. Il établit un cadre complet en matière de risques et de sécurité pour permettre aux banques, aux assureurs, aux sociétés d’investissement et à d’autres organisations similaires de s’en remettre en toute confiance à la capacité des fournisseurs de services numériques à maintenir la stabilité du marché. Les obligations du règlement DORA s’appliquent aussi bien aux sociétés de services financiers qu’aux fournisseurs de technologies de l’information et de la communication (TIC) comme Genesys.

4 enseignements clés en matière de conformité

1. Connaître, cartographier et protéger vos données

La conformité commence par la compréhension des types de données que vous collectez et traitez. Le RGPD a enseigné aux organisations des principes clés de collecte et de traitement des données : transparence, légalité du traitement, minimisation des données, limitation de la finalité,  mise en place de mesures de sécurité des données, etc. Ces principes nous aident à identifier les données que détient une entreprise, les raisons pour lesquelles elle collecte ces données, l’utilisation qui en sera faite et la manière de les sécuriser.

En suivant ces principes, les entreprises parviennent à mieux comprendre les données en leur possession et cerner l’étendue de leurs obligations envers les clients. Elles savent comment utiliser les données et dans quels cas, quels sont les paramètres de suppression des données, et comment permettre aux clients d’accéder à leurs données ou d’en interdire l’utilisation.

La plateforme Genesys Cloud™ a été conçue avec une flexibilité qui permet à nos clients de choisir eux-mêmes comment ils souhaitent utiliser la plateforme et d’adapter la saisie des données en conséquence.

Des pratiques transparentes basées sur le RGPD permettent à Genesys de fournir à ses clients, partenaires et fournisseurs les outils nécessaires pour respecter les obligations définies par la loi européenne sur l’IA concernant la cartographie des données, les sources de données et les exigences en matière de données de formation. Le règlement DORA oblige les sociétés de services financiers à connaître le type de données clients traitées par leurs fournisseurs TIC, ainsi que les cas où ces fournisseurs font appel à des tiers pour les activités de traitement des données. Elles doivent également savoir par le biais de quelles applications ou plateformes les fournisseurs accèdent aux données.

2. Évaluer et modifier vos contrats

La gestion contractuelle est une composante essentielle en termes de sécurité, de traitement des données et de gestion des risques. Conformément aux exigences de conformité au RGPD, Genesys a mis en place et remanié des clauses contractuelles pour garantir la sécurité, la confidentialité et la transparence. Dans cette logique, le règlement DORA et la loi sur l’IA exigent que des instructions claires en matière de traitement des données, des évaluations de risques appropriées, des mesures de sécurité proportionnelles et des rapports d’incidents diligents figurent dans les accords, en particulier entre les établissements financiers et les fournisseurs de technologies.

3. Tester et renforcer la sécurité

En ce qui concerne les services cloud, la sécurité est une priorité. Le RGPD a mis l’accent sur la nécessité d’évaluer et de garantir le niveau de sécurité approprié pour les activités de traitement des données en termes de portée et de moyens à déployer.

Genesys Cloud répond à ces exigences dès la conception et par défaut. Le règlement DORA et la loi européenne sur l’IA donnent également la priorité à la sécurité, en exigeant des tests rigoureux et un équilibre entre les mesures techniques et les risques potentiels pour les droits des utilisateurs.

4. Sensibiliser

Il est essentiel pour les entreprises et leurs collaborateurs de savoir dans quelle mesure une réglementation donnée les concerne, et de comprendre leur rôle dans ce contexte afin de garantir le respect de la loi. Les collaborateurs de Genesys ont été formés sur des sujets relatifs à la sécurité et la conformité, notamment la protection et la confidentialité des données. Cette formation, initiée dans le cadre du RGPD, donne à nos collaborateurs les compétences essentielles pour traiter correctement les informations et les données personnelles.

À mesure que le règlement DORA et la loi sur l’IA prendront pleinement effet, nos effectifs seront formés à ces réglementations afin de maintenir la conformité et d’intégrer ces aspects à notre stratégie de conformité globale.

Maintenir la conformité aux réglementations européennes

Grâce à son expérience en matière de conformité au RGPD, Genesys est en mesure de répondre efficacement aux exigences de la loi européenne sur l’IA et du règlement DORA. La maîtrise et la compréhension des volumes de données traités, la mise à jour de nos contrats, les tests rigoureux de nos mesures de sécurité, l’évaluation poussée des tiers et la sensibilisation de nos collaborateurs nous permettront d’assurer la conformité de nos opérations, et de veiller au respect des intérêts et des obligations légales de nos clients.

Bien que ces réglementations aient un impact immédiat principalement en Europe, nos opérations mondiales nous permettront d’étendre cet effort à l’échelle internationale et à l’ensemble de notre organisation afin d’offrir des services conformes aux normes les plus strictes. Nos équipes tiendront nos clients et partenaires informés de l’adaptation à ces réglementations. Les experts Genesys sont à votre disposition pour répondre à toutes vos questions spécifiques. En savoir plus sur les mesures de sécurité de Genesys Cloud dès aujourd’hui.