in Avis d'experts

CYBERSECURITE: Protection des Données à caractère personnel, nouvelle réglementation – Jean Larroumets, EGERIE Software

 

GDPR : Entre exigences réglementaires et réalités du terrain

Dans le cadre de la GDPR (General Data Protection Regulation – règlement européen modifiant le cadre juridique relatif à la protection des données personnelles au sein de l’union européenne), il n’existe pas encore de standards établis mais se développe des certifications et labels qui s’inscrivent dans une démarche globale nécessitant une collaboration étroite entre : le DPD (Délégué à la Protection des Données – DPO en anglais), les métiers, la DSI et les ingénieurs, le RSSI…

Cette volonté de mise en conformité à cette nouvelle directive impacte directement les différentes politiques de sécurité informatique, demandant par là même à l’entreprise une implication de ses ressources sur ces problématiques jusqu’alors principalement gérées par les départements sécurité. C’est l’ensemble de l’environnement de l’organisation qui sera impacté. Comment les entreprises opèrent-elles ce virage ?

Moins de deux ans pour se mettre en conformité réglementaire

Le 25 mai 2018 est la date fixée à laquelle le règlement GDPR entrera en vigueur. Si pour la plupart des organisations on note une réelle volonté à construire des politiques et infrastructure sécuritaires conformes, le changement et la responsabilisation des acteurs peuvent en freiner d’autres. En effet, les cyberattaques sont l’un des plus grands risques auxquels les organismes sont confrontés aujourd’hui. Pourtant, à l’heure de la transformation digitale des entreprises, seules 7% des organisations considèrent la Cyber comme un sujet prioritaire et de premier ordre (Deloitte/Enquête 2016 « Enjeux Cyber »).

Dans notre monde numérique, le besoin de normes et de systèmes pour protéger la sécurité des informations n’a jamais été aussi important. En incluant cette date butoir, il est donc plus que nécessaire de prendre en considération le respect de la vie privée et la sécurité des données associées.

Les politiques de sécurité des systèmes d’information doivent être adaptées aux exigences du GDPR

Les politiques de sécurisation initialement fondées sur le traitement des risques pour l’entreprise et son activité doivent maintenant intégrer les risques impactant les libertés et droits de personnes physiques.

L’objectif 2018 pour les entreprises est d’établir dans leurs politiques globales en matière de sécurité mais aussi au plus tôt dans leurs projets – selon le principe de « Privacy by design » – toutes les mesures techniques, procédurales ou organisationnelles visant à traiter les risques encourus pour les personnes. Ici, c’est le responsable du traitement qui a autorité sur cet arbitrage « risques » vs « mesures ». Ce dernier doit être fondé sur une analyse d’impact relative à la protection des données[1]. » qui est conduite sous la responsabilité du Délégué à la Protection de Données.

La politique de cybersécurité englobant l’ensemble de ces mesures doit être réexaminée et actualisée régulièrement au même titre que la cartographie des risques de chaque traitement considéré comme sensible.

Une réalité terrain plutôt inquiétante   

Face à une sanction pour non respect à la réglementation qui pourrait atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial, les entreprises ont d’ores et déjà amorcé les premières mises à niveau nécessaires devant intégrer au cœur même du traitement de ses données une approche en matière de cybersécurité.

L’une des principales difficultés rencontrées par les organisations pour l’application du règlement GDPR est leur mise en conformité à l’article 35 qui, en cas de risques élevés, impose la réalisation d’études d’impact sur la vie privée et l’adaptation des politiques de sécurité associées.

Un rôle accru pour le Délégué à la Protection des Données

Dans la loi française du 06 janvier 1978 modifiée, les fonctions opérationnelles du CIL (Correspondant Informatique et Libertés) portaient essentiellement sur la tenue d’un registre des traitements pour permettre au responsable d’être exonéré de déclarations à la CNIL et un rôle de conseil sur la conformité des traitements.

A partir du 25 mai 2018, le Délégué à la Protection des Données doit remplacer le CIL. Le DPD, dont la désignation sera obligatoire dans certains cas, aura un rôle nettement accru. Il devra notamment mener des audits, tenir des comptes de risques pour la vie privée et pourra être consulté par le responsable de traitement en cas d’études d’impact. Un problème de taille se pose alors aux organisations : les ressources et les compétences de ces acteurs.

Quelles ressources pour la mise en conformité ?

La charge de travail est très importante car il faut, pour chaque traitement sensible identifié, faire une analyse de risques (une étude d’impact) qui peut s’étendre entre 5 à 10 jours de travail pour chaque analyse et nécessite une expertise dédiée. Pour exemple, si une entreprise compte 100 traitements sensibles : il faut compter 500 à 1000 jours/hommes. Dans la réalité, le DPD est souvent seul voire même dans certain cas seul et à mi-temps !

Par ailleurs, le DPD ne dispose pas toujours des compétences nécessaires à la réalisation des études d’impact qui sont ni plus ni moins des analyses de risques cybersécurité orientée « impact sur les personnes ». C’est un second problème important souligné ici. Ne maitrisant pas bien la méthode d’appréciation des risques (EBIOS, ISO27005), il doit faire appel à des compétences externes (cabinets spécialisés) afin de mettre en place un processus industrialisé d’analyse d’impact pour, peu à peu, prendre en charge ce processus en interne et en limiter le coût.

Cette méthodologie est souvent déjà maitrisée par le RSSI car assujettie à une règlementation similaire de type (homologation) ou parce qu’il a déployé une démarche conforme au standard ISO27001 supportée par le processus d’analyse de risque. Le RSSI réalisant des analyses de risques orientées « impact entreprise » et le DPD des analyses « impact sur les personnes ».

Tout l’enjeu réside ici à réussir à mettre en place un processus industrialisé des réalisations des EIVP et d’en assurer le suivi et le maintien dans la durée. Certaines solutions informatiques présentes sur le marché restent un bon moyen de répondre à cette problématique.

[1]On parle aussi d’ÉTUDE D’IMPACT SUR LA VIE PRIVÉE (EIVP) ou en anglais  PRIVACY IMPACT ASSESSMENT (PIA)

Jean Larroumets, Président Directeur Général, EGERIE Software 

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.