RGPD : la pa­role aux en­tre­prises !

RGPD La pa­role aux en­tre­prises ! Si de nom­breuses en­tre­prises n’ont pas en­core dé­bu­té le chan­tier, ou très peu, d’autres l’ont dé­jà en­ta­mé de­puis plu­sieurs mois. Nous avons in­ter­ro­gé trois d’entre elles pour com­prendre leurs dé­marches.

L'Informaticien - - SOMMAIR - ÉMI­LIEN ERCOLANI

Le RGPD est un chan­tier in­for­ma­tique im­por­tant qui de­mande du temps, des ef­forts et des in­ves­tis­se­ments. C’est ce qui res­sort des in­ter­views que nous avons me­né avec des en­tre­prises qui ont toutes com­men­cé les tra­vaux de­puis plu­sieurs mois. Un autre élé­ment nous pa­raît in­té­res­sant : sur les trois té­moi­gnages que nous avons re­cueillis, nos in­ter­lo­cu­teurs as­surent qu’ils ont pris ce texte comme une op­por­tu­ni­té et non pas comme une contrainte. « Nous es­ti­mons tout d’abord que c’est une op­por­tu­ni­té com­mer­ciale, en pre­mier lieu car la ma­jo­ri­té de nos concur­rents sont Amé­ri­cains et que nous nous de­man­dons s’ils pour­ront se confor­mer stric­te­ment au texte » , ex­plique Alexis Re­nard, di­rec­teur gé­né­ral de Mail­Jet, une so­lu­tion fran­çaise d’e- mai­ling. « Nous ne sommes pas cer­tains qu’ils fassent l’ef­fort. Par ailleurs, nous es­ti­mons aus­si que c’est une op­por­tu­ni­té dans le sens où c’est une oc­ca­sion par­faite pour re­nouer le dia­logue avec un cer­tain nombre de nos clients » . Pour Mi­chael Nguyen, Head of Ma­na­ge­ment and Control de Scor, un ré- as­su­reur fran­çais, « C’est d’abord l’oc­ca­sion de mieux pro­té­ger les don­nées mais ce se­ra aus­si un fac­teur dif­fé­ren­ciant à terme. Je pense que l’uti­li­sa­tion abu­sive des don­nées per­son­nelles qui pour­rait en être faite par cer­tains grands ac­teurs de l’In­ter­net va conduire cer­tains “hack­ti­vistes ” à tout faire pour mieux les pro­té­ger. L’ar­ri­vée des mil­len­nials, la gé­né­ra­tion Y, va aus­si bous­cu­ler cet as­pect dans le sens où il fau­dra ap­por­ter des ga­ran­ties » . Mail­Jet, une PME moyenne avec en­vi­ron 120 em­ployés, pos­sède un avan­tage ma­jeur : créée en 2010, elle n’a pas à as­su­mer un « his­to­rique » , un « le­ga­cy » , sou­vent lourd à gé­rer et à faire évo­luer. « Nous sommes une en­tre­prise agile et c’est un ob­jec­tif de le res­ter à tous ni­veaux, pas uni­que­ment in­for­ma­tique » , pour­suit Alexis Re­nard. De ce point de vue le chan­tier de la mise en confor­mi­té vis- à- vis du RGPD semble plu­tôt simple car c’est une toute autre or­ga­ni­sa­tion dans des struc­tures plus grandes. « Chez nous, le pro­jet est pla­cé sous le signe de la trans­for­ma­tion de l’en­tre­prise. Il mêle tant l’IT que les di­rec­tions mé­tier,

Le RGPD est une op­por­tu­ni­té par­faite pour re­nouer le dia­logue avec un cer­tain nombre de nos clients Alexis Re­nard, di­rec­teur gé­né­ral de Mail­Jet

no­tam­ment en ce qui concerne l’as­pect « pri­va­cy by de­si­gn » . C’est donc la culture d’en­tre­prise qui doit chan­ger et s’adap­ter, sur­tout pour les nou­veaux pro­jets » , nous ex­plique la DPO ( Da­ta Pro­tec­tion Of­fi­cer) d’une as­su­rance mu­tua­liste qui pré­fère gar­der l’ano­ny­mat. La re­la­tive pe­tite taille de Mail­Jet a aus­si évi­té de pas­ser par un cir­cuit plus com­plexe que connaissent les grandes en­tre­prises : « vendre » le su­jet à un co­mi­té de di­rec­tion. Mais dans nos deux exemples, le co­mex s’est vi­si­ble­ment mon­tré ré­cep­tif. « Il est vrai que lorsque j’ai pré­sen­té le pro­jet, il y a eu des in­com­pré­hen­sions. L’as­su­rance est un mé­tier très ré­gle­men­té mais après tout, la don­née client c’est notre coeur de mé­tier. Lors de la pré­sen­ta­tion de­vant le co­mex, j’ai réus­si à faire pas­ser le mes­sage se­lon le­quel le RGPD ser­vait avant tout à pré­ser­ver le droit des per­sonnes. La dif­fi­cul­té que j’ai ren­con­trée est plu­tôt sur le fait que d’autres ré­gle­men­ta­tions viennent s’ajou­ter au RGPD dans le monde de l’as­su­rance, et no­tam­ment la di­rec­tive sur la dis­tri­bu­tion d’as­su­rance ( IDD : In­su­rance Dis­tri­bu­tion Di­rec­tive) » . « Comme dans le sec­teur ban­caire, le mé­tier de ré­as­su­reur est ba­sé sur la confiance. De fa­çon gé­né­rale, on peut consta­ter que l’amende de 4 % du chiffre d’af­faires a eu des ef­fets et a in­ci­té les ac­teurs à ren­for­cer leurs ac­tions pour pro­té­ger les don­nées. Chez Scor, nous avons la chance d’avoir un Chief Com­pliance Of­fi­cer, dont dé­pend le Da­ta Pri­va­cy Of­fi­cer, et le top ma­na­ge­ment est for­te­ment mo­bi­li­sé sur ce su­jet » , as­sure Mi­chael Nguyen.

Comment elles s’y sont pré­pa­rées

L’avan­tage de toutes les en­tre­prises qui doivent se confor­mer au RGPD est sur­tout que per­sonne ne part de zé­ro. Nombre de me­sures du texte sont plus ou moins dans le même état d’es­prit que la loi In­for­ma­tique et Li­ber­tés de 1978, à la­quelle cha­cun de­vrait dé­jà (!) être conforme. « C’est tou­te­fois aus­si une pro­blé­ma­tique dans le sens où on ré­écrit une loi vieille de 40 ans, et que beau­coup de ques­tions d’ordre opé­ra­tion­nel se posent ac­tuel­le­ment » , ex­plique la DPO de l’as­su­reur qui mo­bi­lise sur­tout deux ex­perts de la pro­tec­tion des don­nées sans comp­ter « plu­sieurs ana­lystes, un chef et un di­rec­teur de pro­jets » . Tous nos in­ter­lo­cu­teurs ont dé­bu­té le chan­tier en 2016, mais les moyens dé­ployés ne sont évi­dem­ment pas les mêmes. Chez Scor, qui compte plus de 2 500 col­la­bo­ra­teurs, une di­zaine de per­sonnes tra­vaillent sur le RGPD qua­si à plein temps mais « en tout une soixan­taine de per­sonnes sont concer­nées au sein des dé­par­te­ments mé­tier, ju­ri­diques, confor­mi­té, etc. » , pré­cise Mi­chael Nguyen. Deux per­sonnes sont prin­ci­pa­le­ment concer­nées chez Mail­Jet. « Nous avons été prag­ma­tiques : le chan­tier a été lan­cé il y a plus d’un an et nous sommes en cours de cer­ti­fi­ca­tion ISO 27001, qui adresse en par­tie le prin­cipe de « l’ac­coun­ta­bi­li­ty » et la par­tie tra­ça­bi­li­té des don­nées » , ex­plique Pierre

Pu­chois, CTO de Mail­Jet et pi­lote du pro­jet RGPD. Toutes sont aus­si pas­sées par une phase de car­to­gra­phie ou d’au­dit. No­tam­ment chez Mail­Jet. « Nous avons dé­bu­té par une éva­lua­tion des risques, ce qui a ap­por­té mé­ca­ni­que­ment le plan de tra­ça­bi­li­té afin de dé­mon­trer ce qui a été réa­li­sé » . Ce­la a en­traî­né des mo­di­fi­ca­tions et Pierre Pu­chois rap­pelle que c’est avant tout un pro­jet tech­nique, lé­gal et opé­ra­tion­nel au ni­veau des pro­ces­sus. « Nos ou­tils doivent donc in­té­grer de nou­veaux pro­ces­sus si nous vou­lons al­ler au bout de la lo­gique » , ajoute- t- il. Le spé­cia­liste fran­çais de l’e- mai­ling a choi­si de se lan­cer seul, en fai­sant mon­ter en com­pé­tences ses équipes in­ternes, en tout cas sur la par­tie tech­nique ; une dé­ci­sion plu­tôt na­tu­relle dans le sens où il a con­çu lui- même ses pro­ces­sus de­puis le dé­but. Car il se fait ac­com­pa­gner pour les as­pects lé­gaux et pense à se do­ter d’un CIL qui au­ra « la ca­pa­ci­té de faire la tra­duc­tion sur cer­tains textes » . Cet as­pect lé­gal pose de nom­breuses ques­tions. C’est no­tam­ment le cas sur la por­ta­bi­li­té des don­nées et le droit à la li­mi­ta­tion des trai­te­ments, deux dis­po­si­tions pré­vues dans le texte. « Ce­la veut dire qu’une per­sonne peut de­man­der à ge­ler ses don­nées. Nous avons en­core des in­ter­ro­ga­tions sur comment y par­ve­nir » , sou­ligne- t- on chez l’as­su­reur mu­tua­liste. Lui aus­si a réa­li­sé des études de risques et pré­voit d’autres études d’im­pact sur le consen­te­ment no­tam­ment. Il a éga­le­ment choi­si de se faire ac­com­pa­gner par un pres­ta­taire ex­terne spé­cia­liste de la ges­tion de la confor­mi­té, le ca­bi­net DPMS. Ce qui semble in­évi­table, c’est en tout cas l’im­plé­men­ta­tion de nou­veaux ou­tils. « Il fau­dra te­nir un re­gistre pour chaque di­rec­tion mé­tier. Idéa­le­ment il de­vra uni­fier le tout au­tour d’un work­flow qui reste à conce­voir. C’est un ou­til qui per­met­tra d’ac­com­pa­gner l’ac­coun­ta­bi­li­ty » , pré­cise notre in­ter­lo­cu­trice. Chez Scor, Mi­chael Nguyen trans­met une dé­cep­tion à l’égard des con­seils. « Nous avons dé­jà un CIL en in­terne. Lorsque nous avons com­men­cé le pro­jet à la fin 2016, j’ai son­dé le mar­ché pour trou­ver des com­pé­tences ju­ri­diques ( ca­bi­nets ex­ternes) mais aus­si une équipe pro­jet pour nous ai­der à le pi­lo­ter et un ac­com­pa­gne­ment tech­nique en termes de cybersécurité. Mon bi­lan est que les offres ne sont pas ma­tures. Il n’y a que peu de vi­sion ho­lis­tique de la part des ac­teurs qui sont cen­sés nous ac­com­pa­gner » , es­time- t- il.

« Com­pliant by De­si­gn »

Tous nos in­ter­lo­cu­teurs sont donc quo­ti­dien­ne­ment ap­pe­lés à ma­ni­pu­ler des don­nées per­son­nelles, mais elles dif­fé­rent bien en­ten­du se­lon leurs ac­ti­vi­tés res­pec­tives. Tant chez l’as­su­reur mu­tua­liste que chez Scor, ce sont des don­nées per­son­nelles qui com­prennent aus­si des don­nées de san­té. « Nous pou­vons avoir un as­su­reur qui vient nous voir avec une base de plu­sieurs di­zaines de mil­liers d’as­su­rés pour nous de­man­der si l’on sou­haite par­ta­ger les risques.

Nous dis­po­sons donc de don­nées de san­té » , confirme Mi­chael Nguyen. Chez Mail­Jet on dis­tingue deux types de don­nées : celles des clients ( nom, pré­nom, mail, etc.) et celles « de nos clients qui peuvent char­ger une base sur la­quelle il vou­dra en­voyer des mes­sages. Cette liste contient des adresses mails. D’un cô­té, nous avons donc les in­for­ma­tions client qui sont trai­tées de ma­nière clas­sique, et de l’autre des in­for­ma­tions sur les­quelles nous avons de la vi­si­bi­li­té mais qui ap­par­tiennent à nos clients » , ex­plique Pierre Pu­chois, le CTO de l’en­tre­prise. Le spé­cia­liste fran­çais de l’e- mai­ling est dans la po­si­tion du sous- trai­tant ( « da­ta pro­ces­sor » dans le texte an­glais du RGPD), et prend en charge l’hé­ber­ge­ment. Mail­Jet tra­vaille avec OVH « pour le cô­té sou­ve­rain » , mais aus­si avec Google mais « pas pour le pro­ces­sing de don­nées » . En re­vanche, « notre in­fra­struc­ture est construite afin de pou­voir lo­ca­li­ser les don­nées dans le pays où elles doivent être. Les sen­si­bi­li­tés en la ma­tière va­rient d’un pays à l’autre. C’est une stra­té­gie d’en­tre­prise mais ce­la par­ti­cipe à ce que l’on re­trouve dans le texte » , pré­cise Alexis Re­nard, di­rec­teur gé­né­ral de Mail­Jet.

Sé­cu­ri­té, confor­mi­té… et no­ti­fi­ca­tions !

Afin de gé­rer ces don­nées en confor­mi­té avec le texte, deux as­pects s’im­posent à tous : la sé­cu­ri­té et la confor­mi­té. Pour le pre­mier, les en­tre­prises ont vi­si­ble­ment peu de pro­blèmes à trou­ver ce qu’elles cherchent même si des in­ter­ro­ga­tions sur le pé­ri­mètre de chif­fre­ment par exemple s’im­posent. Le pro­ces­sus semble tou­te­fois na­tu­rel se­lon l’ac­ti­vi­té. se­lon Scor, qui réa­lise ré­gu­liè­re­ment des études ac­tua­rielles, « au­jourd’hui, nous sommes dans une phase d’étude sur ce que l’on chiffre ou non » . « Le texte parle de me­sures de sé­cu­ri­té « adé­quates » , mais je ne pense pas que le tout chif­fré soit la so­lu­tion. Le tout est de sa­voir comment mieux se ren­for­cer » , ex­plique Mi­chael Nguyen. L’as­su­reur mu­tua­liste semble quant à lui faire le choix de la pseu­do­ny­mi­sa­tion, sans tou­te­fois don­ner plus de dé­tails. Mail­Jet a, dans une dé­marche de bonnes pra­tiques, in­té­gré du « ma­na­ge­ment des don­nées sur [ le] SI qui passe par l’in­té­gra­tion d’ou­tils d’ad­mi­nis­tra­tion, et de la double au­then­ti­fi­ca­tion forte sur des plates- formes com­plè­te­ment in­dé­pen­dantes de [ la] pla­te­forme » . « Nous sommes dans une forme d’ano­ny­mi­sa­tion » , es­time Pierre Pu­chois. En­fin, la né­ces­si­té de no­ti­fier les failles dans les 72 h est en­core gé­né­ra­le­ment un su­jet à l’étude. Pour­tant, ce­la ne semble pas ef­frayer outre me­sure. L’as­su­reur mu­tua­liste, qui dis­pose de plu­sieurs fi­liales en Eu­rope, ré­flé­chit en­core : « quelle Cnil aver­tir en fonc­tion de là où se trouve l’in­ci­dent » . En ef­fet, la ré­flexion se porte ain­si : soit la Cnil du pays de la mai­son mère re­çoit toutes les no­ti­fi­ca­tions, soit elles sont en­voyées se­lon le pays où s’est dé­rou­lé l’in­ci­dent. « En re­vanche pour ce qui est des no­ti­fi­ca­tions en règle gé­né­rale, nous sommes dé­jà ro­dé à l’exer­cice via notre po­li­tique en ma­tière de ges­tion de crise » , pour­suit notre in­ter­lo­cu­trice. « La dif­fi­cul­té lorsque sur­vient un in­ci­dent est de sa­voir si nous avons bien af­faire à une faille ou non. L’im­por­tant est de sa­voir ce qui a été per­du : don­née, per­son­nelle ou non, etc. Donc la dif­fi­cul­té se si­tue plu­tôt dans la dé­tec­tion, de l’ana­lyse jus­qu’à la com­mu­ni­ca­tion » , ex­plique quant à lui Mi­chael Nguyen. Mai lJet dis­pose quant à elle d’une phi­lo­so­phie plus mo­derne due à sa re­la - tive jeu­nesse. « La no­ti­fi­ca­tion des failles est de l’ordre de la bonne pra­tique, c’est de la trans­pa­rence et nous l’avons dé­jà fait. À chaque in­ci­dent que nous avons ren­con­tré, nous avons com­mu­ni­qué dans les 24 heures. D’au­tant plus que nous avons une page sur notre site web qui per­met de connaî t re l’état de la plate- forme à tout mo­ment » , ex­plique le di­rec­teur gé­né­ral. ❍

Au­jourd’hui nous sommes dans une phase d’étude sur ce que l’on chiffre ou non Mi­chael Nguyen, Head of Ma­na­ge­ment and Control – Scor

En ma­tière de trans­pa­rence, Mail­Jet pro­pose une page qui donne l’état de ses ser­vices en temps réel et ré­per­to­rie les in­ci­dents.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.