La complaisance, ennemi des entreprises face au RGPD

NTT Security, branche sécurité du groupe NTT, vient de lancer une gamme complète de services RGPD* pour les entreprises soucieuses de connaître leur niveau actuel de préparation. Pourtant, selon elle, certaines entreprises semblent céder à une certaine complaisance face à l’échéance du Règlement Général sur la Protection des Données.

Alors que l’échéance du 25 mai 2018 se profile à l’horizon, NTT Security constate que les entreprises restent dans le flou quant aux mesures à prendre pour assurer leur pleine conformité au RGPD. Et si certaines ont déjà pris les devants, elles ne sont finalement pas toujours 100% conformes, ce qui les expose à des amendes pouvant atteindre 20 millions d’euros ou 4% de leur chiffre d’affaires annuel mondial – en fonction du montant le plus élevé.

« La complaisance pourrait bien devenir le nouvel ennemi des entreprises » selon Rob Bickmore, conseiller principal en sécurité chez NTT Security. « Elles savent que le RGPD sera bientôt applicable mais il y a encore des incertitudes sur leurs obligations et les priorités à se fixer. Notre gamme complète de services RGPD comble ces écarts et traduit le règlement dans un langage compréhensible et actionnable par tous les acteurs concernés dans l’entreprise. »

Parmi les idées reçues les plus courantes :

La norme ISO27001 suffit à garantir la conformité au RGPD.

L’implémentation de contrôles liés à cette certification pose de bonnes bases mais ne répond que partiellement à l’ensemble des exigences.

Il s’agit du même processus que pour la préparation aux normes PCI DSS.

Vous devrez élargir les contrôles mis en œuvre dans le cadre du PCI DSS afin d’y inclure les informations à caractère personnel, qui elles-mêmes ne sont qu’une facette des exigences du RGPD.

Le programme RGPD de l’entreprise doit être géré par l’équipe juridique ou informatique.

En réalité, la conformité au règlement est l’affaire de tous. Cette mission ne devrait donc pas être confiée à une seule équipe : le service juridique, la DSI, les RH et les autres fonctions métiers doivent toutes y participer avec le soutien affiché des dirigeants de l’entreprise.

L’entreprise n’a pas à s’en soucier car elle a externalisé toutes ses opérations de traitement de données.

Bien que le RGPD oblige effectivement les sous-traitants à protéger les données personnelles sous leur responsabilité, il revient encore et toujours au détenteur officiel de ces données de veiller à ce que son sous-traitant implémente « les mesures techniques et organisationnelles » nécessaires à la protection des informations.

Dans le cadre de ses services RGPD, NTT Security propose aux entreprises un bilan approfondi de leur programme existant. Notre équipe d’experts peut également réaliser une analyse des écarts entre les actions correctives prévues et les mises en œuvre, mais aussi fournir un plan d’actions par priorité ou dresser une liste des mesures complémentaires à mettre en place.

Rob Bickmore ajoute : « Un bon programme RGPD doit être axé sur un objectif de conformité permanente. Mais au-delà des considérations purement réglementaires, la transposition des dispositions du RGPD dans les processus de sécurité informatique et opérationnelle d’une entreprise procure des avantages à ne surtout pas sous-estimer. »

*Principaux éléments des services RGPD de NTT Security :

  • Analyse des écarts : identification des lacunes, proposition de solutions et définition d’un plan d’actions pour la mise en conformité
  • Identification et cartographie des données personnelles : identification des emplacements et des flux d’informations à caractère personnel dans les processus IT et métiers, détection des écarts de conformité potentiels et mise en lumière des points d’amélioration
  • Examen des procédures de gestion d’incident : révision des processus d’identification et de confirmation des violations de sécurité au regard des délais de notification fixés par le RGPD
  • Contrôle d’intégrité de la sécurité et bilan de maturité : examen de conformité aux normes applicables comme les bonnes pratiques de l’Information Security Forum (ISF), la norme ISO 27001:2013 et le référentiel COBIT 5
  • Évaluations des sous-traitants : création et implémentation de processus d’évaluation des contrôles de sécurité mis en place par des entreprises externes chargées du traitement des données personnelles
  • Analyse d’impact relative à la protection des données (DPIA) : définition et implémentation d’un processus DPIA ou analyses DPIA sous forme de service
  • Conseil en architecture de sécurité : accompagnement dans la création de solutions techniques orientées RGPD et dans l’implémentation de contrôles de protection des données aux stades de conception et de développement d’applications et de systèmes
  • Protection intrinsèque des données : définition et implémentation des étapes à suivre pour garantir la conformité au RGPD
  • Conseil aux délégués à la protection des données (DPO) : conseils d’un expert RGPD pour vos DPO (Data Protection Officer)
  • Examen de l’ensemble des politiques : définition et mise en place de politiques, standards et procédures en appui des processus métiers et obligations réglementaires du client
Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?