Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Appliquer le RGPD c’est l’affaire de tous !

juin 2018 par Thomas VEIL

Le cabinet Legal & Digital en partenariat avec Access Data et le cabinet Baker et McKenzie ont organisé une conférence ayant pour titre : « Appliquer le RGPD c’est l’affaire de tous ». Près d’une cinquantaine d’experts : DPO ou dirigeants d’entreprises… étaient présents afin de débattre sur le RGPD.

Jocelyn Grignon

L’ouverture est laissée à Jocelyn Grignon partenaire chez Legal & Digital qui nous présente les cinq principes qui doivent être mis en place sous peine d’amende. Ces derniers sont « accountability », « privacy-by-design », l’étude d’impact, la nomination de DPO et « security by default ».

Cette matinée se poursuit sur l’intervention de la DPO d’une entreprise dans le domaine de l’industrie qui expose les points important pour être en conformité au RGPD. En premier lieu, elle a souligné l’abandon du système déclaratif pour les fichiers à la CNIL. Avec le RGPD il faut prouver sa conformité qui commence pour la plus part des entreprises par la nomination d’un DPO. Pour l’instant la CNIL demande la mise en place d’une road map avec des échéances. Pour les entreprises, il est nécessaire, de réaliser une cartographie des données, de savoir gérer les risques et d’avoir une documentation centralisé généralement auprès du DPO. Tous ces éléments, s’ils sont mis en place forment la conformité vis-à-vis du RGPD. Notre experte met aussi en avant « la mort annoncé » du CIL qui bien que facultatif et nommé par 18000 entreprises a disparu le 25 mai dernier avec la mise en place du RGPD. Pour notre DPO, bien que des lois aient été votées à la fin du 20e siècle la route de la conformité semble ne pas avoir de fin avec l’arrivée du RGPD qui rallonge les étapes de conformité. Notre experte met en avant les limites du DPO. En effet, il doit travailler en collaboration avec des experts dans chaque domaine qu’il ne peut pas couvrir.

Yann Padova

Le DPO doit pouvoir jongler avec les documents et ne doit pas avoir de conflit d’intérêt avec les responsables de traitement ni avec les juristes. Yann Padova, associé (avocat) de chez Baker & McKenzie a choisi de parler de l’obligation de notification des violations des données mise en place par l’arrivée du RGPD. Il nous explique en trois points l’importance de se focaliser sur cette obligation. Tout d’abord que ce soit une nouveauté du règlement, avant seulement les entreprises de télécom avaient l’obligation maintenant toutes les entreprises doivent notifiées les pertes de données. Il estime que cette obligation est difficile à mettre du fait de que bien souvent les données peuvent être situées dans différentes parties du SI. Ils y a trois cas de notification de la violation. Les deux premiers cas sont de prévenir ou non des autorités selon l’importance du risque, d’où la nécessité de bien différencié un risque faible d’un risque élevé. Le dernier cas étant de prévenir à la fois les autorités et la personne concernée.

Yann Padova continu en exposant le sentiment de vulnérabilité et de sensibilité présent dans les entreprises, seules deux entreprises sur dix se disaient être en conformité au RGPD le 25 mai. Mais les entreprises ne sont pas les seuls en cause les régulateurs aussi ne sont pas prêt. En effet, les régulateurs ne se focalisent que sur un seul risque et leurs utilisations sont parfois forcées par les entreprises sur des risques hors périmètre. Yann Padova continue en exposant les recommandations pour la mise en place du RGPD qui commence avec la préparation des acteurs mais aussi savoir réagir dès le déclenchement de la crise.

Rémy Bricard

Rémy Bricard, associé chez Baker & McKenzie pour sa part, se veut plus rassurant en par rapport aux différentes attitudes possibles face à la non-conformité. La première étant celle de « l’autruche », attitude à proscrire car les partenaires commerciaux exercent une pression importante pour connaître l’avancé de la conformité de l’entreprise. Pour enfin finir sur une note plus rassurante sur la bonne attitude à avoir dans ce cas-là. Cette dernière consiste à continuer sa démarche de conformité et la documenter même si nous ne sommes pas encore conformes et évaluer l’intérêt des « packs de conformité »qui permettent d’augmenter son niveau de conformité.
Un DPO d’un grand de l’agroalimentaire a présenté son retour d’expérience sur la mise en conformité au RGPD de son entreprise. Elle a expliqué l’importance d’avoir un sponsor fort au sein de la direction générale, mais aussi de travailler de concert avec les métiers.

Sébastien Talha

Sébastien Talha, country manager EMEA de chez Access Data nous présente deux retours d’expérience de l’utilisation de workflow dans deux domaines différents. Le premier cas d’usage concerne la mise en place d’une cartographie des données personnelles en utilisant l’AD eDiscovery et du modèle eDRM qui sont tous les deux des systèmes autonomes. Et le deuxième cas qui concerne la data Breach et son appréhension qui passe par la détermination de la faille de sécurité ainsi que sa portée pour au final y remédier. Pour cela l’utilisation de workflow AD Entreprise permet de collecter de façon systématique tous les devices et de les vérifier.

En conclusion, la mise en place du RGPD semble difficile à atteindre par les entreprises de par la complexité de chaque étape et du travail de préparation nécessaire (formation des acteurs, réaction face à la crise…).




Voir les articles précédents

    

Voir les articles suivants