@DPONews @cyberisques Xavier Leclerc, PDG de DPMS: "Nous délivrons (UDPO) une carte professionnelle pour les DPO après examen auprès d'examinateurs agréés par Bureau Véritas certification"

 

Entretien: @jpbichard

 

 

Xavier Leclerc, PDG de DPMS, CIL/DPO externalisé, co-fondateur de l'AFCDP:

"Nous délivrons (UDPO) une carte professionnelle pour les DPO après examen auprès d'examinateurs agréés par Bureau Véritas certification"

 

 


Vous venez de signer un accord de partenariat avec IBM pour aider les organisations notamment via leurs futurs DPO à devenir RGPD-Compliance. IBM ne disposait pas d'outils de ce type ?

 

Ils disposaient d'une solution « globale de gouvernance » des bases de données avec leur outil « Case Manager » notamment. Le nôtre, PrivaCIL, est un outil "métier" qui permet une capillarité plus fine afin d'aller au delà d'une gestion globale de la donnée pour réaliser des remontées précises au DPO dans le cadre de l’accountability. Par exemple, suite à une demande spécifique d'un client concernant ses données à caractère personnel, nous remontons directement les informations liées à son environnement personnel par les outils d’IBM et Privacil va gérer la conformité de la réponse apportée en termes de timing, de contenu et l’inclure dans le bilan du DPO.

 

 


Quel regard portez vous sur les projets GDPR / RGPD à moins de 11 mois de l'entrée en vigueur du règlement européen au sein des 28 pays membres de l'UE ?

 

C'est assez contrasté. Si une prise de conscience existe, en termes opérationnels, la plupart des budgets GDPR seront dotés d'outils lors des affectations budgétaires de l'exercice 2018. Je note que si les grands comptes bougent, les TPE / PME m’inquiètent davantage. Que font les CCI , les commissaires aux compte et les principaux acteurs de ce secteur pour sensibiliser ?

 

 


De votre côté, DPMS et UDPO (Union des DPO), vous avez créé une certification pour les futurs DPO et expert RGPD (RSSI, Réféfents Informatique et Libertés…) en partenariat avec Bureau Veritas certification. Quand sortent les premiers certifiés ?

 

Bientôt ! Pour Nous la solution c’est la fédération et la mutualisation des moyens et surtout pas les initiatives individuelles de tel ou tel cabinet d'avocats par exemple. Nos premieres formations certifiantes sont programmées pour la fin juin et le début juillet de cette année via l'entité formation de DPMS qui assure les cours (ANAXIL). Le premier examen de certification devrait avoir lieu à l’automne avec Bureau Véritas Certification.

 

 


Quels contenus sont développés en priorité auprès des élèves futurs DPO ?

Plusieurs volets existent durant les six jours que dure la formation. Nous évoquons bien entendu les rappels indispensables sur la loi informatique et libertés toujours à la base du RGPD. Nous revenons sur les principes de base liés à la sécurité des données, aux droits des personnes à exercer des demandes (accès, oubli...). Il faut comprendre que le métier de CIL et de DPO suppose aussi la mise en place d'outils nécessaires à une revue initiale de conformité via la tenue obligatoire de registres par exemple.

 

 


Quelle légitimité apportez-vous avec cette formation et son diplôme ?

 

Nous délivrons (UDPO) une carte professionnelle après examen auprès d'examinateurs agréés par Bureau Véritas certification. La carte sera délivrée aux adhérents de l’UDPO après leur succès à l’examen. Ils devront prouver avoir effectué deux ans d'exercice en tant que DPO ou dans le secteur Informatique et Libertés. C'est une bonne approche. Cette certification EUR sera la seule en Europe proposer une formation via des organismes européens. Le modèle existe depuis deux ans en Italie.

 

 


Pensez-vous que des cabinets d'avocats ou de conseils sont légitimes pour offrir des prestations de services de type « DPO as a service » ou services de DPO externalisés ?

 

Nous ne faisons pas le même métier que les avocats. Les avocats qui veulent faire du conseil au delà du juridique (pratique métier) c'est inconcevable. D'ailleurs, ils recherchent en permanence des partenaires. Je suis harcelé chez DPMS par les cabinets d'avocats qui veulent des outils compliance GDPR. Mais chacun son métier et je ne parle pas des ambiguïtés entre juge et partie. En partenariat, c’est autre chose…

 

 


Quels avantages concurrentiels voyez-vous au GDPR ?

 

Il y en a beaucoup à commencer par une plus grande qualification des données. La transparence paye. Les Données « compatibles GDPR » sont dés lors inscrites dans le nouveau cadre réglementaire ce qui facilite les échanges. En marketing, les bases de données clients deviendront plus fiables via des informations authentiques donc fiables. Le « Cross selling » autorisera alors une meilleure connaissance des clients et des approches plus ciblées dans le respect d'une réglementation EU.

 

Propos recueillis par @jpbichard cyberisques News @DPOnews

 

 

Outil PrivaCIL : une démarche structurée pour devenir « RGPD-Compliance »

 

Avec La solution PrivaCIL renferme un outil SaaS dédié aux CIL/DPO. Le Groupe DPMS (DATA PRIVACY MANAGEMENT SYSTEM), a signé un partenariat avec IBM dans le cadre de son offre PrivaCil en version 7. Elle offre aux organisations de toutes tailles l'opportunité de piloter une mise en conformité de leurs « data gouvernance » avec le Règlement Général européen sur la Protection des Données (RGPD), qui entrera en vigueur le 25 mai 2018.
PrivaCIL-DPMS s’adresse à tous les organismes et toutes les personnes en charge de la gestion des données à caractère personnel : Responsable des Traitements (RT), Correspondant Informatique et Libertés/Data Protection Officer (interne, externe ou mutualisé) et Référent/Relais I&L, RSSI, Chefs de projet et toute autre personne autorisée par l’un des précédents profils.

 


BONUS :

 

http://cyberisques.com/mots-cles-5/646-dpo-news-jpbichard-gdpr-entretien-xavier-leclerc-pdg-dpms-privacy-is-good-for-business

 

 

Yannick Bolloré PDG Havas : « Des Big Data au Smart Data » : « Des Big Data au Smart Data »

BigDataParis 2017

 

Yannick Bolloré PDG Havas : « Des Big Data au Smart Data »

Yannick Bolloré-DPO NEWS-2017

 

Bien que peu commenté sur les stands de l'édition 2017 de BigDataParis qui s'est achevée hier 7 mars, le nouveau règlement européen GDPR -RGPD était présent lors des débats avec notamment des groupes tels que Havas et Société Générale pour évoquer les missions du DPO.

 

 

Replaçons d'abord dans un contexte plus large, les enjeux du futur règlement européen. Le marché de la donnée et plus largement celui du Big Data devrait selon PAC représenter une croissance de 10% par an sur la période 2013 – 2019. Sur cette même période en France, le marché des logiciels et services n’excédera pas toujours selon les consultants de PAC 2% de croissance. Bref le marche traditionnel (analytique) se tasse et celui du futur, services et outils « big data » se développe. Un développement qui doit répondre à certains contrôles : 56% des entreprises interrogées pour le livre Blanc de GFI (Les vrais chiffres du Big Data) jugent la donnée critique pour le Business.

C'est aussi ce qu'estiment bon nombre de dirigeants et DPO à commencer par Yannick Bolloré, PDG d'Havas. En prenant la casquette de publicitaire, il évoque le lien entre messages Pub ciblés et géolocalisés pour chaque consommateur et « progrès techniques ».

Première chose, lors d'un entretien accordé à DPO_News, Yannick Bolloré confie « sa foi totale dans les enjeux du GDPR comme un nouvel avantage concurrentiel pour les entreprises et notamment Havas ».

« Nous sommes désormais dans un monde post digital au sens ou les algorithmes maîtrisés par les Data Scientists vont nous permettre d'accéder à une connaissance client jamais atteinte jusqu'alors en passant du Big data à la smart data ».

 

Abonnemnt-2017

 

 

La patron d'Havas cite sa propre inexpérience en arrivant en 2014 à l'aéroport de San Francisco aux US pour un rendez vous Business chez Google : «  j'ai reçu un SMS à mon nom personnalisé me proposant à proximité de mon hôtel mon plat favori de Sushis » Nom, heure d'arrivée, lieu, hôtel, préférences culinaires étaient connues de...Google ; Lors de mon RdV un chercheur de Google m'a expliqué qu'il « testait » ce type d'approche ciblée via des données recueillies analysées et compilées à partir de on agenda électronique, mes mails pour les réservation de vols et d’hôtel et un échange sur Facebook pour les goûts en matière de sushis ». Question : si les publicitaires sont tentés par ce type d'approche « géolocalisée » et « hyper personnalisée » qu'en pense la CNIL ? Ou comment trouver le « juste milieu » entre liberté et avantages économiques ?

@jpbichard

(Lire aussi pour nos abonnés @DPO_NEWS : Métier de DP sur DPO_NEWS : Société Générale, Emmanuelle Payan, DPO Groupe)  

 

Phot-JPB-DPO NEWS

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

This email address is being protected from spambots. You need JavaScript enabled to view it.

@cyberisques @jpbichard @DPO_NEWS

 

ORANGE sanctionnée par la CNIL pour défaut de sécurité des données

La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing


(Source CNIL) 25 août 2014

A la suite d'une faille de sécurité concernant les données de plus d'un million de clients, la CNIL a effectué un contrôle au sein de la société ORANGE et de ses prestataires. Des lacunes de sécurité ayant été identifiées, la formation restreinte prononce un avertissement public.
En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile.
La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction.
Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.
La formation restreinte a toutefois retenu que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire.
La formation restreinte en a déduit que la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi " Informatique et Libertés " et a prononcé à son encontre un avertissement public.


BONUS: 

Délibération de la formation restreinte n°2014-298 du 7 août 2014 prononçant un avertissement à l'encontre de la société ORANGE:

http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2014-298_avertissement_ORANGE.pdf

 

Olivier Ligneul Directeur de la Mission Technique & Sécurité, RSSI du Groupe, EDF : " Il faut aussi savoir sortir d'une crise "

Cyber expert: Olivier LIGNEUL; Group Chief Information Security Officer
Directeur de la Mission Technique & Sécurité - RSSI du Groupe
EDF - Direction des Systèmes d'Information Groupe


Olivier Ligneul Directeur de la Mission Technique & Sécurité, RSSI du Groupe EDF :

 Il faut aussi savoir sortir d'une crise "

 

 

La nouvelle réglementation Européenne qui entrera en vigueur si tout va bien au printemps prochain implique entre autres la nomination d'un DPO, Data Protection Officer, et la déclaration dans les 72h00 des incidents en cybersécurité. Ce sont des mesures positives ?

Oui. Chez EDF ce n'est pas nouveau. Nous réalisons déjà ce type de procédures qui renforcent la sécurité et la mise en conformité. Cette notification à la CNIL devra se faire sans retard injustifié, si possible dans les 72 heures à compter de la connaissance de cette violation de données ; d'où une mise à jour de notre PSSI et du dispositif d'astreinte pour prévenir le DPO. Le seul souci est de déterminer exactement le périmètre propre à ces cyber-attaques. En fait il s'agit d'ajouter cette nouvelle typologie à des procédures existantes. La complexité réside vraisemblablement dans le changement de la qualité de la donnée issue d'un outil SOC et du SIEM (outil de corrélation de logs) pour la traduire au sein d'une matrice qui positionne la donnée dans un niveau de criticité. Il s'agit là d'une sorte de référentiel de classification.

 

Reste qu'aucun outil aujourd'hui en 2016 n'apporte une réelle solution au problème de classification des données en tenant compte de la gestion de cycle de vie des données ?

C'est exact, ce type d'outil est très lié à chaque métier et peut concerner même des échanges sectoriels.


Selon les principes contenus dans la future réglementation européenne sur la protection  des données, le responsable du traitement devra communiquer aux personnes concernées les informations suivantes au moment de la collecte des données :

– L'identité du responsable du traitement (et son adresse)

– L'objet du traitement

– Les destinataires des données

- La durée de conservation des données

– Le droit d'accès, de rectifier ou de supprimer les données

– Le droit à la portabilité des données

– Le droit de saisir la CNIL

– L'obligation de fournir ses données pour remplir une obligation contractuelle...

A quelle fréquence estimez-vous chez EDF devoir faire auprès de la CNIL ce type de déclaration ?

EDF se conformera aux attentes de la CNIL en la matière. Il est très difficile d'estimer cette volumétrie à ce stade.

 

Disposez-vous des outils nécessaires pour gérer les alertes et le suivi de ces alertes en cas de crise majeure?

Nous disposons d'outils. Cependant, je pense que le problème n'est pas là. La gestion des crises fait partie intégrante de notre métier. Être efficient c'est possible. Reste, au-delà des outils, l'analyse humaine. Il convient de discerner parmi cette masse de signaux le signal souvent faible qui constitue l'information stratégique. Il faut aussi identifier la crise afin d'apporter la réaction adaptée. Il faut aussi savoir sortir d'une crise. En communication par exemple, ça suppose le respect d'une procédure a trois niveaux : les remontées d'informations des équipes opérationnelles sur le terrain, la traduction aux managers « tête de pont » et avant les incidents, un travail indispensable avec les communicants pour qu'ils comprennent les enjeux SSI afin de pouvoir communiquer pendant. La communication au sein de la filière SSI est stratégique: cette communication adresse les représentants internes et les réseaux de partenaires, clients et fournisseurs.

 

Vous l'avez évoqué lors de l'atelier sur la gestion de crises que nous avons animé lors du FIC 2016 avec vos collègues du CESIN, RSSi Groupe de la SNCF, d'Airbus et des Ministères de la santé et des affaires sociales, les incidents de sécurité se multiplient, deviennent rapides et agiles et occasionnent des impacts touchant de plus en plus les métiers. Comment fédérez-vous et organisez-vous vos sources d'informations au delà des flux issus des SOC, SIEM et CERT sans omettre les cercles de RSSI ?

En plus des informations complémentaires au niveau juridique, de la communication, des métiers de l'entreprise et celles d'outils spécifiques comme les SIEM, l'information en cas de crise doit être anticipée. Il est important de faire des exercices de cyber crise globaux orientés tête de groupe mais également dans la filière technique et les métiers par exemple.

 

Qui gère les Si ICS / Scada au sein d'un groupe tel que EDF ? Automaticiens et informaticiens affichent des priorités et culture différentes. Êtes vous favorable à la nomination d'un RSSi industriel ?

Les environnements Scada recouvrent plusieurs aspects en terme de cybersécurité et leur maintien au sens maintenir les équipements et automates à jours via des patchs peut rendre les procédures plus complexes. Des solutions sont déployées pour les rendre étanches face aux interconnexions. Coté patch, le virtuel patching constitue une piste. Nous disposons d'un réseau de RSSI industriels et de capacités de veille.

 

Dernière question : chez EDF comme dans beaucoup de grandes organisation, la mobilité prend une place stratégique. Selon le Gartner, près de 2 entreprises sur 5 utiliseront exclusivement le BYOD d'ici 2016 et elles seront 85 % d'ici 2020. Le BYOD peut poser des problèmes spécifiques en sécurité (règles internes relatives à la confidentialité des données, pertes de devices mobiles, conversations non chiffrées..) Etes-vous favorable a donner des terminaux « durcis » aux membre du COMEX ou a d'autres « profils » par exemple ?

Bâtie autour du concept de défense en profondeur, nous avons adapté notre politique de sécurité autour de la mobilité et du BYOD à ces nouveaux enjeux et aux différents profils.

 

Propos recueillis par @jpbichard 

 

 

 

 

BONUS: 

http://cyberisques.com/mots-cles-15/499-fioc-2016-ateliet-gestion-de-crise-rssi-groupe-sncf-edf-airbus-ministeres

 

Réaction de la CNIL et du CLUSIF à la Loi de programmation militaire

 

Promulgation de la loi de programmation militaire : la CNIL fait part de sa position

20 décembre 2013

Réunie le 19 décembre 2013 en séance plénière, la Commission a souhaité faire part de sa position à la suite de la promulgation de la loi de programmation militaire, notamment son article 20. Elle regrette de ne pas avoir été saisie de ces dispositions par le Gouvernement lors de l’examen du projet de loi qui lui a été soumis ; à ce titre, elle souhaite à l’avenir être systématiquement consultée pour tous les textes législatifs ou réglementaires concernant les données personnelles. Elle déplore que la rédaction définitive du texte semble autoriser un accès aux données de contenu et non seulement aux données de connexion. Elle sera très vigilante sur la rédaction des décrets d’application de la loi qui devront lui être soumis.

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information