X
RGPD : serez-vous prêt ? (1)

RGPD : serez-vous prêt ? (1)

Contraintes et cadre général - Extrait du dossier paru dans L'Informaticien n°157

Le Règlement européen sur la Protection des Données (RGPD) est d’abord un texte de 88 pages. il constitue l’un des plus grands chantiers informatiques de ces dernières années. Imposé à toutes les entreprises qui traitent des données personnelles de citoyens européens, il crée plusieurs impératifs, en termes de transparence sur les données par exemple. Formant le nouveau cadre d’investissements majeurs, il n’est pas que contraintes et ouvre aussi la voie à une relation entreprise-client réinventée. Article paru dans le n°157 de L’Informaticien.

CONTRAINTES ET CADRE GÉNÉRAL

Le RGPD. Vaste programme !, comme qui dirait. Le sujet est en soi passionnant à plusieurs titres. D’abord dans sa finalité, qui vise donc à protéger les données des citoyens européens, mais aussi et surtout parce qu’il offre un vrai challenge technique et technologique aux entreprises qui manipulent ces données. Mettez-vous bien une chose en tête : oui, le RGPD est contraignant et sera sûrement complexe à mettre en place dans un grand nombre d’entreprises. Mais vous pouvez le voir de plusieurs manières : il y a le côté négatif qui prend en compte les lourds investissements et les contraintes ; et il y a l’aspect positif qui met en avant une clarification du SI, sorte de grand ménage de printemps de la donnée, sans oublier la notion importante qu’est la confiance que vous apporterez à vos utilisateurs et clients. « Privacy is good for business ! », aiment d’ailleurs à clamer les Anglo-saxons.

Nous avons tenté de synthétiser dans l’infographie ci-dessus toutes les demandes inhérentes au RGPD, et d’y associer ce qu’il vous faudra faire pour y répondre. Dans ce premier dossier que nous consacrons au règlement européen, nous vous donnons donc des pistes de réflexion pour commencer le chantier qui est donc technique mais aussi juridique sous bien des aspects. Avant toute chose, nous pouvons tenter de résumer la première notion fondamentale du RGPD de la manière suivante : il demande à tous les organismes qui manipulent des données de citoyens européens de connaître leurs patrimoines informationnels. Petite phrase, grandes conséquences !

Dans les faits, cela entraîne trois choses :
● les entreprises doivent être capables de savoir où sont les données personnelles dans tous leurs SI – SIRH y compris ! – que ce soit sur le Cloud public, ou privé, ou internalisé ;
● elles doivent être capables de chercher, localiser et supprimer des données personnelles, mais aussi de maîtriser la croissance, ce qui implique des politiques d’archivage, de sauvegarde, de suppression, etc. ;
● elles doivent aussi protéger de manière adéquate les données en les sécurisant efficacement – chiffrement, anonymisation, pseudonymisation.

L’ambiguë « accountability »

Cette dernière notion sur la sécurisation des données est assez parlante dans le sens où elle illustre un point important du RGPD : la grille de lecture d’un texte européen qui peut facilement être interprété d’une manière ou d’une autre. À titre d’exemple, sachez que le règlement introduit la notion d’« accountability ». En bon français on peut traduire le terme par « responsabilité ». Mais, comme souvent, la notion anglo-saxonne est plus vague, plus nuancée voire plus pernicieuse. Par responsabilité, il faut donc entendre qu’en cas de contrôle il faudra prouver que vous avez fait le nécessaire pour accomplir une action. C’est sur ce principe que pourront tomber ou non les sanctions fi nancières prévues par le RGPD. Rappelons qu’elles pourront aller jusqu’à 4 % du chiffre d’affaires de l’entreprise ou 20 millions d’euros ; le plus élevé des deux l’emportera. Jusqu’à ce jour, la Cnil pouvait établir une amende dont le montant maximal était de 3 millions d’euros. Voici évidemment qui doit être l’une des motivations principales pour se mettre en conformité avant le 25 mai 2018. Même s’il faut se rassurer : si de telles sanctions tombent un jour, ce sera probablement « pour l’exemple » et après récidive. « Le GDPR va certainement permettre d’infliger quelques amendes à de grands groupes ne respectant pas les règles et peut-être permettre une prise de conscience plus importante. Mais les entreprises ne respecteront pas le GDPR parce qu’il y a une loi, elles le feront parce que le principal enjeu pour elles, cela reste leur crédibilité sur leur marché et leur image vis-à-vis de leurs clients. C’est le cas pour les banques, l’industrie, les télécoms, etc. », commente pour nous Fortunato Guarino, consultant cybercrime et data protection chez Guidance. De plus, le terme « accountability » amène une autre notion plus concrète. C’est l’un des points différenciant entre le RGPD et la loi Informatique et Libertés de 1978. Dans cette dernière, c’est le processus de déclaration et d’autorisation qui était la règle. Concrètement, l’entreprise déclarait ce qu’elle souhaitait faire à la Cnil – en France – puis obtenait ou non l’autorisation, sans inclure les potentiels sous-traitants notamment. La notion d' « accountability » change cet aspect : désormais le responsable du traitement de la donnée – qui peut donc être directement le sous-traitant – doit faire le nécessaire pour garantir la protection du traitement et donc de la donnée. C’est exactement ce qu’il devra démontrer en cas de contrôle de la Cnil par exemple. « Le risque est effectivement de confondre outils et fi nalité. C’est la chose la plus complexe à comprendre. Par exemple, la gestion des RH est une finalité qui comporte des sous-finalités comme la gestion de la formation, de la paye, des carrières, etc. Les outils sont quant à eux l’intranet, les annuaires LDAP, etc. », précise Xavier Leclerc, fondateur du cabinet DPMS.

Auditabilité et transparence : une nécessité

Comme nous venons de le voir, la notion d’« accountability » fait donc aussi bouger les lignes de la responsabilité du traitement. Cela induit notamment qu’un sous-traitant qui manipule et/ou gère certaines des données personnelles de vos clients sera désormais le responsable principal, et qu’à ce titre une entreprise doit donc s’assurer du bon traitement des données. Bien évidemment, cela risque de changer la relation de confiance qui pouvait exister entre des partenaires. Cela induit également une nouvelle logique dite d’« auditabilité ». Concrètement une entreprise sous-traitante devra donc elle aussi pouvoir prouver qu’elle a mis en place des outils adéquats pour la mise en conformité avec le RGPD. « Il ne faut pas oublier que la donnée c’est la valeur de l’entreprise, peu importe où elle se trouve. Même stockée sur un support externalisé, c’est toujours à vous de la protéger », souligne Frédéric Viet, channel director Europe de l’Ouest chez Veritas. Les gestionnaires de données devront donc rapidement faire preuve de transparence dans leur manière de traiter l’information. Spécialisée dans la gestion d’identités et le « Registration as a Service », Gigya a par exemple anticipé le RGPD et assure qu’il sera conforme à 100 % d’ici à juin prochain. Il va même plus loin en proposant un outil « qui permet à un client de voir les données collectées le concernant. Nous amenons le moteur, pas le design », explique Andrea Rus, directeur des ventes Europe du Sud.

De l’avis de nombreux de nos interlocuteurs pour ce dossier, la notion d’auditabilité doit nécessairement entraîner la révision des contrats. « Dans tous les cas, les entreprises doivent déjà prévoir une clause de protection des données dans les contrats. Elle est généralement assez concise. Mais avec les nouvelles obligations des sous-traitants, cela doit désormais être concrètement contractualisé. Il paraît judicieux de commencer par une revue des contrats soit par des avenants, soit lors d’un renouvellement. Une vraie politique de gestion de ces contrats est désormais nécessaire », estime Sylvie Jonas, avocate associée au cabinet Avistem Avocats. Dirigeant du cabinet ActeCIL spécialisé en conformité et gestion des données personnelles, Richard Bertrand renchérit : « Beaucoup de choses sont actuellement existantes oralement, écrites à moitié, sans formalisation… C’est toute la base organisationnelle et structurelle qu’il faut revoir. » Toutes ces démarches sont donc imposées par le RGPD, et seront hautement nécessaires notamment pour une autre obligation : le droit à l’oubli ou droit à la suppression des données clients. « Les éditeurs de logiciels devront être en mesure d’apporter la notion de Privacy by Design. C’est un concept simple qui permet de pouvoir utiliser des données en respect et en conformité avec les règles légales – transparence, conservation, etc. », poursuit Richard Bertrand. Effectivement, la loi Informatique et Libertés aujourd’hui, et le RGPD demain, prévoient que chaque personne dispose d’un droit de suppression ou de modification de ses données personnelles.


Article 4 du RGPD

Données à caractère personnel

Se dit de toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement par référence à un identifiant (un nom, données de localisation, identifiant en ligne, identité physique, etc.).


Cnil, AFCDP, ADPO...

Qui est là pour vous aider ?

Il faut bien l’avouer : l’amplitude du RGPD, avec toutes les règles qu’il impose, peut vite donner un sentiment de panique. Mais rassurez-vous, vous n’êtes pas seul. Il existe déjà beaucoup de matière à disposition pour travailler sur le sujet. À ce propos, les éditeurs et autres cabinets de conseils sont prolixes et pas avares en réunions d’informations, webinaires, etc. Mais la Cnil joue aussi un rôle très important et il convient de saluer le très bon travail réalisé pour aider les entreprises. Elle a notamment publié une méthodologie en six étapes, disponible sur son site. L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) a quant à elle mis à disposition une version complètement annotée du règlement, ce qui peut être très utile pour répondre à certains points techniques particuliers. Par ailleurs, une Association des Data Protection Officers (ADPO) a d’ores et déjà été créée, avec à sa tête l’avocat Alain Bensoussan et Hélène Legras, CIL d’Areva. Le Medef travaille lui aussi sur le sujet et peut apporter une aide d’aiguillage vers des spécialistes. Enfin, les Clusir (Clubs de la sécurité de l'information régionaux) organisent également des réunions en région à destination des entreprises. Voir liens utiles ci-dessous.


La suite du dossier RGPD est à lire dans L'Informaticien n°157. Disponible ici pour l'édition numérique (accès abonnés) ou sur notre boutique pour l'achat de ce numéro. Le magazine L'Informaticien vous donne rendez-vous dans ses prochaines parutions pour de nouvelles enquêtes sur un sujet critique pour les DSI dans les mois à venir.

10700
Tags:RGPD

Rechercher dans les dossiers

Actuellement à la Une...
Le budget ne devait pas dépasser au départ quelques milliers d’euros par mois. L’application de contact tracing voulue par le gouvernement lui a déjà coûté finalement la somme pas si modique pour une app mobile de 6,5 millions d’euros en cinq mois, dont près de 3 millions en frais de communication, pour une efficacité bien relative. 

Microsoft a annoncé deux nouveaux services de gestion des données sur Azure, Synapse Analytics et Purview.

Dans un rapport de NordVPN, pour son gestionnaire de mot de passe NordPass, vient de révéler les 200 mots de passe les plus utilisés et clairement ils ne sont pas au niveau de sécurité attendu !

Salesforce fait partie de ces entreprises qui n'ont pas connu la crise, mais qui ont à cœur de souligner que, conscientes de leur privilège, elles comptent aider les autres. Notamment, dans le cas du géant américain, à s'adapter aux nouveaux modes de travail. Multicloud avec Hyperforce, automatisation avec Einstein Automation et planification RH étaient donc au menu de ce Dreamforce virtuel.

Si certains prêtaient à Orange, qui vient de rentrer 2,2 milliards d’euros d’argent frais, des envies d’Atos, il n’en est rien. La direction a démenti et, hier, le conseil d’administration n’a pas retenu l’option, préférant effectuer une autre opération, le rachat des parts d’Orange Belgium que l’opérateur historique ne détient pas encore.

Toutes les autres News
LIVRES BLANCS

Ce Livre Blanc vous permet de découvrir toutes les étapes nécessaires pour choisir le prestataire informatique adapté à votre entreprise et ses enjeux.


Aujourd'hui, les Directeurs Comptables et Financiers ont envie de dématérialiser leurs factures fournisseurs. C'est plutôt l'idée de devoir s'intégrer à un environnement multi-ERP déjà existant qui les freine. Mais est-ce réellement une barrière ? Dans son nouveau Livre Blanc, Esker explore ce sujet. En le téléchargeant, vous découvrirez comment la dématérialisation peut être une aubaine plutôt qu'un fardeau.


Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Tous les Livres Blancs