Accueil
Accueil
Envoyer à un ami
Version imprimable
PartagerCe règlement, adopté le 14 Avril 2016 par le Parlement Européen, et à appliquer depuis le 25 Mai 2018 dans chacun des 28 états membres, constitue le texte de référence en matière de protection des données à caractère personnel, en faveur des individus de l’Union Européenne.
C’est sans conteste une des grandes révolutions culturelles dans les systèmes d’informations des sociétés, états, administrations, associations, … car enfin, nous avons décidé de comprendre et de définir les limites admissibles de ce que nous pouvons et devons gérer comme informations sur les individus dans les innombrables applications, systèmes et bases de données qui contribuent à régir l’économie mondiale d’aujourd’hui et de demain.
L’Union Européenne nous avait donné deux ans pour mettre en application ce règlement, et force est de constater, que bien souvent les projets de mise en conformité à la GDPR, francisée RGPD : règlement général à la protection des données, ont été plutôt lancés à partir de 2018, et non à partir de 2016. Que de très rares projets sont terminés. La plupart sont en cours, voire les premières bases ne sont pas encore finalisées, alors que les 99 articles du texte devraient être appliqués depuis 1 an.
L’Union Européenne nous avait donné deux ans pour mettre en application ce règlement, et force est de constater, que bien souvent les projets de mise en conformité à la GDPR, francisée RGPD : règlement général à la protection des données, ont été plutôt lancés à partir de 2018, et non à partir de 2016. Que de très rares projets sont terminés. La plupart sont en cours, voire les premières bases ne sont pas encore finalisées, alors que les 99 articles du texte devraient être appliqués depuis 1 an.
Gardez le contact
Les B.A-BA de la mise en conformité ont en général été abordés.
Il s’agit pour la société, l’organisme, l’administration concerné de faire l’état des lieux de son système d’information quant aux données personnelles détenues et gérées dans leurs applications respectives.
Ce qui donne lieu au registre de traitements, établi par finalité (à savoir l’objectif principal d’une application ou d’un groupe d’applications informatiques). Selon aussi un fondement juridique bien défini pour chacun des traitements de données personnelles (justifié soit pour des raisons contractuelles, soit légales, soit sur la base du consentement explicite de chaque individu, soit pour assurer l’intérêt vital).
Au-delà du registre, les notions de responsable de traitement, de co-responsable en cas de sous-traitance, de droits des individus ont été plus ou moins comprises. Et beaucoup de chemin reste encore à parcourir aujourd’hui.
Nous ne pouvons pas citer de manière exhaustive toutes les tâches à réaliser, mais bien souvent les sociétés, organismes et administrations ont besoin d’être accompagnés pour justement définir les différentes étapes de mise en conformité progressive, graduelle et adaptée à leur organisation, à leurs traitements, même à leurs écosystèmes respectifs. Aussi bien avec leurs collaborateurs, leurs clients, leurs fournisseurs et les autres individus susceptibles d’être gérés dans leur système d’information, digital et/ou papier.
Ce qui donne lieu au registre de traitements, établi par finalité (à savoir l’objectif principal d’une application ou d’un groupe d’applications informatiques). Selon aussi un fondement juridique bien défini pour chacun des traitements de données personnelles (justifié soit pour des raisons contractuelles, soit légales, soit sur la base du consentement explicite de chaque individu, soit pour assurer l’intérêt vital).
Au-delà du registre, les notions de responsable de traitement, de co-responsable en cas de sous-traitance, de droits des individus ont été plus ou moins comprises. Et beaucoup de chemin reste encore à parcourir aujourd’hui.
Nous ne pouvons pas citer de manière exhaustive toutes les tâches à réaliser, mais bien souvent les sociétés, organismes et administrations ont besoin d’être accompagnés pour justement définir les différentes étapes de mise en conformité progressive, graduelle et adaptée à leur organisation, à leurs traitements, même à leurs écosystèmes respectifs. Aussi bien avec leurs collaborateurs, leurs clients, leurs fournisseurs et les autres individus susceptibles d’être gérés dans leur système d’information, digital et/ou papier.
D’autres sujets tout aussi fondamentaux restent encore à établir, communiquer, appliquer.
D’abord l’information sur le règlement, le pourquoi du comment, qu’est ce qu’une donnée personnelle, a-t-on le droit de la récolter et la gérer, comment fonctionner à ce titre avec son et ses sous-traitants, avec ses clients, dans les flux d’informations, les mentions d’information sur les sites web, etc…
Ensuite, la gouvernance globale RGPD et l’organisation de la bonne application des textes de loi pour protéger les individus, la société, l’organisme passe par la nomination d’un DPO, Data Protection Officer, ou francisé : d’un DPD, Délégué à la Protection des Données. Qui peut être aussi bien interne qu’externe ou mutualisé pour plusieurs filiales en même temps. Une société de service spécialisée peut accompagner chacun de ses clients dans sa mise en conformité RGPD, de A à Z, et l’assurer ensuite de la conformité du cycle de vie ‘protection des données à caractère personnel’ de son système d’information, en prenant la casquette de DPO externalisé.
Il les assistera alors à évaluer le niveau de conformité, cartographier les données personnelles dans les différentes applications, minimiser les données, établir les PIA, privacy impact assessment, étude d’impact sur la vie privée, constituer les procédures de gestion des droits des individus (accès, rectification, suppression, …).
Ainsi qu’à gérer les consentements des individus, l’archivage, la gestion des incidents, établir la politique de protection des données, assurer le chiffrement, l’authentification, la traçabilité, le transfert de données, le conseil en mesures de sécurité et de protection des données, écrire la charte informatique, assurer la sensibilisation des personnels, et à auditer le tout.
Enfin à préparer des clauses types pour les appels d’offre, la revue des contrats, des conventions, le dialogue avec certains éditeurs / sous-traitants, cadrer les échanges avec les tiers, les évaluer, les scorer.
Ce n’est pas qu’une obligation, une contrainte, le règlement RGPD est une chance, une opportunité de faire de notre système d’information, non pas seulement un Big Data où personne ne se préoccupe des milliards de contenus, mais justement un contenant sécurisé où les droits de la vie privée de chacun sont respectés.
Ensuite, la gouvernance globale RGPD et l’organisation de la bonne application des textes de loi pour protéger les individus, la société, l’organisme passe par la nomination d’un DPO, Data Protection Officer, ou francisé : d’un DPD, Délégué à la Protection des Données. Qui peut être aussi bien interne qu’externe ou mutualisé pour plusieurs filiales en même temps. Une société de service spécialisée peut accompagner chacun de ses clients dans sa mise en conformité RGPD, de A à Z, et l’assurer ensuite de la conformité du cycle de vie ‘protection des données à caractère personnel’ de son système d’information, en prenant la casquette de DPO externalisé.
Il les assistera alors à évaluer le niveau de conformité, cartographier les données personnelles dans les différentes applications, minimiser les données, établir les PIA, privacy impact assessment, étude d’impact sur la vie privée, constituer les procédures de gestion des droits des individus (accès, rectification, suppression, …).
Ainsi qu’à gérer les consentements des individus, l’archivage, la gestion des incidents, établir la politique de protection des données, assurer le chiffrement, l’authentification, la traçabilité, le transfert de données, le conseil en mesures de sécurité et de protection des données, écrire la charte informatique, assurer la sensibilisation des personnels, et à auditer le tout.
Enfin à préparer des clauses types pour les appels d’offre, la revue des contrats, des conventions, le dialogue avec certains éditeurs / sous-traitants, cadrer les échanges avec les tiers, les évaluer, les scorer.
Ce n’est pas qu’une obligation, une contrainte, le règlement RGPD est une chance, une opportunité de faire de notre système d’information, non pas seulement un Big Data où personne ne se préoccupe des milliards de contenus, mais justement un contenant sécurisé où les droits de la vie privée de chacun sont respectés.
Depuis un an, les plaintes des individus, les contrôles réalisés en France par la CNIL et les sanctions consécutives sont et font légions.
Ces dernières sont souvent accompagnées par une exposition médiatique peu flatteuse, et/ou par une amende qui peut être substantielle, voire par des suites pénales.
En tous cas, ce règlement européen à la protection des données fait vraiment évoluer les mentalités, de nos dirigeants, des utilisateurs, des individus. Ces derniers sont plus au courant de ce que les sociétés, organismes, administrations ont le droit de faire et de ne pas faire. Ce règlement permet d’accroître les mesures de sécurité appliquées aux périmètres sensibles, permet de donner plus de sens à la valeur de la donnée, et par la même à notre patrimoine informationnel. Que nous devons tous et chacun tâcher de préserver, afin d’en assurer l’intégrité, la confidentialité et la finalité.
- Les principaux manquements sanctionnés furent les suivants : défaut d’information aux collaborateurs, irrespect des droits des individus, manque de mesures de sécurité, absence de politique et de process de sécurité, ou alors non appliqués, non définition des responsabilités entre responsable de traitement et sous-traitants, manque de PIA sur des applications critiques, traitement illicite de données personnelles.
En tous cas, ce règlement européen à la protection des données fait vraiment évoluer les mentalités, de nos dirigeants, des utilisateurs, des individus. Ces derniers sont plus au courant de ce que les sociétés, organismes, administrations ont le droit de faire et de ne pas faire. Ce règlement permet d’accroître les mesures de sécurité appliquées aux périmètres sensibles, permet de donner plus de sens à la valeur de la donnée, et par la même à notre patrimoine informationnel. Que nous devons tous et chacun tâcher de préserver, afin d’en assurer l’intégrité, la confidentialité et la finalité.
A propos de Xavier Filiu. RSSI - DPO - Département SSI - Sécurité des Systèmes d’Information PROXIAD Responsable de la Sécurité des Systèmes d’Information & Data Protection Officer
Près de 30 ans dans la direction de projets informatiques, RSSI depuis 15 ans, DPO depuis 4 ans, Xavier Filiu a défini et mis en place des stratégies, politiques et solutions de sécurité et de protection des données dans différents types d'entreprises, de services, industrielles, financières, notamment au regard des exigences clients et réglementaires.
Il a su rapidement profiter des standards et des règlements comme des leviers de sponsoring des projets sécurité souvent considérés comme de coûteuses contraintes. Il en décelait la valeur ajoutée apportée aux métiers pour convaincre le management et contribuer activement à la réduction des risques.
Il a su rapidement profiter des standards et des règlements comme des leviers de sponsoring des projets sécurité souvent considérés comme de coûteuses contraintes. Il en décelait la valeur ajoutée apportée aux métiers pour convaincre le management et contribuer activement à la réduction des risques.