Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conformité RGPD : quelle approche adopter ?

octobre 2018 par Grégory GARZINO chez Squad

Nous vivons un incroyable essor de la valeur des données personnelles. D’ici
2020, leur capitalisation pourrait en effet valoir 1000 milliards d ‘euros par an
(source : Boston Consulting Group). Sans compter les enjeux business et marketing
ainsi que les actes malveillants qu’elles pourraient susciter. Les protéger
devient donc essentiel.

Les principales évolutions du RGPD

Aujourd’hui, chaque état européen est constitué par une autorité en charge de
la protection des données à caractère personnel, qui a plus ou moins définit un
cadre législatif sur l’utilisation des données personnelles. En France, la CNIL
est en charge du contrôle de l’application de la loi « Informatique et Libertés
 » du 6 janvier 1978. Ce cadre législatif définit les principes à appliquer lors
de la collecte, du traitement et de la conservation de ces données.

La directive actuelle date de 1995 et n’avait pas prévu l’essor d’Internet,
du Big Data, du Cloud ou encore de collectes massives de données à caractère
personnel.

Le Règlement Général européen sur la Protection des Données (RGPD ou GDPR en
anglais), entend uniformiser la protection des données au sein de l’Union
européenne et mettre à jour le droit européen afin de protéger les citoyens
européens contre l’utilisation frauduleuse de leurs données personnelles.

De plus, ce règlement prévoit une augmentation des sanctions financières, pouvant
aller jusqu’à 4% du chiffre d’affaire mondial, et montre clairement un
renforcement de la volonté à faire respecter les bonnes pratiques en termes de
protection des données.

La mise en application de ce règlement pour l’ensemble des entreprises mondiales
manipulant des données personnelles de citoyens européens est entrée en vigueur
le 25 Mai 2018. C’est un point important et un renversement à 180° dans la
mesure où ce n’est plus l’entreprise ou le détenteur de la donnée qui est
considéré mais le citoyen Européen, dont la donnée est détenue et pour lequel
l’entreprise détentrice doit faire la preuve de sa sécurisation. Le RGPD
restitue donc la propriété des données aux citoyens et non plus aux entreprises.

Les étapes d’une mise en conformité réussie

Les entreprises qui ne l’ont pas déjà fait, devront dans un premier temps nommer
un Délégué à la Protection des Données (DPO), qui sera en charge de veiller à
la bonne application du RGPD. Elles devront également effectuer un audit afin
d’avoir un état des lieux sur la sécurité des données à caractère personnel
et définir une feuille de route.

L’approche globale préconisée suit une démarche pragmatique afin d’organiser
son plan de conformité :

1-Réaliser une cartographie en identifiant précisément l’ensemble des
traitements de données personnelles (Où les données sont-elles localisées ? Qui
est le responsable de l’application ? Comment les données sont-elles protégées
 ? Etc.)

2-Analyser le gap avec l’ensemble des exigences du RGPD

3-Définir et prioriser les mesures correctives et les projets à mettre en œuvre

4-Réorganiser les processus de gestion de projets en intégrant une démarche de
Privacy by Design

Bien entendu, chaque entreprise aura ses propres problématiques :

 Comment gérer les grandes quantités de données traitées par le Big data dans le
domaine bancaire ?

 Comment anonymiser les données dans le cadre de calculs de statistiques chez les
assureurs ? Une fois les données anonymisées, comment répondre à la demande
d’un client qui souhaitent exercer son droit à l’oubli ou à la portabilité ?

 Une entreprise ayant résolument adoptée le Devops, pourra-t-elle garantir la
sécurité des données qui sont parfois répliquées sur des environnements de
développement non maitrisés ?

 Certaines entreprises ont également succombé aux tentations du Cloud : comment
peuvent-elles maintenant garantir la sécurité de leurs données qu’elles ne
maitrisent plus totalement ?

Chaque cas devra faire appel à des solutions adaptées. Par exemple dans le cadre
de l’externalisation de données dans le Cloud, le client pourra demander à
mettre en œuvre un Plan d’Assurance Sécurité, insérer dans le contrat des
clauses de réversibilité, des clauses de localisation et auditer les fournisseurs.

Le DPO face à ses responsabilités

Face à cette diversité le DPO devra s’adapter et composer sa propre partition en
faisant appel aussi bien à des instruments techniques, organisationnels et
juridiques. Il devra également faire preuve d’un véritable leadership afin de
mettre en œuvre une gouvernance transversale sur la protection des données.

Concernant la politique des autorités, il est fort à parier que, face à cette
diversité et des niveaux de maturité très hétérogènes, elles devront adopter
une approche pragmatique afin de vérifier dans un premier temps si une démarche a
été initiée et que l’ensemble des exigences du règlement ont bien été prises
en compte.

Plus concrètement, une entreprise ayant externalisé ses données RH sans les
chiffrer ou sans établir de Plan d’Assurance Sécurité ne devrait pas être
sanctionnée financièrement mais aura plutôt des recommandations à appliquer. Les
contrôles et sanctions seront vraisemblablement moins tolérants pour les
entreprises ayant déjà laissé fuiter de grandes quantités de données
personnelles ou ayant basé leur business model sur les données de citoyens
n’ayant pas donné clairement leur consentement…


Voir les articles précédents

    

Voir les articles suivants