#GDPR #RGPD : une nouvelle réflexion sur la valeur de la donnée à caractère personnel

#GDPR #RGPD : une nouvelle réflexion sur la valeur de la donnée à caractère personnel

 

 

A moins de 10 mois de l'entrée en vigueur de GDPR (Règlement Général sur la Protection des Données – RGPD) plusieurs études et rapports sont publiés. Nous rassemblons ici quelques idées et suggestions que certaines de ces publications (étude d'IDC _ Juniper prochainement disponible) soulignent.

C'est peu évoqué, mais le RGPD dans son étét actuel n'est pas achevé (texte des pays membres pour adaptation du RGPD aux cadres nationaux en attente) et à Bruxelles de nombreux amendements sont en preparation (cf section BONUS en fin d'article).

De toute évidence, le rôle stratégique de la protection des données à caractère personnel intéresse. A commencer par le Président de la République, Emmanuel Macron qui a « ouvert le bal » à l'occasion de son discours au salon Vivatech la semaine dernière à Paris.

 

 

Lire aussi :

GDPR et gouvernance des données : http://bit.ly/2rZl3rE

GDPR et maturité des dirigeants : http://bit.ly/2rz9lBq

GDPR et nomination d'un DPO : http://bit.ly/2sOzgpd

 

 

1 - Emmanuel Macron, Président de la République : « générer l'adhésion »

« Il faut à la fois redonner des libertés de faire, de tenter, parfois d’échouer tout en créant de nouvelles protections qui soient adaptées au nouveau monde numérique, notamment en matière de protection des données personnelles ou de cybersécurité, afin de générer l’adhésion collective nécessaire. »

Source : http://www.elysee.fr/declarations/article/discours-du-president-de-la-republique-salon-vivatech/

 

Emmanuel-Macron-Juin-2017-Cyberisques-News

 

 

 

2 - CIGREF* : « la valeur stratégique de la donnée à caractère personnel »

 

« En prenant en compte les enjeux de la protection des données personnelles le plus en amont possible, concilier innovation et vie privée devient une démarche non seulement plus responsable mais aussi plus rentable. En étant conforme by design, on parie pour une innovation durable, et cela constitue in fine une réelle valeur ajoutée.

Certaines innovations d’usage créent également une nouvelle valeur stratégique : le Self Data ou le VRM (Vendor Relationship management) par exemple dessinent un nouveau paradigme économique autour des données personnelles dont certaines entreprises pourront être les pionnières : celui d’une économie symétrique, où les consommateurs/clients bénéficieront d’une valeur d’usage de leurs données, et deviendront de véritables co-créateurs de valeur. »

Source* : http://www.cigref.fr/rapport-cigref-economie-des-donnees-personnelles

 

 

3 - IDC : Karim Bahloul co-auteur d'une enquête prochainement publiée sur le GDPR (sponsor Juniper)

 

 

Quelles conclusions tirez-vous de l'enquête réalisée auprès de 150 entreprises françaises de plus de 500 salariés ?

Tout d'abord en termes de méthodologie, nous avons chez IDC souhaité obtenir des « Résultats redressés « . Autrement dit, dans un souci de représentativité nous avons travaillé via une ventilation publiées par l'INSEE en réaffectant les résultats de l'enquete pour pondérer les résultats avec une représentation proportionnelles. Coté résultat récoltés aupres des tentreprises interrogées, 9 % se disent en conformité avec le GDPR. 38% des structures disent avoir nommé un DPO (interne ou externe) soit le CIL qui évolue vers la fonction DPO ou le RSSI qui prend le lead. Je constate parfois un écart entre ce que dit le règlement pour la nomination d'un DPO et la réalité du terrain. Ainsi, 82% des grands comptes veulent un DPO en interne.

La conformité GDPR avec des données « compliance in design » constitue t-elle aux yeux des décideurs un avantage concurrentiel ?

Oui c'est même critique s'ils ne sont pas compliance comme les hébergeurs Cloud d'ailleurs. Du cote des offreurs de services d'hébergement, le reglement modifie un écosysteme en leur demandant une « certification » GDPR. Coté entreprises, le GDPR pour 58% représente un atout avec notamment une meilleure image aupres de des clients.

 

 

4 - Marc Rispoli (Juniper) : « Les outils GDPR sur étagère n'existent pas »

 

En tant que sponsor de l'enquête réalisée par IDC, quelles sont vos premières impressions à la lecture des résultats (cf voir en fin d'article) Avez vous par exemple perçu une différence entre volume de données à caratères personnel traité et tailles des organisations, sachant que certaines start up manipulent des volumes considérables de données de ce type ?

« Certaines entreprises bien que appartenant à la catégorie Grands Comptes manipulent très peu de données personnelles. En revanche et vous avez raison, certaines start-up ne concentrent leur expertise et leurs services que via l'exploitation de données à caractère personnel.

Disposez vous d'outils spécifiques que l'on pourrait qualifier de « compliance » GDPR ?

Les outils GDPR sur étagère n'existent pas. Dans le cas de développement de nouveaux process de type « privacy by design » par exemple c'est envisageable que certaines solutions « GDPR » existent sur le marché. En revanche, pour la mise a niveau de l'existant pour répondre aux exigences du GDPR, les solutions demeurent plus « personnalisables ».

Les COMEX et autres directions et secrétariats généraux prennent-ils conscience de l'aspect stratégique et légal du GDPR ?

Oui. L'implication financière avec les pénalisations prévues font que 49% des entreprises rencontrées déclarent leur DG impliquée. Le GDPR est un réel levier pour les RSSI qui pensent que les DG vont êtres davantage a l écoute. En outre, la Cyberassurance pourrait trouver là un levier avec le GDPR et les risques qui y sont associés. 

 

 

5 - Imperva* : Quelle responsabilité impose le GDPR aux entreprises avec leurs sous-traitants ?

 

 

« Si vous êtes un responsable du traitement des données et que vous faites appel à des sous-traitants, vous devez prendre des mesures pour vous assurer que vos sous-traitants protégeront les données dont vous êtes responsable conformément à vos règles relatives au GDPR. Pour faire face à cette exigence essentielle, il est préférable d'associer des contrats préparés par votre équipe juridique et une technologie capable de limiter le mouvement des données. C'est particulièrement important si les données risquent d'être transférées à (ou consultées par) des personnes qui se trouvent en dehors de l'Union européenne ou d'un pays reconnu par l'Union européenne comme disposant de mesures de protection des données adéquates, tels qu'Israël, la Suisse, l'Argentine et la Nouvelle-Zélande. La liste complète des pays ayant mis en place des mesures de protection des données adéquates a été publiée par l'Union européenne ici. Même une session de bureau à distance via VPN enfreint les exigences en matière de transfert de données si la personne qui consulte les données se trouve en dehors de l'Union européenne ou d'un pays considéré comme disposant de mesures de protection des données adéquates. Vous devrez mettre en place des contrôles juridiques et techniques pour surveiller et contrôler l'accès à vos données. »

*Source Imperva : http://bit.ly/2rQCPtM

 

 

6 - RSSI : un peu débordés...

 

Selon la dernière enquête (20 juin 2017) menée par ServiceNow® auprès de 300 responsables de la sécurité des systèmes d'information (RSSI — Chief Information Security Officer, CISO) du monde entier souligne la nécessité d'adopter une nouvelle approche pour répondre à l'augmentation du nombre de menaces qui pèsent sur la sécurité des données, ainsi qu'à la hausse de leur coût. Selon cette étude intitulée « The Global RSSI Study: How Leading Organizations Respond to Security Threats and Keep Data Safe », 90 % des RSSI français indiquent que les failles de données détectées ne sont pas traitées (80 % au niveau mondial) et 68 % déclarent pour leur part éprouver des difficultés à hiérarchiser les menaces en fonction du risque qu'elles représentent pour l'entreprise.

Ces lacunes ont un coût : 14 % des RSSI français (13 % au plan mondial) déclarent avoir vécu au cours des trois dernières années une importante faille de sécurité ayant eu un impact important sur l'image ou les finances de leur entreprise. Les processus manuels, le manque de ressources et de talents, ainsi que l'impossibilité de hiérarchiser les menaces grèvent l'efficacité de la réponse aux incidents de sécurité. Résultat, les RSSI augmentent l'automatisation des tâches de sécurité pour répondre et remédier aux failles de sécurité avec une plus grande efficacité.

« En France, les RSSI consacrent de plus en plus de temps à prévenir et détecter des failles de sécurité, mais notre étude souligne que c'est sur la réponse à apporter qu'ils devraient se concentrer », a déclaré Matthieu de Montvallon, Directeur Technique de ServiceNow France. « L'automatisation et l'orchestration de la réponse aux incidents de sécurité constituent le chaînon manquant qui empêche les RSSI d'accroitre de façon significative l'efficacité de leurs programmes de sécurité ».

Principales conclusions de l'étude menée en France :

·        seulement 18 % des RSSI interrogés considèrent que leur entreprise lutte très efficacement contre les failles de sécurité (19 % à l'échelle mondiale) ;

·        ce sont les clients qui souffrent le plus de ces lacunes : seulement 38 % des RSSI — en France et dans le monde — pensent protéger les données de leurs clients de façon très efficace contre les failles de sécurité ;

·        environ un cinquième des RSSI français (22 %) déclare que les processus manuels entravent la capacité de leur entreprise à détecter des failles de sécurité et à y faire face ; 26 % d'entre eux imputent cette difficulté au manque de ressources ;

·        seulement 4 % des RSSI français estiment que leurs employés disposent des compétences nécessaires pour hiérarchiser avec succès les menaces qui pèsent sur la sécurité, contre 7 % au plan mondial.

Au sein du panel couvert par cette enquête, un petit groupe (11 % à l'échelle mondiale et 14 % en France) de « leaders dans la lutte contre les incidents de sécurité » affiche une tendance différente en ce sens où ils souhaitent :

·        automatiser un pourcentage supérieur d'activités de sécurité, en incluant des tâches plus avancées telles que les rapports de tendances ;

·        hiérarchiser les réponses aux alertes de sécurité en fonction du niveau de risque pour l'entreprise ;

·        et nouer des relations plus étroites avec la DSI et autres services de l'entreprise.

Ressources complémentaires :

·        Télécharger le Global Research Report

·        Étude de cas sur la Freedom Security Alliance

 

 

BONUS :

GDPR / RGPD à Bruxelles:  

 

Proposition de

 

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

 

concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

Consulter: http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:52017PC0010

 

 

-----------------------

 

1 - Extraits : Livre Blanc Infrastructures, Cloud, sécurité et gestion des données : les entreprises françaises face au GDPR Source: IDC, 2017

« Le GDPR (ou RGPD) concerne toutes les entreprises européennes ou non, qui détiennent des données portant sur des citoyens européens. Les entreprises doivent se mettre en conformité avant le 25 mai 2018 pour répondre aux nouvelles exigences en

A première vue, les entreprises françaises sont loin d'être prêtes : seules 9% d'entre elles se disent aujourd'hui conformes aux dispositions du GDPR.

Elles sont par ailleurs 19% à planifier les initiatives à mettre en place pour être conforme avant la fin 2017 tandis que 30% ont prévu les actions nécessaires pour une mise en conformité courant 2018. En définitive, près d'1 entreprise sur 2 (42%) prend tout juste conscience de l'existence du GDPR et du calendrier associé sans avoir véritablement commencé à lancer des initiatives. Ce phénomène est encore plus important au sein des PME (entreprises disposant de 500 à 1 000 collaborateurs) et des entreprises du secteur privé qui sont respectivement 47% et 46% à "découvrir" les dispositions prévues par le GDPR.

Le chantier qui permettra aux entreprises d'être conformes aux prérogatives du règlement européen est dense. Mais dans la réalité, presqu'aucune entreprise ne part véritablement de zéro. Toutes ont déjà lancé des chantiers qui répondent aux exigences du GDPR sans pour autant les avoir systématiquement initiés dans ce but. Les chantiers les moins avancés et ceux pour lesquels les entreprises interrogées témoignent de réelles difficultés sont plus particulièrement liés à la gouvernance d'une initiative GDPR (mise en place d'un conseil de surveillance et d'une équipe en charge des risques et de la conformité).

L'audit, point de départ d'une mise en conformité GDPR

La difficulté à faire le lien entre les exigences du GDPR, les initiatives déjà lancées et le trajet restant à parcourir est surtout liée au fait que peu d'entreprises ont aujourd'hui pleinement conscience de leur point de départ. Moins d'1 entreprise sur 4 a procédé à un audit interne global destiné à évaluer leur position actuelle et leurs besoins pour se mettre effectivement en conformité. Les entreprises du secteur privé sont les plus matures : les deux tiers d'entre elles ont déjà réalisé un audit (31%) ou projettent de le faire dans les prochains mois (35%) afin de déterminer leur feuille de route. A l'inverse, moins d'1 structure publique sur 2 (49%) s'inscrit dans une telle démarche : 17% ont déjà réalisé cet audit tandis que 34% le projettent dans les prochains mois.

Faut-il continuer à utiliser les services Cloud face aux impératifs réglementaires du GDPR ?

Les données personnelles (portant sur les collaborateurs, les clients ou les partenaires) hébergées ou utilisées par les services Cloud sontelles pleinement protégées ? Qui est responsable en cas de défaillance du partenaire Cloud ? Autant de questions que se posent aujourd'hui les entreprises.

L'article 22 du règlement européen précise que " tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ("controller") ou d'un sous - traitant ("processor") sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui - même ait lieu ou non dans l'Union ".

L'enquête menée par IDC montre que les structures interrogées ne prévoient pas de faire machine arrière concernant leur recours aux services Cloud : elles vont continuer à utiliser les services de Cloud public ou de Cloud privé hébergé. Pour la moitié d'entre elles, elles vont conserver leurs partenaires actuels et les modèles de Cloud qu'elles utilisent aujourd'hui. Pour l'autre moitié (51%), il est nécessaire d'adapter leur stratégie Cloud (sans pour autant la freiner) aux enjeux et aux risques que représente le GDPR. Les organisations les plus matures (celles ayant déjà engagé des initiatives GDPR) sont d'ailleurs plus régulièrement convaincues qu'elles doivent faire évoluer leur stratégie Cloud (60%, contre 44% pour les moins matures).

Les impacts du GDPR sur les infrastructures informatiques

Il est alors nécessaire, pour les 3/4 de ces entreprises, de faire évoluer leurs infrastructures pour les rendre plus agiles et pour casser des silos encore trop présents. L'objectif est alors de faciliter la gestion d'un environnement souvent considéré comme très complexe à travers une approche d'optimisation (architecture, consolidation) et de virtualisation serveurs et réseaux.

L'enquête montrent que les entreprises ne partent pas de zéro, elles peuvent fortement capitaliser sur les initiatives déjà lancées par le passé, notamment celles liées à la gestion des identités et des accès (IAM), à la protection des flux mobiles et web (pour éviter le détournement de données) ou encore à la sécurisation de la messagerie qui voit transiter de nombreuses données personnelles. Mais de nombreux chantiers sont encore à explorer : prévention contre la fuite des données, chiffrement et confidentialité des données, audit et traçabilité des données. Même si elles s'inscrivent dans le cadre du GDPR, ces initiatives débordent du champ des données personnelles pour renforcer la sécurisation de l'ensemble des données de l'entreprise.

La réglementation GDPR est perçue par 80% des entreprises comme une véritable opportunité d'améliorer globalement le niveau de sécurité et de confidentialité des données et de renforcer l'image de l'entreprise auprès de ses clients (41%).

Un focus plus précis sur les résultats de l'enquête montre que toutes les entreprises ne sont pas égales face à la sécurisation de leurs données. En effet, celles considérées comme les plus matures – elles ont une bonne connaissance du GDPR et ont défini une feuille de route – sont également celles qui investissent le plus fortement dans les solutions de sécurité qui leur permettront d'être « compliance »

Les entreprises les plus matures sur le sujet GDPR ont commencé à investir (66%) dans des approches leur permettant de disposer d'une bonne vision de leurs données à travers un audit ( cartographie des données ) et la mise en place de solutions de traçabilité permettant de suivre les données, leur localisation, les accès (personnes physiques et applications).

Selon IDC, l'écart se creuse entre les entreprises "matures" sur le sujet GDRP et les autres. Les plus matures ont déjà capitalisé sur les solutions de sécurité déployées par le passé et continuent à investir pour disposer d'une approche sécuritaire plus complète. Inversement, les entreprises les moins matures, alors qu'elles sont soumises aux mêmes engagements et aux mêmes pénalités que les autres, restent encore sur la réserve et limitent leurs investissements en solutions de sécurité. Ces dernières prennent un risque non négligeable : ne pas pouvoir justifier auprès du régulateur leur bonne volonté pour se mettre en conformité. »

(Fin extrait : enquête IDC / Juniper GDPR)

 

 

 -----------------------

 

2 - La Directive du 6 juillet 2016 dite « NIS » traite pour la première fois exclusivement de la protection des systèmes d’information *.

La Directive NIS a pris le soin de définir la « sécurité des réseaux et des systèmes d’information » comme « la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ». Qui est concerné ?

La Directive « NIS » visant à la sécurité des systèmes d’information

Attention ! Les Fournisseurs de services numériques qui ne sont pas établis dans l’UE, mais qui fournissent les services énumérés ci-après à l’intérieur de l’UE, doivent désigner un représentant dans l’Union. Le Fournisseur est considéré comme relevant de la compétence de l’État membre dans lequel le représentant est établi (Art. 18 de la Directive NIS).

La Directive NIS touche deux catégories d’entités, considérées comme des acteurs majeurs pour le bon fonctionnement et la sécurité des réseaux et des systèmes d’information :

Les Opérateurs de services essentiels (OSE) qui sont définis comme des entités publiques ou privées travaillant dans les secteurs suivants : transport, banque, infrastructure de marchés financiers, secteur de la santé, fourniture et distribution d’eau potable et infrastructure numérique14.

Les Fournisseurs de services, définis comme des « personne(s) morale(s) qui fourni(ssent) un service numérique »15 et plus spécifiquement, il est renvoyé à une annexe qui précise les services numériques visés. Ces derniers sont :

les places de marché en ligne : c’est-à-dire les services de traitement de transactions, d’agrégation de données ou de profilage d’utilisateurs16

les moteurs de recherche en ligne : définis par la Directive comme un service numérique permettant aux utilisateurs de faire des recherches17

les services d’informatique en nuage : définis par la Directive comme des services « qui permettent l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées » et couvre selon elle un « vaste éventail d’activités » tel que « les réseaux, serveurs, et autres infrastructures, le stockage, les applications et les services »18 Il apparaît ainsi que le terme « fournisseur de services » visé par la Directive NIS regroupe un panel extrêmement large d’entreprises, allant de la plateforme de transactions jusqu’aux hébergeurs de données.

Quelles mesures adopter ?

Les obligations préconisées par la Directive NIS couvrent toutes les étapes de la sécurisation des systèmes d’information, de la prévention à la gestion d’une éventuelle attaque, c’est-à-dire :

Avant l’atteinte au système d’information avec de nombreuses mesures préventives.

Après l’atteinte au système d’information.

Source : * Me Olivier Iteanu

http://www.athena-gs.com/public/brochures/ESET_Brochure_BUSINESS_FR

@DPO_News @cyberisques @jpbichard #GDPR Etude Sophos: les entreprises françaises mieux préparées à la mise en place du RGPD que les organisations britanniques

Communication Corporate : Sophos 15 juin 2017

 

 

Etude Sophos: les entreprises françaises mieux préparées à la mise en place du RGPD que les organisations britanniques

 

Infos complémentaire: section BONUS en fin de publication

 

· La France ouvre la voie en matière de prise de conscience, avec 30 % des décideurs informatiques qui considèrent que le RGPD (Règlement Général sur la Protection des Données) est leur première priorité, contre 25 % au Benelux et seulement 6 % au Royaume-Uni.

· Près de la moitié des entreprises françaises admettent ne pas mesurer pleinement toutes les conséquences financières d'une non-conformité au RGPD. Cette proportion est identique au Benelux, mais monte à près des deux tiers au Royaume-Uni.

· Près d'une entreprise sur cinq (17 %) à travers la France, le Benelux et le Royaume-Uni admettent que leur organisation pourrait fermer si elle devait être condamnée à payer l'amende maximale prévue par le Règlement, et 39 % pensent que cela pourrait entraîner des licenciements.

· 66 % des entreprises en France et au Benelux sont plus préoccupées par la sécurité des données suite au Brexit.

· 26 % des entreprises britanniques admettent qu'elles n'ont pas une vision claire sur les tâches à accomplir pour se conformer au RGPD ou pensent qu'elles n'auront pas à le faire en raison du Brexit.

Sophos a dévoilé aujourd'hui une étude sur l'impact du RGPD sur les entreprises en France, au Benelux et au Royaume-Uni. L'étude, menée par Vanson Bourne, a impliqué 625 décideurs informatiques, dans quatre pays et a constaté que le Royaume-Uni était loin derrière la France, la Belgique et le Luxembourg, en ce qui concerne la préparation au RGPD.

Le chiffre le plus préoccupant révélé par l'étude indique que 54 % des entreprises n'ont pas pleinement conscience des amendes associées au RGPD. Les organisations qui ne se seront pas en conformité avec le RGPD seront exposées à de lourdes peines, pouvant aller jusqu'à 20 millions d'euros ou encore 4 % de leur chiffre d'affaires global. Près de 1 entreprise sur 5 (17 %) interrogées admettent que, si elles étaient condamnées à payer une amende, leur société fermerait. Ce nombre passe à 54 % pour les petites entreprises comptant moins de 50 personnes. En plus d'une fermeture, 39 % des décideurs informatiques interrogés révèlent que les amendes entraîneraient également des licenciements au sein de leurs organisations.

Malgré ce risque, seulement 6 % des entreprises britanniques voient le RGPD comme une priorité, par opposition à la France (30 %) et au Benelux (25 %). Plus inquiétant encore, 20 % des sociétés britanniques considèrent le RGPD comme une priorité faible, un nombre beaucoup plus élevé par rapport à la France avec 8 %, et le Benelux, 11 %.



L'Europe est-elle prête pour le RGPD ?

Près d'une entreprise sur cinq prétend déjà être en conformité en France (19 %) et au Benelux (18 %), mais encore une fois, le Royaume-Uni occupe la dernière place avec seulement 8 % déclarant actuellement être conformes.

« Se préparer pour le RGPD est un long processus et si les régulateurs montrent qu'ils sont prêts à infliger le maximum d'amendes à partir de mai 2018, les entreprises regretteront sérieusement de ne pas être conformes », déclare John Shaw, vice-président, Product Management Enduser Group, Sophos. "55 % des organisations ne sont pas totalement convaincues qu'elles pourront être prêtes à la date butoir. Avec seulement un an pour réagir, les priorités en matière de sécurité informatique pour les entreprises devraient porter sur les principales causes de pertes des données et les mesures essentielles à prendre : s'assurer que les systèmes d'exploitation et les applications soient bien mis à jour, faire en sorte que les données sensibles soient chiffrées et éduquer tous les employés sur les risques de phishing et autres attaques d'ingénierie sociale. »

Toutes les entreprises européennes se préparent lentement au RGPD, et déjà 42 % pensent qu'elles seront définitivement prêtes d'ici mai prochain, mais il reste encore beaucoup d'actions à mener :


· Seules 42 % ont recruté un délégué à la protection des données, un nombre beaucoup plus faible que prévu.


· Actuellement, seule la moitié des entreprises ont mis en place des mesures pour s'assurer que les personnes dont les données ont été collectées ont effectivement donné leur consentement à cette collecte.


· 44 % ont mis en place des procédures pour supprimer des données personnelles dans le cas d'une demande d'application du « droit à l'oubli », ou si un individu s'oppose au traitement de ses données.


· Moins de la moitié (45 %) sont en mesure de signaler une violation de données à caractère personnel dans les 72 heures suivant sa découverte.



Qui est en responsable ?

Pour 70 % des entreprises, c'est le service informatique ou l'équipe de sécurité informatique qui prend la responsabilité de la conformité au RGPD. Il est intéressant de souligner que seulement 4 % des équipes juridiques et 13 % des membres du comité de direction sont responsables de la mise en œuvre. Ainsi, une grande pression est mise sur les équipes informatiques, avec de nombreux décideurs qui précisent que le manque de sensibilisation des décideurs clés explique partiellement que certains protocoles ne sont pas encore en place, comme celui permettant de signaler une violation de données à caractère personnel dans les 72 heures qui suivent sa découverte, un aspect essentiel de la conformité au RGPD.

La bonne nouvelle est que 65 % des organisations ont une politique de sécurité des données en place, et

98 % l'ont ou sont actuellement en train de mettre en place un plan officiel pour les employés, décrivant quelle est la politique de sécurité des données et ce qui est attendu des employés lorsqu'ils traitent des données personnelles. Cela montre que les entreprises font des progrès dans la sensibilisation à la sécurité des données sur le lieu de travail, et encouragent les employés à prendre cette question au sérieux.



Confusion dans le contexte du Brexit

Malgré le Brexit, le Royaume-Uni devra quand même se mettre en conformité avec le RGPD. Cependant, l'étude a mis en évidence que de nombreuses entreprises britanniques pensent qu'elles en sont exemptes compte tenu du Brexit. 26 % des organisations britanniques reconnaissent que depuis l'annonce du Brexit, elles n'ont pas une bonne compréhension de ce qu'il faut faire pour se mettre en conformité, ou pensent que ce n'est plus nécessaire. Cette fausse théorie risque de faire rater la date butoir à de nombreuses organisations et les exposer à de lourdes amendes.

L'impact du Brexit ne s'arrête pas au Royaume-Uni. 66 % des entreprises en France et au Benelux admettent être très ou assez préoccupées par la sécurité des données suite au Brexit. Il est clair que le Brexit génère de l'incertitude et de la confusion des deux côtés de la Manche, mais le Brexit ne change en rien la nécessité pour les organisations de se mettre en conformité avec le RGPD avant la date limite de mai 2018.

 

 

BONUS:

https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/fr/sophos-eu-data-protection-laws-wpfr.pdf?la=fr-FR

https://www.sophos.com/en-us/solutions/compliance/gdpr.aspx

https://news.sophos.com/en-us/2017/06/14/sophos-wins-big-at-the-sc-magazine-awards-2017/

 

 

#GDPR @DPO_News @cyberisques: Quels sont les éléments requis d'une #AIPD (analyse d'impact) ? Premiers éléments publiés

DPO_NEWS #GDPR en pratique:

 

 

 Quand réaliser une analyse d'impact relative à la protection des

données personnelles ?  

 

 

Une des nouvelles obligations figurant dans le RGPD ou GDPR concerne l'obligation de réaliser - dans certaines circonstances - une “analyse d'impact relative à la protection des données”, en abrégé “AIPD”.

Une AIPD est un processus visant à évaluer les risques liés aux droits et libertés de personnes physiques qui surviennent ou menacent de survenir dans le cadre du traitement de données à caractère personnel, et à évaluer les possibilités de gestion de ces risques. La nouvelle obligation d'exécuter une AIPD soulève d'emblée plusieurs questions pratiques, comme : quand une AIPD estelle obligatoire ? Quels sont les éléments requis d'une AIPD ? Quels acteurs doivent être impliqués dans une AIPD ?

Etude-deloitte-2

 

En règle l’AIPD n’est bligatoire que lorsque le traitement en cause est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Il s’agit d’abord selon elle de tout traitement dont il est vraisemblable qu’ils puissent avoir des conséquences néfastes considérables pour les libertés et droits fondamentaux si l’on ne prend pas de mesures de protection adéquates. Une telle conséquence renvoie en réalité à l’impact de la réalisation du risque : si le risque se produit, la personne concernée serait sensiblement touchée dans l’exercice et la jouissance de ses droits et libertés. Elle renvoie encore ici aux conséquences visées au considérant 75 du GDPR.

Pour elle, le risque élevé en question vise le risque inhérent au traitement, opposé au risque résiduel après prises des mesures de sauvegarde. 

 

Abonnemnt-2017

 

La Belgique s'intéresse à cet aspect du GDPR. Etat des lieux; Pour lire le document: 

  

BONUS:

  https://www.cnil.fr/fr/consultation-reglement-europeen/eivp/quand-mener-une-eivp

 

Lire aussi:  http://cyberisques.com/mots-cles-15/648-dpo-news-cyberisques-jpbichard-gdpr-la-face-cachee-du-gdpr

 

@DPO_News @cyberisques @jpbichard #GDPR Cyril Lefèvre SAS: "le « business » GDPR devrait représenter 25% de notre CA en Data Management"

Solution outils GDPR : SAS

Entretien Jean Philippe Bichard  @jpbichard   @DPO_NEWS

 

 

Cyril Lefèvre, Business Solution Manager Data Management SAS:

 

            -  SAS ne proposera pas de services « DPO as a service »

   -  nos outils doivent fournir les preuves des actions engagées

   -  le « business » GDPR data management devrait représenter 25% de notre CA

 

 

 

 

GDPR / RGPD : une approche technique ou juridique ?

Les Deux car la commission EUR demande l'usage d'outils et de process juridiques.

 

 

Le GDPR représente quels changements sur l'offre Data management d'un éditeur ?

Pour SAS, le GDPR ou RGPD ce n'est pas réellement nouveau, il faut juste amplifier les fonctionnalités existantes sur nos plate-formes. Il faut voir le GDPR comme une plate-forme de data management. Reste à savoir si la GDPR sera attaquée parallèlement à une démarche de « compliance juridique » sous un angle technique par les organisations. Exemple : le Droit à l'oubli nécessite pour son application l'usage de certains outils. C'est important puisque les entreprises qui pourront démontrer leur aptitude a effectuer ce process pourront par exemple s'affranchir de « menaces pénales » de type « class action ». En poursuivant cette idée en pratique, un changement d'opérateur télécom pour un client peut s'accompagner d'une demande de « droit à l'oubli » non seulement auprès de cet opérateur mais aussi auprès de l'ensemble des filiales de cet acteur. Pour nous éditeur, çà signifie que nos outils doivent fournir des preuves que les actions engagées se concrétisent.

 

SAS-2017

 

Quelle boite à outils GDPR proposez-vous ?

Une fois que les process sont définis par les métiers, on peut débuter un projet GDPR chez Nous avec les outils SaS Data Management afin d'adresser l'identification de la donnée, leur traçabilité.... Les offres de type SaS Entreprise Gouvernance et SaS federative server viennent compléter les nouvelles exigences contenues dans le GDPR.

 

 

A vous écouter, les solutions techniques SaS contenaient déjà les outils nécessaires à la mise en pratique du GDPR ?

Oui absolument on a déjà les fonctions demandées par la nouvelle réglementation. En fait la loi nous rattrape on était plutôt en OPT-out et le GDPR renforce la partie OPT-in. Dans les deux cas, nos outils autorisent ces process. Il faut comprendre que le GDPR donne une nouvelle façon de travailler sur les données perso.

 

 

Quelle nouvelle façon ?

Si on prend l'exemple d'une demande spécifique du règlement : les limites de 72h00 pour prévenir la CNIL en cas de problèmes, il faut une identification rapide, connaître les données sorties du système... Ce que nous proposons déjà. A partir du moment ou la donnée est bien gérée via une vision 360 degrés, nous pouvons garantir aux clients la protection de leurs données à caractère personnel.

 

 

Toutes les données ?

????

Précisons certains comportements d'utilisateurs : BYOD, téléchargement d'applications mobiles, usage « privé » des réseaux sociaux et des services WEB, transferts de données hors entreprises... font que selon plusieurs études, près d'un tiers des données des organisations « échappent » au contrôle d'un SI. Comment pouvez vous remédier à ces absences de contrôle en matière de données à caractère personnel ?

L’enjeu pour Nous consiste a détecter toutes les données structurée ou pas, visibles ou pas.

 

 

C'est le cas ?

Nous y travaillons.

 

Abonnemnt-2017

 

 

Coté services, le « DPO as a service » peut devenir une offre concrète chez les éditeurs ?

Chez SAS nous devons être exemplaires dans la gestion de nos propres données clients, fournisseurs, partenaires... Nous allons nommer un DPO interne. Ce sera un manager de haut niveau. Pour répondre plus précisément à votre question, SAS ne proposera pas de services « DPO as a service ». En revanche, nous sommes axés sur l'idée que le GDPR constitue un avantage concurrentiel pour les entreprises qui seront les premières a offrir une réelle compatibilité avec le règlement EUR. Une meilleure maîtrise de la data donne un client mieux servi.

 

 

Pour un éditeurs tel que SAS, quelle opportunité « Business » représente le GPDR pour l'exercice 2017 ?

La part de business générée par les transactions commerciales propres aux projets GDPR devraient représenter un marché stratégique.

 

Combien ?

25% de notre CA sur la partie Data Management 2017.

Propos recueillis par @jpbichard  @DPO_NEWS

 

Phot-JPB-DPO NEWS

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

This email address is being protected from spambots. You need JavaScript enabled to view it.

@cyberisques @jpbichard @DPO_NEWS

 

Etude IDC / ESET: PME 20% affirmentdéjà être conformes

 

Corporate Communication: Enquête IDC pour ESET :

 

 

PME EUR et GDPR: 20% affirment être déjà conformes

Selon l’étude IDC® commandée par ESET®, les petites et moyennes entreprises soumises au Règlement Général sur la Protection des Données (RGPD – GDPR en anglais) se sentent dépassées et ne disposent pas toutes des moyens financiers leur permettant de sécuriser leurs systèmes d’information, conformément aux exigences du RGPD. Pourtant 20% d'entre elels affirment déjà leur conformité avec le GDPR. 

« La protection des données à caractère personnel des clients et partenaires est primordiale pour les entreprises. Elles doivent prendre conscience de la valeur que représentent ces informations et mettre en place des mesures adaptées pour répondre aux obligations du RGPD. », explique Mark CHILD, Research Manager chez IDC.
Sur les 700 entreprises interrogées, 77% des décideurs informatiques ne sont pas conscients de l’impact du RGPD sur l’activité de leur entreprise ou n’ont même pas connaissance de ce règlement. Parmi celles qui connaissent le RGPD, 20% affirment y être déjà conformes, 59% travaillent à l’être et 21% avouent ne pas du tout être préparés.
Les petites et moyennes entreprises reconnaissent que leur logiciel anti-malware est insuffisant dans l’environnement de menace actuel, et la moitié des répondants ont avoué que ce point était le plus important à améliorer.
Pour ESET, cette étude met en évidence le manque d’information des PME : « un logiciel anti-malware ne suffit pas d’une part à se protéger de l’ensemble des menaces et d’autre part à se conformer au RGPD. Un travail préalable de cartographie des données doit être réalisé afin de maîtriser les accès. En outre, des tests et des audits sont obligatoires. Au vu de la complexité juridique du texte, nous encourageons les PME à s’entourer de professionnels qui vérifieront que toutes les mesures ont été mises en place. Enfin, les entreprises doivent posséder à la fois une solution de protection complète et connue, et des outils de chiffrement et d’authentification », explique Benoît GRUNEMWALD, Directeur des Opérations chez ESET France.
« En 2015, 63% des vols de données sont dus à la vulnérabilité des mots de passe (vol ou crack). Ce constat indique le besoin urgent d’ajouter un facteur d’authentification à la sécurité des appareils. L’anonymisation des données est une option, mais elle peut être détournée par le croisement de diverses sources. Le chiffrement résout ce problème et est d’ailleurs plébiscité par 36% des répondants, mais cette mesure est considérée comme complexe et coûteuse pour la plupart des petites et moyennes entreprises », explique Mark CHILD.

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information