Laurent Abric

RGPD ou GDPR : Une opportunité d’évolution du Système d’Information des entreprises

Comme vous le savez, le Règlement Général sur la Protection des Données (General Data Protection Regulation en anglais) est entré en vigueur depuis le 25 mai 2018. Ce nouveau règlement à l’échelle européenne peut être vu comme une évolution de la loi française du 6 janvier 1978 relative à l’informatique et aux libertés. (Les détails : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee ).

Il ajoute à cette loi notamment le renforcement des droits des personnes, le Privacy by Design, l’encadrement des transferts de données en dehors de l’Union Européenne, la responsabilisation des sous-traitants et surtout l’obligation de rendre des comptes pour les responsables de traitements (principe d’accountability).
Dernier point non négligeable, les sanctions ont été alourdies et peuvent aller jusqu’à 4% du Chiffre d’Affaire du groupe auquel est rattachée l’entreprise contrôlée.
Ce règlement impose aux entreprises publiques ou privées de maitriser leurs données personnelles, tant pour les clients que pour les salariés.

Une multitude de (nouvelles) questions à traiter pour les entreprises
  • Où sont stockées les données personnelles ?
  • Quelles sont les durées de stockage des données personnelles ?
  • Où se trouve leur lieu de stockage ?
  • Est-ce que ce lieu de stockage est dans l’Union Européenne ?
  • Pourquoi les données personnelles ont-elles été collectées ?
  • Comment sont-elles protégées ?
  • Qui peut accéder aux données personnelles et dans quel but ?
  • Ai-je recueilli les consentements des personnes concernées ?
  • Puis-je supprimer des données personnelles à la demande des personnes concernées ?
  • Les personnes concernées peuvent-elles modifier leurs données personnelles ?
  • Est-ce qu’on a besoin d’en collecter autant ?
  • Etc …

Autant de questions auxquelles toutes les entreprises ne savaient pas forcément répondre avant le 25 Mai 2018, alors que certaines étaient déjà posées depuis la loi de 1978. Mais toutes les entreprises doivent maintenant être en mesure d’apporter une réponse à l’autorité de contrôle (La CNIL en France).
En effet les premières sanctions commencent à tomber. Même pour Google qui vient de prendre une sanction record de 50 millions d’euros ( https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la ).

Comment se préparer à répondre aux questions ?

Pour démarrer un projet de mise en conformité RGPD, la première étape consistera à faire une analyse d’écart (ou gap analysis) entre le Système d’information de l’entreprise et le RGPD. Celle-ci vous permettra de générer un plan d’actions pour tracer le chemin vers la conformité RGPD.

Cette analyse d’écart va vous obliger à faire des PIA (Privacy Impact Assessment – analyse d’impact sur la vie privée, ou Analyse d’Impact relative à la Protection des Données – Data Protection Impact Assessment – AIPD ou DPIA) si vous traitez des données sensibles ou si le traitement engendre des risques élevés sur les droits des personnes.
La CNIL fournit gratuitement un outil pour faire des PIA :   https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
La définition des données sensibles se trouve dans l’article 9 : https://www.cnil.fr/reglement-europeen-protection-donnees/chapitre2#Article9 .

Si vous traitez des données personnelles, le plan d’actions contiendra a minima :

Plus qu'un projet de sécurité, une véritable opportunité de transformation

Ce projet est un vrai projet d’entreprise qui va impacter tout le SI et le fera évoluer pour devenir « data-centric ». Ainsi, la sécurisation et la gestion des données personnelles sont une réelle opportunité de faire évoluer l’entreprise, la connaissance et la maîtrise des données business qui étaient souvent peu connnues et exploitées.

Si vous avez besoin d’aide pour mener à bien ce projet, nos consultants experts sauront vous aider à converger vers la conformité RGDP.

Articles associés

Ransomware, sont ils inéluctables?

24 mars 2020
Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Réseau et Sécurité, amalgame pour un échec

9 janvier 2020
Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]
Partager cet article
Derniers articles

La continuité d’activité face à la pandémie

  Le Coronavirus ou COVID-19, qui touche une grande partie des pays en ce moment, met à l’épreuve les services informatiques et les infrastructures de toutes les sociétés. Les Plans de Continuité d’Activité (PCA), quand il y en a !, sont tous testés grandeur nature actuellement, et parfois dans une situation non prévue, ou dont la […]

Ransomware, sont ils inéluctables?

Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Sécurisation des accès réseaux, un enjeu majeur pour les entreprises

Les entreprises d’aujourd’hui sont confrontées à une croissance exponentielle du nombre d’équipements interconnectés au sein de leurs réseaux informatiques : Téléphone IP, switches, routeurs,  PC de bureau, ordinateurs portables, photocopieurs, caméras IP, des objets IoT (l’Internet des objets), équipements de visioconférences, ainsi qu’une multitude de mode d’accès à leurs réseaux internes qu’il faudra sécuriser, allant […]

to be or not to be ?

La haute disponibilité est un enjeu important pour les infrastructures informatiques. Une étude de 2007 estime que la non-disponibilité des services informatiques peut avoir un coût de 440 000 euros de l’heure Lors de la construction d’un Datacenter, l’infrastructure est conçue en tenant compte de cet enjeu ; les architectes IT doivent pouvoir concevoir leurs […]