X
Emilien Ercolani / jeudi 13 juillet 2017 / Thèmes: Sécurité SI, Transformation numérique, Dossier, RGPD

RGPD : la parole aux entreprises !

Le règlement européen sur les données personnelles est vécu plus comme une opportunité que comme une contrainte.

Si de nombreuses entreprises n’ont pas encore débuté le chantier, ou très peu, d’autres l’ont déjà entamé depuis plusieurs mois. Nous avons interrogé trois d’entre elles pour comprendre leurs démarches. Article paru dans le n°158 de L'Informaticien.

Le RGPD est un chantier informatique important qui demande du temps, des efforts et des investissements. C’est ce qui ressort des interviews que nous avons menées avec des entreprises qui ont toutes commencé les travaux depuis plusieurs mois. Un autre élément nous paraît intéressant : sur les trois témoignages que nous avons recueillis, nos interlocuteurs assurent qu’ils ont pris ce texte comme une opportunité et non pas comme une contrainte. « Nous estimons tout d’abord que c’est une opportunité commerciale, en premier lieu car la majorité de nos concurrents sont Américains et que nous nous demandons s’ils pourront se conformer strictement au texte », explique Alexis Renard, directeur général de MailJet, une solution française d’e-mailing.  « Nous ne sommes pas certains qu’ils fassent l’effort. Par ailleurs, nous estimons aussi que c’est une opportunité dans le sens où c’est une occasion parfaite pour renouer le dialogue avec un certain nombre de nos clients ».

Pour Michael Nguyen, Head of Management and Control de Scor, un ré-assureur français, « C’est d’abord l’occasion de mieux protéger les données mais ce sera aussi un facteur différenciant à terme. Je pense que l’utilisation abusive des données personnelles qui pourrait en être faite par certains grands acteurs de l’Internet va conduire certains “ hacktivistes ” à tout faire pour mieux les protéger. L’arrivée des millennials, la génération Y, va aussi bousculer cet aspect dans le sens où il faudra apporter des garanties ».

MailJet, une PME moyenne avec environ 120 employés, possède un avantage majeur : créée en 2010, elle n’a pas à assumer un « historique », un « legacy », souvent lourd à gérer et à faire évoluer. « Nous sommes une entreprise agile et c’est un objectif de le rester à tous niveaux, pas uniquement informatique », poursuit Alexis Renard. De ce point de vue le chantier de la mise en conformité vis-à-vis du RGPD semble plutôt simple car c’est une toute autre organisation dans des structures plus grandes. « Chez nous, le projet est placé sous le signe de la transformation de l’entreprise. Il mêle tant l’IT que les directions métier, notamment en ce qui concerne l’aspect « privacy by design ». C’est donc la culture d’entreprise qui doit changer et s’adapter, surtout pour les nouveaux projets », nous explique la DPO (Data Protection Officer) d’une assurance mutualiste qui préfère garder l’anonymat. 

La relative petite taille de MailJet a aussi évité de passer par un circuit plus complexe que connaissent les grandes entreprises : « vendre » le sujet à un comité de direction. Mais dans nos deux exemples, le comex s’est visiblement montré réceptif. « Il est vrai que lorsque j’ai présenté le projet, il y a eu des incompréhensions. L’assurance est un métier très réglementé mais après tout, la donnée client c’est notre cœur de métier. Lors de la présentation devant le comex, j’ai réussi à faire passer le message selon lequel le RGPD servait avant tout à préserver le droit des personnes. La difficulté que j’ai rencontrée est plutôt sur le fait que d’autres réglementations viennent s’ajouter au RGPD dans le monde de l’assurance,  et notamment la directive sur la distribution d’assurance (IDD : Insurance Distribution Directive) ». « Comme dans le secteur bancaire, le métier de réassureur est basé sur la confiance. De façon générale, on peut constater que l’amende de 4 % du chiffre d’affaires a eu des effets et a incité les acteurs à renforcer leurs actions pour protéger les données. Chez Scor, nous avons la chance d’avoir un Chief Compliance Officer, dont dépend le Data Privacy Officer, et le top management est fortement mobilisé sur ce sujet », assure Michael Nguyen. 

Comment elles s’y sont préparées 

L’avantage de toutes les entreprises qui doivent se conformer au RGPD est surtout que personne ne part de zéro. Nombre de mesures du texte sont plus ou moins dans le même état d’esprit que la loi Informatique et Libertés de 1978, à laquelle chacun devrait déjà (!) être conforme. « C’est toutefois aussi une problématique dans le sens où on réécrit une loi vieille de 40 ans, et que beaucoup de questions d’ordre opérationnel se posent actuellement », explique la DPO de l’assureur qui mobilise surtout deux experts de la protection des données sans compter « plusieurs analystes, un chef et un directeur de projets ». Tous nos interlocuteurs ont débuté le chantier en 2016, mais les moyens déployés ne sont évidemment pas les mêmes. Chez Scor, qui compte plus de 2 500 collaborateurs, une dizaine de personnes travaillent sur le RGPD quasi à plein temps mais « en tout une soixantaine de personnes sont concernées au sein des départements métier, juridiques, conformité, etc. », précise Michael Nguyen. Deux personnes sont principalement concernées chez MailJet. « Nous avons été pragmatiques : le chantier a été lancé il y a plus d’un an et nous sommes en cours de certification ISO 27001, qui adresse en partie le principe de « l’accountability » et la partie traçabilité des données », explique Pierre Puchois, CTO de MailJet et pilote du projet RGPD. 

Toutes sont aussi passées par une phase de cartographie ou d’audit. Notamment chez MailJet. « Nous avons débuté par une évaluation des risques, ce qui a apporté mécaniquement le plan de traçabilité afin de démontrer ce qui a été réalisé ». Cela a entraîné des modifications et Pierre Puchois rappelle que c’est avant tout un projet technique, légal et opérationnel au niveau des processus. « Nos outils doivent donc intégrer de nouveaux processus si nous voulons aller au bout de la logique », ajoute-t-il. Le spécialiste français de l’e-mailing a choisi de se lancer seul, en faisant monter en compétences ses équipes internes, en tout cas sur la partie technique ; une décision plutôt naturelle dans le sens où il a conçu lui-même ses processus depuis le début. Car il se fait accompagner pour les aspects légaux et pense à se doter d’un CIL qui aura « la capacité de faire la traduction sur certains textes ». 

Cet aspect légal pose de nombreuses questions. C’est notamment le cas sur la portabilité des données et le droit à la limitation des traitements, deux dispositions prévues dans le texte. « Cela veut dire qu’une personne peut demander à geler ses données. Nous avons encore des interrogations sur comment y parvenir », souligne-t-on chez l’assureur mutualiste. Lui aussi a réalisé des études de risques et prévoit d’autres études d’impact sur le consentement notamment. Il a également choisi de se faire accompagner par un prestataire externe spécialiste de la gestion de la conformité, le cabinet DPMS. Ce qui semble inévitable, c’est en tout cas l’implémentation de nouveaux outils. « Il faudra tenir un registre pour chaque direction métier. Idéalement il devra unifier le tout autour d’un workflow qui reste à concevoir. C’est un outil qui permettra d’accompagner l’accountability », précise notre interlocutrice. Chez Scor, Michael Nguyen transmet une déception à l’égard des conseils. « Nous avons déjà un CIL en interne. Lorsque nous avons commencé le projet à la fin 2016, j’ai sondé le marché pour trouver des compétences juridiques (cabinets externes) mais aussi une équipe projet pour nous aider à le piloter et un accompagnement technique en termes de cybersécurité. Mon bilan est que les offres ne sont pas matures. Il n’y a que peu de vision holistique de la part des acteurs qui sont censés nous accompagner », estime-t-il.  

« Compliant  by Design » 

Tous nos interlocuteurs sont donc quotidiennement appelés à manipuler des données personnelles, mais elles différent bien entendu selon leurs activités respectives. Tant chez l’assureur mutualiste que chez Scor, ce sont des données personnelles qui comprennent aussi des données de santé. « Nous pouvons avoir un assureur qui vient nous voir avec une base de plusieurs dizaines de milliers d’assurés pour nous demander si l’on souhaite partager les risques. Nous disposons donc de données de santé », confirme Michael Nguyen. Chez MailJet on distingue deux types de données : celles des clients (nom, prénom, mail, etc.) et celles « de nos clients qui peuvent charger une base sur laquelle il voudra envoyer des messages. Cette liste contient des adresses mails. D’un côté, nous avons donc les informations client qui sont traitées de manière classique, et de l’autre des informations sur lesquelles nous avons de la visibilité mais qui appartiennent à nos clients », explique Pierre Puchois, le CTO de l’entreprise. 

Le spécialiste français de l’e-mailing est dans la position du sous-traitant (« data processor » dans le texte anglais du RGPD), et prend en charge l’hébergement. MailJet travaille avec OVH « pour le côté souverain », mais aussi avec Google mais « pas pour le processing de données ». En revanche, « notre infrastructure est construite afin de pouvoir localiser les données dans le pays où elles doivent être. Les sensibilités en la matière varient d’un pays à l’autre. C’est une stratégie d’entreprise mais cela participe à ce que l’on retrouve dans le texte », précise Alexis Renard, directeur général de MailJet. 

Sécurité, conformité… et notifications ! 

Afin de gérer ces données en conformité avec le texte, deux aspects s’imposent à tous : la sécurité et la conformité. Pour le premier, les entreprises ont visiblement peu de problèmes à trouver ce qu’elles cherchent même si des interrogations sur le périmètre de chiffrement par exemple s’imposent. Le processus semble toutefois naturel selon l’activité. selon Scor, qui réalise régulièrement des études actuarielles, « aujourd’hui, nous sommes dans une phase d’étude sur ce que l’on chiffre ou non ». « Le texte parle de mesures de sécurité « adéquates », mais je ne pense pas que le tout chiffré soit la solution. Le tout est de savoir comment mieux se renforcer », explique Michael Nguyen. L’assureur mutualiste semble quant à lui faire le choix de la pseudonymisation, sans toutefois donner plus de détails. 

MailJet a, dans une démarche de bonnes pratiques, intégré du « management des données sur [le] SI qui passe par l’intégration d’outils d’administration, et de la double authentification forte sur des plates-formes complètement indépendantes de [la] plateforme ». « Nous sommes dans une forme d’anonymisation », estime Pierre Puchois. 

Enfin, la nécessité de notifier les failles dans les 72 h est encore généralement un sujet à l’étude. Pourtant, cela ne semble pas effrayer outre mesure. L’assureur mutualiste, qui dispose de plusieurs filiales en Europe, réfléchit encore : « quelle Cnil avertir en fonction de là où se trouve l’incident ». En effet, la réflexion se porte ainsi : soit la Cnil du pays de la maison mère reçoit toutes les notifications, soit elles sont envoyées selon le pays où s’est déroulé l’incident. « En revanche pour ce qui est des notifications en règle générale, nous sommes déjà rodé à l’exercice via notre politique en matière de gestion de crise », poursuit notre interlocutrice.  « La difficulté lorsque survient un incident est de savoir si nous avons bien affaire à une faille ou non. L’important est de savoir ce qui a été perdu : donnée, personnelle ou non, etc. Donc la difficulté se situe plutôt dans la détection, de l’analyse jusqu’à la communication », explique quant à lui Michael Nguyen. 

MailJet dispose quant à elle d’une philosophie plus moderne due à sa relative jeunesse. « La notification des failles est de l’ordre de la bonne pratique, c’est de la transparence et nous l’avons déjà fait. À chaque incident que nous avons rencontré, nous avons communiqué dans les 24 heures. D’autant plus que nous avons une page sur notre site web qui permet de connaître l’état de la plate-forme à tout moment », explique le directeur général. ❍


62 % des entreprises seront très en retard

88 % des entreprises américaines estiment être « bien renseignées » sur le RGPD. Ce chiffre chute bizarrement à 67 % pour les entreprises européennes. Est-ce à dire que celles d’outre-Atlantique seront donc mieux préparées d’ici à mai 2018 ? Quoi qu’il en soit, 62 % de toutes les entreprises confondues seront manifestement en retard lors de l’échéance finale vis-à-vis de la mise en conformité avec le texte européen. C’est ce qui ressort d’une large enquête menée par Compuware, qui précise que « le droit à l’oubli » est l’une des problématiques les plus complexes à mettre en œuvre. « Les entreprises se dirigent clairement vers la bonne direction sur la conformité GDPR, mais il reste encore un long chemin à parcourir dans un délai très court », explique à juste titre Elizabeth Maxwell, directrice technique de Compuware. Pour 56 % des sondés, l’identification générale des demandes les plus importantes du RGPD est la première des préoccupations. C’est aussi ce qui se ressent dans les interviews que nous avons menées pour ce dossier.

9986
Tags:RGPD

x
Rechercher dans les dossiers

Actuellement à la Une...
La branche Cloud d’Alphabet vient de mettre la main sur ce spécialiste de la migration mainframe. Un rachat dans la droite lignée de celui de CloudSimple l’an dernier, Google Cloud accumulant les outils destinés à faciliter le passage au cloud.

Mountain View serait susceptible de délocaliser ses utilisateurs britanniques. Si ceux-ci dépendent jusqu’à présent de la filiale irlandaise, et donc du droit européen, le géant est tenté de les placer sous juridiction américaine.

L’édition européenne d’Open World a réuni clients et partenaires d’Oracle autour des thématiques Cloud et intelligence artificielle avec de nombreuses annonces en rapport. Karim Zein, VP country leader technology chez Oracle, revient pour nous sur les temps forts de l'événement.

Récupéré par Dell en 2016 lors du rachat de EMC, RSA change de propriétaire. La marque et ses solutions viennent en effet d’être vendus pour 2 milliards de dollars à un consortium mené par le fonds Symphony Technology.

L’un est opéré par Cloudflare, ne fonctionne qu’avec Firefox et est gratuit. L’autre couvre l’ensemble de l’appareil, à condition qu’il soit sous Windows 10 et Android, vient du Suédois Mullvad et coûte 5 dollars par mois.

La branche cloud d’Alphabet s’apprête à supprimer des postes, un plan qui concernerait un « petit nombre d’employés ». Ce faisant, Google Cloud chercherait à se concentrer sur une poignée de secteurs verticaux cibles, en particulier sur les marchés non-américains.

Pegasystems met sur le marché Pega Express, un outil de développement d’application low code directement intégré à sa plate-forme.

En RTM actuellement chez des clients, la 10ème version d’Availability Suite est disponible immédiatement et comporte plus de 150 améliorations ou nouveautés.

Ansible tient une assez belle place dans le palmarès des outils favoris des DevOps. Il permet d’automatiser des traitements sur un parc de machines. Nous allons voir quelles sont ses possibilités en la matière. Article paru dans L'Informaticien n°183.

L’opérateur a sans surprise fait le choix de l’équipementier finlandais pour son réseau 5G. Ce dernier travaille en effet avec Iliad depuis 2012, un partenariat renouvelé en 2018 alors que l’entreprise de Xavier Niel se lançait en Italie, sélectionnant à nouveau Nokia à cette occasion.

Toutes les News
LIVRES BLANCS

OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Tous les Livres Blancs
0123movie