Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Règlement Général sur la Protection des Données : en pratique, je fais quoi ?

octobre 2016 par Emmanuelle Lamandé

L’approbation récente du Règlement européen relatif à la protection des données à caractère personnel, qui sera mis en application en mai 2018, soulève un certain nombre d’interrogations auprès des organisations. Comment atteindre cette conformité dans les temps ? Avec quelles ressources et à quel coût ? Thierry Chiofalo, Consultant SSI senior chez Intrinsec, propose à l’occasion de la 16ème édition des Assises de la Sécurité une mise en lumière des principales obligations de ce Règlement, ainsi qu’un schéma concret de mise en conformité.

Pour rappel, le Règlement européen relatif à la protection des données à caractère personnel (RGPD) s’appliquera à tous les États membres de l’UE en mai 2018. Parmi les principales obligations imposées par le RGPD, on peut notamment citer :
- La mise en place d’un processus permettant l’établissement et le maintien d’un registre des activités de traitement (Art. 30) ;
- L’obligation de notifier les incidents de sécurité auprès des autorités (Art. 33) ;
- L’obligation, dans certains cas de violation, de communiquer auprès des personnes concernées ;
- La désignation d’un DPO (Data Privacy Officer) dans certaines conditions ;
- La réalisation, en fonction du type de traitement, d’une analyse d’impact sur la vie privée ;
- Etc.

La plupart des organisations ont aujourd’hui conscience des enjeux inhérents à ce nouveau Règlement. De nombreux RSSI s’intéressent d’ailleurs à cette problématique, souvent identifiée comme un sujet majeur au sein de leur structure. La nature des sanctions joue beaucoup dans l’appréciation des risques d’une non-conformité.

Identifier tout d’abord les synergies

La société civile intègre effectivement de plus en plus la sphère informatique dans son évolution, y opposant une pression règlementaire toujours plus forte. Toutefois, toute contrainte réglementaire a un coût. La question est alors de savoir comment atteindre cette conformité au meilleur coût et ainsi de préserver la chaine de valeur de l’organisme. Selon Thierry Chiofalo, cela passe, en premier lieu, par l’identification de synergies, voire d’opportunités.

En effet, certains organismes sont déjà soumis à des règlementations telles que le RGS, d’autres sont certifiées ISO27001 ou s’inscrivent dans une logique ISO sans pour autant être certifiées… Que ce soit par choix ou la résultante de pressions réglementaires, ces différentes pratiques ont conduit l’organisme à mettre en œuvre un certain nombre de mesures et de solutions au sein de la structure. De son côté, le nouveau Règlement européen formule un certain nombre d’exigences en matière de sécurité et de respect de la vie privée.
De ce fait, il se peut que votre organisme dispose déjà de nombreux éléments concourant à répondre à ces obligations à travers les mesures mises en place dans le cadre d’autres référentiels.
L’objectif sera donc de trouver, dans un premier temps, les synergies entre les nombreuses exigences des différentes règlementations et pratiques, afin de s’appuyer au mieux sur les points forts existants et d’éviter de créer des pratiques qui existent déjà.

A titre d’exemple, l’analyse d’impacts (Art.35) consiste à identifier les conséquences en termes de DIC (Disponibilité, Intégrité et Confidentialité) pour les personnes concernées. L’analyse de risques pratiquée dans la SSI, quant à elle, évalue les conséquences en matière de DIC sur l’organisme. Si les finalités sont différentes, la méthode est pourtant très semblable. Mettre sur pied deux processus distincts pour dérouler une même méthode serait donc une perte de temps et de ressources.

Ainsi, l’objectif préalable à toute mesure consiste à identifier les synergies et à les comprendre. Cela représente, certes, un investissement, puisqu’il faut décliner ces analyses sur chacun des champs d’application. Toutefois, si cette tâche n’est pas effectuée en amont, l’organisme perdra énormément de temps et d’argent a posteriori.

RSSI & DPO doivent collaborer

Le cas du processus d’analyse d’impact n’est pas unique et l’on voit que, si le RSSI et le DPO travaillent pour des finalités différentes, ils disposent de moyens communs. Un des facteurs clés de succès est, de ce fait, l’existence d’une collaboration étroite entre ces deux acteurs. D’ailleurs, cette coopération est valable pour tous. Effectivement, tout ce qui fonctionne en silo ne réussit généralement pas très bien. Il faut penser en systémique, en fonction de la finalité, explique-t-il.
Même si le contexte d’un organisme ne rend pas obligatoire la désignation d’un DPO, le besoin de conformité au règlement persiste et chaque organisme va donc devoir attribuer cette problématique à un « responsable » des données à caractère personnel, qu’il s’agisse d’une fonction ou d’un poste à part entière.

De manière générale, le schéma de mise en conformité repose sur plusieurs étapes fondamentales : la planification, la mise en œuvre et le maintien. L’objectif, au travers de ces différentes étapes, est de développer ou d’ajuster des processus qui soient adaptés au besoin du règlement et à la culture de l’organisme et qui, in fine, coûtent le moins cher possible. Ce qui revient à développer des processus qui ne soient pas trop compliqués à déployer et pas trop coûteux à maintenir.
On en revient aux synergies et à l’état des lieux global de d’organisme au préalable. Les équipes en charge de ce projet doivent tout d’abord déterminer ce qui peut être réutilisable ou non. Il ne faut pas tout réinventer ; le pire serait d’avoir des processus similaires exécutés en parallèle, un pour chaque finalité. C’est en veillant à cela que l’on peut gagner de l’argent et surtout éviter d’en perdre.
Pour ce faire, il est nécessaire de cartographier l’ensemble de l’organisation, ses activités et les processus nécessaires, définir les différents chantiers et les objectifs à atteindre, avant de mettre en place les plans d’action adéquats.

Des processus, des outils, mais avant tout des Hommes

Pour faire fonctionner ces processus, il sera nécessaire de s’appuyer de la façon la plus efficace possible sur les outils et les hommes disponibles. Afin d’assurer la mise en conformité, il faut certes des processus, mais aussi des hommes et des outils.
En ce qui concerne les outils, ceux-ci ne doivent bien entendu jamais être positionnés au centre du processus ou du schéma de mise en conformité. Ceux-ci restent des contributeurs. Mais il ne faut pas pour autant les oublier car ils sont autant opportunités de fiabiliser un procédé, de l’automatiser voire de l’améliorer. L’aspect humain, quant à lui, s’avère fondamental pour la mise en conformité. Les équipes doivent travailler de concert, qu’il s’agisse du responsable de traitement, du RSSI, du DPO, de la DSI, du propriétaire des traitements ou de toutes les autres parties prenantes, qu’elles soient internes ou externes.
Afin d’en faire des contributeurs efficaces, il est indispensable de leur donner le savoir-faire nécessaire mais aussi, et avant tout, d’obtenir leur adhésion. C’est ainsi qu’un autre facteur clé de succès de l’atteinte de la conformité consistera en la formation et la sensibilisation de l’ensemble des parties prenantes du projet. Le RSSI et le DPO ont d’ailleurs une véritable valeur ajoutée, et un rôle clé à jouer en la matière.

Savoir où l’on est pour savoir où l’on va…

Le but de cette démarche est donc d’analyser l’écart entre le point de départ, c’est-à-dire l’état actuel de l’organisation, et la finalité, à savoir l’atteinte de la conformité avec ce Règlement relatif à la protection des données. Quoi qu’il en soit, le RGPD sera effectif en mai 2018, les organisations n’auront donc plus le choix ; et une fois cette date passée, la CNIL sera en charge du contrôle de sa mise en application.

Pour conclure, Thierry Chiofalo conseille aux organisations de s’appuyer sur un état des lieux suffisamment complet et ouvert pour identifier l’ensemble des points forts existants dans l’organisation afin de s’appuyer dessus pour atteindre la conformité au meilleur coût global. Et d’ajouter que tous les processus créés à l’occasion de la mise en conformité pourront aussi être réutilisés pour la gestion de la sécurité de l’information, constituant ainsi autant d’opportunités d’évolution pour le RSSI.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants