X

News Partenaire

Dématérialiser le conseil d’administration, un nouvel axe de performance pour les entreprises

La révolution digitale a fait bouger les lignes de l’entreprise, celle-ci s’adaptant et s’organisant pour faire évoluer leurs méthodes de travail et gagner en efficacité.  Une tendance qui devrait également toucher les conseils d’administration et comités exécutifs. Pourtant les Européens appréhendent encore tout changement à l’égard de leurs organes de gouvernance qui restent malheureusement encore ancrés, pour la plupart, dans la tradition avec des méthodes d’organisation peu optimales. Une attitude regrettable quand on pense aux nombreux avantages à gagner qui permettraient de soulager les organisateurs et d’aider les membres à remplir leurs responsabilités.

RGPD : serez-vous prêt ? (2)
Emilien Ercolani / mercredi 21 juin 2017 / Thèmes: Sécurité SI, Transformation numérique, Dossier, RGPD

RGPD : serez-vous prêt ? (2)

Par où commencer ? / Sécurité et législation - Suite du dossier paru dans L'Informaticien n°157

Comment s'attaquer à cet énorme projet de mise en conformité RGPD autrement qu'en commençant par dresser une cartographie des processus de l'entreprise ? Une première étape indispensable avant de s'astreindre à tenir à jour un registre des traitements des données. Fin de l'article paru dans le n°157 de L’Informaticien. 

RGPD : UN GRAND CHANTIER... PAR OÙ COMMENCER ?

C’est fatalement la question que se posent tous les responsables d’un projet de mise en conformité RGPD. Et, bien entendu, il n’y a pas de réponse toute faite. « Tout dépend d’où en est l’entreprise », souligne Xavier Leclerc du groupe DPMS. Effectivement, personne ne joue à armes égales, entre les entreprises qui disposent déjà d’un CIL (Correspondant informatique et libertés) et celles qui ont déjà appliqué les principes de la loi Informatique et Libertés de 1978… « Ce que nous préconisons, c’est ce que j’appelle une revue initiale de conformité. Elle a le goût et l’odeur d’un audit sans en être un. C’est plutôt un inventaire des process informatiques ou techniques, car tout ne dépend pas que de la DSI. Souvent d’ailleurs, les informaticiens confondent finalité d’un traitement avec outil. On ne déclare pas un logiciel à la Cnil par exemple, mais une finalité de traitement ! Par ailleurs, si le DSI dispose de la cartographie des logiciels, certains traitements de la donnée personnelle y échappent et incombent plutôt à la DRH voire aux services généraux. »

La plupart de nos interlocuteurs évoquent effectivement, en guise de première pierre, une cartographie des processus de l’entreprise, même si le terme est peu approprié selon certains. « Les Américains parlent de data mapping, qui est utile pour voir les flux de données mais insuffisant dans le sens où il ne permet pas de tenir des registres de traitement pour le RGPD », ajoute Xavier Leclerc. Quoi qu’il en soit, établir un état des lieux est une étape primordiale car elle permet de connaître les traitements de données et ainsi de mettre à jour les points de non-conformité les plus importants. C’est ainsi que s’établissent les priorités qui sont en général souvent les mêmes : mise à niveau de la sécurité informatique pour répondre aux exigences, du stockage – sur les durées de conservation, archivage, gestion des droits, etc. – et Cloud – localisation de la donnée.
En France, plus de 17 000 « organismes » (collectivités, entreprises, etc.) ont déjà désigné un CIL ; la liste est d’ailleurs disponible en open data sur www.data.gouv.fr. Le contexte est donc plutôt favorable pour eux. « Nous sommes généralement sollicités pour mettre en place un plan d’action et une feuille de route pour faire un état des lieux. Les entreprises veulent et doivent savoir quelles sont leurs priorités », souligne Richard Bertrand, chez ActeCIL, pour qui l’un des grands chantiers est l’aspect traçabilité de la donnée. « Il doit être possible de savoir qui fait quoi avec une donnée », ajoute-t-il, conscient que « les entreprises qui nous contactent sont généralement un peu submergées ».

Une gouvernance à repenser

La gouvernance est donc une des briques prioritaires de ce RGPD qui veut faire une transparence quasi-totale sur le chemin de la donnée. Les grandes entreprises devront quant à elles passer par une EIVP (Étude d’impact sur la vie privée). « Elles devront en effet fournir des analyses de risque afin de prouver qu’elles se sont préoccupées des impacts, en cas de perte de données, par exemple », précise Richard Bertrand. Pour cela, DSI et responsables de la sécurité devront travailler main dans la main et s’impliquer dans ce qu’on appelle aussi le « Data Privacy Impact Assessment » (DPIA). « C’est ainsi que les entreprises vont passer des formalités déclaratives de traitement, qui vont disparaître, à la tenue d’un registre des traitements comme le font les CIL aujourd’hui », ajoute quant à lui Xavier Leclerc.

Ces analyses de risque auront forcément un impact important sur la mise en conformité vis-à-vis du RGPD. « Les responsables vont se rendre compte à quel point on a empilé les couches de processus, de sécurité, etc. De fait, si elles ont plusieurs systèmes qui ne se parlent pas en termes de remontées des logs par exemple, le problème va rapidement se démultiplier. Pour rester positif, nous estimons que cela permettra in fine un ROI en matière d’optimisation des processus », explique Michael Bittan, associé responsable des activités de gestion des risques cyber, chez Deloitte.

Le cabinet travaille surtout avec de très grandes entreprises et, selon lui, toutes celles du CAC 40 ont déjà démarré voire achevé la première phase d’audit. Il laisse aussi entendre que personne ne sera conforme à 100 % en mai 2018, mais que « la Cnil n’aura pas dans un premier temps une démarche répressive ».

Qui pour prendre le taureau par les cornes ?

Pourtant, l’heure tourne. L’éditeur SAS a même mis en place un calculateur de jours restants jusqu’au 25 mai 2018 ! Dans son approche de la question, il a défini une méthodologie en 5 étapes : accès aux sources, identification des données personnelles, politique de gouvernance puis de sécurisation-protection et enfin, un audit. « C’est pour nous un cadre pour adresser la réglementation, souligne Arturo Salazar, responsable du développement des affaires en Europe chez SAS. Mais la bonne nouvelle, c’est que rien n’est nouveau pour nous en matière de gestion de la donnée puisque nous disposons déjà de notre suite de data management qui prend en compte ces défi s de traitement, consolidation, etc. » À l’instar de Veritas, l’éditeur a même packagé toutes ses solutions logicielles dans une offre globale en y ajoutant des bases de connaissances spécialisées. À la question « Par où commencer », il ne faudrait pas oublier un élément fondamental à savoir « Qui s’occupe de ce chantier RGPD ? » Dans certains cas, ce n’est pas une mince affaire. « C’est toute la complexité du sujet car il est très transverse et donc tout le monde est potentiellement concerné. Dans la majorité des cas, le service juridique s’implique beaucoup, mais les DSI et RSSI doivent répondre présents », explique Eliott Mourier, GDPR Manager chez le spécialiste du consulting Micropole. Le gros du travail étant d’analyser le ou les systèmes d’information, « cela dépend également de la sensibilité technique de l’entreprise ». Micropole s’est fait une spécialité d’accompagner ces personnes impliquées dans le chantier RGPD dans la mesure où « nous produisons un livrable qui permet d’aller vendre l’urgence du sujet auprès d’un comité de direction », précise-t-il.

Tout cela est évidemment aussi à envisager avec la présence d’un DPO pour certaines entreprises et administrations (lire article dans ce numéro). Mais toutes ne sont donc pas concernées et comme pour les CIL, rappelons qu’il est possible pour les PME d’envisager une mutualisation d’un DPO. L’idée est donc logiquement de partager des ressources, que ce soit au sein d’un groupement d’entreprises ou de corporations comme les bailleurs sociaux, ou les géomètres par exemple.

SÉCURITÉ ET LÉGISLATION

On l’a bien compris, la notion de responsabilité va considérablement changer avec le RGPD, puisqu’elle s’étend jusqu’au responsable du traitement de la donnée. Il en va de même pour la partie sécurité du texte. « Cette partie s’étend sur quelques pages dans le règlement et s’il reste quelques questions quant au périmètre d’application, il n’y a pas d’ambiguïté sur le fait qu’il faille prouver que des moyens d’action ont été mis en oeuvre », souligne Laure Landes-Gronowski, avocate associée IT & Data privacy chez Avistem Avocats. C’est donc plutôt le périmètre et la manière de le faire qui sont relativement évasifs . Cet aspect sécuritaire commence avant tout avec l’aspect hébergement de la donnée ; après évidemment que l’entreprise aura clairement identifié les données qui se rapportent à des personnes identifiées ou identifiables. « On ne lie pas la fuite de donnée à une sanction. Ce n’est pas le fait de notifier une fuite qui est sanctionné, c’est justement le fait de ne pas le faire », rappelle quant à lui Zoltan Prescsenyi, directeur des affaires gouvernementales EMEA chez Symantec.

D’un point de vue juridique et réglementaire, il faut aussi avouer que la situation est complexe dans la mesure où elle est précaire, pourrait-on dire. Car trois textes traitent plus ou moins du sujet des données personnelles_: le RGPD bien entendu, mais aussi le Patriot Act américain et enfin le Privacy Shield, dont l’ancêtre est le Safe Harbor. Lequel prévaut sur lequel ? « La question ne se pose pas telle quelle puisque chacun a son propre champ d’application. L’avantage avec les deux textes européens est surtout qu’ils homogénéisent la situation, qui était auparavant disparate », explique l’avocate Sylvie Jonas. Dans le RGPD notamment il est prévu que certaines données à caractère personnel puissent être transférées sous certaines conditions, dans le cadre des flux transfrontières. « Mais il est vrai qu’il existe un certain flottement juridique actuellement et qu’une remise en question est envisageable », poursuit sa consoeur Laure Landes-Gronowski. Dans un tel cadre, comment aborder la question de l’hébergement des données dans le Cloud ? C’est une des questions centrales du RGPD qui incite donc à revoir les contrats. « Quand on signe avec un hébergeur, la première chose c’est d’exiger que les serveurs soient situés dans un pays de l’Union Européenne », rappellent-elles.

41% des entreprises chiffrent systématiquement

Les déclarations successives des représentants français sur le chiffrement sont assez contradictoires avec ce qu’il se passe concrètement dans les entreprises. Sous couvert de la lutte contre le terrorisme, ils traitent le chiffrement en ennemi alors qu’il est bien souvent l’inverse sous couvert d’une utilisation maîtrisée : protection des données, confidentialité des échanges, rempart contre l’espionnage économique, etc. Une récente étude de Thales, menée sur plus de 5 000 personnes dans des entreprises réparties dans 12 pays, y compris la France, montre que 41 % des entreprises appliquent désormais une politique de chiffrement systématique. On apprend encore que 67 % des entreprises ont opté pour deux méthode : chiffrement des données en local avant de les envoyer dans le Cloud, ou chiffrement des données dans le Cloud avec des clés générées et gérées en local ; 37 % affirment que leur entreprise confi e la gestion complète des clés et processus de chiffrement aux fournisseurs de services cloud. Pour la conformité vis-à-vis du RGPD, le chiffrement est une méthode préconisée par le texte. « Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en oeuvre des mesures pour les atténuer, telles que le chiffrement », peut-on lire. Mais pour cela il faudra passer par l’élaboration d’une stratégie. « Il faut commencer par distinguer les données stockées, celles en mouvement et celles utilisées », explique Benoit Grunemwald, directeur des opérations chez ESET. Par donnée en mouvement on entend tant sur les réseaux que physiquement sur les ordinateurs portables par exemple. Pour celles en cours d’utilisation, « finalement nous revenons sur un modèle de DLP (Data Leak Protection) », poursuit-il. L’éditeur a également pour philosophie le chiffrement total des disques sur les machines portables qui sont les plus exposées. Mais peu à peu la sécurité se déporte aussi sur les serveurs qui plus est avec l’arrivée des objets connectés. Notez que d’ici à juin, la Commission Européenne doit proposer un « plan d’action » sur l’utilisation à mauvais escient du chiffrement, ce qui pourrait encore changer la donne pour le RGPD.

90% des données utilisées de manière informelle

Autre fort risque pour les entreprises : le fameux Shadow IT. Selon Symantec, 90 % des données sont utilisées de manière informelle, et échappent donc au contrôle de l’IT. C’est énorme ! Il est difficile de savoir si une entreprise pourra être sanctionnée ou non sur une fuite de ce type de données. Encore une fois, ce sont probablement les précautions qui ont été prises qui seront prises en compte. « Si c’est une faille 0day, il n’y aura pas de sanction. En revanche si on découvre que les employés pouvaient faire tout et n’importe quoi, on pourrait considérer cela comme de la divulgation non-autorisée », explique Zoltan Prescsenyi, chez Symantec.

Enfin, le RGPD prévoit aussi la « pseudonymisation » des données à caractère personnel. Le terme lui-même est précisé dans le texte avec cette définition : « Traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise (…) » Cette technique devra être utilisée « à bon escient » et, seule, ne constitue pas un rempart suffisant lit-on dans le texte.


Les notifications et contrôles

L’article 33 du RGPD détaille les modalités de notification à l’autorité de contrôle d’une violation de données personnelles. Concrètement, en cas de violation, le responsable du traitement devra informer «dans les meilleurs délais et, si possible, 72h au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques». Déjà les éditeurs commencent à créer des outils destinés à automatiser le traitement de ces notifications. Les deux cabinets DPMS et ActeCIL que nous avons interviewés pour ce dossier proposent déjà leurs outils, avec suivi des délais, garantie de la traçabilité, etc. «Si la donnée était bien anonymisée, il n’y aura pas obligation de le notifier», nous explique-t-on chez ActeCIL. Où remontent les données ? Les Cnil européennes seront autant de guichets uniques pour les entreprises, qui pourront donc se tourner directement vers elles.


Le dossier RGPD est à lire dans L'Informaticien n°157. Disponible ici pour l'édition numérique (accès abonnés) ou sur notre boutique pour l'achat de ce numéro. Le magazine L'Informaticien vous donne rendez-vous dans ses prochaines parutions pour de nouvelles enquêtes sur un sujet critique pour les DSI dans les mois à venir.

Print
4882
Tags:RGPD

Name:
Email:
Subject:
Message:
x

News Mag-Securs
12345678

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur notre rubrique Emploi avec notre partenaire