X
Emilien Ercolani / jeudi 13 juillet 2017 / Thèmes: Sécurité SI, Transformation numérique, Dossier, RGPD

RGPD : la parole aux entreprises !

Le règlement européen sur les données personnelles est vécu plus comme une opportunité que comme une contrainte.

Si de nombreuses entreprises n’ont pas encore débuté le chantier, ou très peu, d’autres l’ont déjà entamé depuis plusieurs mois. Nous avons interrogé trois d’entre elles pour comprendre leurs démarches. Article paru dans le n°158 de L'Informaticien.

Le RGPD est un chantier informatique important qui demande du temps, des efforts et des investissements. C’est ce qui ressort des interviews que nous avons menées avec des entreprises qui ont toutes commencé les travaux depuis plusieurs mois. Un autre élément nous paraît intéressant : sur les trois témoignages que nous avons recueillis, nos interlocuteurs assurent qu’ils ont pris ce texte comme une opportunité et non pas comme une contrainte. « Nous estimons tout d’abord que c’est une opportunité commerciale, en premier lieu car la majorité de nos concurrents sont Américains et que nous nous demandons s’ils pourront se conformer strictement au texte », explique Alexis Renard, directeur général de MailJet, une solution française d’e-mailing.  « Nous ne sommes pas certains qu’ils fassent l’effort. Par ailleurs, nous estimons aussi que c’est une opportunité dans le sens où c’est une occasion parfaite pour renouer le dialogue avec un certain nombre de nos clients ».

Pour Michael Nguyen, Head of Management and Control de Scor, un ré-assureur français, « C’est d’abord l’occasion de mieux protéger les données mais ce sera aussi un facteur différenciant à terme. Je pense que l’utilisation abusive des données personnelles qui pourrait en être faite par certains grands acteurs de l’Internet va conduire certains “ hacktivistes ” à tout faire pour mieux les protéger. L’arrivée des millennials, la génération Y, va aussi bousculer cet aspect dans le sens où il faudra apporter des garanties ».

MailJet, une PME moyenne avec environ 120 employés, possède un avantage majeur : créée en 2010, elle n’a pas à assumer un « historique », un « legacy », souvent lourd à gérer et à faire évoluer. « Nous sommes une entreprise agile et c’est un objectif de le rester à tous niveaux, pas uniquement informatique », poursuit Alexis Renard. De ce point de vue le chantier de la mise en conformité vis-à-vis du RGPD semble plutôt simple car c’est une toute autre organisation dans des structures plus grandes. « Chez nous, le projet est placé sous le signe de la transformation de l’entreprise. Il mêle tant l’IT que les directions métier, notamment en ce qui concerne l’aspect « privacy by design ». C’est donc la culture d’entreprise qui doit changer et s’adapter, surtout pour les nouveaux projets », nous explique la DPO (Data Protection Officer) d’une assurance mutualiste qui préfère garder l’anonymat. 

La relative petite taille de MailJet a aussi évité de passer par un circuit plus complexe que connaissent les grandes entreprises : « vendre » le sujet à un comité de direction. Mais dans nos deux exemples, le comex s’est visiblement montré réceptif. « Il est vrai que lorsque j’ai présenté le projet, il y a eu des incompréhensions. L’assurance est un métier très réglementé mais après tout, la donnée client c’est notre cœur de métier. Lors de la présentation devant le comex, j’ai réussi à faire passer le message selon lequel le RGPD servait avant tout à préserver le droit des personnes. La difficulté que j’ai rencontrée est plutôt sur le fait que d’autres réglementations viennent s’ajouter au RGPD dans le monde de l’assurance,  et notamment la directive sur la distribution d’assurance (IDD : Insurance Distribution Directive) ». « Comme dans le secteur bancaire, le métier de réassureur est basé sur la confiance. De façon générale, on peut constater que l’amende de 4 % du chiffre d’affaires a eu des effets et a incité les acteurs à renforcer leurs actions pour protéger les données. Chez Scor, nous avons la chance d’avoir un Chief Compliance Officer, dont dépend le Data Privacy Officer, et le top management est fortement mobilisé sur ce sujet », assure Michael Nguyen. 

Comment elles s’y sont préparées 

L’avantage de toutes les entreprises qui doivent se conformer au RGPD est surtout que personne ne part de zéro. Nombre de mesures du texte sont plus ou moins dans le même état d’esprit que la loi Informatique et Libertés de 1978, à laquelle chacun devrait déjà (!) être conforme. « C’est toutefois aussi une problématique dans le sens où on réécrit une loi vieille de 40 ans, et que beaucoup de questions d’ordre opérationnel se posent actuellement », explique la DPO de l’assureur qui mobilise surtout deux experts de la protection des données sans compter « plusieurs analystes, un chef et un directeur de projets ». Tous nos interlocuteurs ont débuté le chantier en 2016, mais les moyens déployés ne sont évidemment pas les mêmes. Chez Scor, qui compte plus de 2 500 collaborateurs, une dizaine de personnes travaillent sur le RGPD quasi à plein temps mais « en tout une soixantaine de personnes sont concernées au sein des départements métier, juridiques, conformité, etc. », précise Michael Nguyen. Deux personnes sont principalement concernées chez MailJet. « Nous avons été pragmatiques : le chantier a été lancé il y a plus d’un an et nous sommes en cours de certification ISO 27001, qui adresse en partie le principe de « l’accountability » et la partie traçabilité des données », explique Pierre Puchois, CTO de MailJet et pilote du projet RGPD. 

Toutes sont aussi passées par une phase de cartographie ou d’audit. Notamment chez MailJet. « Nous avons débuté par une évaluation des risques, ce qui a apporté mécaniquement le plan de traçabilité afin de démontrer ce qui a été réalisé ». Cela a entraîné des modifications et Pierre Puchois rappelle que c’est avant tout un projet technique, légal et opérationnel au niveau des processus. « Nos outils doivent donc intégrer de nouveaux processus si nous voulons aller au bout de la logique », ajoute-t-il. Le spécialiste français de l’e-mailing a choisi de se lancer seul, en faisant monter en compétences ses équipes internes, en tout cas sur la partie technique ; une décision plutôt naturelle dans le sens où il a conçu lui-même ses processus depuis le début. Car il se fait accompagner pour les aspects légaux et pense à se doter d’un CIL qui aura « la capacité de faire la traduction sur certains textes ». 

Cet aspect légal pose de nombreuses questions. C’est notamment le cas sur la portabilité des données et le droit à la limitation des traitements, deux dispositions prévues dans le texte. « Cela veut dire qu’une personne peut demander à geler ses données. Nous avons encore des interrogations sur comment y parvenir », souligne-t-on chez l’assureur mutualiste. Lui aussi a réalisé des études de risques et prévoit d’autres études d’impact sur le consentement notamment. Il a également choisi de se faire accompagner par un prestataire externe spécialiste de la gestion de la conformité, le cabinet DPMS. Ce qui semble inévitable, c’est en tout cas l’implémentation de nouveaux outils. « Il faudra tenir un registre pour chaque direction métier. Idéalement il devra unifier le tout autour d’un workflow qui reste à concevoir. C’est un outil qui permettra d’accompagner l’accountability », précise notre interlocutrice. Chez Scor, Michael Nguyen transmet une déception à l’égard des conseils. « Nous avons déjà un CIL en interne. Lorsque nous avons commencé le projet à la fin 2016, j’ai sondé le marché pour trouver des compétences juridiques (cabinets externes) mais aussi une équipe projet pour nous aider à le piloter et un accompagnement technique en termes de cybersécurité. Mon bilan est que les offres ne sont pas matures. Il n’y a que peu de vision holistique de la part des acteurs qui sont censés nous accompagner », estime-t-il.  

« Compliant  by Design » 

Tous nos interlocuteurs sont donc quotidiennement appelés à manipuler des données personnelles, mais elles différent bien entendu selon leurs activités respectives. Tant chez l’assureur mutualiste que chez Scor, ce sont des données personnelles qui comprennent aussi des données de santé. « Nous pouvons avoir un assureur qui vient nous voir avec une base de plusieurs dizaines de milliers d’assurés pour nous demander si l’on souhaite partager les risques. Nous disposons donc de données de santé », confirme Michael Nguyen. Chez MailJet on distingue deux types de données : celles des clients (nom, prénom, mail, etc.) et celles « de nos clients qui peuvent charger une base sur laquelle il voudra envoyer des messages. Cette liste contient des adresses mails. D’un côté, nous avons donc les informations client qui sont traitées de manière classique, et de l’autre des informations sur lesquelles nous avons de la visibilité mais qui appartiennent à nos clients », explique Pierre Puchois, le CTO de l’entreprise. 

Le spécialiste français de l’e-mailing est dans la position du sous-traitant (« data processor » dans le texte anglais du RGPD), et prend en charge l’hébergement. MailJet travaille avec OVH « pour le côté souverain », mais aussi avec Google mais « pas pour le processing de données ». En revanche, « notre infrastructure est construite afin de pouvoir localiser les données dans le pays où elles doivent être. Les sensibilités en la matière varient d’un pays à l’autre. C’est une stratégie d’entreprise mais cela participe à ce que l’on retrouve dans le texte », précise Alexis Renard, directeur général de MailJet. 

Sécurité, conformité… et notifications ! 

Afin de gérer ces données en conformité avec le texte, deux aspects s’imposent à tous : la sécurité et la conformité. Pour le premier, les entreprises ont visiblement peu de problèmes à trouver ce qu’elles cherchent même si des interrogations sur le périmètre de chiffrement par exemple s’imposent. Le processus semble toutefois naturel selon l’activité. selon Scor, qui réalise régulièrement des études actuarielles, « aujourd’hui, nous sommes dans une phase d’étude sur ce que l’on chiffre ou non ». « Le texte parle de mesures de sécurité « adéquates », mais je ne pense pas que le tout chiffré soit la solution. Le tout est de savoir comment mieux se renforcer », explique Michael Nguyen. L’assureur mutualiste semble quant à lui faire le choix de la pseudonymisation, sans toutefois donner plus de détails. 

MailJet a, dans une démarche de bonnes pratiques, intégré du « management des données sur [le] SI qui passe par l’intégration d’outils d’administration, et de la double authentification forte sur des plates-formes complètement indépendantes de [la] plateforme ». « Nous sommes dans une forme d’anonymisation », estime Pierre Puchois. 

Enfin, la nécessité de notifier les failles dans les 72 h est encore généralement un sujet à l’étude. Pourtant, cela ne semble pas effrayer outre mesure. L’assureur mutualiste, qui dispose de plusieurs filiales en Europe, réfléchit encore : « quelle Cnil avertir en fonction de là où se trouve l’incident ». En effet, la réflexion se porte ainsi : soit la Cnil du pays de la maison mère reçoit toutes les notifications, soit elles sont envoyées selon le pays où s’est déroulé l’incident. « En revanche pour ce qui est des notifications en règle générale, nous sommes déjà rodé à l’exercice via notre politique en matière de gestion de crise », poursuit notre interlocutrice.  « La difficulté lorsque survient un incident est de savoir si nous avons bien affaire à une faille ou non. L’important est de savoir ce qui a été perdu : donnée, personnelle ou non, etc. Donc la difficulté se situe plutôt dans la détection, de l’analyse jusqu’à la communication », explique quant à lui Michael Nguyen. 

MailJet dispose quant à elle d’une philosophie plus moderne due à sa relative jeunesse. « La notification des failles est de l’ordre de la bonne pratique, c’est de la transparence et nous l’avons déjà fait. À chaque incident que nous avons rencontré, nous avons communiqué dans les 24 heures. D’autant plus que nous avons une page sur notre site web qui permet de connaître l’état de la plate-forme à tout moment », explique le directeur général. ❍


62 % des entreprises seront très en retard

88 % des entreprises américaines estiment être « bien renseignées » sur le RGPD. Ce chiffre chute bizarrement à 67 % pour les entreprises européennes. Est-ce à dire que celles d’outre-Atlantique seront donc mieux préparées d’ici à mai 2018 ? Quoi qu’il en soit, 62 % de toutes les entreprises confondues seront manifestement en retard lors de l’échéance finale vis-à-vis de la mise en conformité avec le texte européen. C’est ce qui ressort d’une large enquête menée par Compuware, qui précise que « le droit à l’oubli » est l’une des problématiques les plus complexes à mettre en œuvre. « Les entreprises se dirigent clairement vers la bonne direction sur la conformité GDPR, mais il reste encore un long chemin à parcourir dans un délai très court », explique à juste titre Elizabeth Maxwell, directrice technique de Compuware. Pour 56 % des sondés, l’identification générale des demandes les plus importantes du RGPD est la première des préoccupations. C’est aussi ce qui se ressent dans les interviews que nous avons menées pour ce dossier.

Print
6746
Tags:RGPD

x
Rechercher dans les dossiers
Actuellement à la Une...
Comme tous les ans à la même période, L’Informaticien fait une pause durant la première quinzaine du mois d’août. Nous serons de retour le lundi 20. D’ici là toute l’équipe vous souhaite de bonnes vacances pour ceux qui en prennent et un été studieux pour les autres. Rappel de quelques liens utiles avant la rentrée...

La plateforme américaine a subi en juin une intrusion sur ses serveurs, une attaque « sérieuse » qui a vu fuir les mails envoyés par Reddit à ses utilisateurs en juin 2018, ainsi qu’une vieille base de données contenant identifiants et mots de passe chiffrés des utilisateurs entre 2005 et 2007. Le piratage a été rendu possible par une authentification par SMS défaillante.

Siemens mise sur la numérisation de l’industrie, en réalisant depuis plusieurs années des efforts en R&D dans MindSphere, son système d’exploitation pour l’usine. Une plateforme qu’il va renforcer avec une dimension Low Code par le biais du rachat de Mendix.

L’équipementier enrichit son portefeuille Networking and Security Business avec le rachat de cette start-up à l’origine d’une solution SaaS d’accès unifié et d’authentification multifacteur. Objectif de cette opération à 2,35 milliards de dollars : offrir à ses clients la possibilité de connecter en toute sécurité un utilisateur à n'importe quelle application sur n'importe quel réseau dans un monde multicloud.

Dans la série des publications trimestrielles des GAFAM et autres valeurs high tech en vue, Apple a de quoi rassurer par la solidité et la régularité de ses performances. Pour la première fois le X est le plus vendu des iPhone. Les 1000 milliards de capitalisation sont en vue.

Le spécialiste de la gestion de données et Nvidia font cause commune pour fournir une nouvelle architecture pour les applications de deep learning.

Selon une information de CNBC relayée par CRN aux USA, AWS vise à éliminer complètement les technologies Oracle de ses services e-commerce d’ici le premier trimestre 2020.

A mort les mots de passe et vive Web Authentication, hurle Microsoft en ce début août. L’éditeur annonce en fanfare l’arrivée de cet ensemble de technologies d’authentification en ligne sur son navigateur, permettant aux internautes de préférer la biométrie, reconnaissance digitale ou faciale (donc Windows Hello) ou encore les clés physiques aux si faibles mots de passe.

Le spécialiste du stockage en ligne rehausse deux de ses forfaits, Professional et Business Standard, les gonflant avec 1 To d’espace supplémentaire, et ce sans augmenter le prix de ses offres. Il s’agit de répondre à Google One, récente évolution de Drive, qui vient chercher des noises à Dropbox avec une tarification agressive.

En 2016, Dailymotion subissait une attaque ayant pour résultat le vol des données de plus de 82 millions de comptes. La Cnil a mené son enquête et estime que la plateforme de vidéos en ligne a manqué à ses obligations en matière de sécurisation des données, lui infligeant une amende de 50 000 euros.

Toutes les News

LIVRES BLANCS

Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Aujourd’hui, les entreprises doivent ouvrir leur SI à un nombre toujours plus important de prestataires extérieurs, d’abord pour réduire le budget informatique – recours à des prestataires externes pour des compétences qui ne font pas partie du cœur de métier de la DSI - ensuite pour gagner en rapidité dans le déploiement de nouvelles solutions.

  


Tous les Livres Blancs