Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment les entreprises peuvent-elles se préparer à l’arrivée de la RGPD sans se précipiter ?

octobre 2017 par Florian Canicas, Presales System Engineer chez Software AG

La RGPD (Réglementation Européenne Générale de la protection des données) provoque de nombreuses réactions dans les entreprises, du fait des potentielles amendes qu’elles peuvent encourir en cas de non-conformité. Cette peur de la réglementation peut déclencher des actions dans les entreprises, allant de la simple prise d’information jusqu’à l’investissement dans des outils qui permettent de mieux maîtriser la donnée du citoyen européen dans les systèmes d’information de l’entreprise.

Avant de réagir dans la précipitation, les entreprises doivent entrer dans une démarche d’amélioration continue de la sécurité des données à caractère personnel. Elles doivent poser un audit interne qui vérifiera leurs faiblesses dans ce domaine, pèsera les risques et leur fera prendre les mesures nécessaires. La préparation à la réglementation européenne qui sera effective au 25 mai 2018, n’est pas une course contre la montre. Les premiers lancés ne seront pas forcément les mieux protégés. Et les estimations sont claires : moins de 50% des entreprises seront prêtes au 25 mai 2018.

Sur quels critères les entreprises vont-elles être jugées conformes ou non à la réglementation ?

L’objectif de la réglementation est de faire prendre conscience aux entreprises qu’elles ne peuvent plus réaliser leur transformation digitale sans respecter les droits du citoyen. Pour autant la réglementation ne doit pas constituer un frein au développement des entreprises et à leur transformation digitale. C’est pourquoi cet alignement réglementaire doit se faire par étape et selon un plan de transformation que chaque entreprise doit élaborer et être en capacité de suivre. C’est sur cela que les entreprises sont attendues.

Le meilleur moyen de se préparer à la réglementation est d’élargir la problématique à la gestion des données personnelles de façon globale et pas uniquement sur ce qu’exige la réglementation. Il faut réduire les risques sur les données personnelles et collecter le minimum d’information auprès des citoyens européens dans le cadre de l’activité de l’entreprise. C’est un moyen d’éradiquer des risques par rapport à des données dont l’entreprise ne trouvera aucune utilité. Ce travail nécessite de poser les bonnes questions et d’analyser chaque domaine de l’entreprise, d’évaluer les risques et de préparer les ressources nécessaires pour initier le virage de la transformation.

Mais avant de penser à des outils, il faut connaitre l’objectif de l’entreprise qui doit devenir conforme à la réglementation européenne RGPD à l’horizon mai 2018. Le premier objectif des entreprises par rapport à la réglementation est un besoin juridique pour lequel il est nécessaire de :
• Fournir une transparence du risque lié aux données à caractère personnel,
• Démontrer qu’il existe des plans d’actions pour éliminer ou diminuer le risque,
• Démontrer une traçabilité par rapport aux actions entreprises.

Une phase d’audit vaut mieux qu’une marche en avant trop précipitée

Les entreprises doivent se rapprocher de leurs départements informatiques pour comprendre le fonctionnement des outils en usage pour les bases de données. Ce sont des puits de savoir pour récolter et localiser les données physiques voire parfois logiques. Mais bien qu’elles localisent les données, elles restent inefficaces dans l’analyse approfondie dans le cadre d’une gestion de risque. Il faut alors rentrer dans une démarche règlementaire et avoir une vision de l’entreprise qui considère l’intérêt du citoyen Européen.

Un référentiel d’entreprise offrira une vision claire de la réglementation et de l’expérience client faisant le lien avec les processus, les données, les systèmes applicatifs et les risques de l’entreprise. Cette base de connaissance constitue un socle solide pour répondre à une partie des besoins d’audit. Ainsi, chaque responsable en entreprise peut prendre conscience de l’impact de la réglementation sur son périmètre d’intervention. Une fois que l’entreprise aura une vision claire de sa situation par rapport au citoyen européen, il pourra compléter cette cartographie avec les informations détaillées des systèmes applicatifs à l’aide d’outils en usage pour les bases de données. Viendront ensuite l’établissement d’une gouvernance de risque à appliquer à l’ensemble de l’entreprise. Cela permet d’évaluer, d’analyser le risque et d’assigner de façon régulière des tâches de contrôle et de tests. L’entreprise devra par la suite s’assurer des actions entreprises pour vérifier si le risque est effectivement maîtrisé ou non.

De façon plus générale, les entreprises qui sont les plus à risques par rapport à la RGPD, sont surtout les entreprises ayant un système d’information complexe, distribué internationalement voire avec plusieurs entités de tailles conséquentes et avec un fort développement digital très orienté vers les clients. Peuvent se retrouver dans ce type de descriptif des petites et moyennes entreprises qui développent leurs services exclusivement sur Internet. Ces entreprises vont avoir un effort d’alignement moins compliqué, l’outillage étant beaucoup moins nécessaire. Mais il ne faut surtout pas se tromper sur l’impact de la réglementation. La RGPD impacte bien toutes les entreprises dans le monde, à partir du moment où elles ciblent le marché européen et collectent des informations sur les citoyens européens.

Avis d’expert

Comment les entreprises peuvent-elles se préparer à l’arrivée de la RGPD sans se précipiter ?

Par Florian Canicas, Presales System Engineer chez Software AG

La RGPD (Réglementation Européenne Générale de la protection des données) provoque de nombreuses réactions dans les entreprises, du fait des potentielles amendes qu’elles peuvent encourir en cas de non-conformité. Cette peur de la réglementation peut déclencher des actions dans les entreprises, allant de la simple prise d’information jusqu’à l’investissement dans des outils qui permettent de mieux maîtriser la donnée du citoyen européen dans les systèmes d’information de l’entreprise. Avant de réagir dans la précipitation, les entreprises doivent entrer dans une démarche d’amélioration continue de la sécurité des données à caractère personnel. Elles doivent poser un audit interne qui vérifiera leurs faiblesses dans ce domaine, pèsera les risques et leur fera prendre les mesures nécessaires. La préparation à la réglementation européenne qui sera effective au 25 mai 2018, n’est pas une course contre la montre. Les premiers lancés ne seront pas forcément les mieux protégés. Et les estimations sont claires : moins de 50% des entreprises seront prêtes au 25 mai 2018.

Sur quels critères les entreprises vont-elles être jugées conformes ou non à la réglementation ?

L’objectif de la réglementation est de faire prendre conscience aux entreprises qu’elles ne peuvent plus réaliser leur transformation digitale sans respecter les droits du citoyen. Pour autant la réglementation ne doit pas constituer un frein au développement des entreprises et à leur transformation digitale. C’est pourquoi cet alignement réglementaire doit se faire par étape et selon un plan de transformation que chaque entreprise doit élaborer et être en capacité de suivre. C’est sur cela que les entreprises sont attendues. Le meilleur moyen de se préparer à la réglementation est d’élargir la problématique à la gestion des données personnelles de façon globale et pas uniquement sur ce qu’exige la réglementation. Il faut réduire les risques sur les données personnelles et collecter le minimum d’information auprès des citoyens européens dans le cadre de l’activité de l’entreprise. C’est un moyen d’éradiquer des risques par rapport à des données dont l’entreprise ne trouvera aucune utilité. Ce travail nécessite de poser les bonnes questions et d’analyser chaque domaine de l’entreprise, d’évaluer les risques et de préparer les ressources nécessaires pour initier le virage de la transformation. Mais avant de penser à des outils, il faut connaitre l’objectif de l’entreprise qui doit devenir conforme à la réglementation européenne RGPD à l’horizon mai 2018. Le premier objectif des entreprises par rapport à la réglementation est un besoin juridique pour lequel il est nécessaire de : • Fournir une transparence du risque lié aux données à caractère personnel, • Démontrer qu’il existe des plans d’actions pour éliminer ou diminuer le risque, • Démontrer une traçabilité par rapport aux actions entreprises.

Une phase d’audit vaut mieux qu’une marche en avant trop précipitée

Les entreprises doivent se rapprocher de leurs départements informatiques pour comprendre le fonctionnement des outils en usage pour les bases de données. Ce sont des puits de savoir pour récolter et localiser les données physiques voire parfois logiques. Mais bien qu’elles localisent les données, elles restent inefficaces dans l’analyse approfondie dans le cadre d’une gestion de risque. Il faut alors rentrer dans une démarche règlementaire et avoir une vision de l’entreprise qui considère l’intérêt du citoyen Européen. Un référentiel d’entreprise offrira une vision claire de la réglementation et de l’expérience client faisant le lien avec les processus, les données, les systèmes applicatifs et les risques de l’entreprise. Cette base de connaissance constitue un socle solide pour répondre à une partie des besoins d’audit. Ainsi, chaque responsable en entreprise peut prendre conscience de l’impact de la réglementation sur son périmètre d’intervention. Une fois que l’entreprise aura une vision claire de sa situation par rapport au citoyen européen, il pourra compléter cette cartographie avec les informations détaillées des systèmes applicatifs à l’aide d’outils en usage pour les bases de données. Viendront ensuite l’établissement d’une gouvernance de risque à appliquer à l’ensemble de l’entreprise. Cela permet d’évaluer, d’analyser le risque et d’assigner de façon régulière des tâches de contrôle et de tests. L’entreprise devra par la suite s’assurer des actions entreprises pour vérifier si le risque est effectivement maîtrisé ou non.

De façon plus générale, les entreprises qui sont les plus à risques par rapport à la RGPD, sont surtout les entreprises ayant un système d’information complexe, distribué internationalement voire avec plusieurs entités de tailles conséquentes et avec un fort développement digital très orienté vers les clients. Peuvent se retrouver dans ce type de descriptif des petites et moyennes entreprises qui développent leurs services exclusivement sur Internet. Ces entreprises vont avoir un effort d’alignement moins compliqué, l’outillage étant beaucoup moins nécessaire. Mais il ne faut surtout pas se tromper sur l’impact de la réglementation. La RGPD impacte bien toutes les entreprises dans le monde, à partir du moment où elles ciblent le marché européen et collectent des informations sur les citoyens européens.

Avis d’expert

Comment les entreprises peuvent-elles se préparer à l’arrivée de la RGPD sans se précipiter ?

Par Florian Canicas, Presales System Engineer chez Software AG

La RGPD (Réglementation Européenne Générale de la protection des données) provoque de nombreuses réactions dans les entreprises, du fait des potentielles amendes qu’elles peuvent encourir en cas de non-conformité. Cette peur de la réglementation peut déclencher des actions dans les entreprises, allant de la simple prise d’information jusqu’à l’investissement dans des outils qui permettent de mieux maîtriser la donnée du citoyen européen dans les systèmes d’information de l’entreprise. Avant de réagir dans la précipitation, les entreprises doivent entrer dans une démarche d’amélioration continue de la sécurité des données à caractère personnel. Elles doivent poser un audit interne qui vérifiera leurs faiblesses dans ce domaine, pèsera les risques et leur fera prendre les mesures nécessaires. La préparation à la réglementation européenne qui sera effective au 25 mai 2018, n’est pas une course contre la montre. Les premiers lancés ne seront pas forcément les mieux protégés. Et les estimations sont claires : moins de 50% des entreprises seront prêtes au 25 mai 2018.

Sur quels critères les entreprises vont-elles être jugées conformes ou non à la réglementation ?

L’objectif de la réglementation est de faire prendre conscience aux entreprises qu’elles ne peuvent plus réaliser leur transformation digitale sans respecter les droits du citoyen. Pour autant la réglementation ne doit pas constituer un frein au développement des entreprises et à leur transformation digitale. C’est pourquoi cet alignement réglementaire doit se faire par étape et selon un plan de transformation que chaque entreprise doit élaborer et être en capacité de suivre. C’est sur cela que les entreprises sont attendues. Le meilleur moyen de se préparer à la réglementation est d’élargir la problématique à la gestion des données personnelles de façon globale et pas uniquement sur ce qu’exige la réglementation. Il faut réduire les risques sur les données personnelles et collecter le minimum d’information auprès des citoyens européens dans le cadre de l’activité de l’entreprise. C’est un moyen d’éradiquer des risques par rapport à des données dont l’entreprise ne trouvera aucune utilité. Ce travail nécessite de poser les bonnes questions et d’analyser chaque domaine de l’entreprise, d’évaluer les risques et de préparer les ressources nécessaires pour initier le virage de la transformation. Mais avant de penser à des outils, il faut connaitre l’objectif de l’entreprise qui doit devenir conforme à la réglementation européenne RGPD à l’horizon mai 2018. Le premier objectif des entreprises par rapport à la réglementation est un besoin juridique pour lequel il est nécessaire de : • Fournir une transparence du risque lié aux données à caractère personnel, • Démontrer qu’il existe des plans d’actions pour éliminer ou diminuer le risque, • Démontrer une traçabilité par rapport aux actions entreprises.

Une phase d’audit vaut mieux qu’une marche en avant trop précipitée

Les entreprises doivent se rapprocher de leurs départements informatiques pour comprendre le fonctionnement des outils en usage pour les bases de données. Ce sont des puits de savoir pour récolter et localiser les données physiques voire parfois logiques. Mais bien qu’elles localisent les données, elles restent inefficaces dans l’analyse approfondie dans le cadre d’une gestion de risque. Il faut alors rentrer dans une démarche règlementaire et avoir une vision de l’entreprise qui considère l’intérêt du citoyen Européen. Un référentiel d’entreprise offrira une vision claire de la réglementation et de l’expérience client faisant le lien avec les processus, les données, les systèmes applicatifs et les risques de l’entreprise. Cette base de connaissance constitue un socle solide pour répondre à une partie des besoins d’audit. Ainsi, chaque responsable en entreprise peut prendre conscience de l’impact de la réglementation sur son périmètre d’intervention. Une fois que l’entreprise aura une vision claire de sa situation par rapport au citoyen européen, il pourra compléter cette cartographie avec les informations détaillées des systèmes applicatifs à l’aide d’outils en usage pour les bases de données. Viendront ensuite l’établissement d’une gouvernance de risque à appliquer à l’ensemble de l’entreprise. Cela permet d’évaluer, d’analyser le risque et d’assigner de façon régulière des tâches de contrôle et de tests. L’entreprise devra par la suite s’assurer des actions entreprises pour vérifier si le risque est effectivement maîtrisé ou non.

De façon plus générale, les entreprises qui sont les plus à risques par rapport à la RGPD, sont surtout les entreprises ayant un système d’information complexe, distribué internationalement voire avec plusieurs entités de tailles conséquentes et avec un fort développement digital très orienté vers les clients. Peuvent se retrouver dans ce type de descriptif des petites et moyennes entreprises qui développent leurs services exclusivement sur Internet. Ces entreprises vont avoir un effort d’alignement moins compliqué, l’outillage étant beaucoup moins nécessaire. Mais il ne faut surtout pas se tromper sur l’impact de la réglementation. La RGPD impacte bien toutes les entreprises dans le monde, à partir du moment où elles ciblent le marché européen et collectent des informations sur les citoyens européens.




Voir les articles précédents

    

Voir les articles suivants