X
Rechercher dans les dossiers
RGPD : serez-vous prêt ? (1)

RGPD : serez-vous prêt ? (1)

Contraintes et cadre général - Extrait du dossier paru dans L'Informaticien n°157

Le Règlement européen sur la Protection des Données (RGPD) est d’abord un texte de 88 pages. il constitue l’un des plus grands chantiers informatiques de ces dernières années. Imposé à toutes les entreprises qui traitent des données personnelles de citoyens européens, il crée plusieurs impératifs, en termes de transparence sur les données par exemple. Formant le nouveau cadre d’investissements majeurs, il n’est pas que contraintes et ouvre aussi la voie à une relation entreprise-client réinventée. Article paru dans le n°157 de L’Informaticien.

CONTRAINTES ET CADRE GÉNÉRAL

Le RGPD. Vaste programme !, comme qui dirait. Le sujet est en soi passionnant à plusieurs titres. D’abord dans sa finalité, qui vise donc à protéger les données des citoyens européens, mais aussi et surtout parce qu’il offre un vrai challenge technique et technologique aux entreprises qui manipulent ces données. Mettez-vous bien une chose en tête : oui, le RGPD est contraignant et sera sûrement complexe à mettre en place dans un grand nombre d’entreprises. Mais vous pouvez le voir de plusieurs manières : il y a le côté négatif qui prend en compte les lourds investissements et les contraintes ; et il y a l’aspect positif qui met en avant une clarification du SI, sorte de grand ménage de printemps de la donnée, sans oublier la notion importante qu’est la confiance que vous apporterez à vos utilisateurs et clients. « Privacy is good for business ! », aiment d’ailleurs à clamer les Anglo-saxons.

Nous avons tenté de synthétiser dans l’infographie ci-dessus toutes les demandes inhérentes au RGPD, et d’y associer ce qu’il vous faudra faire pour y répondre. Dans ce premier dossier que nous consacrons au règlement européen, nous vous donnons donc des pistes de réflexion pour commencer le chantier qui est donc technique mais aussi juridique sous bien des aspects. Avant toute chose, nous pouvons tenter de résumer la première notion fondamentale du RGPD de la manière suivante : il demande à tous les organismes qui manipulent des données de citoyens européens de connaître leurs patrimoines informationnels. Petite phrase, grandes conséquences !

Dans les faits, cela entraîne trois choses :
● les entreprises doivent être capables de savoir où sont les données personnelles dans tous leurs SI – SIRH y compris ! – que ce soit sur le Cloud public, ou privé, ou internalisé ;
● elles doivent être capables de chercher, localiser et supprimer des données personnelles, mais aussi de maîtriser la croissance, ce qui implique des politiques d’archivage, de sauvegarde, de suppression, etc. ;
● elles doivent aussi protéger de manière adéquate les données en les sécurisant efficacement – chiffrement, anonymisation, pseudonymisation.

L’ambiguë « accountability »

Cette dernière notion sur la sécurisation des données est assez parlante dans le sens où elle illustre un point important du RGPD : la grille de lecture d’un texte européen qui peut facilement être interprété d’une manière ou d’une autre. À titre d’exemple, sachez que le règlement introduit la notion d’« accountability ». En bon français on peut traduire le terme par « responsabilité ». Mais, comme souvent, la notion anglo-saxonne est plus vague, plus nuancée voire plus pernicieuse. Par responsabilité, il faut donc entendre qu’en cas de contrôle il faudra prouver que vous avez fait le nécessaire pour accomplir une action. C’est sur ce principe que pourront tomber ou non les sanctions fi nancières prévues par le RGPD. Rappelons qu’elles pourront aller jusqu’à 4 % du chiffre d’affaires de l’entreprise ou 20 millions d’euros ; le plus élevé des deux l’emportera. Jusqu’à ce jour, la Cnil pouvait établir une amende dont le montant maximal était de 3 millions d’euros. Voici évidemment qui doit être l’une des motivations principales pour se mettre en conformité avant le 25 mai 2018. Même s’il faut se rassurer : si de telles sanctions tombent un jour, ce sera probablement « pour l’exemple » et après récidive. « Le GDPR va certainement permettre d’infliger quelques amendes à de grands groupes ne respectant pas les règles et peut-être permettre une prise de conscience plus importante. Mais les entreprises ne respecteront pas le GDPR parce qu’il y a une loi, elles le feront parce que le principal enjeu pour elles, cela reste leur crédibilité sur leur marché et leur image vis-à-vis de leurs clients. C’est le cas pour les banques, l’industrie, les télécoms, etc. », commente pour nous Fortunato Guarino, consultant cybercrime et data protection chez Guidance. De plus, le terme « accountability » amène une autre notion plus concrète. C’est l’un des points différenciant entre le RGPD et la loi Informatique et Libertés de 1978. Dans cette dernière, c’est le processus de déclaration et d’autorisation qui était la règle. Concrètement, l’entreprise déclarait ce qu’elle souhaitait faire à la Cnil – en France – puis obtenait ou non l’autorisation, sans inclure les potentiels sous-traitants notamment. La notion d' « accountability » change cet aspect : désormais le responsable du traitement de la donnée – qui peut donc être directement le sous-traitant – doit faire le nécessaire pour garantir la protection du traitement et donc de la donnée. C’est exactement ce qu’il devra démontrer en cas de contrôle de la Cnil par exemple. « Le risque est effectivement de confondre outils et fi nalité. C’est la chose la plus complexe à comprendre. Par exemple, la gestion des RH est une finalité qui comporte des sous-finalités comme la gestion de la formation, de la paye, des carrières, etc. Les outils sont quant à eux l’intranet, les annuaires LDAP, etc. », précise Xavier Leclerc, fondateur du cabinet DPMS.

Auditabilité et transparence : une nécessité

Comme nous venons de le voir, la notion d’« accountability » fait donc aussi bouger les lignes de la responsabilité du traitement. Cela induit notamment qu’un sous-traitant qui manipule et/ou gère certaines des données personnelles de vos clients sera désormais le responsable principal, et qu’à ce titre une entreprise doit donc s’assurer du bon traitement des données. Bien évidemment, cela risque de changer la relation de confiance qui pouvait exister entre des partenaires. Cela induit également une nouvelle logique dite d’« auditabilité ». Concrètement une entreprise sous-traitante devra donc elle aussi pouvoir prouver qu’elle a mis en place des outils adéquats pour la mise en conformité avec le RGPD. « Il ne faut pas oublier que la donnée c’est la valeur de l’entreprise, peu importe où elle se trouve. Même stockée sur un support externalisé, c’est toujours à vous de la protéger », souligne Frédéric Viet, channel director Europe de l’Ouest chez Veritas. Les gestionnaires de données devront donc rapidement faire preuve de transparence dans leur manière de traiter l’information. Spécialisée dans la gestion d’identités et le « Registration as a Service », Gigya a par exemple anticipé le RGPD et assure qu’il sera conforme à 100 % d’ici à juin prochain. Il va même plus loin en proposant un outil « qui permet à un client de voir les données collectées le concernant. Nous amenons le moteur, pas le design », explique Andrea Rus, directeur des ventes Europe du Sud.

De l’avis de nombreux de nos interlocuteurs pour ce dossier, la notion d’auditabilité doit nécessairement entraîner la révision des contrats. « Dans tous les cas, les entreprises doivent déjà prévoir une clause de protection des données dans les contrats. Elle est généralement assez concise. Mais avec les nouvelles obligations des sous-traitants, cela doit désormais être concrètement contractualisé. Il paraît judicieux de commencer par une revue des contrats soit par des avenants, soit lors d’un renouvellement. Une vraie politique de gestion de ces contrats est désormais nécessaire », estime Sylvie Jonas, avocate associée au cabinet Avistem Avocats. Dirigeant du cabinet ActeCIL spécialisé en conformité et gestion des données personnelles, Richard Bertrand renchérit : « Beaucoup de choses sont actuellement existantes oralement, écrites à moitié, sans formalisation… C’est toute la base organisationnelle et structurelle qu’il faut revoir. » Toutes ces démarches sont donc imposées par le RGPD, et seront hautement nécessaires notamment pour une autre obligation : le droit à l’oubli ou droit à la suppression des données clients. « Les éditeurs de logiciels devront être en mesure d’apporter la notion de Privacy by Design. C’est un concept simple qui permet de pouvoir utiliser des données en respect et en conformité avec les règles légales – transparence, conservation, etc. », poursuit Richard Bertrand. Effectivement, la loi Informatique et Libertés aujourd’hui, et le RGPD demain, prévoient que chaque personne dispose d’un droit de suppression ou de modification de ses données personnelles.


Article 4 du RGPD

Données à caractère personnel

Se dit de toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement par référence à un identifiant (un nom, données de localisation, identifiant en ligne, identité physique, etc.).


Cnil, AFCDP, ADPO...

Qui est là pour vous aider ?

Il faut bien l’avouer : l’amplitude du RGPD, avec toutes les règles qu’il impose, peut vite donner un sentiment de panique. Mais rassurez-vous, vous n’êtes pas seul. Il existe déjà beaucoup de matière à disposition pour travailler sur le sujet. À ce propos, les éditeurs et autres cabinets de conseils sont prolixes et pas avares en réunions d’informations, webinaires, etc. Mais la Cnil joue aussi un rôle très important et il convient de saluer le très bon travail réalisé pour aider les entreprises. Elle a notamment publié une méthodologie en six étapes, disponible sur son site. L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) a quant à elle mis à disposition une version complètement annotée du règlement, ce qui peut être très utile pour répondre à certains points techniques particuliers. Par ailleurs, une Association des Data Protection Officers (ADPO) a d’ores et déjà été créée, avec à sa tête l’avocat Alain Bensoussan et Hélène Legras, CIL d’Areva. Le Medef travaille lui aussi sur le sujet et peut apporter une aide d’aiguillage vers des spécialistes. Enfin, les Clusir (Clubs de la sécurité de l'information régionaux) organisent également des réunions en région à destination des entreprises. Voir liens utiles ci-dessous.


La suite du dossier RGPD est à lire dans L'Informaticien n°157. Disponible ici pour l'édition numérique (accès abonnés) ou sur notre boutique pour l'achat de ce numéro. Le magazine L'Informaticien vous donne rendez-vous dans ses prochaines parutions pour de nouvelles enquêtes sur un sujet critique pour les DSI dans les mois à venir.

Print
3429
Tags:RGPD

Name:
Email:
Subject:
Message:
x
Actuellement à la Une...
Vous pensiez que Meltdown et Spectre étaient les véritables fléaux des processeurs Intel ? Attendez de voir les correctifs publiés par le fondeur ! Ce dernier recommande désormais aux constructeurs, fournisseurs de services cloud, éditeurs et clients finaux de cesser de déployer ses patches, qui s’avèrent provoquer des comportement « imprévisibles » des systèmes.

Prenez les annonces de Facebook hier quant à ses projets en France. Remplacez Facebook par Google, Sheryl Sandberg par Sundar Pichai. Modifiez quelque peu les chiffres. Vous obtiendrez alors peu ou prou les annonces de Google quant à ses ambitions dans l’Hexagone.

Un peu plus d’un an après son lancement, Amazon Go s’ouvre au public. Installée à Seattle, cette superette « sans caisse ni file d’attente » était jusqu’à présent accessible uniquement aux employés d’Amazon.

De passage à Paris, la numéro deux du géant américain, Sheryl Sandberg, n’a pas été avare d’annonces concernant les actions à venir de Facebook dans l’Hexagone : formation de 15 000 femmes à l’entreprenariat dans le cadre du programme She Means Business, investissement de 10 millions d’euros supplémentaires dans son labo français dédié à l’IA et formation de 50 000 personnes au numérique avec Pôle Emploi.

Mai arrive à grands pas et certains veulent profiter de la course à la mise en conformité. Selon la Cnil, des entreprises, surtout des PME, sont victimes d’arnaques, d’appels téléphoniques de personnes se réclamant de la Cnil et proposant des offres de mise en conformité.

Stéphane Richard, candidat à sa propre succession aux commandes d’Orange, a reçu le soutien du gouvernement. Bruno Le Maire l’a martelé sur les plateaux radio et télé ce week-end et aujourd’hui, l’actuel patron du groupe télécom a un bon bilan et « a vocation à être reconduit »

Le spécialiste français de la gestion de données sensibles acquiert auprès de Winsoft la marque de logiciels Orphea. Derrière celle-ci, une solution de gestion de ressources numériques éditée par Algoba Systems, qui s’intègrera à la gamme de produits proposés par Oodrive.

Le service de messagerie instantanée annonce le lancement d’une version de son application taillée pour les entreprises. WhatsApp Business propose les mêmes services que la version de base et comprend quelques fonctionnalités spécifiques, un profil professionnel, des statistiques ou des réponses automatisées par exemple.

Les lecteurs réguliers de cette rubrique savent mon affection profonde pour le buzzword de l’année, la transformation numérique. Rappelez-vous son bras armé au début de l’an dernier qui devait être le CDO, le Chief Digital Officer. Avec lui on allait voir ce qu’on allait voir. L’innovation et les nouveaux services devaient tomber comme à Gravelotte et infuser l’ensemble de l’entreprise.

Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) vient de rendre public son 3ème baromètre annuel en collaboration avec l’institut Opinion Way. L’enquête a été répondu par 142 membres de l’organisation. Les résultats sont loin d’être rassurants.

Toutes les News

LIVRES BLANCS

"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


La maintenance prédictive, pilier de la transformation digitale, un Livre Blanc Econocom.

LA MAINTENANCE IT, L’INVISIBLE PIERRE ANGULAIRE DE L’ENTREPRISE DIGITALE

La transformation digitale rebat les cartes de la performance des entreprises. Face à l’évolution simultanée des attentes des clients, des modèles économiques, des conditions de marché et des modes de travail, chaque métier doit revoir sa contribution aux trois axes qui conditionnent dorénavant la réussite: l’excellence opérationnelle, l’expérience utilisateurs et l’innovation métier.


CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Repensez votre approche en matière de cybersécurité, un Livre Blanc Fortinet.

Pourquoi les leaders de la sécurité sont désormais contraints de faire face aux principales menaces de sécurité. 

Le paysage de cybermenace continue de croître et d’évoluer. Cybersecurity Ventures prévoit que la cybersécurité deviendra un business de mille milliards de dollars entre 2017 et 2021.


Tous les Livres Blancs