X
RGPD : serez-vous prêt ? (1)

RGPD : serez-vous prêt ? (1)

Contraintes et cadre général - Extrait du dossier paru dans L'Informaticien n°157

Le Règlement européen sur la Protection des Données (RGPD) est d’abord un texte de 88 pages. il constitue l’un des plus grands chantiers informatiques de ces dernières années. Imposé à toutes les entreprises qui traitent des données personnelles de citoyens européens, il crée plusieurs impératifs, en termes de transparence sur les données par exemple. Formant le nouveau cadre d’investissements majeurs, il n’est pas que contraintes et ouvre aussi la voie à une relation entreprise-client réinventée. Article paru dans le n°157 de L’Informaticien.

CONTRAINTES ET CADRE GÉNÉRAL

Le RGPD. Vaste programme !, comme qui dirait. Le sujet est en soi passionnant à plusieurs titres. D’abord dans sa finalité, qui vise donc à protéger les données des citoyens européens, mais aussi et surtout parce qu’il offre un vrai challenge technique et technologique aux entreprises qui manipulent ces données. Mettez-vous bien une chose en tête : oui, le RGPD est contraignant et sera sûrement complexe à mettre en place dans un grand nombre d’entreprises. Mais vous pouvez le voir de plusieurs manières : il y a le côté négatif qui prend en compte les lourds investissements et les contraintes ; et il y a l’aspect positif qui met en avant une clarification du SI, sorte de grand ménage de printemps de la donnée, sans oublier la notion importante qu’est la confiance que vous apporterez à vos utilisateurs et clients. « Privacy is good for business ! », aiment d’ailleurs à clamer les Anglo-saxons.

Nous avons tenté de synthétiser dans l’infographie ci-dessus toutes les demandes inhérentes au RGPD, et d’y associer ce qu’il vous faudra faire pour y répondre. Dans ce premier dossier que nous consacrons au règlement européen, nous vous donnons donc des pistes de réflexion pour commencer le chantier qui est donc technique mais aussi juridique sous bien des aspects. Avant toute chose, nous pouvons tenter de résumer la première notion fondamentale du RGPD de la manière suivante : il demande à tous les organismes qui manipulent des données de citoyens européens de connaître leurs patrimoines informationnels. Petite phrase, grandes conséquences !

Dans les faits, cela entraîne trois choses :
● les entreprises doivent être capables de savoir où sont les données personnelles dans tous leurs SI – SIRH y compris ! – que ce soit sur le Cloud public, ou privé, ou internalisé ;
● elles doivent être capables de chercher, localiser et supprimer des données personnelles, mais aussi de maîtriser la croissance, ce qui implique des politiques d’archivage, de sauvegarde, de suppression, etc. ;
● elles doivent aussi protéger de manière adéquate les données en les sécurisant efficacement – chiffrement, anonymisation, pseudonymisation.

L’ambiguë « accountability »

Cette dernière notion sur la sécurisation des données est assez parlante dans le sens où elle illustre un point important du RGPD : la grille de lecture d’un texte européen qui peut facilement être interprété d’une manière ou d’une autre. À titre d’exemple, sachez que le règlement introduit la notion d’« accountability ». En bon français on peut traduire le terme par « responsabilité ». Mais, comme souvent, la notion anglo-saxonne est plus vague, plus nuancée voire plus pernicieuse. Par responsabilité, il faut donc entendre qu’en cas de contrôle il faudra prouver que vous avez fait le nécessaire pour accomplir une action. C’est sur ce principe que pourront tomber ou non les sanctions fi nancières prévues par le RGPD. Rappelons qu’elles pourront aller jusqu’à 4 % du chiffre d’affaires de l’entreprise ou 20 millions d’euros ; le plus élevé des deux l’emportera. Jusqu’à ce jour, la Cnil pouvait établir une amende dont le montant maximal était de 3 millions d’euros. Voici évidemment qui doit être l’une des motivations principales pour se mettre en conformité avant le 25 mai 2018. Même s’il faut se rassurer : si de telles sanctions tombent un jour, ce sera probablement « pour l’exemple » et après récidive. « Le GDPR va certainement permettre d’infliger quelques amendes à de grands groupes ne respectant pas les règles et peut-être permettre une prise de conscience plus importante. Mais les entreprises ne respecteront pas le GDPR parce qu’il y a une loi, elles le feront parce que le principal enjeu pour elles, cela reste leur crédibilité sur leur marché et leur image vis-à-vis de leurs clients. C’est le cas pour les banques, l’industrie, les télécoms, etc. », commente pour nous Fortunato Guarino, consultant cybercrime et data protection chez Guidance. De plus, le terme « accountability » amène une autre notion plus concrète. C’est l’un des points différenciant entre le RGPD et la loi Informatique et Libertés de 1978. Dans cette dernière, c’est le processus de déclaration et d’autorisation qui était la règle. Concrètement, l’entreprise déclarait ce qu’elle souhaitait faire à la Cnil – en France – puis obtenait ou non l’autorisation, sans inclure les potentiels sous-traitants notamment. La notion d' « accountability » change cet aspect : désormais le responsable du traitement de la donnée – qui peut donc être directement le sous-traitant – doit faire le nécessaire pour garantir la protection du traitement et donc de la donnée. C’est exactement ce qu’il devra démontrer en cas de contrôle de la Cnil par exemple. « Le risque est effectivement de confondre outils et fi nalité. C’est la chose la plus complexe à comprendre. Par exemple, la gestion des RH est une finalité qui comporte des sous-finalités comme la gestion de la formation, de la paye, des carrières, etc. Les outils sont quant à eux l’intranet, les annuaires LDAP, etc. », précise Xavier Leclerc, fondateur du cabinet DPMS.

Auditabilité et transparence : une nécessité

Comme nous venons de le voir, la notion d’« accountability » fait donc aussi bouger les lignes de la responsabilité du traitement. Cela induit notamment qu’un sous-traitant qui manipule et/ou gère certaines des données personnelles de vos clients sera désormais le responsable principal, et qu’à ce titre une entreprise doit donc s’assurer du bon traitement des données. Bien évidemment, cela risque de changer la relation de confiance qui pouvait exister entre des partenaires. Cela induit également une nouvelle logique dite d’« auditabilité ». Concrètement une entreprise sous-traitante devra donc elle aussi pouvoir prouver qu’elle a mis en place des outils adéquats pour la mise en conformité avec le RGPD. « Il ne faut pas oublier que la donnée c’est la valeur de l’entreprise, peu importe où elle se trouve. Même stockée sur un support externalisé, c’est toujours à vous de la protéger », souligne Frédéric Viet, channel director Europe de l’Ouest chez Veritas. Les gestionnaires de données devront donc rapidement faire preuve de transparence dans leur manière de traiter l’information. Spécialisée dans la gestion d’identités et le « Registration as a Service », Gigya a par exemple anticipé le RGPD et assure qu’il sera conforme à 100 % d’ici à juin prochain. Il va même plus loin en proposant un outil « qui permet à un client de voir les données collectées le concernant. Nous amenons le moteur, pas le design », explique Andrea Rus, directeur des ventes Europe du Sud.

De l’avis de nombreux de nos interlocuteurs pour ce dossier, la notion d’auditabilité doit nécessairement entraîner la révision des contrats. « Dans tous les cas, les entreprises doivent déjà prévoir une clause de protection des données dans les contrats. Elle est généralement assez concise. Mais avec les nouvelles obligations des sous-traitants, cela doit désormais être concrètement contractualisé. Il paraît judicieux de commencer par une revue des contrats soit par des avenants, soit lors d’un renouvellement. Une vraie politique de gestion de ces contrats est désormais nécessaire », estime Sylvie Jonas, avocate associée au cabinet Avistem Avocats. Dirigeant du cabinet ActeCIL spécialisé en conformité et gestion des données personnelles, Richard Bertrand renchérit : « Beaucoup de choses sont actuellement existantes oralement, écrites à moitié, sans formalisation… C’est toute la base organisationnelle et structurelle qu’il faut revoir. » Toutes ces démarches sont donc imposées par le RGPD, et seront hautement nécessaires notamment pour une autre obligation : le droit à l’oubli ou droit à la suppression des données clients. « Les éditeurs de logiciels devront être en mesure d’apporter la notion de Privacy by Design. C’est un concept simple qui permet de pouvoir utiliser des données en respect et en conformité avec les règles légales – transparence, conservation, etc. », poursuit Richard Bertrand. Effectivement, la loi Informatique et Libertés aujourd’hui, et le RGPD demain, prévoient que chaque personne dispose d’un droit de suppression ou de modification de ses données personnelles.


Article 4 du RGPD

Données à caractère personnel

Se dit de toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement par référence à un identifiant (un nom, données de localisation, identifiant en ligne, identité physique, etc.).


Cnil, AFCDP, ADPO...

Qui est là pour vous aider ?

Il faut bien l’avouer : l’amplitude du RGPD, avec toutes les règles qu’il impose, peut vite donner un sentiment de panique. Mais rassurez-vous, vous n’êtes pas seul. Il existe déjà beaucoup de matière à disposition pour travailler sur le sujet. À ce propos, les éditeurs et autres cabinets de conseils sont prolixes et pas avares en réunions d’informations, webinaires, etc. Mais la Cnil joue aussi un rôle très important et il convient de saluer le très bon travail réalisé pour aider les entreprises. Elle a notamment publié une méthodologie en six étapes, disponible sur son site. L’AFCDP (Association française des correspondants à la protection des données à caractère personnel) a quant à elle mis à disposition une version complètement annotée du règlement, ce qui peut être très utile pour répondre à certains points techniques particuliers. Par ailleurs, une Association des Data Protection Officers (ADPO) a d’ores et déjà été créée, avec à sa tête l’avocat Alain Bensoussan et Hélène Legras, CIL d’Areva. Le Medef travaille lui aussi sur le sujet et peut apporter une aide d’aiguillage vers des spécialistes. Enfin, les Clusir (Clubs de la sécurité de l'information régionaux) organisent également des réunions en région à destination des entreprises. Voir liens utiles ci-dessous.


La suite du dossier RGPD est à lire dans L'Informaticien n°157. Disponible ici pour l'édition numérique (accès abonnés) ou sur notre boutique pour l'achat de ce numéro. Le magazine L'Informaticien vous donne rendez-vous dans ses prochaines parutions pour de nouvelles enquêtes sur un sujet critique pour les DSI dans les mois à venir.

Print
4092
Tags:RGPD

Name:
Email:
Subject:
Message:
x
Rechercher dans les dossiers
Actuellement à la Une...
En cachant avoir été victime d’un vol de données massif pendant près de deux ans, Yahoo! a trompé ses investisseurs. Telle est la conclusion à laquelle aboutit la Securities Exchange Commission qui condamne Altaba, nouveau nom d’une partie de Yahoo! après son rachat et son démantèlement par Verizon, à 35 millions de dollars d’amende.

Le Saint-Siège fait sa mue numérique et a grand besoin de bande passante. Mais pas question de demander une intervention divine pour faire transiter les données : c’est à Interoute que le Vatican a fait appel.

Le géant du e-commerce annonce Echo Dot Kid Edition, une version de son enceinte intelligente conçue pour les enfants. Elle embarque en effet un service FreeTime de contrôle parental et d’adaptation d’Alexa aux petites têtes blondes. Et imaginez ce qu’Alexa pourra savoir de vos enfants au bout de dix ans d’utilisation…

Google avait confirmé il y a quelques semaines travailler sur une mise à jour majeure de la version web de Gmail, la première depuis cinq ans. Celle-ci est désormais en cours de déploiement et s’adresse en grande partie aux abonnés G Suite.

A l’occasion de la refonte de Gmail, Google a revisité l’outil Tâches afin de lui donner plus de visibilité et le rendre plus simple d’utilisation dans son service de messagerie. Il en a également profité pour en faire une application iOS et Android.

L’action Facebook a repris des couleurs après l’annonce des résultats financiers du 1er trimestre. Mais Mark Zuckerberg qui ne veut pas changer un modèle basé sur la publicité et dégageant 46% de marge opérationnelle (!) a peut-être fini de manger son pain blanc.

Atos annonce un partenariat avec Google Cloud avec pour dessein de permettre à la SSII de renforcer son offre sur les sujets de cloud et d’intelligence artificielle, avec notamment la création de trois laboratoires spécialisés en Machine Learning et IA.

La Commission européenne obtient enfin satisfaction. Apple va verser à l’Irlande les impôts que ce pays ne lui réclame toujours pas.

Âge minimum de 16 ans, filiale irlandaise, rappel du Privacy Shield… le service de messagerie instantanée a mis les petits plats dans les grands pour se mettre en conformité avec le RGPD, comme Papa Facebook. Reste maintenant à voir si les promesses seront réellement appliquées ou s’il ne s’agit que d’une façade.

Le trublion n’aura pas trublionné bien longtemps. Free a finalement trouvé un accord avec TF1 quant aux droits de diffusion TV. L’opérateur était le dernier à faire de la résistance, après que Orange ait trouvé un terrain d’entente avec le groupe audiovisuel.

Toutes les News

LIVRES BLANCS

Adoptée le 6 juillet 2016, la directive NIS (pour Network Infrastructure Security) doit être transposée par les Etats membres de l’Union Européenne au plus tard le 9 mai 2018.

Ce Livre Blanc éclaire les enjeux et les impacts de la directive NIS sur les pratiques de cybersécurité des pays européens.

  


"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


La maintenance prédictive, pilier de la transformation digitale, un Livre Blanc Econocom.

LA MAINTENANCE IT, L’INVISIBLE PIERRE ANGULAIRE DE L’ENTREPRISE DIGITALE

La transformation digitale rebat les cartes de la performance des entreprises. Face à l’évolution simultanée des attentes des clients, des modèles économiques, des conditions de marché et des modes de travail, chaque métier doit revoir sa contribution aux trois axes qui conditionnent dorénavant la réussite: l’excellence opérationnelle, l’expérience utilisateurs et l’innovation métier.


CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Tous les Livres Blancs