GDPR : le grand « data ménage » a commencé

 

 

GDPR : le grand « data ménage » a commencé

 

 

Face à l'échéance de la mise en place du GDPR, il ne reste que quelques mois pour se « conformer ». On l'oublie trop souvent : le RGPD / GDPR offre un avantage considérable : il va permettre à toutes les entreprises et organisations de « faire le ménage » dans leurs données.

Une étude récente de Gigya a démontré que 68% des consommateurs américains n’ont pas confiance dans la capacité des marques à respecter leur confidentialité. Les consommateurs européens ressentent aussi cette méfiance. Alors comment utiliser psychologiquement le règlement européen pour rassure le marché ?

 

 

Rien n'est gagné lorsqu'on se souvient qu'au sein des entreprises européennes, une sur deux laisse au moins 1 000 fichiers sensibles en accès libre à tous ses employés. Ce manque de rigueur peut faire craindre le pire au moment ou les autorités européenne « resserrent » les boulons. En effet, en acceptant cette prise de risques, les organisations font courir des menaces sur leurs collaborateurs, partenaires et clients. Hors ces derniers réclament plus de protection sur leurs données.

Les process et contrôles rendus obligatoires par le RGPD (GDPR) vont incontestablement faire évoluer les mentalités. Le dernière étude « Varonis Data Risk Report »* de Varonis Systems met en évidence les risques liés à l’accès et aux usages des fichiers sensibles. En moyenne, pas moins de 20 % des dossiers seraient laissés en accès libre pour l’ensemble des employés. Ainsi, sur 236,5 millions de dossiers, contenant 2,8 milliards de fichiers, soit 3,79 pétaoctets de données, analysés, le rapport relève :

-           48 054 198 dossiers étaient ouverts aux « groupes d’accès globaux » ou à des groupes accordant l’accès à toute l’entreprise.

-          47 % des entreprises laissent au moins 1 000 fichiers sensibles ouverts à tous les employés ; pour 22 % d’entre elles, ce chiffre monte même à 12 000 fichiers sensibles laissés en accès libre à tous leurs employés.

-          71 % de l’ensemble des dossiers contiennent des données obsolètes, soit un total de près de 2 pétaoctets de données.

-          24,4 millions de dossiers sont associés à des autorisations uniques.

On notera que ces statistiques ne peuvent que rendre plus complexes la tâche des organisations qui devront mettre en place le RGPD.  Mais quels nouveaux avantages naîtront de ce « grand data ménage » ?

 

 

Une certitude, une nouvelle datagouvernance va naître 

Ce sera le cas par exemple avec la mise en place d'une cartographie dynamique des données à caractère personnel. Cette approche doit tenir compte d'un certain nombre de paramètres (au moins 7) : nature des données collectées, raison de la collecte, du stockage et de l 'archivage, format des données collectées, durée de conservation des données et conditions (prestataires externes par exemple) nature du consentement recueilli, enregistrement de ce consentement, solutions logicielles utilisées pour la collecte, outil de stockage des données, PIA...

Problème : face à ces exigences réglementaires  bon nombre d'études soulignent l’incapacité des entreprises à réduire l’utilisation des groupes d’accès globaux, à verrouiller les fichiers sensibles et à supprimer les données obsolètes. Une autre étude réalisée par le Ponemon Institute montre que 62 % des utilisateurs finaux affirment avoir accès à des données de l’entreprise qu’ils ne devraient probablement pas pouvoir consulter. Une dernière étude (elles sont nombreuses a l'approche de l'échéance du GDPR) signée Forrester Consulting révèle que 59 % des entreprises n’appliqueraient pas de modèle d’autorisation selon le principe du « need-to-know » (besoin de savoir) pour autoriser l’accès à leurs fichiers sensibles. Exemples ou plus exactement contre exemples :

-          35 % des 86,4 millions de dossiers d’une compagnie d’assurance étaient laissés en accès libre à l’ensemble des employés.

-          80 % des 245 575 fichiers sensibles d’un établissement bancaire étaient accessibles à l’ensemble de ses employés.

-          Un autre établissement bancaire disposait de 11,6 millions de dossiers associés à des autorisations uniques, ce qui bine évidemment limite les accès mais dans ce cas particulier ne facilite pas la fluidité nécessaire au traitement des dossiers « clients ».

Tout le paradoxe des entreprises traitant de larges volumes de datas clients se trouve là : jusqu’où justifier les règles de sécurité tout en préservant l'indispensable protection des données clients ? Les données sont souvent ciblées en fonction de leur degré de sensibilité. Bref le RGFPD / GDPR constitue une opportunité jamais apparue jusqu'alors pour refonder totalement la datagouvernance des organisations avec l'aide du DPO. Cette approche pourrait permettre de replacer le prospect / client au cœur des pratiques définies par les process.

@jpbichard

 

IBM-DATA-PROTECTION6EXTRAIT6NOV-2017-Cyberisques-News

@cyberisques @DPO_NEWS Etude Bitdefender: 9 IT managers sur 10 inquiets de la sécurité dans le cloud public

octobre 2017: etude Bitdefender

 

Les entreprises françaises peinent à se conformer aux dernières règlementations en matière de protection des données

 

 

Les RSSI craignent les failles de sécurité dans le cloud public, mais seule une entreprise sur six chiffre toutes ses données.

Selon une récente étude de Bitdefender, leader mondial des technologies de cybersécurité protégeant plus de 500 millions d’utilisateurs à travers le monde, neuf professionnels de l'informatique sur dix se disent inquiets de la sécurité dans le cloud public, et près de 20 % d'entre eux n'ont pas déployé de système de sécurité pour les données sensibles stockées hors de l'infrastructure de l'entreprise. La moitié des personnes interrogées admet que la migration vers le cloud a significativement élargi le nombre de points qu'ils ont à défendre, tandis que seule une sur six chiffre les données déjà migrées.

Voici quelques-unes des conclusions d'une enquête publiée aujourd'hui par l'entreprise de cybersécurité, Bitdefender. Celle-ci a étudié en détail, auprès de 1 051 professionnels en informatique de grandes entreprises comptant plus de 1 000 PC et des datacenters, la pression que font peser les migrations dans le cloud (enquête réalisée aux États-Unis, au Royaume-Uni, en France, en Italie, en Suède, au Danemark et en Allemagne). Alors que le Règlement général sur la protection des données (RGPD) de l'UE doit entrer en vigueur en mai 2018 – soit dans environ huit mois – de nombreuses entreprises peinent encore à s'y conformer.

Parmi les nouvelles exigences, l'obligation de protéger correctement les données, et en cas de violation, l'obligation pour les entreprises d'avoir en place des systèmes de notification conformes aux critères de la RGPD.

L'adoption grandissante du cloud hybride - un mélange de services de cloud public et de datacenters privés, déjà en place dans 70 % des entreprises dans le monde – donne naissance à de nouveaux défis en matière de sécurité et oblige les RSSI à adopter diverses technologies pour contrer les exploits de type Zero-day, les menaces persistantes avancées et autres types de cybercrimes dévastateurs.

 

Qui dit cloud hybride dit problèmes hybrides

Près de 81 % des RSSI estiment que les logiciels de sécurité sont le dispositif de sécurité le plus efficace pour protéger les données stockées dans le cloud public, suivi de près par le chiffrement (mentionné par 77 % des répondants) et les sauvegardes (jugées fiables par près de la moitié des personnes interrogées).

Selon cette enquête, un grand nombre d'entreprises françaises - quatre sur dix - protègent de 31 à 60 % des données stockées dans le cloud public, tandis que seules 17 % d'entre elles chiffrent l'intégralité de celles-ci. Autre sujet d'inquiétude : 19 % des RSSI ne déploient pas de sécurité dans le cloud public, et le même pourcentage ne chiffre pas les données en transit entre leur propre datacenter et les datacenters externes.

Les spécialistes en cybersécurité de Bitdefender recommandent que tous les transferts de données entre le client et le prestataire de services cloud soient chiffrés pour éviter les attaques de type man-in-the-middle susceptibles d'intercepter et de déchiffrer toutes les données transmises. En outre, toutes les données stockées en local ou dans le cloud doivent être chiffrées pour empêcher les cybercriminels de les lire en cas de violation de données ou d'accès non autorisé.

Pour se conformer à la RGPD, les entreprises doivent identifier les données qui relèvent du règlement – « toute information se rapportant à une personne physique identifiée ou identifiable » –, consigner la manière dont ces données sont protégées et définir des plans d'intervention en cas d'incident.

L'enquête montre également que 73 % des responsables informatiques utilisent une solution de sécurité pour endpoint afin de protéger les infrastructures physiques et virtuelles, mais que 24 % ont mis en place d'autres outils. Parmi ceux-ci, 77 % l'ont fait pour protéger des clients sensibles et des données de clients, 70 % citent la conformité aux exigences internes et réglementaires, et 45 % veulent empêcher les interruptions de service suite à une attaque.

 

Une sécurité sur mesure face aux cyberarmes les plus élaborées

Les spécialistes Bitdefender conseillent fortement aux RSSI d’utiliser une infrastructure de sécurité centralisée, à la fois pour les environnements physiques et virtuels, mais étant capable de s’adapter à l’environnement sur lequel elle est déployée, et ce pour éviter trois inconvénients majeurs :

  • L'augmentation des coûts généraux : l'installation d'une solution pour endpoint sur plusieurs machines virtuelles hébergées sur le même serveur impacte les ressources en exécutant en permanence des applications redondantes telles que les agents de sécurité.

 

  • La réduction significative des performances : celle-ci sera inévitable si des outils de sécurité pour environnements virtualisés ne sont pas déployés. En effet ceux-ci utilisent des agents optimisés intégrés à des appliances virtuelles de sécurité sur le ou les serveurs, pour que les fichiers déjà analysés ne soient pas réanalysés à chaque fois qu'un utilisateur en a besoin.

 

  • - L’absence de protection lors du démarrage : les environnements virtuels ont souvent à faire face à des cyberarmes plus sophistiquées que celles observées pour les environnements physiques, telles que les menaces persistantes avancées ou les attaques ciblées, qui visent aussi bien les entreprises que les entités gouvernementales (exemple APT-28, et plus récemment Netrepser). En la matière, une sécurité adaptée aux environnements virtuels est de loin la solution la plus efficace pour détecter et combattre ces menaces complexes.

Ce qui est stocké dans le cloud public ne doit pas être rendu public

Les entreprises françaises sauvegardent principalement dans le cloud public des informations relatives à leurs produits (52 %), à leurs clients (44 %) et à leurs finances (45 %) et évitent de sauvegarder hors site ce qu'elles considèrent comme des données plus sensibles, telles que les recherches sur de nouveaux produits ou la concurrence (respectivement 40 % et 32 %) ou ce qui touche à la propriété intellectuelle (17 %). Elles chiffrent donc plus souvent des informations et caractéristiques de produits (36 %), des informations sur leurs clients (29 %), des informations financières (35 %) que leurs sauvegardes (17 %), leurs recherches sur la concurrence (17 %) et les informations relatives à la propriété intellectuelle (12 %).

« Le risque de ne pas être conforme à la RGPD implique non seulement une mauvaise publicité et une atteinte à la réputation des entreprises, comme c'est déjà le cas, mais également des pénalités qui peuvent atteindre 4 % du chiffre d'affaires annuel d'une entreprise », explique Bogdan Botezatu, Analyste senior des e-menaces chez Bitdefender. « 2017 ayant déjà établi de nouveaux records en termes de magnitude des cyberattaques, les comités de direction doivent réaliser que leur entreprise connaitra sans doute, sous peu, une violation de données, car la plupart d'entre elles ne sont pas correctement protégées. »

Lors de la sélection d'une solution de cloud hybride, les spécialistes Bitdefender recommandent aux entreprises d'analyser le type de données qu'elles traitent et d'en évaluer le caractère sensible – aussi bien pour l'entreprise que pour ses clients. Les données critiques, personnelles et privées touchant à la propriété intellectuelle doivent être enregistrées sur site, et n'être accessibles qu'au personnel autorisé.

Les entreprises qui traitent des données sensibles ou confidentielles, ou des données relatives à la propriété intellectuelle, doivent veiller à ce que leur infrastructure de cloud privé reste privée. Aucune personne hors du réseau local ne devrait être en mesure d'accéder à ces données et seul le personnel autorisé doit avoir les accès nécessaires pour les traiter. Le cloud privé doit être complètement isolé de l'Internet public pour empêcher les pirates d'accéder à distance, aux données via des vulnérabilités.

En ce qui concerne les défis à relever, 32 % des RSSI français considèrent le cloud public comme leur principale priorité, un pourcentage quasiment identique au pourcentage de RSSI préoccupés par le cloud privé (34 %). 16% déclarent accorder une même importance aux deux, et 15 % estiment que le cloud hybride est leur principale source d'inquiétude.

La moitié des entreprises interrogées considère le manque de prédictibilité, le manque de visibilité sur les menaces, ainsi que le manque de plateformes de sécurité multi-environnements, comme étant les principaux défis de sécurité en ce qui concerne l'adoption du cloud.

 

 

Méthodologie

L'enquête a été menée auprès de 1 051 professionnels en informatique de grandes entreprises comptant plus de 1 000 PC et des datacenters ; aux États-Unis, au Royaume-Uni, en France, en Italie, en Suède, au Danemark et en Allemagne.

BONUS: 

Infographie-Bit-Defender-Oct-2017

@DPO_News @cyberisques Commissaires aux comptes, CRCC de Paris* RGPD et nouveaux métiers: "Nous pensons à la fonction de commissaire aux données et aux algorithmes"

Rencontre : @DPO_NEWS Serge Yablonsky et Frédéric Burband, Commissaires aux comptes, CRCC de Paris*

 

 

 

 

RGPD et nouveaux métiers: "Nous pensons à la fonction de commissaire aux données et aux algorithmes"

 

 

 

Cyberisques : Entrons tout de suite dans le vif du sujet :pourquoi les Commissaires aux comptes s’alignent sur la ligne de départ des futurs prestataires de services DPO externalisés ?

Serge Yablonsky et Frédéric Burband : Les commissaires aux comptes disposent d'une filiation directe avec les problématiques réglementaires et notamment le RGPD. Pourquoi ? Par culture nous certifions les comptes des entreprises de toutes tailles, ce qui suppose de connaître leur environnement réglementaire. Dans le cadre de notre mission nous devons signaler par obligation aux actionnaires notamment, les fraudes et manquements à toute sorte de « conformité ».

 

 

Mais la fonction de DPO suppose des connaissances transversales dans l'organisationnel, le juridique et les solutions techniques pour veiller auprès des responsables de traitement à la conformité RGPD. Ces connaissances multiples sont également celles propres des commissaires aux comptes ?

Pas toutes mais bon nombre d'entre nous intègrent les SI dans l'audit des comptes ce qui nous permet de vérifier la conformité réglementaire RGPD. Nous pouvons recruter les profils nécessaires. Surtout nous apportons notre neutralité et nos engagements en responsabilité civile et pénale. Si nous manquons d'indépendance nous risquons des sanctions.

 

 

Que répondez vous a vos détracteurs qui estiment qu'il est compliqué de rester indépendant lorsque votre « business » dépend des clients audités ? L'éternel problème juge et partie...

Précisément, nous nous devons à notre indépendance et c’est un avantage. Un cabinet de commissaires aux comptes qui manque a son indépendance est sanctionné. C’est aujourd’hui la profession la plus réglementée en matière d’indépendance. La durée irrévocable de 6 ans constitue un avantage en matière d’indépendance (pas de pression au renouvellement annuel). Par exemple, nous devons choisir entre réaliser chez un client une missions d'audit légal (commissariat aux comptes) ou une mission de conseil. Les deux sont impossibles pour un même cabinet.

 

 

Pensez vous recruter en interne au sein de vos cabinets les profils nécessaires aux compétences organisationnelles et techniques que demandent les services DPO externalisés ?

Oui pour Nous c'est indispensable bien que ces compétences s'avèrent difficiles a trouver. Il faut aussi préciser la nature du rôle des DPO. Ce qui suppose vraisemblablement de créer de nouveaux métiers autour de la data. Nous pensons à la fonction de commissaire aux données et aux algorithmes.

 

 

De quoi s'agit il au juste ? Un super DPO ?

Pas forcément. Mais d'ici la fin de l'année, en accord avec la CNIL, une annonce allant dans ce sens pourrait être faite, , , la CNCC Compagnie Nationale des Commissaires aux comptes

pourrait effectuer une annonce allant dans ce sens.

D'ici la fin de l'année çà correspond aussi au texte « d'adaptation » que le gouvernement doit publier pour préciser les modalités et les conséquences liées au RGPD...

Absolument. Vous savez qu'un règlement européen – et non une directive – s'applique tel quel dans tous les pays membres et « efface » les lois nationales. Que va t-il rester des lois Informatiques et Liberté par exemple mais aussi comment vont évoluer les réglementations propres aux données privées traitées par les algorithmes des IoT ?

Un dernier point qui touche à la mise en application de manière opérationnelle du RGPD : plus de 40% des données circulant au sein des organisations européennes sont considérées comme appartenant au « shadow IT » et échappent au contrôle des directions IT. Comment doit-on procéder pour faire appliquer le RGPD dans ces conditions ? Idem pour les données chiffrées ?

Nous n'avons pas encore de réponses précises mais c'est un des nombreux points qui restent sans réponses.

 

 

Propos recueillis par @jpbichard

@DPO_NEW @cyberisques

http://www.cyberisques.com/

 

 

BONUS :

 

POURQUOI UN GROUPE DE TRAVAIL SUR L’AUDIT INFORMATIQUE* ?

Notre objectif est d’expliquer, de sensibiliser et de convaincre nos confrères que l’utilisation d’outils de data mining (ou analyses de données) dans le cadre de leur mission est un gage d’excellence pour notre profession, de sécurisation de leur mission et une réponse efficace aux besoins des entreprises que nous accompagnons.
Par ailleurs, il est également nécessaire de les sensibiliser au fait que la digitalisation des processus de l’entreprise est source de risques de perte de continuité d’activité ou encore de perte d’intégrité des données si celles-ci ne sont pas suffisamment sécurisées : soit parce que les accès aux systèmes sont trop étendus, soit parce que les programmes informatiques peuvent être modifiés sans contrôle en amont. La transition numérique actuelle lancée par les pouvoirs publics (FEC, DSN, facture électronique, Chorus…) n’est donc pas un obstacle, mais bien l’opportunité pour les professionnels que nous sommes, de donner du poids à nos contrôles.

 

 

* http://www.crcc-paris.fr/sites/default/files/fichier/telechargement/guide_audit_def_11h46.pdf

 

http://www.actuel-expert-comptable.fr/content/le-cac-doit-se-reapproprier-levaluation-du-risque-informatique

 

 

@DPO_News @cyberisques Etude #netskope: services cloud pas encore GDPR compliance ?

Communication Corporate: NetSkope                     Los Altos, US, 26 septembre 2017  

 

 

Le rapport de Netskope révèle que la majeure partie des

services cloud ne sont pas encore prêts pour la GDPR

 

 

Bien que l’échéance de mai 2018 se rapproche, l’étude trimestrielle de Netskope sur les services destinés aux entreprises n’observe guère d’évolution dans l’état de préparation à la future réglementation européenne sur la protection des données

 

 Netskopenuméro un dans le domaine du cloud sécurisé,publie l’édition de septembre 2017 de son étude Netskope Cloud Report* sur l’utilisation et les tendances des services cloud destinés aux entreprises. Alors que l’échéance de mai 2018 pour la mise en conformité avec le Règlement général européen sur la protection des données (RGPD) se rapproche à grands pas, le rapport de ce trimestre examine de près l’état de préparation à cette nouvelle réglementation parmi les services cloud d’entreprise et n’observe guère d’évolution à ce sujet en comparaison des trimestres précédents. Près de trois quarts des services cloud manquent en effet toujours de compétences essentielles pour assurer leur conformité.

Les données semblent indiquer une normalisation de l’adoption du cloud dans l’entreprise

Dans cette étude, Netskope constate une légère baisse du nombre moyen de services cloud en usage dans chaque entreprise, signe d’une possible normalisation en la matière et d’une tendance à dissuader les utilisateurs de recourir à des applications non approuvées par l’informatique (Shadow IT/Shadow Data). Une entreprise a ainsi déployé en moyenne 1022 services cloud, contre 1053 au trimestre précédent. Parmi ces services, seuls 24,6 % ont vu leur degré de préparation au GDPR jugé « élevé », en fonction de critères tels que le lieu de stockage des données, leur niveau de cryptage ou encore les spécificités de l’accord relatif à leur traitement.

 

Etude-2017-Cloud-GDPR

 

 

Le paysage des menaces continue d’évoluer, avec l’apparition de malwares liés au bitcoin

En étudiant les menaces qui pèsent sur la sécurité des données des entreprises au quotidien, l’équipe Netskope Threat Research Labs a découvert que les portes dérobées dans les logiciels (backdoors) constituent le danger le plus fréquent dans les environnements d’entreprise, représentant 27,4 % de toutes les détections, suivi des ransomwares (8,6 %), des adwares (8,1 %), des scripts JavaScript (7,2 %), des malwares Mac (7,2 %), des macros Microsoft Office (5,9 %) et des exploitations de failles PDF (2,7 %).

Le rapport de ce trimestre s’intéresse également pour la première fois aux malwares liés au bitcoin ou autres cryptomonnaies, lesquels représentent 0,9 % de l’ensemble des menaces et sont, pour bon nombre d’entre eux, hébergés dans des environnements IaaS, par exemple Amazon Web Services. En outre, la proportion des menaces « très sérieuses » atteint 86,9 %, contre 69 % au cours du trimestre précédent, tandis que 23,8 % des fichiers infectés par des malwares ont été partagés avec d’autres utilisateurs, internes ou externes à l’entreprise, diffusés publiquement.

Les applications collaboratives ne montrent aucun signe de ralentissement

Alors que la moitié des 20 premiers services cloud de la liste portent sur le stockage ou le travail collaboratif, les entreprises doivent rester attentives aux données reçues ou transmises par ces services. De nombreux services cloud de stockage ou de travail collaboratif se connectent à d’autres services (par exemple Salesforce ou DocuSign), or un programme complet de sécurisation du cloud doit prendre en compte la mise en place de contrôles en matière de communication et de traitement entre services cloud.

« L’adoption du cloud est inévitable et offre un intérêt énorme pour les entreprises, quel que soit leur implantation géographique et leur secteur d’activité. Elle suscite également une série de nouveaux défis complexes pour la sécurité au sein de l’entreprise, notamment avec des réglementations telles que la RGPD », commente Sanjay Beri, CEO et fondateur de Netskope. « A l’approche de l’échéance pour la mise en conformité, une visibilité complète et un contrôle en temps réel de l’usage du cloud et des activités qui y sont menées, au moyen d’une solution centralisée et homogène englobant tous les services cloud, sont d’une importance capitale pour permettre aux entreprises de déterminer comment elles exploitent et protègent les données personnelles de leurs clients et, en conséquence, si elles satisfont aux obligations de la RGPD. »

Nombre moyen de services cloud par entreprise et par catégorie

Ce trimestre, le nombre moyen de services cloud par entreprise a reculé de 2,9 %, s’élevant à 1022 contre 1053 au trimestre précédent. Pour le deuxième trimestre consécutif, le secteur industriel présente la moyenne la plus élevée (1370), talonné par le secteur de la santé et des biosciences (1340). Les services financiers, la banque et l’assurance arrivent au troisième rang (1175), suivis de la distribution, la restauration et l’hôtellerie (976). Les services technologiques et informatiques ont vu leur nombre chuter à 772 ce trimestre.

En ce qui concerne les différentes catégories de services cloud, celle des ressources humaines (RH) est la plus répandue, ainsi que la plus susceptible de receler des données sensibles et personnelles visées par la RGPD. Les applications de travail collaboratif ont fait un bond : leur nombre moyen par entreprise atteint aujourd’hui 85, contre 71 au dernier trimestre. Par contre, la moyenne des applications de productivité en usage a pour sa part baissée, signe d’une évolution dans les méthodes de travail dans les entreprises, qui privilégient désormais le travail collaboratif et la communication par rapport aux outils traditionnels de suivi de la productivité.

 

 

Catégorie de services cloud

Nombre moyen de services

% non conformes

RH

109

95 %

Marketing

102

98 %

Travail collaboratif

85

84 %

Finance/comptabilité

59

94 %

CRM

50

93 %

Développement de logiciels

32

75 %

Productivité

33

75 %

Réseaux sociaux

24

89 %

Stockage dans le cloud

24

67 %

Services informatiques / Gestion d’applications

22

96 %

 

 

BONUS: 

●     Téléchargez l’étude Netskope Cloud Report pour une analyse plus détaillée et une liste complète des services cloud les plus utilisés par les entreprises.

 

 

Méthodologie de l’étude Netskope Cloud Report*

Les résultats de l’étude reposent sur les données anonymisées et agrégées de Netskope Active Platform, qui assure l’identification avancée, la visibilité et le contrôle granulaire, ainsi que la prévention de perte de données (DLP) pour tout type de service cloud. Cette étude a été réalisée du 1er avril au 30 juin 2017 sur des millions d’utilisateurs de centaines de comptes Netskope Active Platform au niveau mondial.

 

Netskope: Netskope est le leader de la sécurité du Cloud. S’appuyant sur une technologie brevetée, sa plateforme de sécurité cloud assure une gouvernance en contexte de tous les usages du cloud dans l’entreprise en temps réel, que l’accès s’effectue sur le réseau d’entreprise, via une connexion à distance ou sur un mobile. Les professionnels de la sécurité peuvent ainsi déterminer les activités risquées, protéger les données sensibles, bloquer les cybermenaces et répondre aux incidents en adéquation avec les méthodes de travail modernes. Grâce à des règles granulaires de sécurité, aux capacités les plus avancées de prévention de perte de données (DLP) dans le cloud et à un éventail de workflows sans équivalent, Netskope s’est acquis la confiance des plus grandes entreprises mondiales en faisant évoluer la sécurité. Pour en savoir plus, consultez notre site Web.

 

 

 

RGPD et textes nationaux: vers trop de spécificités nationales ?

Opinion : Bruno Rasle  délégué général AFCDP*                       13 septembre 2017

 

 

RGPD et textes nationaux: vers trop de spécificités nationales ?

 

 

L'Europe avait opté pour un Règlement afin d'éviter des différences entre les Etats membres (comme cela avait été constaté à l’occasion de la directive de 1995). Mais, au final, ne risquons-nous pas de nous retrouver à nouveau avec des spécificités nationales ?

Bien qu’un règlement européen soit d’application directe, certains Etats membres se préparent à le compléter d’un texte national**.

  

Espagne :

L'Espagne va modifier sa loi pour accompagner le RGPD. Le texte apporte plusieurs précisions, dont certaines relatives au DPO.

Il précise les catégories de responsables de traitement qui doivent désigner un Délégué à la protection des données (centres d'enseignement, fournisseurs de services de la société de l'information, établissements de crédits financiers, compagnies d'assurance, entités qui développent des activités de publicité et de prospection commerciale, centres de santé, etc.) - voir l'article 35 du projet de loi.

Il indique que les responsables de sous-traitants peuvent désigner un DPO volontairement en se plaçant  sous le régime décrit.

Enfin elle dispose que les responsables de traitement doivent notifier à l'autorité de contrôle les fins de désignation ou de mission de leur DPO, et que l'autorité de contrôle publie la liste des DPO sous une forme accessible par voie électronique.

D'autres précisions notables concernent la gestion des demandes de droit d'accès (en précisant, par exemple, la notion de demandes répétitives), de rectification (la personne concernée doit indiquer les corrections à apporter et fournir, le cas échéant, la documentation justifiant l'inexactitude), le droit à la limitation (en décrivant la portée du "blocage" des données), la réalisation des analyses d'impact (en détaillant les cas où celle-ci doit être réalisée).

 

Luxembourg :

Le ministère de la Justice luxembourgeois a déposé le projet de loi relatif à la protection des personnes physiques à l'égard des données personnelles. On y relève, entre autres, les points suivants :

a) La création du droit d'accès direct ;

b) La création d'une seconde autorité de contrôle (Aux côtés de la Commission nationale pour la protection des données (CNPD), cette nouvelle entité veillera à la bonne application de la loi et en particulier des opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles) ;

c) Un article spécifique dédié à la "Journalisation" (traçabilité et exploitation de celle-ci). Les responsables de traitement auraient jusqu'en mai 2023 pour se mettre en conformité avec cette disposition spécifique, voire jusqu'en mai 2026 (attention, la journalisation est une obligation prévue par la directive (UE) 2016/680 qui concerne les traitements dits « régaliens » de police et de justice).

 

Allemagne :

Les Allemands, de leur côté, ont ajouté des précisions suivantes dans leur texte national, en complément du RGPD :

- Pour les DPO du secteur public, le retrait de la désignation par le responsable de traitement ne peut intervenir qu'au titre de la section 626 du Code civil. Il ne peut être mis fin aux missions du DPO sans préavis que pour des faits qui donne une raison dûment justifiée. Après la fin de sa mission de DPO, la personne qui a tenu ce rôle ne peut pas être licenciée dans l'année qui suit, sauf si l'organisme dispose d'une raison dûment justifiée.

- Les entreprises du secteur privé - indépendamment du nombre de leurs salariés - ont l'obligation de désigner un DPO dès qu'elles emploient au moins dix personnes en charge du traitement des données personnelles. De plus sont soumis à la même obligation les entreprises (dont les sous-traitants) qui sont dans l'obligation de réaliser des analyses d'impact et les entreprises qui réalisent des études de marché ou des enquêtes d'opinion et les

On trouve également dans ce texte des précisions intéressantes concernant la gestion des demandes de droit d'accès (sections 34 et 59), la sécurité (section 64) ou les distinctions qui peuvent être faites entre différents types de personnes concernées (section 72).

 

France :

Du côté de la France, un texte national est nécessaire pour trois raisons : a) pour préciser les points qui sont dans les « marges de manœuvre » nationales prévues par le RGPD (comme, par exemple, le régime de traitement du numéro de sécurité sociale) ; b) pour intégrer des spécificités nationales issues de la loi pour une République numérique ; c) pour apporter des précisions sur des points non traités par le RGDP, comme les pouvoirs de la CNIL ou le traitement des données de santé.

L’AFCDP a été auditionnée avant l’été par le Ministère de la justice pour faire entendre la voix des DPO français.

Nous y proposions que le texte intègre des précisions (par exemple pour éviter un texte qui aboutirait à une sclérose de la profession de Délégué à la protection des données aux seuls juristes et obtenir une définition des « autorités publiques » qui ne peuvent pas fonder leurs traitements sur l’intérêt légitime au titre du 1.f) de l’article 6 du RGPD et une définition de la notion de « coûts administratifs » utilisée dans l’article 12.5.a du RGPD), des clarifications (par exemple sur le fait qu’il est possible de désigner une personne morale comme Délégué à la protection des données, le fait que le nom du Délégué à la protection des données ne doit pas obligatoirement être rendu public ou le fait que la Tokenisation peut également permettre une exception à la communication aux personnes concernées),

Nous avons également demandé que, pour les quelques demandes d’autorisation auprès de la CNIL qui vont perdurer, soit appliqué le régime utilisé actuellement pour le traitement des demandes d’avis (silence de deux mois après réception du dossier complet vaut accord).

L'Europe avait opté pour un Règlement afin d'éviter des différences entre les Etats membres (comme cela avait été constaté à l’occasion de la directive de 1995). Mais, au final, ne risquons-nous pas de nous retrouver à nouveau avec des spécificités nationales ?

 

CNIL : moins de demandes d'autorisation avec le RGPD

Le RGPD va considérablement réduire les cas où la CNIL aura à examiner des demandes d’autorisation et à se prononcer. L’actuel régime (silence de deux mois après réception du dossier complet vaut refus) se traduit dans les faits, pour les organismes qui déposent les demandes, par un manque de visibilité et de prédictibilité qui les pénalisent, notamment quand on compare cette procédure avec celle qui régit le traitement des demandes d’avis (silence de deux mois après réception du dossier complet vaut accord).

Compte-tenu du nombre moindre de demandes d’autorisation que la CNIL aura à gérer, et par équité entre les différentes catégories de responsables de traitement, l’AFCDP demande à ce que la règle « silence de deux mois après réception du dossier complet vaut accord » s’applique également aux demandes d’autorisation.

Concernant le calendrier, nous croyons savoir que le texte est parti en interministeriel et qu’il se compose d’un projet de loi (qui viendrait en discussion au Parlement en décembre, en procédure accélérée) et d’une ordonnance. A ce stade, nous ne savons pas quelle est la répartition (quelles sont les dispositions qui figurent dans chaque texte) et nous tenons prêts à les analyser et à faire part de nos réactions.

La Présidente de la CNIL, s’est dite inquiète de ce calendrier. Même avec la procédure accélérée, elle craint que cela ne laisse aucune marge de manœuvre pour éventuellement revoir certains points (le tout devant être terminé pour le 24 mai 2018).

* AFCDP: Association Française des Correspondants à la protection des Données à caractère Personnel.  l'AFCDP – au travers de CEDPO – a été désignée comme expert auprès de la Commission Européenne. L'AFCDP – qui a déjà contribué au travers de CEDPO aux lignes directrices du G29 sur le DPO et sur les analyses de risques – dans le cadre du FabLab se réjouit de cette nouvelle opportunité d’apporter sa contribution et de faire entendre au plus haut niveau la voix des CIL et des DPO.

 

BONUS: 

** http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

http://www.cyberisques.com/mots-cles-20/685-dpo-news-gdpr-rgpd-guide-pratique-comment-documenter-la-conformite

http://cyberisques.com/mots-cles-5/83-categorie-3/687-guide-pratique-rgpd-gdpr-dpo-news-fiche-2-quels-sont-les-chantiers-prioritaires-des-dpo

http://www.afcdp.net/

 

C5amMvcWQAAp7jG GF GF GF

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires