Laurent Abric

RGPD ou GDPR : Une opportunité d’évolution du Système d’Information des entreprises

Comme vous le savez, le Règlement Général sur la Protection des Données (General Data Protection Regulation en anglais) est entré en vigueur depuis le 25 mai 2018. Ce nouveau règlement à l’échelle européenne peut être vu comme une évolution de la loi française du 6 janvier 1978 relative à l’informatique et aux libertés. (Les détails : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee ).

Il ajoute à cette loi notamment le renforcement des droits des personnes, le Privacy by Design, l’encadrement des transferts de données en dehors de l’Union Européenne, la responsabilisation des sous-traitants et surtout l’obligation de rendre des comptes pour les responsables de traitements (principe d’accountability).
Dernier point non négligeable, les sanctions ont été alourdies et peuvent aller jusqu’à 4% du Chiffre d’Affaire du groupe auquel est rattachée l’entreprise contrôlée.
Ce règlement impose aux entreprises publiques ou privées de maitriser leurs données personnelles, tant pour les clients que pour les salariés.

Une multitude de (nouvelles) questions à traiter pour les entreprises
  • Où sont stockées les données personnelles ?
  • Quelles sont les durées de stockage des données personnelles ?
  • Où se trouve leur lieu de stockage ?
  • Est-ce que ce lieu de stockage est dans l’Union Européenne ?
  • Pourquoi les données personnelles ont-elles été collectées ?
  • Comment sont-elles protégées ?
  • Qui peut accéder aux données personnelles et dans quel but ?
  • Ai-je recueilli les consentements des personnes concernées ?
  • Puis-je supprimer des données personnelles à la demande des personnes concernées ?
  • Les personnes concernées peuvent-elles modifier leurs données personnelles ?
  • Est-ce qu’on a besoin d’en collecter autant ?
  • Etc …

Autant de questions auxquelles toutes les entreprises ne savaient pas forcément répondre avant le 25 Mai 2018, alors que certaines étaient déjà posées depuis la loi de 1978. Mais toutes les entreprises doivent maintenant être en mesure d’apporter une réponse à l’autorité de contrôle (La CNIL en France).
En effet les premières sanctions commencent à tomber. Même pour Google qui vient de prendre une sanction record de 50 millions d’euros ( https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la ).

Comment se préparer à répondre aux questions ?

Pour démarrer un projet de mise en conformité RGPD, la première étape consistera à faire une analyse d’écart (ou gap analysis) entre le Système d’information de l’entreprise et le RGPD. Celle-ci vous permettra de générer un plan d’actions pour tracer le chemin vers la conformité RGPD.

Cette analyse d’écart va vous obliger à faire des PIA (Privacy Impact Assessment – analyse d’impact sur la vie privée, ou Analyse d’Impact relative à la Protection des Données – Data Protection Impact Assessment – AIPD ou DPIA) si vous traitez des données sensibles ou si le traitement engendre des risques élevés sur les droits des personnes.
La CNIL fournit gratuitement un outil pour faire des PIA :   https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
La définition des données sensibles se trouve dans l’article 9 : https://www.cnil.fr/reglement-europeen-protection-donnees/chapitre2#Article9 .

Si vous traitez des données personnelles, le plan d’actions contiendra a minima :

Plus qu'un projet de sécurité, une véritable opportunité de transformation

Ce projet est un vrai projet d’entreprise qui va impacter tout le SI et le fera évoluer pour devenir « data-centric ». Ainsi, la sécurisation et la gestion des données personnelles sont une réelle opportunité de faire évoluer l’entreprise, la connaissance et la maîtrise des données business qui étaient souvent peu connnues et exploitées.

Si vous avez besoin d’aide pour mener à bien ce projet, nos consultants experts sauront vous aider à converger vers la conformité RGDP.

Articles associés

Chronique d’une attaque annoncée : IOCs vs TTPs

23 décembre 2022
Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

28 octobre 2022
En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]
Partager cet article
Derniers articles

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

La nouvelle gestion des ressources humaines

Tout le monde en parle : depuis la crise covid, plus rien n’est comme avant – mais concrètement, qu’est-ce qui a changé ?   Tout d’abord, le recrutement. Dans le secteur de l’IT, il est considéré comme difficile depuis toujours, mais depuis un an ou deux, tous les secteurs sans exception semblent rencontrer des difficultés à embaucher […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]