X
RGPD : serez-vous prêt ? (1)

RGPD : serez-vous prêt ? (1)

Contraintes et cadre général - Extrait du dossier paru dans L'Informaticien n°157

Le Règlement européen sur la Protection des Données (RGPD) est d’abord un texte de 88 pages. il constitue l’un des plus grands chantiers informatiques de ces dernières années. Imposé à toutes les entreprises qui traitent des données personnelles de citoyens européens, il crée plusieurs impératifs, en termes de transparence sur les données par exemple. Formant le nouveau cadre d’investissements majeurs, il n’est pas que contraintes et ouvre aussi la voie à une relation entreprise-client réinventée. Article paru dans le n°157 de L’Informaticien.

CONTRAINTES ET CADRE GÉNÉRAL

Le RGPD. Vaste programme !, comme qui dirait. Le sujet est en soi passionnant à plusieurs titres. D’abord dans sa finalité, qui vise donc à protéger les données des citoyens européens, mais aussi et surtout parce qu’il offre un vrai challenge technique et technologique aux entreprises qui manipulent ces données. Mettez-vous bien une chose en tête : oui, le RGPD est contraignant et sera sûrement complexe à mettre en place dans un grand nombre d’entreprises. Mais vous pouvez le voir de plusieurs manières : il y a le côté négatif qui prend en compte les lourds investissements et les contraintes ; et il y a l’aspect positif qui met en avant une clarification du SI, sorte de grand ménage de printemps de la donnée, sans oublier la notion importante qu’est la confiance que vous apporterez à vos utilisateurs et clients. « Privacy is good for business ! », aiment d’ailleurs à clamer les Anglo-saxons.

Nous avons tenté de synthétiser dans l’infographie ci-dessus toutes les demandes inhérentes au RGPD, et d’y associer ce qu’il vous faudra faire pour y répondre. Dans ce premier dossier que nous consacrons au règlement européen, nous vous donnons donc des pistes de réflexion pour commencer le chantier qui est donc technique mais aussi juridique sous bien des aspects. Avant toute chose, nous pouvons tenter de résumer la première notion fondamentale du RGPD de la manière suivante : il demande à tous les organismes qui manipulent des données de citoyens européens de connaître leurs patrimoines informationnels. Petite phrase, grandes conséquences !

Dans les faits, cela entraîne trois choses :
● les entreprises doivent être capables de savoir où sont les données personnelles dans tous leurs SI – SIRH y compris ! – que ce soit sur le Cloud public, ou privé, ou internalisé ;
● elles doivent être capables de chercher, localiser et supprimer des données personnelles, mais aussi de maîtriser la croissance, ce qui implique des politiques d’archivage, de sauvegarde, de suppression, etc. ;
● elles doivent aussi protéger de manière adéquate les données en les sécurisant efficacement – chiffrement, anonymisation, pseudonymisation.

L’ambiguë « accountability »

Cette dernière notion sur la sécurisation des données est assez parlante dans le sens où elle illustre un point important du RGPD : la grille de lecture d’un texte européen qui peut facilement être interprété d’une manière ou d’une autre. À titre d’exemple, sachez que le règlement introduit la notion d’« accountability ». En bon français on peut traduire le terme par « responsabilité ». Mais, comme souvent, la notion anglo-saxonne est plus vague, plus nuancée voire plus pernicieuse. Par responsabilité, il faut donc entendre qu’en cas de contrôle il faudra prouver que vous avez fait le nécessaire pour accomplir une action. C’est sur ce principe que pourront tomber ou non les sanctions fi nancières prévues par le RGPD. Rappelons qu’elles pourront aller jusqu’à 4 % du chiffre d’affaires de l’entreprise ou 20 millions d’euros ; le plus élevé des deux l’emportera. Jusqu’à ce jour, la Cnil pouvait établir une amende dont le montant maximal était de 3 millions d’euros. Voici évidemment qui doit être l’une des motivations principales pour se mettre en conformité avant le 25 mai 2018. Même s’il faut se rassurer : si de telles sanctions tombent un jour, ce sera probablement « pour l’exemple » et après récidive. « Le GDPR va certainement permettre d’infliger quelques amendes à de grands groupes ne respectant pas les règles et peut-être permettre une prise de conscience plus importante. Mais les entreprises ne respecteront pas le GDPR parce qu’il y a une loi, elles le feront parce que le principal enjeu pour elles, cela reste leur crédibilité sur leur marché et leur image vis-à-vis de leurs clients. C’est le cas pour les banques, l’industrie, les télécoms, etc. », commente pour nous Fortunato Guarino, consultant cybercrime et data protection chez Guidance. De plus, le terme « accountability » amène une autre notion plus concrète. C’est l’un des points différenciant entre le RGPD et la loi Informatique et Libertés de 1978. Dans cette dernière, c’est le processus de déclaration et d’autorisation qui était la règle. Concrètement, l’entreprise déclarait ce qu’elle souhaitait faire à la Cnil – en France – puis obtenait ou non l’autorisation, sans inclure les potentiels sous-traitants notamment. La notion d' « accountability » change cet aspect : désormais le responsable du traitement de la donnée – qui peut donc être directement le sous-traitant – doit faire le nécessaire pour garantir la protection du traitement et donc de la donnée. C’est exactement ce qu’il devra démontrer en cas de contrôle de la Cnil par exemple. « Le risque est effectivement de confondre outils et fi nalité. C’est la chose la plus complexe à comprendre. Par exemple, la gestion des RH est une finalité qui comporte des sous-finalités comme la gestion de la formation, de la paye, des carrières, etc. Les outils sont quant à eux l’intranet, les annuaires LDAP, etc. », précise Xavier Leclerc, fondateur du cabinet DPMS.

Auditabilité et transparence : une nécessité

Comme nous venons de le voir, la notion d’« accountability » fait donc aussi bouger les lignes de la responsabilité du traitement. Cela induit notamment qu’un sous-traitant qui manipule et/ou gère certaines des données personnelles de vos clients sera désormais le responsable principal, et qu’à ce titre une entreprise doit donc s’assurer du bon traitement des données. Bien évidemment, cela risque de changer la relation de confiance qui pouvait exister entre des partenaires. Cela induit également une nouvelle logique dite d’« auditabilité ». Concrètement une entreprise sous-traitante devra donc elle aussi pouvoir prouver qu’elle a mis en place des outils adéquats pour la mise en conformité avec le RGPD. « Il ne faut pas oublier que la donnée c’est la valeur de l’entreprise, peu importe où elle se trouve. Même stockée sur un support externalisé, c’est toujours à vous de la protéger », souligne Frédéric Viet, channel director Europe de l’Ouest chez Veritas. Les gestionnaires de données devront donc rapidement faire preuve de transparence dans leur manière de traiter l’information. Spécialisée dans la gestion d’identités et le « Registration as a Service », Gigya a par exemple anticipé le RGPD et assure qu’il sera conforme à 100 % d’ici à juin prochain. Il va même plus loin en proposant un outil « qui permet à un client de voir les données collectées le concernant. Nous amenons le moteur, pas le design », explique Andrea Rus, directeur des ventes Europe du Sud.

De l’avis de nombreux de nos interlocuteurs pour ce dossier, la notion d’auditabilité doit nécessairement entraîner la révision des contrats. « Dans tous les cas, les entreprises doivent déjà prévoir une clause de protection des données dans les contrats. Elle est généralement assez concise. Mais avec les nouvelles obligations des sous-traitants, cela doit désormais être concrètement contractualisé. Il paraît judicieux de commencer par une revue des contrats soit par des avenants, soit lors d’un renouvellement. Une vraie politique de gestion de ces contrats est désormais nécessaire », estime Sylvie Jonas, avocate associée au cabinet Avistem Avocats. Dirigeant du cabinet ActeCIL spécialisé en conformité et gestion des données personnelles, Richard Bertrand renchérit : « Beaucoup de choses sont actuellement existantes oralement, écrites à moitié, sans formalisation… C’est toute la base organisationnelle et structurelle qu’il faut revoir. » Toutes ces démarches sont donc imposées par le RGPD, et seront hautement nécessaires notamment pour une autre obligation : le droit à l’oubli ou droit à la suppression des données clients. « Les éditeurs de logiciels devront être en mesure d’apporter la notion de Privacy by Design. C’est un concept simple qui permet de pouvoir utiliser des données en respect et en conformité avec les règles légales – transparence, conservation, etc. », poursuit Richard Bertrand. Effectivement, la loi Informatique et Libertés aujourd’hui, et le RGPD demain, prévoient que chaque personne dispose d’un droit de suppression ou de modification de ses données personnelles.


Article 4 du RGPD

Données à caractère personnel

Se dit de toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement par référence à un identifiant (un nom, données de localisation, identifiant en ligne, identité physique, etc.).


Cnil, AFCDP, ADPO...

Qui est là pour vous aider ?

Il faut bien l’avouer : l’amplitude du RGPD, avec toutes les règles qu’il impose, peut vite donner un sentiment de panique. Mais rassurez-vous, vous n’êtes pas seul. Il existe déjà beaucoup de matière à disposition pour travailler sur le sujet. À ce propos, les éditeurs et autres cabinets de conseils sont prolixes et pas avares en réunions d’informations, webinaires, etc. Mais la Cnil joue aussi un rôle très important et il convient de saluer le très bon travail réalisé pour aider les entreprises. Elle a notamment publié une méthodologie en six étapes, disponible sur son site. L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) a quant à elle mis à disposition une version complètement annotée du règlement, ce qui peut être très utile pour répondre à certains points techniques particuliers. Par ailleurs, une Association des Data Protection Officers (ADPO) a d’ores et déjà été créée, avec à sa tête l’avocat Alain Bensoussan et Hélène Legras, CIL d’Areva. Le Medef travaille lui aussi sur le sujet et peut apporter une aide d’aiguillage vers des spécialistes. Enfin, les Clusir (Clubs de la sécurité de l'information régionaux) organisent également des réunions en région à destination des entreprises. Voir liens utiles ci-dessous.


La suite du dossier RGPD est à lire dans L'Informaticien n°157. Disponible ici pour l'édition numérique (accès abonnés) ou sur notre boutique pour l'achat de ce numéro. Le magazine L'Informaticien vous donne rendez-vous dans ses prochaines parutions pour de nouvelles enquêtes sur un sujet critique pour les DSI dans les mois à venir.

Print
2625
Tags:RGPD

Name:
Email:
Subject:
Message:
x
Rechercher dans les Dossiers
Actuellement à la Une...
L’héritier du Safe Harbor a passé sa première revue annuelle. La Commission européenne se dit satisfaite des progrès faits par l’administration américaine, sans toutefois se montrer trop enthousiaste : de nombreux points restent à améliorer pour garantir la protection des données des citoyens européens.

Une personne à supprimer sur une vidéo ? Un élément moche du décor ? Pas de problème : avec la fonctionnalité (expérimentale) Cloak d’Adobe, vous pouvez enlever ce que vous n’aimez pas lors du montage vidéo.

Ils sont 31 cosignataires d’une lettre adressée aux autorités européennes, à Bruxelles. Ils s’alarment, voire s’insurgent, contre l’orientation du nouveau code des télécoms qui va selon eux à l’encontre de ce qu’il faut faire pour créer la « Gigabit Society ». 

Elle doit servir au paiement mobile, mais l’application Izly, conçue pour les Crous, avait un autre objectif. Collecter les données de géolocalisation des étudiants afin de leur envoyer des notifications ciblées… et des campagnes publicitaires.

Retour en Israël pour la seconde édition de l’IT Press Tour dans ce pays. La première journée a été bien remplie avec 3 visites dans des entreprises dans des secteurs d’activité très variés : Web, sécurité et gestion des données.

Conçu par le créateur d’Android Andy Rubin, l’Essential Phone est pour le moment une catastrophe en termede ventes, mais aussi du point de vue juridique puisqu’il est poursuivi en justice pour l’exploitation d’une technologie de transmission de données.

Ce serait la concrétisation d’une rumeur qui circule depuis août dernier, et qui permettrait à Cisco de se diversifier dans les communications unifiées, alors que son cœur de métier stagne sur la vente de switches et de routeurs.

La start-up américaine lève 502 millions de dollars supplémentaires. Ils s’ajoutent à la somme déjà astronomique déjà récoltée, de 1,3 milliard de dollars. Et rares sont ceux qui ont vu ne fut-ce que l’ombre d’un prototype.

Pour une fois que les acteurs du Web et les défenseurs de la vie privée en ligne tombent d'accord : tous rejettent en bloc le rapport sur le règlement ePrivacy adopté hier en commission par les eurodéputés. Le texte est à la fois trop contraignant et pas assez...

C’est via son site Uber Movement que le spécialiste des VTC publie une carte avec les données anonymisées de milliers de trajets en région parisienne, issue de l’activité des chauffeurs. 

Toutes les News

LIVRES BLANCS

Repensez votre approche en matière de cybersécurité, un Livre Blanc Fortinet.

Pourquoi les leaders de la sécurité sont désormais contraints de faire face aux principales menaces de sécurité. 

Le paysage de cybermenace continue de croître et d’évoluer. Cybersecurity Ventures prévoit que la cybersécurité deviendra un business de mille milliards de dollars entre 2017 et 2021.



Les tendances du stockage de données en France face au digital,
un Livre Blanc HPE.

La transformation digitale s’opère dans tous les secteurs d’activités et à tous les niveaux des entreprises et des organisations. Les données collectées, traitées et échangées croissent en volume comme en valeur et deviennent de facto un véritable enjeu stratégique. 


Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Tous les Livres Blancs