X
RGPD : serez-vous prêt ? (1)

RGPD : serez-vous prêt ? (1)

Contraintes et cadre général - Extrait du dossier paru dans L'Informaticien n°157

Le Règlement européen sur la Protection des Données (RGPD) est d’abord un texte de 88 pages. il constitue l’un des plus grands chantiers informatiques de ces dernières années. Imposé à toutes les entreprises qui traitent des données personnelles de citoyens européens, il crée plusieurs impératifs, en termes de transparence sur les données par exemple. Formant le nouveau cadre d’investissements majeurs, il n’est pas que contraintes et ouvre aussi la voie à une relation entreprise-client réinventée. Article paru dans le n°157 de L’Informaticien.

CONTRAINTES ET CADRE GÉNÉRAL

Le RGPD. Vaste programme !, comme qui dirait. Le sujet est en soi passionnant à plusieurs titres. D’abord dans sa finalité, qui vise donc à protéger les données des citoyens européens, mais aussi et surtout parce qu’il offre un vrai challenge technique et technologique aux entreprises qui manipulent ces données. Mettez-vous bien une chose en tête : oui, le RGPD est contraignant et sera sûrement complexe à mettre en place dans un grand nombre d’entreprises. Mais vous pouvez le voir de plusieurs manières : il y a le côté négatif qui prend en compte les lourds investissements et les contraintes ; et il y a l’aspect positif qui met en avant une clarification du SI, sorte de grand ménage de printemps de la donnée, sans oublier la notion importante qu’est la confiance que vous apporterez à vos utilisateurs et clients. « Privacy is good for business ! », aiment d’ailleurs à clamer les Anglo-saxons.

Nous avons tenté de synthétiser dans l’infographie ci-dessus toutes les demandes inhérentes au RGPD, et d’y associer ce qu’il vous faudra faire pour y répondre. Dans ce premier dossier que nous consacrons au règlement européen, nous vous donnons donc des pistes de réflexion pour commencer le chantier qui est donc technique mais aussi juridique sous bien des aspects. Avant toute chose, nous pouvons tenter de résumer la première notion fondamentale du RGPD de la manière suivante : il demande à tous les organismes qui manipulent des données de citoyens européens de connaître leurs patrimoines informationnels. Petite phrase, grandes conséquences !

Dans les faits, cela entraîne trois choses :
● les entreprises doivent être capables de savoir où sont les données personnelles dans tous leurs SI – SIRH y compris ! – que ce soit sur le Cloud public, ou privé, ou internalisé ;
● elles doivent être capables de chercher, localiser et supprimer des données personnelles, mais aussi de maîtriser la croissance, ce qui implique des politiques d’archivage, de sauvegarde, de suppression, etc. ;
● elles doivent aussi protéger de manière adéquate les données en les sécurisant efficacement – chiffrement, anonymisation, pseudonymisation.

L’ambiguë « accountability »

Cette dernière notion sur la sécurisation des données est assez parlante dans le sens où elle illustre un point important du RGPD : la grille de lecture d’un texte européen qui peut facilement être interprété d’une manière ou d’une autre. À titre d’exemple, sachez que le règlement introduit la notion d’« accountability ». En bon français on peut traduire le terme par « responsabilité ». Mais, comme souvent, la notion anglo-saxonne est plus vague, plus nuancée voire plus pernicieuse. Par responsabilité, il faut donc entendre qu’en cas de contrôle il faudra prouver que vous avez fait le nécessaire pour accomplir une action. C’est sur ce principe que pourront tomber ou non les sanctions fi nancières prévues par le RGPD. Rappelons qu’elles pourront aller jusqu’à 4 % du chiffre d’affaires de l’entreprise ou 20 millions d’euros ; le plus élevé des deux l’emportera. Jusqu’à ce jour, la Cnil pouvait établir une amende dont le montant maximal était de 3 millions d’euros. Voici évidemment qui doit être l’une des motivations principales pour se mettre en conformité avant le 25 mai 2018. Même s’il faut se rassurer : si de telles sanctions tombent un jour, ce sera probablement « pour l’exemple » et après récidive. « Le GDPR va certainement permettre d’infliger quelques amendes à de grands groupes ne respectant pas les règles et peut-être permettre une prise de conscience plus importante. Mais les entreprises ne respecteront pas le GDPR parce qu’il y a une loi, elles le feront parce que le principal enjeu pour elles, cela reste leur crédibilité sur leur marché et leur image vis-à-vis de leurs clients. C’est le cas pour les banques, l’industrie, les télécoms, etc. », commente pour nous Fortunato Guarino, consultant cybercrime et data protection chez Guidance. De plus, le terme « accountability » amène une autre notion plus concrète. C’est l’un des points différenciant entre le RGPD et la loi Informatique et Libertés de 1978. Dans cette dernière, c’est le processus de déclaration et d’autorisation qui était la règle. Concrètement, l’entreprise déclarait ce qu’elle souhaitait faire à la Cnil – en France – puis obtenait ou non l’autorisation, sans inclure les potentiels sous-traitants notamment. La notion d' « accountability » change cet aspect : désormais le responsable du traitement de la donnée – qui peut donc être directement le sous-traitant – doit faire le nécessaire pour garantir la protection du traitement et donc de la donnée. C’est exactement ce qu’il devra démontrer en cas de contrôle de la Cnil par exemple. « Le risque est effectivement de confondre outils et fi nalité. C’est la chose la plus complexe à comprendre. Par exemple, la gestion des RH est une finalité qui comporte des sous-finalités comme la gestion de la formation, de la paye, des carrières, etc. Les outils sont quant à eux l’intranet, les annuaires LDAP, etc. », précise Xavier Leclerc, fondateur du cabinet DPMS.

Auditabilité et transparence : une nécessité

Comme nous venons de le voir, la notion d’« accountability » fait donc aussi bouger les lignes de la responsabilité du traitement. Cela induit notamment qu’un sous-traitant qui manipule et/ou gère certaines des données personnelles de vos clients sera désormais le responsable principal, et qu’à ce titre une entreprise doit donc s’assurer du bon traitement des données. Bien évidemment, cela risque de changer la relation de confiance qui pouvait exister entre des partenaires. Cela induit également une nouvelle logique dite d’« auditabilité ». Concrètement une entreprise sous-traitante devra donc elle aussi pouvoir prouver qu’elle a mis en place des outils adéquats pour la mise en conformité avec le RGPD. « Il ne faut pas oublier que la donnée c’est la valeur de l’entreprise, peu importe où elle se trouve. Même stockée sur un support externalisé, c’est toujours à vous de la protéger », souligne Frédéric Viet, channel director Europe de l’Ouest chez Veritas. Les gestionnaires de données devront donc rapidement faire preuve de transparence dans leur manière de traiter l’information. Spécialisée dans la gestion d’identités et le « Registration as a Service », Gigya a par exemple anticipé le RGPD et assure qu’il sera conforme à 100 % d’ici à juin prochain. Il va même plus loin en proposant un outil « qui permet à un client de voir les données collectées le concernant. Nous amenons le moteur, pas le design », explique Andrea Rus, directeur des ventes Europe du Sud.

De l’avis de nombreux de nos interlocuteurs pour ce dossier, la notion d’auditabilité doit nécessairement entraîner la révision des contrats. « Dans tous les cas, les entreprises doivent déjà prévoir une clause de protection des données dans les contrats. Elle est généralement assez concise. Mais avec les nouvelles obligations des sous-traitants, cela doit désormais être concrètement contractualisé. Il paraît judicieux de commencer par une revue des contrats soit par des avenants, soit lors d’un renouvellement. Une vraie politique de gestion de ces contrats est désormais nécessaire », estime Sylvie Jonas, avocate associée au cabinet Avistem Avocats. Dirigeant du cabinet ActeCIL spécialisé en conformité et gestion des données personnelles, Richard Bertrand renchérit : « Beaucoup de choses sont actuellement existantes oralement, écrites à moitié, sans formalisation… C’est toute la base organisationnelle et structurelle qu’il faut revoir. » Toutes ces démarches sont donc imposées par le RGPD, et seront hautement nécessaires notamment pour une autre obligation : le droit à l’oubli ou droit à la suppression des données clients. « Les éditeurs de logiciels devront être en mesure d’apporter la notion de Privacy by Design. C’est un concept simple qui permet de pouvoir utiliser des données en respect et en conformité avec les règles légales – transparence, conservation, etc. », poursuit Richard Bertrand. Effectivement, la loi Informatique et Libertés aujourd’hui, et le RGPD demain, prévoient que chaque personne dispose d’un droit de suppression ou de modification de ses données personnelles.


Article 4 du RGPD

Données à caractère personnel

Se dit de toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement par référence à un identifiant (un nom, données de localisation, identifiant en ligne, identité physique, etc.).


Cnil, AFCDP, ADPO...

Qui est là pour vous aider ?

Il faut bien l’avouer : l’amplitude du RGPD, avec toutes les règles qu’il impose, peut vite donner un sentiment de panique. Mais rassurez-vous, vous n’êtes pas seul. Il existe déjà beaucoup de matière à disposition pour travailler sur le sujet. À ce propos, les éditeurs et autres cabinets de conseils sont prolixes et pas avares en réunions d’informations, webinaires, etc. Mais la Cnil joue aussi un rôle très important et il convient de saluer le très bon travail réalisé pour aider les entreprises. Elle a notamment publié une méthodologie en six étapes, disponible sur son site. L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) a quant à elle mis à disposition une version complètement annotée du règlement, ce qui peut être très utile pour répondre à certains points techniques particuliers. Par ailleurs, une Association des Data Protection Officers (ADPO) a d’ores et déjà été créée, avec à sa tête l’avocat Alain Bensoussan et Hélène Legras, CIL d’Areva. Le Medef travaille lui aussi sur le sujet et peut apporter une aide d’aiguillage vers des spécialistes. Enfin, les Clusir (Clubs de la sécurité de l'information régionaux) organisent également des réunions en région à destination des entreprises. Voir liens utiles ci-dessous.


La suite du dossier RGPD est à lire dans L'Informaticien n°157. Disponible ici pour l'édition numérique (accès abonnés) ou sur notre boutique pour l'achat de ce numéro. Le magazine L'Informaticien vous donne rendez-vous dans ses prochaines parutions pour de nouvelles enquêtes sur un sujet critique pour les DSI dans les mois à venir.

8884
Tags:RGPD

x
Rechercher dans les dossiers

Actuellement à la Une...
Après la publication de ses très controversées lignes directrices relatives aux traceurs, la Cnil vient de lancer la consultation publique sur ses recommandations pratiques, mises en ligne dans la foulée. Celles-ci n’apportent rien de nouveau, mais éclaire certains points quant au recueil du consentement des internautes sur lequel le gendarme des données personnelles attend les éditeurs au tournant.

Les clients d’IBM qui utilisent les systèmes Power peuvent maintenant aller sur le Cloud de Google pour migrer leurs données ou déporter des tâches de traitement.

Citrix avait poursuivi en justice AVI Networks pour utilisation abusive de brevets avant que l’entreprise soit reprise par VMware. L’accord actuel arrête la procédure judiciaire entre les deux acteurs de la virtualisation.

Au moins 70 employés de la fondation seront remerciés prochainement. Mozilla traverse une période difficile, marquée par le retard à la livraison de nouveaux produits supposés générer des revenus supplémentaires pour la fondation.

Forte de près de 6000 membres, l'association française des correspondants à la protection des données personnelles ouvre un nouveau chapitre avec sa 14ème université des DPO, où un millier de professionnels étaient attendus.

La lettre d’Elliott a vraisemblablement fait mouche. Malgré le souhait répété de Paul Hermelin de ne pas revoir l’offre initiale à la hausse, Capgemini a finalement annoncé porter son prix à 14,5 euros par action, contre 14 euros précédemment.

Le géant des centres de données rachète Packet, un fournisseur de service cloud sur des environnements bare metal.

En quelques heures Google a réalisé deux rachats sur des sujets très différents. Pointy est un spécialiste de la mise en ligne de catalogues produits et AppSheet développe un environnement pour le No Code.

Le géant des paiements signe un gros chèque pour mettre la main sur cette jeune pousse californienne. En effet, celle-ci permet aux développeurs d’applications opérant dans la fintech d’accéder aux données bancaires de leurs utilisateurs par le biais des institutions financières : un secteur en forte croissance, favorisé notamment par la réglementation à l’instar de PSD2.

L’ancien CEO d’Hortonworks, qui avait abandonné tout rôle opérationnel après la fusion avec Cloudera, revient aux commandes après le départ de Tom Reilly.

Toutes les News
LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs
0123movie