X

News Partenaire

Entreprises : protégez vos données avant d’en payer le prix fort !

Si personne ne peut contester l’importance des données pour le développement de l’entreprise, leur traitement et leur sauvegarde sont, dans bien des cas, effectués avec grande négligence. Une situation d’autant plus préoccupante que le nombre de données détenues par les entreprises ne cesse d’augmenter et que les attaques de pirates pour s’en emparer se multiplient, se faisant chaque fois plus violentes. Ransomwares, chevaux de Troie, Malwares sont autant de formes d’attaques qui peuvent porter préjudice à l’entreprise, paralyser ses activités et lui faire regretter de ne pas avoir mieux protégé ses données, une attitude désinvolte qui n’est pas sans conséquences.

RGPD : la parole aux entreprises !
Emilien Ercolani / jeudi 13 juillet 2017 / Thèmes: Sécurité SI, Transformation numérique, Dossier, RGPD

RGPD : la parole aux entreprises !

Le règlement européen sur les données personnelles est vécu plus comme une opportunité que comme une contrainte.

Si de nombreuses entreprises n’ont pas encore débuté le chantier, ou très peu, d’autres l’ont déjà entamé depuis plusieurs mois. Nous avons interrogé trois d’entre elles pour comprendre leurs démarches. Article paru dans le n°158 de L'Informaticien.

Le RGPD est un chantier informatique important qui demande du temps, des efforts et des investissements. C’est ce qui ressort des interviews que nous avons menées avec des entreprises qui ont toutes commencé les travaux depuis plusieurs mois. Un autre élément nous paraît intéressant : sur les trois témoignages que nous avons recueillis, nos interlocuteurs assurent qu’ils ont pris ce texte comme une opportunité et non pas comme une contrainte. « Nous estimons tout d’abord que c’est une opportunité commerciale, en premier lieu car la majorité de nos concurrents sont Américains et que nous nous demandons s’ils pourront se conformer strictement au texte », explique Alexis Renard, directeur général de MailJet, une solution française d’e-mailing.  « Nous ne sommes pas certains qu’ils fassent l’effort. Par ailleurs, nous estimons aussi que c’est une opportunité dans le sens où c’est une occasion parfaite pour renouer le dialogue avec un certain nombre de nos clients ».

Pour Michael Nguyen, Head of Management and Control de Scor, un ré-assureur français, « C’est d’abord l’occasion de mieux protéger les données mais ce sera aussi un facteur différenciant à terme. Je pense que l’utilisation abusive des données personnelles qui pourrait en être faite par certains grands acteurs de l’Internet va conduire certains “ hacktivistes ” à tout faire pour mieux les protéger. L’arrivée des millennials, la génération Y, va aussi bousculer cet aspect dans le sens où il faudra apporter des garanties ».

MailJet, une PME moyenne avec environ 120 employés, possède un avantage majeur : créée en 2010, elle n’a pas à assumer un « historique », un « legacy », souvent lourd à gérer et à faire évoluer. « Nous sommes une entreprise agile et c’est un objectif de le rester à tous niveaux, pas uniquement informatique », poursuit Alexis Renard. De ce point de vue le chantier de la mise en conformité vis-à-vis du RGPD semble plutôt simple car c’est une toute autre organisation dans des structures plus grandes. « Chez nous, le projet est placé sous le signe de la transformation de l’entreprise. Il mêle tant l’IT que les directions métier, notamment en ce qui concerne l’aspect « privacy by design ». C’est donc la culture d’entreprise qui doit changer et s’adapter, surtout pour les nouveaux projets », nous explique la DPO (Data Protection Officer) d’une assurance mutualiste qui préfère garder l’anonymat. 

La relative petite taille de MailJet a aussi évité de passer par un circuit plus complexe que connaissent les grandes entreprises : « vendre » le sujet à un comité de direction. Mais dans nos deux exemples, le comex s’est visiblement montré réceptif. « Il est vrai que lorsque j’ai présenté le projet, il y a eu des incompréhensions. L’assurance est un métier très réglementé mais après tout, la donnée client c’est notre cœur de métier. Lors de la présentation devant le comex, j’ai réussi à faire passer le message selon lequel le RGPD servait avant tout à préserver le droit des personnes. La difficulté que j’ai rencontrée est plutôt sur le fait que d’autres réglementations viennent s’ajouter au RGPD dans le monde de l’assurance,  et notamment la directive sur la distribution d’assurance (IDD : Insurance Distribution Directive) ». « Comme dans le secteur bancaire, le métier de réassureur est basé sur la confiance. De façon générale, on peut constater que l’amende de 4 % du chiffre d’affaires a eu des effets et a incité les acteurs à renforcer leurs actions pour protéger les données. Chez Scor, nous avons la chance d’avoir un Chief Compliance Officer, dont dépend le Data Privacy Officer, et le top management est fortement mobilisé sur ce sujet », assure Michael Nguyen. 

Comment elles s’y sont préparées 

L’avantage de toutes les entreprises qui doivent se conformer au RGPD est surtout que personne ne part de zéro. Nombre de mesures du texte sont plus ou moins dans le même état d’esprit que la loi Informatique et Libertés de 1978, à laquelle chacun devrait déjà (!) être conforme. « C’est toutefois aussi une problématique dans le sens où on réécrit une loi vieille de 40 ans, et que beaucoup de questions d’ordre opérationnel se posent actuellement », explique la DPO de l’assureur qui mobilise surtout deux experts de la protection des données sans compter « plusieurs analystes, un chef et un directeur de projets ». Tous nos interlocuteurs ont débuté le chantier en 2016, mais les moyens déployés ne sont évidemment pas les mêmes. Chez Scor, qui compte plus de 2 500 collaborateurs, une dizaine de personnes travaillent sur le RGPD quasi à plein temps mais « en tout une soixantaine de personnes sont concernées au sein des départements métier, juridiques, conformité, etc. », précise Michael Nguyen. Deux personnes sont principalement concernées chez MailJet. « Nous avons été pragmatiques : le chantier a été lancé il y a plus d’un an et nous sommes en cours de certification ISO 27001, qui adresse en partie le principe de « l’accountability » et la partie traçabilité des données », explique Pierre Puchois, CTO de MailJet et pilote du projet RGPD. 

Toutes sont aussi passées par une phase de cartographie ou d’audit. Notamment chez MailJet. « Nous avons débuté par une évaluation des risques, ce qui a apporté mécaniquement le plan de traçabilité afin de démontrer ce qui a été réalisé ». Cela a entraîné des modifications et Pierre Puchois rappelle que c’est avant tout un projet technique, légal et opérationnel au niveau des processus. « Nos outils doivent donc intégrer de nouveaux processus si nous voulons aller au bout de la logique », ajoute-t-il. Le spécialiste français de l’e-mailing a choisi de se lancer seul, en faisant monter en compétences ses équipes internes, en tout cas sur la partie technique ; une décision plutôt naturelle dans le sens où il a conçu lui-même ses processus depuis le début. Car il se fait accompagner pour les aspects légaux et pense à se doter d’un CIL qui aura « la capacité de faire la traduction sur certains textes ». 

Cet aspect légal pose de nombreuses questions. C’est notamment le cas sur la portabilité des données et le droit à la limitation des traitements, deux dispositions prévues dans le texte. « Cela veut dire qu’une personne peut demander à geler ses données. Nous avons encore des interrogations sur comment y parvenir », souligne-t-on chez l’assureur mutualiste. Lui aussi a réalisé des études de risques et prévoit d’autres études d’impact sur le consentement notamment. Il a également choisi de se faire accompagner par un prestataire externe spécialiste de la gestion de la conformité, le cabinet DPMS. Ce qui semble inévitable, c’est en tout cas l’implémentation de nouveaux outils. « Il faudra tenir un registre pour chaque direction métier. Idéalement il devra unifier le tout autour d’un workflow qui reste à concevoir. C’est un outil qui permettra d’accompagner l’accountability », précise notre interlocutrice. Chez Scor, Michael Nguyen transmet une déception à l’égard des conseils. « Nous avons déjà un CIL en interne. Lorsque nous avons commencé le projet à la fin 2016, j’ai sondé le marché pour trouver des compétences juridiques (cabinets externes) mais aussi une équipe projet pour nous aider à le piloter et un accompagnement technique en termes de cybersécurité. Mon bilan est que les offres ne sont pas matures. Il n’y a que peu de vision holistique de la part des acteurs qui sont censés nous accompagner », estime-t-il.  

« Compliant  by Design » 

Tous nos interlocuteurs sont donc quotidiennement appelés à manipuler des données personnelles, mais elles différent bien entendu selon leurs activités respectives. Tant chez l’assureur mutualiste que chez Scor, ce sont des données personnelles qui comprennent aussi des données de santé. « Nous pouvons avoir un assureur qui vient nous voir avec une base de plusieurs dizaines de milliers d’assurés pour nous demander si l’on souhaite partager les risques. Nous disposons donc de données de santé », confirme Michael Nguyen. Chez MailJet on distingue deux types de données : celles des clients (nom, prénom, mail, etc.) et celles « de nos clients qui peuvent charger une base sur laquelle il voudra envoyer des messages. Cette liste contient des adresses mails. D’un côté, nous avons donc les informations client qui sont traitées de manière classique, et de l’autre des informations sur lesquelles nous avons de la visibilité mais qui appartiennent à nos clients », explique Pierre Puchois, le CTO de l’entreprise. 

Le spécialiste français de l’e-mailing est dans la position du sous-traitant (« data processor » dans le texte anglais du RGPD), et prend en charge l’hébergement. MailJet travaille avec OVH « pour le côté souverain », mais aussi avec Google mais « pas pour le processing de données ». En revanche, « notre infrastructure est construite afin de pouvoir localiser les données dans le pays où elles doivent être. Les sensibilités en la matière varient d’un pays à l’autre. C’est une stratégie d’entreprise mais cela participe à ce que l’on retrouve dans le texte », précise Alexis Renard, directeur général de MailJet. 

Sécurité, conformité… et notifications ! 

Afin de gérer ces données en conformité avec le texte, deux aspects s’imposent à tous : la sécurité et la conformité. Pour le premier, les entreprises ont visiblement peu de problèmes à trouver ce qu’elles cherchent même si des interrogations sur le périmètre de chiffrement par exemple s’imposent. Le processus semble toutefois naturel selon l’activité. selon Scor, qui réalise régulièrement des études actuarielles, « aujourd’hui, nous sommes dans une phase d’étude sur ce que l’on chiffre ou non ». « Le texte parle de mesures de sécurité « adéquates », mais je ne pense pas que le tout chiffré soit la solution. Le tout est de savoir comment mieux se renforcer », explique Michael Nguyen. L’assureur mutualiste semble quant à lui faire le choix de la pseudonymisation, sans toutefois donner plus de détails. 

MailJet a, dans une démarche de bonnes pratiques, intégré du « management des données sur [le] SI qui passe par l’intégration d’outils d’administration, et de la double authentification forte sur des plates-formes complètement indépendantes de [la] plateforme ». « Nous sommes dans une forme d’anonymisation », estime Pierre Puchois. 

Enfin, la nécessité de notifier les failles dans les 72 h est encore généralement un sujet à l’étude. Pourtant, cela ne semble pas effrayer outre mesure. L’assureur mutualiste, qui dispose de plusieurs filiales en Europe, réfléchit encore : « quelle Cnil avertir en fonction de là où se trouve l’incident ». En effet, la réflexion se porte ainsi : soit la Cnil du pays de la maison mère reçoit toutes les notifications, soit elles sont envoyées selon le pays où s’est déroulé l’incident. « En revanche pour ce qui est des notifications en règle générale, nous sommes déjà rodé à l’exercice via notre politique en matière de gestion de crise », poursuit notre interlocutrice.  « La difficulté lorsque survient un incident est de savoir si nous avons bien affaire à une faille ou non. L’important est de savoir ce qui a été perdu : donnée, personnelle ou non, etc. Donc la difficulté se situe plutôt dans la détection, de l’analyse jusqu’à la communication », explique quant à lui Michael Nguyen. 

MailJet dispose quant à elle d’une philosophie plus moderne due à sa relative jeunesse. « La notification des failles est de l’ordre de la bonne pratique, c’est de la transparence et nous l’avons déjà fait. À chaque incident que nous avons rencontré, nous avons communiqué dans les 24 heures. D’autant plus que nous avons une page sur notre site web qui permet de connaître l’état de la plate-forme à tout moment », explique le directeur général. ❍


62 % des entreprises seront très en retard

88 % des entreprises américaines estiment être « bien renseignées » sur le RGPD. Ce chiffre chute bizarrement à 67 % pour les entreprises européennes. Est-ce à dire que celles d’outre-Atlantique seront donc mieux préparées d’ici à mai 2018 ? Quoi qu’il en soit, 62 % de toutes les entreprises confondues seront manifestement en retard lors de l’échéance finale vis-à-vis de la mise en conformité avec le texte européen. C’est ce qui ressort d’une large enquête menée par Compuware, qui précise que « le droit à l’oubli » est l’une des problématiques les plus complexes à mettre en œuvre. « Les entreprises se dirigent clairement vers la bonne direction sur la conformité GDPR, mais il reste encore un long chemin à parcourir dans un délai très court », explique à juste titre Elizabeth Maxwell, directrice technique de Compuware. Pour 56 % des sondés, l’identification générale des demandes les plus importantes du RGPD est la première des préoccupations. C’est aussi ce qui se ressent dans les interviews que nous avons menées pour ce dossier.

Print
3811
Tags:RGPD

Name:
Email:
Subject:
Message:
x

News Mag-Securs
12345678

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur notre rubrique Emploi avec notre partenaire