Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Clusif - Droit et société de l’information : la synergie entre les RSSI et les juristes est impérative

décembre 2017 par Marc Jacob

Pour sa dernière conférence de l’année 2017, le CLUSIF a fait un point sur les réglementations et le droit. Les débats ont montré que toutes ces nouvelles réglementations et législation ont pour objectif de protéger la vie privée et de renforcer la confiance dans l’internet. Pour arriver à cette nécessaire conformité les RSSI vont devoir travailler en synergie avec les juristes.

Thierry Chiofalo

Lors de cette conférence, le CLUSIF avait décidé d’éviter de traiter le sujet du RGPD, pourtant son ombre a plané tout au long des débats. En préambule, Thierry Chiofalo, administrateur du CLUSIF a rappelé que l’association a monté un groupe de travail sur la réglementation en collaboration avec Cyberlex qui a donné lieu à un livrable publié tout récemment. La réglementation est de plus en plus présente dans l’univers de la SSI avec le RGPD, la LPM, le NIS.... pour les RSSI il est important de connaître les textes, de réunir les bons acteurs le juridique et les métiers. Enfin, il a rappelé qu’il vaut mieux éviter de tout refaire, c’est pour cela qu’il faut fut avoir une vision globale.

Ludovic Petit et Gilles Rouvier

Gilles Rouvier de Cyberlex et Ludovic Petit du Clusif ont présenté les travaux du Groupe Travail juridique du CLUSIF qui ont duré deux ans. Une série de fiches pratiques d’environ 60 pages a été publiée. Elles permettent sous forme de fiches pratiques thématiques d’avoir un background juridique et des pistes de réflexion afin de pouvoir discuter avec les juristes de l’entreprise et ainsi mieux comprendre les enjeux. Ludovic Petit estime que ce groupe de travail a permis d’initialiser un dialogue entre les juristes et les RSSI. Ce livrable réalisé sous forme de Vade-mecum est un guide de recommandations pragmatiques conçu comme un fil d’Ariane pour s’y retrouver dans le cadre légal et réglementaire. Il permet de traduite les enjeux en termes opérationnel. Il va être sujet à des mises à jour régulières. Il est très opérationnel et propose des recommandations. Par exemple, il aborde les questions du droit de la preuve, de la Sécurité des contrats, la protection des données à caractère personnel...

Maître Garance Mathias

Des dates butoirs qui se rapprochent à grands pas

Maître Garance Mathias a abordé le thème des réglementations. Les enjeux sont quotidiens, il ne faut pas les subir et en faire un instrument de la confiance. Elle a rappelé quelques dates comme le 25 mai le RGPD, l’eprivacy dont la date est à définir. Le droit du secret des affaires qui paraîtra le 9 juin 2018. Ainsi, la directive NIS s’inscrit dans un plan européen de Cybersécurité. Cette directive induit une transposition dans chaque pays. En France, la LPM devrait être la base de la transposition de la directive NIS. La liste des entreprises visées est beaucoup plus large que la LPM. Les fournisseurs de services numériques sont concernés par cette directive. Ils seront soumis à des obligations comme la notification des incidents mais pas avec les mêmes niveaux de sanctions. Par exemple la non déclaration d’un incident n’est soumis qu’à une amende de 75.000 €.

Quant au droit du secret des affaires, l’Europe a souhaité sanctionné les divulgations illicites d’informations. De ce fait, tous les accords de confidentialité devront être revus car toutes les clauses de confidentialité sont renforcées. Il faudra que droit soit transposé avant l’été 2018.

Pour l’eprivacy elle met en avant la protection de la vie privée. L’Europe a l’ambition de la publier en mai 2018. Pour les modalités, elle a mis en avant la protection de la vie privée.

Toutes ces réglementations mettent en avant une chose : la nécessité d’une synergie entre la technique et les juristes.

Thierry Henniart

Des lois et règlements pour renforcer la sécurité de tous

Thierry Henniart, a proposé un retour d’expérience dans les collectivités locales. Il a traité du RGS, de l’eIDAS, la qualification des prestataires, la PSSIE de l’Etat, le RGPD.

L’objectif du RGS est de renforcer la confiance des usagers dans les services électroniques. L’enjeu pour les collectivités locales était de faire une analyse et organiser l’homologation des télé-services à la fois pour les usagers et entre les services. Enfin, il a fallu s’approprier les références techniques.

L’eIDAS pour sa part est une transposition européenne du RGS. L’enjeu est de dématérialiser élus relations avec les usagers mais aussi les appels d’offres. Pour la qualification des prestataires de services l’objectif est d’attester le niveau de Sécurité et de confiance dans les produits et services de sécurité dans les produits et services. Elle offre des garanties aux acheteurs... elle permet d’alléger l’élaboration des appels d’offre.

La PSSI de l’Etat, quant à elle, permet d’assurer la continuité des activités régaliennes et aussi de renforcer la confiance des citoyens et des entreprises dans les télé-Services.

De son côté, le RGPD a pour objectif de donner aux citoyens le contrôle de leurs données personnelles et d’unifier les réglementations relatives à la vie privée. Elle oblige de passer à un engagement responsable, de piloter et de gouverner la conformité et les données et enfin de désigner un DPO.

En conclusion les réglementations amènent des contraintes et des opportunités. Elles font face à des freins aux changements. Elles sont parfois difficiles à s’approprier. Par contre, elles permettent de tracer des chemins et d’améliorer la SSI. Même si ces réglementations ont des finalités différentes elles partagent des moyens communs qui sont principalement la volonté de renforcer la sécurité de tous.

Myriam Quemener

Myriam Quemener, Magistrat considère que les lois ont pour objectifs d’augmenter la confiance dans les usages numériques. Pour elle ces nouvelles lois et règlements bouleversât les droits en mêlant le pénal, l’administratif et le civil. Ces textes induisent à la fois une transparence et la nécessité de protéger les secrets des affaires. Quant aux objets connectés, ils font disparaître les frontières mais aussi ils peuvent nuire à la protection de la vie privé par contre, avec le privacy by Design devrait permettre de mieux protéger la vie privée. Les réseaux sociaux pour leur part qui sont considérés des fournisseurs de services numériques et sont donc soumis à toutes ces réglementations. Elle a rappelé que l’ENISA se transforme en agence européenne de. Cybersécurité. Un label européen devrait être créé pour assurer la confiance. La lutte contre la fraude va faire l’objet d’une nouvelle directive. Au niveau français l’ambassadeur du numérique a été nommé afin de défendre le point de vue de la France au niveau mondial à croire que l’Internet serait aussi un pays.

Henri Godron, Maître Corinne Thierache, Adèle Adam, de Maître Clara et Pierre Desmarais

L’ISO 27011 ? le PCI-DSS socles pour aller vers la conformité aux nouvelles règlementations et lois

Henri Codron vice-président du CLUSIF a animé la table ronde qui a regroupé Maître Corinne Thierache, Adèle Adam de Claranet, Pierre Desmarais et de Maître Clara Petit du cabinet Iteanu.

Corinne Thierache un membre du GT CLUSIF/Cyberlex explique que pour adopter un texte il faut en premier lieu le comprendre. Les DSI et RSSI étaient inquiet e cette avalanche de droit et réglementations. Le GT a permis de montrer qu’au contraire qu’il permet de monter dans la hiérarchie des entreprises et d’être écouté dans les COMEX. Elle a rappelé que ces réglementations permettent d’engager une véritable conversation entre la DSI et les Services juridiques. Elle explique qu’il va falloir être en conformité sur le long court car les inspections ne s’arrêteront pas le 26 mai 2018 mais se poursuivront durant de longues années. Adèle Adam DPO chez Claranet considère que le RGPD touche son entreprise en tant que sous-traitant, mais aussi en tant que responsable de traitement. Il est donc important de coordonnées ces exigences et les traiter. Claranet est certifiée ISO 27001 et l’utilise comme socle de conformité. De plus la société est aussi hébergeur de donnes de santé. Grâce à l’ISO 27001, elle un bon socle de sécurité, mais elle a due renforcer la partie juridique sur les traitements et leurs finalités. En outre, elle a due renforcer les processus de communication des incidents de sécurité. Maitre Clara Petit du cabinet Iteanu a expliqué que la notion de risque est devenu omniprésent par exemple le terme « risque » est cité 70 fois ans le RGPD. Le risque est une notion évolutive et multiple. Il faut faire preuve de bon sens et se poser les questions sur les données, leur traitement, leur conservation... il faut avoir une démarche proactive et justifier leur traitement. Quant au risque, il faut sortir du Management de la peur pour y faire face et les anticiper face aux incidents.

Maitre Pierre Desmarais a traité des problèmes d’application de ces loi et réglementations au niveau international au moins au niveau européen. Pour le RGPD, il y a une certaine harmonisation ans les 27 pays. Le mécanisme de cohérence permet aussi d’harmoniser les réglementations sur le traitement des données qui jusqu’à présent était au bon vouloir de chaque pays. Si l’entreprise travaille hors de l’Europe l’ISO 27001 permet d’être accepté dans la plus part des pays du monde. De même pour le PCI DSS qui est reconnu par la CNIL pour le traitement des paiements.




Voir les articles précédents

    

Voir les articles suivants