@DPO_News @cyberisques Commissaires aux comptes, CRCC de Paris* RGPD et nouveaux métiers: "Nous pensons à la fonction de commissaire aux données et aux algorithmes"

Rencontre : @DPO_NEWS Serge Yablonsky et Frédéric Burband, Commissaires aux comptes, CRCC de Paris*

 

 

 

 

RGPD et nouveaux métiers: "Nous pensons à la fonction de commissaire aux données et aux algorithmes"

 

 

 

Cyberisques : Entrons tout de suite dans le vif du sujet :pourquoi les Commissaires aux comptes s’alignent sur la ligne de départ des futurs prestataires de services DPO externalisés ?

Serge Yablonsky et Frédéric Burband : Les commissaires aux comptes disposent d'une filiation directe avec les problématiques réglementaires et notamment le RGPD. Pourquoi ? Par culture nous certifions les comptes des entreprises de toutes tailles, ce qui suppose de connaître leur environnement réglementaire. Dans le cadre de notre mission nous devons signaler par obligation aux actionnaires notamment, les fraudes et manquements à toute sorte de « conformité ».

 

 

Mais la fonction de DPO suppose des connaissances transversales dans l'organisationnel, le juridique et les solutions techniques pour veiller auprès des responsables de traitement à la conformité RGPD. Ces connaissances multiples sont également celles propres des commissaires aux comptes ?

Pas toutes mais bon nombre d'entre nous intègrent les SI dans l'audit des comptes ce qui nous permet de vérifier la conformité réglementaire RGPD. Nous pouvons recruter les profils nécessaires. Surtout nous apportons notre neutralité et nos engagements en responsabilité civile et pénale. Si nous manquons d'indépendance nous risquons des sanctions.

 

 

Que répondez vous a vos détracteurs qui estiment qu'il est compliqué de rester indépendant lorsque votre « business » dépend des clients audités ? L'éternel problème juge et partie...

Précisément, nous nous devons à notre indépendance et c’est un avantage. Un cabinet de commissaires aux comptes qui manque a son indépendance est sanctionné. C’est aujourd’hui la profession la plus réglementée en matière d’indépendance. La durée irrévocable de 6 ans constitue un avantage en matière d’indépendance (pas de pression au renouvellement annuel). Par exemple, nous devons choisir entre réaliser chez un client une missions d'audit légal (commissariat aux comptes) ou une mission de conseil. Les deux sont impossibles pour un même cabinet.

 

 

Pensez vous recruter en interne au sein de vos cabinets les profils nécessaires aux compétences organisationnelles et techniques que demandent les services DPO externalisés ?

Oui pour Nous c'est indispensable bien que ces compétences s'avèrent difficiles a trouver. Il faut aussi préciser la nature du rôle des DPO. Ce qui suppose vraisemblablement de créer de nouveaux métiers autour de la data. Nous pensons à la fonction de commissaire aux données et aux algorithmes.

 

 

De quoi s'agit il au juste ? Un super DPO ?

Pas forcément. Mais d'ici la fin de l'année, en accord avec la CNIL, une annonce allant dans ce sens pourrait être faite, , , la CNCC Compagnie Nationale des Commissaires aux comptes

pourrait effectuer une annonce allant dans ce sens.

D'ici la fin de l'année çà correspond aussi au texte « d'adaptation » que le gouvernement doit publier pour préciser les modalités et les conséquences liées au RGPD...

Absolument. Vous savez qu'un règlement européen – et non une directive – s'applique tel quel dans tous les pays membres et « efface » les lois nationales. Que va t-il rester des lois Informatiques et Liberté par exemple mais aussi comment vont évoluer les réglementations propres aux données privées traitées par les algorithmes des IoT ?

Un dernier point qui touche à la mise en application de manière opérationnelle du RGPD : plus de 40% des données circulant au sein des organisations européennes sont considérées comme appartenant au « shadow IT » et échappent au contrôle des directions IT. Comment doit-on procéder pour faire appliquer le RGPD dans ces conditions ? Idem pour les données chiffrées ?

Nous n'avons pas encore de réponses précises mais c'est un des nombreux points qui restent sans réponses.

 

 

Propos recueillis par @jpbichard

@DPO_NEW @cyberisques

http://www.cyberisques.com/

 

 

BONUS :

 

POURQUOI UN GROUPE DE TRAVAIL SUR L’AUDIT INFORMATIQUE* ?

Notre objectif est d’expliquer, de sensibiliser et de convaincre nos confrères que l’utilisation d’outils de data mining (ou analyses de données) dans le cadre de leur mission est un gage d’excellence pour notre profession, de sécurisation de leur mission et une réponse efficace aux besoins des entreprises que nous accompagnons.
Par ailleurs, il est également nécessaire de les sensibiliser au fait que la digitalisation des processus de l’entreprise est source de risques de perte de continuité d’activité ou encore de perte d’intégrité des données si celles-ci ne sont pas suffisamment sécurisées : soit parce que les accès aux systèmes sont trop étendus, soit parce que les programmes informatiques peuvent être modifiés sans contrôle en amont. La transition numérique actuelle lancée par les pouvoirs publics (FEC, DSN, facture électronique, Chorus…) n’est donc pas un obstacle, mais bien l’opportunité pour les professionnels que nous sommes, de donner du poids à nos contrôles.

 

 

* http://www.crcc-paris.fr/sites/default/files/fichier/telechargement/guide_audit_def_11h46.pdf

 

http://www.actuel-expert-comptable.fr/content/le-cac-doit-se-reapproprier-levaluation-du-risque-informatique

 

 

RGPD et textes nationaux: vers trop de spécificités nationales ?

Opinion : Bruno Rasle  délégué général AFCDP*                       13 septembre 2017

 

 

RGPD et textes nationaux: vers trop de spécificités nationales ?

 

 

L'Europe avait opté pour un Règlement afin d'éviter des différences entre les Etats membres (comme cela avait été constaté à l’occasion de la directive de 1995). Mais, au final, ne risquons-nous pas de nous retrouver à nouveau avec des spécificités nationales ?

Bien qu’un règlement européen soit d’application directe, certains Etats membres se préparent à le compléter d’un texte national**.

  

Espagne :

L'Espagne va modifier sa loi pour accompagner le RGPD. Le texte apporte plusieurs précisions, dont certaines relatives au DPO.

Il précise les catégories de responsables de traitement qui doivent désigner un Délégué à la protection des données (centres d'enseignement, fournisseurs de services de la société de l'information, établissements de crédits financiers, compagnies d'assurance, entités qui développent des activités de publicité et de prospection commerciale, centres de santé, etc.) - voir l'article 35 du projet de loi.

Il indique que les responsables de sous-traitants peuvent désigner un DPO volontairement en se plaçant  sous le régime décrit.

Enfin elle dispose que les responsables de traitement doivent notifier à l'autorité de contrôle les fins de désignation ou de mission de leur DPO, et que l'autorité de contrôle publie la liste des DPO sous une forme accessible par voie électronique.

D'autres précisions notables concernent la gestion des demandes de droit d'accès (en précisant, par exemple, la notion de demandes répétitives), de rectification (la personne concernée doit indiquer les corrections à apporter et fournir, le cas échéant, la documentation justifiant l'inexactitude), le droit à la limitation (en décrivant la portée du "blocage" des données), la réalisation des analyses d'impact (en détaillant les cas où celle-ci doit être réalisée).

 

Luxembourg :

Le ministère de la Justice luxembourgeois a déposé le projet de loi relatif à la protection des personnes physiques à l'égard des données personnelles. On y relève, entre autres, les points suivants :

a) La création du droit d'accès direct ;

b) La création d'une seconde autorité de contrôle (Aux côtés de la Commission nationale pour la protection des données (CNPD), cette nouvelle entité veillera à la bonne application de la loi et en particulier des opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles) ;

c) Un article spécifique dédié à la "Journalisation" (traçabilité et exploitation de celle-ci). Les responsables de traitement auraient jusqu'en mai 2023 pour se mettre en conformité avec cette disposition spécifique, voire jusqu'en mai 2026 (attention, la journalisation est une obligation prévue par la directive (UE) 2016/680 qui concerne les traitements dits « régaliens » de police et de justice).

 

Allemagne :

Les Allemands, de leur côté, ont ajouté des précisions suivantes dans leur texte national, en complément du RGPD :

- Pour les DPO du secteur public, le retrait de la désignation par le responsable de traitement ne peut intervenir qu'au titre de la section 626 du Code civil. Il ne peut être mis fin aux missions du DPO sans préavis que pour des faits qui donne une raison dûment justifiée. Après la fin de sa mission de DPO, la personne qui a tenu ce rôle ne peut pas être licenciée dans l'année qui suit, sauf si l'organisme dispose d'une raison dûment justifiée.

- Les entreprises du secteur privé - indépendamment du nombre de leurs salariés - ont l'obligation de désigner un DPO dès qu'elles emploient au moins dix personnes en charge du traitement des données personnelles. De plus sont soumis à la même obligation les entreprises (dont les sous-traitants) qui sont dans l'obligation de réaliser des analyses d'impact et les entreprises qui réalisent des études de marché ou des enquêtes d'opinion et les

On trouve également dans ce texte des précisions intéressantes concernant la gestion des demandes de droit d'accès (sections 34 et 59), la sécurité (section 64) ou les distinctions qui peuvent être faites entre différents types de personnes concernées (section 72).

 

France :

Du côté de la France, un texte national est nécessaire pour trois raisons : a) pour préciser les points qui sont dans les « marges de manœuvre » nationales prévues par le RGPD (comme, par exemple, le régime de traitement du numéro de sécurité sociale) ; b) pour intégrer des spécificités nationales issues de la loi pour une République numérique ; c) pour apporter des précisions sur des points non traités par le RGDP, comme les pouvoirs de la CNIL ou le traitement des données de santé.

L’AFCDP a été auditionnée avant l’été par le Ministère de la justice pour faire entendre la voix des DPO français.

Nous y proposions que le texte intègre des précisions (par exemple pour éviter un texte qui aboutirait à une sclérose de la profession de Délégué à la protection des données aux seuls juristes et obtenir une définition des « autorités publiques » qui ne peuvent pas fonder leurs traitements sur l’intérêt légitime au titre du 1.f) de l’article 6 du RGPD et une définition de la notion de « coûts administratifs » utilisée dans l’article 12.5.a du RGPD), des clarifications (par exemple sur le fait qu’il est possible de désigner une personne morale comme Délégué à la protection des données, le fait que le nom du Délégué à la protection des données ne doit pas obligatoirement être rendu public ou le fait que la Tokenisation peut également permettre une exception à la communication aux personnes concernées),

Nous avons également demandé que, pour les quelques demandes d’autorisation auprès de la CNIL qui vont perdurer, soit appliqué le régime utilisé actuellement pour le traitement des demandes d’avis (silence de deux mois après réception du dossier complet vaut accord).

L'Europe avait opté pour un Règlement afin d'éviter des différences entre les Etats membres (comme cela avait été constaté à l’occasion de la directive de 1995). Mais, au final, ne risquons-nous pas de nous retrouver à nouveau avec des spécificités nationales ?

 

CNIL : moins de demandes d'autorisation avec le RGPD

Le RGPD va considérablement réduire les cas où la CNIL aura à examiner des demandes d’autorisation et à se prononcer. L’actuel régime (silence de deux mois après réception du dossier complet vaut refus) se traduit dans les faits, pour les organismes qui déposent les demandes, par un manque de visibilité et de prédictibilité qui les pénalisent, notamment quand on compare cette procédure avec celle qui régit le traitement des demandes d’avis (silence de deux mois après réception du dossier complet vaut accord).

Compte-tenu du nombre moindre de demandes d’autorisation que la CNIL aura à gérer, et par équité entre les différentes catégories de responsables de traitement, l’AFCDP demande à ce que la règle « silence de deux mois après réception du dossier complet vaut accord » s’applique également aux demandes d’autorisation.

Concernant le calendrier, nous croyons savoir que le texte est parti en interministeriel et qu’il se compose d’un projet de loi (qui viendrait en discussion au Parlement en décembre, en procédure accélérée) et d’une ordonnance. A ce stade, nous ne savons pas quelle est la répartition (quelles sont les dispositions qui figurent dans chaque texte) et nous tenons prêts à les analyser et à faire part de nos réactions.

La Présidente de la CNIL, s’est dite inquiète de ce calendrier. Même avec la procédure accélérée, elle craint que cela ne laisse aucune marge de manœuvre pour éventuellement revoir certains points (le tout devant être terminé pour le 24 mai 2018).

* AFCDP: Association Française des Correspondants à la protection des Données à caractère Personnel.  l'AFCDP – au travers de CEDPO – a été désignée comme expert auprès de la Commission Européenne. L'AFCDP – qui a déjà contribué au travers de CEDPO aux lignes directrices du G29 sur le DPO et sur les analyses de risques – dans le cadre du FabLab se réjouit de cette nouvelle opportunité d’apporter sa contribution et de faire entendre au plus haut niveau la voix des CIL et des DPO.

 

BONUS: 

** http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

http://www.cyberisques.com/mots-cles-20/685-dpo-news-gdpr-rgpd-guide-pratique-comment-documenter-la-conformite

http://cyberisques.com/mots-cles-5/83-categorie-3/687-guide-pratique-rgpd-gdpr-dpo-news-fiche-2-quels-sont-les-chantiers-prioritaires-des-dpo

http://www.afcdp.net/

 

C5amMvcWQAAp7jG GF GF GF

@DPO_News @cyberisques @jpbichard #GDPR Etude Sophos: les entreprises françaises mieux préparées à la mise en place du RGPD que les organisations britanniques

Communication Corporate : Sophos 15 juin 2017

 

 

Etude Sophos: les entreprises françaises mieux préparées à la mise en place du RGPD que les organisations britanniques

 

Infos complémentaire: section BONUS en fin de publication

 

· La France ouvre la voie en matière de prise de conscience, avec 30 % des décideurs informatiques qui considèrent que le RGPD (Règlement Général sur la Protection des Données) est leur première priorité, contre 25 % au Benelux et seulement 6 % au Royaume-Uni.

· Près de la moitié des entreprises françaises admettent ne pas mesurer pleinement toutes les conséquences financières d'une non-conformité au RGPD. Cette proportion est identique au Benelux, mais monte à près des deux tiers au Royaume-Uni.

· Près d'une entreprise sur cinq (17 %) à travers la France, le Benelux et le Royaume-Uni admettent que leur organisation pourrait fermer si elle devait être condamnée à payer l'amende maximale prévue par le Règlement, et 39 % pensent que cela pourrait entraîner des licenciements.

· 66 % des entreprises en France et au Benelux sont plus préoccupées par la sécurité des données suite au Brexit.

· 26 % des entreprises britanniques admettent qu'elles n'ont pas une vision claire sur les tâches à accomplir pour se conformer au RGPD ou pensent qu'elles n'auront pas à le faire en raison du Brexit.

Sophos a dévoilé aujourd'hui une étude sur l'impact du RGPD sur les entreprises en France, au Benelux et au Royaume-Uni. L'étude, menée par Vanson Bourne, a impliqué 625 décideurs informatiques, dans quatre pays et a constaté que le Royaume-Uni était loin derrière la France, la Belgique et le Luxembourg, en ce qui concerne la préparation au RGPD.

Le chiffre le plus préoccupant révélé par l'étude indique que 54 % des entreprises n'ont pas pleinement conscience des amendes associées au RGPD. Les organisations qui ne se seront pas en conformité avec le RGPD seront exposées à de lourdes peines, pouvant aller jusqu'à 20 millions d'euros ou encore 4 % de leur chiffre d'affaires global. Près de 1 entreprise sur 5 (17 %) interrogées admettent que, si elles étaient condamnées à payer une amende, leur société fermerait. Ce nombre passe à 54 % pour les petites entreprises comptant moins de 50 personnes. En plus d'une fermeture, 39 % des décideurs informatiques interrogés révèlent que les amendes entraîneraient également des licenciements au sein de leurs organisations.

Malgré ce risque, seulement 6 % des entreprises britanniques voient le RGPD comme une priorité, par opposition à la France (30 %) et au Benelux (25 %). Plus inquiétant encore, 20 % des sociétés britanniques considèrent le RGPD comme une priorité faible, un nombre beaucoup plus élevé par rapport à la France avec 8 %, et le Benelux, 11 %.



L'Europe est-elle prête pour le RGPD ?

Près d'une entreprise sur cinq prétend déjà être en conformité en France (19 %) et au Benelux (18 %), mais encore une fois, le Royaume-Uni occupe la dernière place avec seulement 8 % déclarant actuellement être conformes.

« Se préparer pour le RGPD est un long processus et si les régulateurs montrent qu'ils sont prêts à infliger le maximum d'amendes à partir de mai 2018, les entreprises regretteront sérieusement de ne pas être conformes », déclare John Shaw, vice-président, Product Management Enduser Group, Sophos. "55 % des organisations ne sont pas totalement convaincues qu'elles pourront être prêtes à la date butoir. Avec seulement un an pour réagir, les priorités en matière de sécurité informatique pour les entreprises devraient porter sur les principales causes de pertes des données et les mesures essentielles à prendre : s'assurer que les systèmes d'exploitation et les applications soient bien mis à jour, faire en sorte que les données sensibles soient chiffrées et éduquer tous les employés sur les risques de phishing et autres attaques d'ingénierie sociale. »

Toutes les entreprises européennes se préparent lentement au RGPD, et déjà 42 % pensent qu'elles seront définitivement prêtes d'ici mai prochain, mais il reste encore beaucoup d'actions à mener :


· Seules 42 % ont recruté un délégué à la protection des données, un nombre beaucoup plus faible que prévu.


· Actuellement, seule la moitié des entreprises ont mis en place des mesures pour s'assurer que les personnes dont les données ont été collectées ont effectivement donné leur consentement à cette collecte.


· 44 % ont mis en place des procédures pour supprimer des données personnelles dans le cas d'une demande d'application du « droit à l'oubli », ou si un individu s'oppose au traitement de ses données.


· Moins de la moitié (45 %) sont en mesure de signaler une violation de données à caractère personnel dans les 72 heures suivant sa découverte.



Qui est en responsable ?

Pour 70 % des entreprises, c'est le service informatique ou l'équipe de sécurité informatique qui prend la responsabilité de la conformité au RGPD. Il est intéressant de souligner que seulement 4 % des équipes juridiques et 13 % des membres du comité de direction sont responsables de la mise en œuvre. Ainsi, une grande pression est mise sur les équipes informatiques, avec de nombreux décideurs qui précisent que le manque de sensibilisation des décideurs clés explique partiellement que certains protocoles ne sont pas encore en place, comme celui permettant de signaler une violation de données à caractère personnel dans les 72 heures qui suivent sa découverte, un aspect essentiel de la conformité au RGPD.

La bonne nouvelle est que 65 % des organisations ont une politique de sécurité des données en place, et

98 % l'ont ou sont actuellement en train de mettre en place un plan officiel pour les employés, décrivant quelle est la politique de sécurité des données et ce qui est attendu des employés lorsqu'ils traitent des données personnelles. Cela montre que les entreprises font des progrès dans la sensibilisation à la sécurité des données sur le lieu de travail, et encouragent les employés à prendre cette question au sérieux.



Confusion dans le contexte du Brexit

Malgré le Brexit, le Royaume-Uni devra quand même se mettre en conformité avec le RGPD. Cependant, l'étude a mis en évidence que de nombreuses entreprises britanniques pensent qu'elles en sont exemptes compte tenu du Brexit. 26 % des organisations britanniques reconnaissent que depuis l'annonce du Brexit, elles n'ont pas une bonne compréhension de ce qu'il faut faire pour se mettre en conformité, ou pensent que ce n'est plus nécessaire. Cette fausse théorie risque de faire rater la date butoir à de nombreuses organisations et les exposer à de lourdes amendes.

L'impact du Brexit ne s'arrête pas au Royaume-Uni. 66 % des entreprises en France et au Benelux admettent être très ou assez préoccupées par la sécurité des données suite au Brexit. Il est clair que le Brexit génère de l'incertitude et de la confusion des deux côtés de la Manche, mais le Brexit ne change en rien la nécessité pour les organisations de se mettre en conformité avec le RGPD avant la date limite de mai 2018.

 

 

BONUS:

https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/fr/sophos-eu-data-protection-laws-wpfr.pdf?la=fr-FR

https://www.sophos.com/en-us/solutions/compliance/gdpr.aspx

https://news.sophos.com/en-us/2017/06/14/sophos-wins-big-at-the-sc-magazine-awards-2017/

 

 

#GDPR #RGPD : une nouvelle réflexion sur la valeur de la donnée à caractère personnel

#GDPR #RGPD : une nouvelle réflexion sur la valeur de la donnée à caractère personnel

 

 

A moins de 10 mois de l'entrée en vigueur de GDPR (Règlement Général sur la Protection des Données – RGPD) plusieurs études et rapports sont publiés. Nous rassemblons ici quelques idées et suggestions que certaines de ces publications (étude d'IDC _ Juniper prochainement disponible) soulignent.

C'est peu évoqué, mais le RGPD dans son étét actuel n'est pas achevé (texte des pays membres pour adaptation du RGPD aux cadres nationaux en attente) et à Bruxelles de nombreux amendements sont en preparation (cf section BONUS en fin d'article).

De toute évidence, le rôle stratégique de la protection des données à caractère personnel intéresse. A commencer par le Président de la République, Emmanuel Macron qui a « ouvert le bal » à l'occasion de son discours au salon Vivatech la semaine dernière à Paris.

 

 

Lire aussi :

GDPR et gouvernance des données : http://bit.ly/2rZl3rE

GDPR et maturité des dirigeants : http://bit.ly/2rz9lBq

GDPR et nomination d'un DPO : http://bit.ly/2sOzgpd

 

 

1 - Emmanuel Macron, Président de la République : « générer l'adhésion »

« Il faut à la fois redonner des libertés de faire, de tenter, parfois d’échouer tout en créant de nouvelles protections qui soient adaptées au nouveau monde numérique, notamment en matière de protection des données personnelles ou de cybersécurité, afin de générer l’adhésion collective nécessaire. »

Source : http://www.elysee.fr/declarations/article/discours-du-president-de-la-republique-salon-vivatech/

 

Emmanuel-Macron-Juin-2017-Cyberisques-News

 

 

 

2 - CIGREF* : « la valeur stratégique de la donnée à caractère personnel »

 

« En prenant en compte les enjeux de la protection des données personnelles le plus en amont possible, concilier innovation et vie privée devient une démarche non seulement plus responsable mais aussi plus rentable. En étant conforme by design, on parie pour une innovation durable, et cela constitue in fine une réelle valeur ajoutée.

Certaines innovations d’usage créent également une nouvelle valeur stratégique : le Self Data ou le VRM (Vendor Relationship management) par exemple dessinent un nouveau paradigme économique autour des données personnelles dont certaines entreprises pourront être les pionnières : celui d’une économie symétrique, où les consommateurs/clients bénéficieront d’une valeur d’usage de leurs données, et deviendront de véritables co-créateurs de valeur. »

Source* : http://www.cigref.fr/rapport-cigref-economie-des-donnees-personnelles

 

 

3 - IDC : Karim Bahloul co-auteur d'une enquête prochainement publiée sur le GDPR (sponsor Juniper)

 

 

Quelles conclusions tirez-vous de l'enquête réalisée auprès de 150 entreprises françaises de plus de 500 salariés ?

Tout d'abord en termes de méthodologie, nous avons chez IDC souhaité obtenir des « Résultats redressés « . Autrement dit, dans un souci de représentativité nous avons travaillé via une ventilation publiées par l'INSEE en réaffectant les résultats de l'enquete pour pondérer les résultats avec une représentation proportionnelles. Coté résultat récoltés aupres des tentreprises interrogées, 9 % se disent en conformité avec le GDPR. 38% des structures disent avoir nommé un DPO (interne ou externe) soit le CIL qui évolue vers la fonction DPO ou le RSSI qui prend le lead. Je constate parfois un écart entre ce que dit le règlement pour la nomination d'un DPO et la réalité du terrain. Ainsi, 82% des grands comptes veulent un DPO en interne.

La conformité GDPR avec des données « compliance in design » constitue t-elle aux yeux des décideurs un avantage concurrentiel ?

Oui c'est même critique s'ils ne sont pas compliance comme les hébergeurs Cloud d'ailleurs. Du cote des offreurs de services d'hébergement, le reglement modifie un écosysteme en leur demandant une « certification » GDPR. Coté entreprises, le GDPR pour 58% représente un atout avec notamment une meilleure image aupres de des clients.

 

 

4 - Marc Rispoli (Juniper) : « Les outils GDPR sur étagère n'existent pas »

 

En tant que sponsor de l'enquête réalisée par IDC, quelles sont vos premières impressions à la lecture des résultats (cf voir en fin d'article) Avez vous par exemple perçu une différence entre volume de données à caratères personnel traité et tailles des organisations, sachant que certaines start up manipulent des volumes considérables de données de ce type ?

« Certaines entreprises bien que appartenant à la catégorie Grands Comptes manipulent très peu de données personnelles. En revanche et vous avez raison, certaines start-up ne concentrent leur expertise et leurs services que via l'exploitation de données à caractère personnel.

Disposez vous d'outils spécifiques que l'on pourrait qualifier de « compliance » GDPR ?

Les outils GDPR sur étagère n'existent pas. Dans le cas de développement de nouveaux process de type « privacy by design » par exemple c'est envisageable que certaines solutions « GDPR » existent sur le marché. En revanche, pour la mise a niveau de l'existant pour répondre aux exigences du GDPR, les solutions demeurent plus « personnalisables ».

Les COMEX et autres directions et secrétariats généraux prennent-ils conscience de l'aspect stratégique et légal du GDPR ?

Oui. L'implication financière avec les pénalisations prévues font que 49% des entreprises rencontrées déclarent leur DG impliquée. Le GDPR est un réel levier pour les RSSI qui pensent que les DG vont êtres davantage a l écoute. En outre, la Cyberassurance pourrait trouver là un levier avec le GDPR et les risques qui y sont associés. 

 

 

5 - Imperva* : Quelle responsabilité impose le GDPR aux entreprises avec leurs sous-traitants ?

 

 

« Si vous êtes un responsable du traitement des données et que vous faites appel à des sous-traitants, vous devez prendre des mesures pour vous assurer que vos sous-traitants protégeront les données dont vous êtes responsable conformément à vos règles relatives au GDPR. Pour faire face à cette exigence essentielle, il est préférable d'associer des contrats préparés par votre équipe juridique et une technologie capable de limiter le mouvement des données. C'est particulièrement important si les données risquent d'être transférées à (ou consultées par) des personnes qui se trouvent en dehors de l'Union européenne ou d'un pays reconnu par l'Union européenne comme disposant de mesures de protection des données adéquates, tels qu'Israël, la Suisse, l'Argentine et la Nouvelle-Zélande. La liste complète des pays ayant mis en place des mesures de protection des données adéquates a été publiée par l'Union européenne ici. Même une session de bureau à distance via VPN enfreint les exigences en matière de transfert de données si la personne qui consulte les données se trouve en dehors de l'Union européenne ou d'un pays considéré comme disposant de mesures de protection des données adéquates. Vous devrez mettre en place des contrôles juridiques et techniques pour surveiller et contrôler l'accès à vos données. »

*Source Imperva : http://bit.ly/2rQCPtM

 

 

6 - RSSI : un peu débordés...

 

Selon la dernière enquête (20 juin 2017) menée par ServiceNow® auprès de 300 responsables de la sécurité des systèmes d'information (RSSI — Chief Information Security Officer, CISO) du monde entier souligne la nécessité d'adopter une nouvelle approche pour répondre à l'augmentation du nombre de menaces qui pèsent sur la sécurité des données, ainsi qu'à la hausse de leur coût. Selon cette étude intitulée « The Global RSSI Study: How Leading Organizations Respond to Security Threats and Keep Data Safe », 90 % des RSSI français indiquent que les failles de données détectées ne sont pas traitées (80 % au niveau mondial) et 68 % déclarent pour leur part éprouver des difficultés à hiérarchiser les menaces en fonction du risque qu'elles représentent pour l'entreprise.

Ces lacunes ont un coût : 14 % des RSSI français (13 % au plan mondial) déclarent avoir vécu au cours des trois dernières années une importante faille de sécurité ayant eu un impact important sur l'image ou les finances de leur entreprise. Les processus manuels, le manque de ressources et de talents, ainsi que l'impossibilité de hiérarchiser les menaces grèvent l'efficacité de la réponse aux incidents de sécurité. Résultat, les RSSI augmentent l'automatisation des tâches de sécurité pour répondre et remédier aux failles de sécurité avec une plus grande efficacité.

« En France, les RSSI consacrent de plus en plus de temps à prévenir et détecter des failles de sécurité, mais notre étude souligne que c'est sur la réponse à apporter qu'ils devraient se concentrer », a déclaré Matthieu de Montvallon, Directeur Technique de ServiceNow France. « L'automatisation et l'orchestration de la réponse aux incidents de sécurité constituent le chaînon manquant qui empêche les RSSI d'accroitre de façon significative l'efficacité de leurs programmes de sécurité ».

Principales conclusions de l'étude menée en France :

·        seulement 18 % des RSSI interrogés considèrent que leur entreprise lutte très efficacement contre les failles de sécurité (19 % à l'échelle mondiale) ;

·        ce sont les clients qui souffrent le plus de ces lacunes : seulement 38 % des RSSI — en France et dans le monde — pensent protéger les données de leurs clients de façon très efficace contre les failles de sécurité ;

·        environ un cinquième des RSSI français (22 %) déclare que les processus manuels entravent la capacité de leur entreprise à détecter des failles de sécurité et à y faire face ; 26 % d'entre eux imputent cette difficulté au manque de ressources ;

·        seulement 4 % des RSSI français estiment que leurs employés disposent des compétences nécessaires pour hiérarchiser avec succès les menaces qui pèsent sur la sécurité, contre 7 % au plan mondial.

Au sein du panel couvert par cette enquête, un petit groupe (11 % à l'échelle mondiale et 14 % en France) de « leaders dans la lutte contre les incidents de sécurité » affiche une tendance différente en ce sens où ils souhaitent :

·        automatiser un pourcentage supérieur d'activités de sécurité, en incluant des tâches plus avancées telles que les rapports de tendances ;

·        hiérarchiser les réponses aux alertes de sécurité en fonction du niveau de risque pour l'entreprise ;

·        et nouer des relations plus étroites avec la DSI et autres services de l'entreprise.

Ressources complémentaires :

·        Télécharger le Global Research Report

·        Étude de cas sur la Freedom Security Alliance

 

 

BONUS :

GDPR / RGPD à Bruxelles:  

 

Proposition de

 

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

 

concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

Consulter: http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:52017PC0010

 

 

-----------------------

 

1 - Extraits : Livre Blanc Infrastructures, Cloud, sécurité et gestion des données : les entreprises françaises face au GDPR Source: IDC, 2017

« Le GDPR (ou RGPD) concerne toutes les entreprises européennes ou non, qui détiennent des données portant sur des citoyens européens. Les entreprises doivent se mettre en conformité avant le 25 mai 2018 pour répondre aux nouvelles exigences en

A première vue, les entreprises françaises sont loin d'être prêtes : seules 9% d'entre elles se disent aujourd'hui conformes aux dispositions du GDPR.

Elles sont par ailleurs 19% à planifier les initiatives à mettre en place pour être conforme avant la fin 2017 tandis que 30% ont prévu les actions nécessaires pour une mise en conformité courant 2018. En définitive, près d'1 entreprise sur 2 (42%) prend tout juste conscience de l'existence du GDPR et du calendrier associé sans avoir véritablement commencé à lancer des initiatives. Ce phénomène est encore plus important au sein des PME (entreprises disposant de 500 à 1 000 collaborateurs) et des entreprises du secteur privé qui sont respectivement 47% et 46% à "découvrir" les dispositions prévues par le GDPR.

Le chantier qui permettra aux entreprises d'être conformes aux prérogatives du règlement européen est dense. Mais dans la réalité, presqu'aucune entreprise ne part véritablement de zéro. Toutes ont déjà lancé des chantiers qui répondent aux exigences du GDPR sans pour autant les avoir systématiquement initiés dans ce but. Les chantiers les moins avancés et ceux pour lesquels les entreprises interrogées témoignent de réelles difficultés sont plus particulièrement liés à la gouvernance d'une initiative GDPR (mise en place d'un conseil de surveillance et d'une équipe en charge des risques et de la conformité).

L'audit, point de départ d'une mise en conformité GDPR

La difficulté à faire le lien entre les exigences du GDPR, les initiatives déjà lancées et le trajet restant à parcourir est surtout liée au fait que peu d'entreprises ont aujourd'hui pleinement conscience de leur point de départ. Moins d'1 entreprise sur 4 a procédé à un audit interne global destiné à évaluer leur position actuelle et leurs besoins pour se mettre effectivement en conformité. Les entreprises du secteur privé sont les plus matures : les deux tiers d'entre elles ont déjà réalisé un audit (31%) ou projettent de le faire dans les prochains mois (35%) afin de déterminer leur feuille de route. A l'inverse, moins d'1 structure publique sur 2 (49%) s'inscrit dans une telle démarche : 17% ont déjà réalisé cet audit tandis que 34% le projettent dans les prochains mois.

Faut-il continuer à utiliser les services Cloud face aux impératifs réglementaires du GDPR ?

Les données personnelles (portant sur les collaborateurs, les clients ou les partenaires) hébergées ou utilisées par les services Cloud sontelles pleinement protégées ? Qui est responsable en cas de défaillance du partenaire Cloud ? Autant de questions que se posent aujourd'hui les entreprises.

L'article 22 du règlement européen précise que " tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ("controller") ou d'un sous - traitant ("processor") sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui - même ait lieu ou non dans l'Union ".

L'enquête menée par IDC montre que les structures interrogées ne prévoient pas de faire machine arrière concernant leur recours aux services Cloud : elles vont continuer à utiliser les services de Cloud public ou de Cloud privé hébergé. Pour la moitié d'entre elles, elles vont conserver leurs partenaires actuels et les modèles de Cloud qu'elles utilisent aujourd'hui. Pour l'autre moitié (51%), il est nécessaire d'adapter leur stratégie Cloud (sans pour autant la freiner) aux enjeux et aux risques que représente le GDPR. Les organisations les plus matures (celles ayant déjà engagé des initiatives GDPR) sont d'ailleurs plus régulièrement convaincues qu'elles doivent faire évoluer leur stratégie Cloud (60%, contre 44% pour les moins matures).

Les impacts du GDPR sur les infrastructures informatiques

Il est alors nécessaire, pour les 3/4 de ces entreprises, de faire évoluer leurs infrastructures pour les rendre plus agiles et pour casser des silos encore trop présents. L'objectif est alors de faciliter la gestion d'un environnement souvent considéré comme très complexe à travers une approche d'optimisation (architecture, consolidation) et de virtualisation serveurs et réseaux.

L'enquête montrent que les entreprises ne partent pas de zéro, elles peuvent fortement capitaliser sur les initiatives déjà lancées par le passé, notamment celles liées à la gestion des identités et des accès (IAM), à la protection des flux mobiles et web (pour éviter le détournement de données) ou encore à la sécurisation de la messagerie qui voit transiter de nombreuses données personnelles. Mais de nombreux chantiers sont encore à explorer : prévention contre la fuite des données, chiffrement et confidentialité des données, audit et traçabilité des données. Même si elles s'inscrivent dans le cadre du GDPR, ces initiatives débordent du champ des données personnelles pour renforcer la sécurisation de l'ensemble des données de l'entreprise.

La réglementation GDPR est perçue par 80% des entreprises comme une véritable opportunité d'améliorer globalement le niveau de sécurité et de confidentialité des données et de renforcer l'image de l'entreprise auprès de ses clients (41%).

Un focus plus précis sur les résultats de l'enquête montre que toutes les entreprises ne sont pas égales face à la sécurisation de leurs données. En effet, celles considérées comme les plus matures – elles ont une bonne connaissance du GDPR et ont défini une feuille de route – sont également celles qui investissent le plus fortement dans les solutions de sécurité qui leur permettront d'être « compliance »

Les entreprises les plus matures sur le sujet GDPR ont commencé à investir (66%) dans des approches leur permettant de disposer d'une bonne vision de leurs données à travers un audit ( cartographie des données ) et la mise en place de solutions de traçabilité permettant de suivre les données, leur localisation, les accès (personnes physiques et applications).

Selon IDC, l'écart se creuse entre les entreprises "matures" sur le sujet GDRP et les autres. Les plus matures ont déjà capitalisé sur les solutions de sécurité déployées par le passé et continuent à investir pour disposer d'une approche sécuritaire plus complète. Inversement, les entreprises les moins matures, alors qu'elles sont soumises aux mêmes engagements et aux mêmes pénalités que les autres, restent encore sur la réserve et limitent leurs investissements en solutions de sécurité. Ces dernières prennent un risque non négligeable : ne pas pouvoir justifier auprès du régulateur leur bonne volonté pour se mettre en conformité. »

(Fin extrait : enquête IDC / Juniper GDPR)

 

 

 -----------------------

 

2 - La Directive du 6 juillet 2016 dite « NIS » traite pour la première fois exclusivement de la protection des systèmes d’information *.

La Directive NIS a pris le soin de définir la « sécurité des réseaux et des systèmes d’information » comme « la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ». Qui est concerné ?

La Directive « NIS » visant à la sécurité des systèmes d’information

Attention ! Les Fournisseurs de services numériques qui ne sont pas établis dans l’UE, mais qui fournissent les services énumérés ci-après à l’intérieur de l’UE, doivent désigner un représentant dans l’Union. Le Fournisseur est considéré comme relevant de la compétence de l’État membre dans lequel le représentant est établi (Art. 18 de la Directive NIS).

La Directive NIS touche deux catégories d’entités, considérées comme des acteurs majeurs pour le bon fonctionnement et la sécurité des réseaux et des systèmes d’information :

Les Opérateurs de services essentiels (OSE) qui sont définis comme des entités publiques ou privées travaillant dans les secteurs suivants : transport, banque, infrastructure de marchés financiers, secteur de la santé, fourniture et distribution d’eau potable et infrastructure numérique14.

Les Fournisseurs de services, définis comme des « personne(s) morale(s) qui fourni(ssent) un service numérique »15 et plus spécifiquement, il est renvoyé à une annexe qui précise les services numériques visés. Ces derniers sont :

les places de marché en ligne : c’est-à-dire les services de traitement de transactions, d’agrégation de données ou de profilage d’utilisateurs16

les moteurs de recherche en ligne : définis par la Directive comme un service numérique permettant aux utilisateurs de faire des recherches17

les services d’informatique en nuage : définis par la Directive comme des services « qui permettent l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées » et couvre selon elle un « vaste éventail d’activités » tel que « les réseaux, serveurs, et autres infrastructures, le stockage, les applications et les services »18 Il apparaît ainsi que le terme « fournisseur de services » visé par la Directive NIS regroupe un panel extrêmement large d’entreprises, allant de la plateforme de transactions jusqu’aux hébergeurs de données.

Quelles mesures adopter ?

Les obligations préconisées par la Directive NIS couvrent toutes les étapes de la sécurisation des systèmes d’information, de la prévention à la gestion d’une éventuelle attaque, c’est-à-dire :

Avant l’atteinte au système d’information avec de nombreuses mesures préventives.

Après l’atteinte au système d’information.

Source : * Me Olivier Iteanu

http://www.athena-gs.com/public/brochures/ESET_Brochure_BUSINESS_FR

@DPO_News @cyberisques @jpbichard #GDPR Cyril Lefèvre SAS: "le « business » GDPR devrait représenter 25% de notre CA en Data Management"

Solution outils GDPR : SAS

Entretien Jean Philippe Bichard  @jpbichard   @DPO_NEWS

 

 

Cyril Lefèvre, Business Solution Manager Data Management SAS:

 

            -  SAS ne proposera pas de services « DPO as a service »

   -  nos outils doivent fournir les preuves des actions engagées

   -  le « business » GDPR data management devrait représenter 25% de notre CA

 

 

 

 

GDPR / RGPD : une approche technique ou juridique ?

Les Deux car la commission EUR demande l'usage d'outils et de process juridiques.

 

 

Le GDPR représente quels changements sur l'offre Data management d'un éditeur ?

Pour SAS, le GDPR ou RGPD ce n'est pas réellement nouveau, il faut juste amplifier les fonctionnalités existantes sur nos plate-formes. Il faut voir le GDPR comme une plate-forme de data management. Reste à savoir si la GDPR sera attaquée parallèlement à une démarche de « compliance juridique » sous un angle technique par les organisations. Exemple : le Droit à l'oubli nécessite pour son application l'usage de certains outils. C'est important puisque les entreprises qui pourront démontrer leur aptitude a effectuer ce process pourront par exemple s'affranchir de « menaces pénales » de type « class action ». En poursuivant cette idée en pratique, un changement d'opérateur télécom pour un client peut s'accompagner d'une demande de « droit à l'oubli » non seulement auprès de cet opérateur mais aussi auprès de l'ensemble des filiales de cet acteur. Pour nous éditeur, çà signifie que nos outils doivent fournir des preuves que les actions engagées se concrétisent.

 

SAS-2017

 

Quelle boite à outils GDPR proposez-vous ?

Une fois que les process sont définis par les métiers, on peut débuter un projet GDPR chez Nous avec les outils SaS Data Management afin d'adresser l'identification de la donnée, leur traçabilité.... Les offres de type SaS Entreprise Gouvernance et SaS federative server viennent compléter les nouvelles exigences contenues dans le GDPR.

 

 

A vous écouter, les solutions techniques SaS contenaient déjà les outils nécessaires à la mise en pratique du GDPR ?

Oui absolument on a déjà les fonctions demandées par la nouvelle réglementation. En fait la loi nous rattrape on était plutôt en OPT-out et le GDPR renforce la partie OPT-in. Dans les deux cas, nos outils autorisent ces process. Il faut comprendre que le GDPR donne une nouvelle façon de travailler sur les données perso.

 

 

Quelle nouvelle façon ?

Si on prend l'exemple d'une demande spécifique du règlement : les limites de 72h00 pour prévenir la CNIL en cas de problèmes, il faut une identification rapide, connaître les données sorties du système... Ce que nous proposons déjà. A partir du moment ou la donnée est bien gérée via une vision 360 degrés, nous pouvons garantir aux clients la protection de leurs données à caractère personnel.

 

 

Toutes les données ?

????

Précisons certains comportements d'utilisateurs : BYOD, téléchargement d'applications mobiles, usage « privé » des réseaux sociaux et des services WEB, transferts de données hors entreprises... font que selon plusieurs études, près d'un tiers des données des organisations « échappent » au contrôle d'un SI. Comment pouvez vous remédier à ces absences de contrôle en matière de données à caractère personnel ?

L’enjeu pour Nous consiste a détecter toutes les données structurée ou pas, visibles ou pas.

 

 

C'est le cas ?

Nous y travaillons.

 

Abonnemnt-2017

 

 

Coté services, le « DPO as a service » peut devenir une offre concrète chez les éditeurs ?

Chez SAS nous devons être exemplaires dans la gestion de nos propres données clients, fournisseurs, partenaires... Nous allons nommer un DPO interne. Ce sera un manager de haut niveau. Pour répondre plus précisément à votre question, SAS ne proposera pas de services « DPO as a service ». En revanche, nous sommes axés sur l'idée que le GDPR constitue un avantage concurrentiel pour les entreprises qui seront les premières a offrir une réelle compatibilité avec le règlement EUR. Une meilleure maîtrise de la data donne un client mieux servi.

 

 

Pour un éditeurs tel que SAS, quelle opportunité « Business » représente le GPDR pour l'exercice 2017 ?

La part de business générée par les transactions commerciales propres aux projets GDPR devraient représenter un marché stratégique.

 

Combien ?

25% de notre CA sur la partie Data Management 2017.

Propos recueillis par @jpbichard  @DPO_NEWS

 

Phot-JPB-DPO NEWS

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

This email address is being protected from spambots. You need JavaScript enabled to view it.

@cyberisques @jpbichard @DPO_NEWS

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information