#GDPR #RGPD : une nouvelle réflexion sur la valeur de la donnée à caractère personnel

#GDPR #RGPD : une nouvelle réflexion sur la valeur de la donnée à caractère personnel

 

 

A moins de 10 mois de l'entrée en vigueur de GDPR (Règlement Général sur la Protection des Données – RGPD) plusieurs études et rapports sont publiés. Nous rassemblons ici quelques idées et suggestions que certaines de ces publications (étude d'IDC _ Juniper prochainement disponible) soulignent.

C'est peu évoqué, mais le RGPD dans son étét actuel n'est pas achevé (texte des pays membres pour adaptation du RGPD aux cadres nationaux en attente) et à Bruxelles de nombreux amendements sont en preparation (cf section BONUS en fin d'article).

De toute évidence, le rôle stratégique de la protection des données à caractère personnel intéresse. A commencer par le Président de la République, Emmanuel Macron qui a « ouvert le bal » à l'occasion de son discours au salon Vivatech la semaine dernière à Paris.

 

 

Lire aussi :

GDPR et gouvernance des données : http://bit.ly/2rZl3rE

GDPR et maturité des dirigeants : http://bit.ly/2rz9lBq

GDPR et nomination d'un DPO : http://bit.ly/2sOzgpd

 

 

1 - Emmanuel Macron, Président de la République : « générer l'adhésion »

« Il faut à la fois redonner des libertés de faire, de tenter, parfois d’échouer tout en créant de nouvelles protections qui soient adaptées au nouveau monde numérique, notamment en matière de protection des données personnelles ou de cybersécurité, afin de générer l’adhésion collective nécessaire. »

Source : http://www.elysee.fr/declarations/article/discours-du-president-de-la-republique-salon-vivatech/

 

Emmanuel-Macron-Juin-2017-Cyberisques-News

 

 

 

2 - CIGREF* : « la valeur stratégique de la donnée à caractère personnel »

 

« En prenant en compte les enjeux de la protection des données personnelles le plus en amont possible, concilier innovation et vie privée devient une démarche non seulement plus responsable mais aussi plus rentable. En étant conforme by design, on parie pour une innovation durable, et cela constitue in fine une réelle valeur ajoutée.

Certaines innovations d’usage créent également une nouvelle valeur stratégique : le Self Data ou le VRM (Vendor Relationship management) par exemple dessinent un nouveau paradigme économique autour des données personnelles dont certaines entreprises pourront être les pionnières : celui d’une économie symétrique, où les consommateurs/clients bénéficieront d’une valeur d’usage de leurs données, et deviendront de véritables co-créateurs de valeur. »

Source* : http://www.cigref.fr/rapport-cigref-economie-des-donnees-personnelles

 

 

3 - IDC : Karim Bahloul co-auteur d'une enquête prochainement publiée sur le GDPR (sponsor Juniper)

 

 

Quelles conclusions tirez-vous de l'enquête réalisée auprès de 150 entreprises françaises de plus de 500 salariés ?

Tout d'abord en termes de méthodologie, nous avons chez IDC souhaité obtenir des « Résultats redressés « . Autrement dit, dans un souci de représentativité nous avons travaillé via une ventilation publiées par l'INSEE en réaffectant les résultats de l'enquete pour pondérer les résultats avec une représentation proportionnelles. Coté résultat récoltés aupres des tentreprises interrogées, 9 % se disent en conformité avec le GDPR. 38% des structures disent avoir nommé un DPO (interne ou externe) soit le CIL qui évolue vers la fonction DPO ou le RSSI qui prend le lead. Je constate parfois un écart entre ce que dit le règlement pour la nomination d'un DPO et la réalité du terrain. Ainsi, 82% des grands comptes veulent un DPO en interne.

La conformité GDPR avec des données « compliance in design » constitue t-elle aux yeux des décideurs un avantage concurrentiel ?

Oui c'est même critique s'ils ne sont pas compliance comme les hébergeurs Cloud d'ailleurs. Du cote des offreurs de services d'hébergement, le reglement modifie un écosysteme en leur demandant une « certification » GDPR. Coté entreprises, le GDPR pour 58% représente un atout avec notamment une meilleure image aupres de des clients.

 

 

4 - Marc Rispoli (Juniper) : « Les outils GDPR sur étagère n'existent pas »

 

En tant que sponsor de l'enquête réalisée par IDC, quelles sont vos premières impressions à la lecture des résultats (cf voir en fin d'article) Avez vous par exemple perçu une différence entre volume de données à caratères personnel traité et tailles des organisations, sachant que certaines start up manipulent des volumes considérables de données de ce type ?

« Certaines entreprises bien que appartenant à la catégorie Grands Comptes manipulent très peu de données personnelles. En revanche et vous avez raison, certaines start-up ne concentrent leur expertise et leurs services que via l'exploitation de données à caractère personnel.

Disposez vous d'outils spécifiques que l'on pourrait qualifier de « compliance » GDPR ?

Les outils GDPR sur étagère n'existent pas. Dans le cas de développement de nouveaux process de type « privacy by design » par exemple c'est envisageable que certaines solutions « GDPR » existent sur le marché. En revanche, pour la mise a niveau de l'existant pour répondre aux exigences du GDPR, les solutions demeurent plus « personnalisables ».

Les COMEX et autres directions et secrétariats généraux prennent-ils conscience de l'aspect stratégique et légal du GDPR ?

Oui. L'implication financière avec les pénalisations prévues font que 49% des entreprises rencontrées déclarent leur DG impliquée. Le GDPR est un réel levier pour les RSSI qui pensent que les DG vont êtres davantage a l écoute. En outre, la Cyberassurance pourrait trouver là un levier avec le GDPR et les risques qui y sont associés. 

 

 

5 - Imperva* : Quelle responsabilité impose le GDPR aux entreprises avec leurs sous-traitants ?

 

 

« Si vous êtes un responsable du traitement des données et que vous faites appel à des sous-traitants, vous devez prendre des mesures pour vous assurer que vos sous-traitants protégeront les données dont vous êtes responsable conformément à vos règles relatives au GDPR. Pour faire face à cette exigence essentielle, il est préférable d'associer des contrats préparés par votre équipe juridique et une technologie capable de limiter le mouvement des données. C'est particulièrement important si les données risquent d'être transférées à (ou consultées par) des personnes qui se trouvent en dehors de l'Union européenne ou d'un pays reconnu par l'Union européenne comme disposant de mesures de protection des données adéquates, tels qu'Israël, la Suisse, l'Argentine et la Nouvelle-Zélande. La liste complète des pays ayant mis en place des mesures de protection des données adéquates a été publiée par l'Union européenne ici. Même une session de bureau à distance via VPN enfreint les exigences en matière de transfert de données si la personne qui consulte les données se trouve en dehors de l'Union européenne ou d'un pays considéré comme disposant de mesures de protection des données adéquates. Vous devrez mettre en place des contrôles juridiques et techniques pour surveiller et contrôler l'accès à vos données. »

*Source Imperva : http://bit.ly/2rQCPtM

 

 

6 - RSSI : un peu débordés...

 

Selon la dernière enquête (20 juin 2017) menée par ServiceNow® auprès de 300 responsables de la sécurité des systèmes d'information (RSSI — Chief Information Security Officer, CISO) du monde entier souligne la nécessité d'adopter une nouvelle approche pour répondre à l'augmentation du nombre de menaces qui pèsent sur la sécurité des données, ainsi qu'à la hausse de leur coût. Selon cette étude intitulée « The Global RSSI Study: How Leading Organizations Respond to Security Threats and Keep Data Safe », 90 % des RSSI français indiquent que les failles de données détectées ne sont pas traitées (80 % au niveau mondial) et 68 % déclarent pour leur part éprouver des difficultés à hiérarchiser les menaces en fonction du risque qu'elles représentent pour l'entreprise.

Ces lacunes ont un coût : 14 % des RSSI français (13 % au plan mondial) déclarent avoir vécu au cours des trois dernières années une importante faille de sécurité ayant eu un impact important sur l'image ou les finances de leur entreprise. Les processus manuels, le manque de ressources et de talents, ainsi que l'impossibilité de hiérarchiser les menaces grèvent l'efficacité de la réponse aux incidents de sécurité. Résultat, les RSSI augmentent l'automatisation des tâches de sécurité pour répondre et remédier aux failles de sécurité avec une plus grande efficacité.

« En France, les RSSI consacrent de plus en plus de temps à prévenir et détecter des failles de sécurité, mais notre étude souligne que c'est sur la réponse à apporter qu'ils devraient se concentrer », a déclaré Matthieu de Montvallon, Directeur Technique de ServiceNow France. « L'automatisation et l'orchestration de la réponse aux incidents de sécurité constituent le chaînon manquant qui empêche les RSSI d'accroitre de façon significative l'efficacité de leurs programmes de sécurité ».

Principales conclusions de l'étude menée en France :

·        seulement 18 % des RSSI interrogés considèrent que leur entreprise lutte très efficacement contre les failles de sécurité (19 % à l'échelle mondiale) ;

·        ce sont les clients qui souffrent le plus de ces lacunes : seulement 38 % des RSSI — en France et dans le monde — pensent protéger les données de leurs clients de façon très efficace contre les failles de sécurité ;

·        environ un cinquième des RSSI français (22 %) déclare que les processus manuels entravent la capacité de leur entreprise à détecter des failles de sécurité et à y faire face ; 26 % d'entre eux imputent cette difficulté au manque de ressources ;

·        seulement 4 % des RSSI français estiment que leurs employés disposent des compétences nécessaires pour hiérarchiser avec succès les menaces qui pèsent sur la sécurité, contre 7 % au plan mondial.

Au sein du panel couvert par cette enquête, un petit groupe (11 % à l'échelle mondiale et 14 % en France) de « leaders dans la lutte contre les incidents de sécurité » affiche une tendance différente en ce sens où ils souhaitent :

·        automatiser un pourcentage supérieur d'activités de sécurité, en incluant des tâches plus avancées telles que les rapports de tendances ;

·        hiérarchiser les réponses aux alertes de sécurité en fonction du niveau de risque pour l'entreprise ;

·        et nouer des relations plus étroites avec la DSI et autres services de l'entreprise.

Ressources complémentaires :

·        Télécharger le Global Research Report

·        Étude de cas sur la Freedom Security Alliance

 

 

BONUS :

GDPR / RGPD à Bruxelles:  

 

Proposition de

 

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

 

concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

Consulter: http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:52017PC0010

 

 

-----------------------

 

1 - Extraits : Livre Blanc Infrastructures, Cloud, sécurité et gestion des données : les entreprises françaises face au GDPR Source: IDC, 2017

« Le GDPR (ou RGPD) concerne toutes les entreprises européennes ou non, qui détiennent des données portant sur des citoyens européens. Les entreprises doivent se mettre en conformité avant le 25 mai 2018 pour répondre aux nouvelles exigences en

A première vue, les entreprises françaises sont loin d'être prêtes : seules 9% d'entre elles se disent aujourd'hui conformes aux dispositions du GDPR.

Elles sont par ailleurs 19% à planifier les initiatives à mettre en place pour être conforme avant la fin 2017 tandis que 30% ont prévu les actions nécessaires pour une mise en conformité courant 2018. En définitive, près d'1 entreprise sur 2 (42%) prend tout juste conscience de l'existence du GDPR et du calendrier associé sans avoir véritablement commencé à lancer des initiatives. Ce phénomène est encore plus important au sein des PME (entreprises disposant de 500 à 1 000 collaborateurs) et des entreprises du secteur privé qui sont respectivement 47% et 46% à "découvrir" les dispositions prévues par le GDPR.

Le chantier qui permettra aux entreprises d'être conformes aux prérogatives du règlement européen est dense. Mais dans la réalité, presqu'aucune entreprise ne part véritablement de zéro. Toutes ont déjà lancé des chantiers qui répondent aux exigences du GDPR sans pour autant les avoir systématiquement initiés dans ce but. Les chantiers les moins avancés et ceux pour lesquels les entreprises interrogées témoignent de réelles difficultés sont plus particulièrement liés à la gouvernance d'une initiative GDPR (mise en place d'un conseil de surveillance et d'une équipe en charge des risques et de la conformité).

L'audit, point de départ d'une mise en conformité GDPR

La difficulté à faire le lien entre les exigences du GDPR, les initiatives déjà lancées et le trajet restant à parcourir est surtout liée au fait que peu d'entreprises ont aujourd'hui pleinement conscience de leur point de départ. Moins d'1 entreprise sur 4 a procédé à un audit interne global destiné à évaluer leur position actuelle et leurs besoins pour se mettre effectivement en conformité. Les entreprises du secteur privé sont les plus matures : les deux tiers d'entre elles ont déjà réalisé un audit (31%) ou projettent de le faire dans les prochains mois (35%) afin de déterminer leur feuille de route. A l'inverse, moins d'1 structure publique sur 2 (49%) s'inscrit dans une telle démarche : 17% ont déjà réalisé cet audit tandis que 34% le projettent dans les prochains mois.

Faut-il continuer à utiliser les services Cloud face aux impératifs réglementaires du GDPR ?

Les données personnelles (portant sur les collaborateurs, les clients ou les partenaires) hébergées ou utilisées par les services Cloud sontelles pleinement protégées ? Qui est responsable en cas de défaillance du partenaire Cloud ? Autant de questions que se posent aujourd'hui les entreprises.

L'article 22 du règlement européen précise que " tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ("controller") ou d'un sous - traitant ("processor") sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui - même ait lieu ou non dans l'Union ".

L'enquête menée par IDC montre que les structures interrogées ne prévoient pas de faire machine arrière concernant leur recours aux services Cloud : elles vont continuer à utiliser les services de Cloud public ou de Cloud privé hébergé. Pour la moitié d'entre elles, elles vont conserver leurs partenaires actuels et les modèles de Cloud qu'elles utilisent aujourd'hui. Pour l'autre moitié (51%), il est nécessaire d'adapter leur stratégie Cloud (sans pour autant la freiner) aux enjeux et aux risques que représente le GDPR. Les organisations les plus matures (celles ayant déjà engagé des initiatives GDPR) sont d'ailleurs plus régulièrement convaincues qu'elles doivent faire évoluer leur stratégie Cloud (60%, contre 44% pour les moins matures).

Les impacts du GDPR sur les infrastructures informatiques

Il est alors nécessaire, pour les 3/4 de ces entreprises, de faire évoluer leurs infrastructures pour les rendre plus agiles et pour casser des silos encore trop présents. L'objectif est alors de faciliter la gestion d'un environnement souvent considéré comme très complexe à travers une approche d'optimisation (architecture, consolidation) et de virtualisation serveurs et réseaux.

L'enquête montrent que les entreprises ne partent pas de zéro, elles peuvent fortement capitaliser sur les initiatives déjà lancées par le passé, notamment celles liées à la gestion des identités et des accès (IAM), à la protection des flux mobiles et web (pour éviter le détournement de données) ou encore à la sécurisation de la messagerie qui voit transiter de nombreuses données personnelles. Mais de nombreux chantiers sont encore à explorer : prévention contre la fuite des données, chiffrement et confidentialité des données, audit et traçabilité des données. Même si elles s'inscrivent dans le cadre du GDPR, ces initiatives débordent du champ des données personnelles pour renforcer la sécurisation de l'ensemble des données de l'entreprise.

La réglementation GDPR est perçue par 80% des entreprises comme une véritable opportunité d'améliorer globalement le niveau de sécurité et de confidentialité des données et de renforcer l'image de l'entreprise auprès de ses clients (41%).

Un focus plus précis sur les résultats de l'enquête montre que toutes les entreprises ne sont pas égales face à la sécurisation de leurs données. En effet, celles considérées comme les plus matures – elles ont une bonne connaissance du GDPR et ont défini une feuille de route – sont également celles qui investissent le plus fortement dans les solutions de sécurité qui leur permettront d'être « compliance »

Les entreprises les plus matures sur le sujet GDPR ont commencé à investir (66%) dans des approches leur permettant de disposer d'une bonne vision de leurs données à travers un audit ( cartographie des données ) et la mise en place de solutions de traçabilité permettant de suivre les données, leur localisation, les accès (personnes physiques et applications).

Selon IDC, l'écart se creuse entre les entreprises "matures" sur le sujet GDRP et les autres. Les plus matures ont déjà capitalisé sur les solutions de sécurité déployées par le passé et continuent à investir pour disposer d'une approche sécuritaire plus complète. Inversement, les entreprises les moins matures, alors qu'elles sont soumises aux mêmes engagements et aux mêmes pénalités que les autres, restent encore sur la réserve et limitent leurs investissements en solutions de sécurité. Ces dernières prennent un risque non négligeable : ne pas pouvoir justifier auprès du régulateur leur bonne volonté pour se mettre en conformité. »

(Fin extrait : enquête IDC / Juniper GDPR)

 

 

 -----------------------

 

2 - La Directive du 6 juillet 2016 dite « NIS » traite pour la première fois exclusivement de la protection des systèmes d’information *.

La Directive NIS a pris le soin de définir la « sécurité des réseaux et des systèmes d’information » comme « la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ». Qui est concerné ?

La Directive « NIS » visant à la sécurité des systèmes d’information

Attention ! Les Fournisseurs de services numériques qui ne sont pas établis dans l’UE, mais qui fournissent les services énumérés ci-après à l’intérieur de l’UE, doivent désigner un représentant dans l’Union. Le Fournisseur est considéré comme relevant de la compétence de l’État membre dans lequel le représentant est établi (Art. 18 de la Directive NIS).

La Directive NIS touche deux catégories d’entités, considérées comme des acteurs majeurs pour le bon fonctionnement et la sécurité des réseaux et des systèmes d’information :

Les Opérateurs de services essentiels (OSE) qui sont définis comme des entités publiques ou privées travaillant dans les secteurs suivants : transport, banque, infrastructure de marchés financiers, secteur de la santé, fourniture et distribution d’eau potable et infrastructure numérique14.

Les Fournisseurs de services, définis comme des « personne(s) morale(s) qui fourni(ssent) un service numérique »15 et plus spécifiquement, il est renvoyé à une annexe qui précise les services numériques visés. Ces derniers sont :

les places de marché en ligne : c’est-à-dire les services de traitement de transactions, d’agrégation de données ou de profilage d’utilisateurs16

les moteurs de recherche en ligne : définis par la Directive comme un service numérique permettant aux utilisateurs de faire des recherches17

les services d’informatique en nuage : définis par la Directive comme des services « qui permettent l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées » et couvre selon elle un « vaste éventail d’activités » tel que « les réseaux, serveurs, et autres infrastructures, le stockage, les applications et les services »18 Il apparaît ainsi que le terme « fournisseur de services » visé par la Directive NIS regroupe un panel extrêmement large d’entreprises, allant de la plateforme de transactions jusqu’aux hébergeurs de données.

Quelles mesures adopter ?

Les obligations préconisées par la Directive NIS couvrent toutes les étapes de la sécurisation des systèmes d’information, de la prévention à la gestion d’une éventuelle attaque, c’est-à-dire :

Avant l’atteinte au système d’information avec de nombreuses mesures préventives.

Après l’atteinte au système d’information.

Source : * Me Olivier Iteanu

http://www.athena-gs.com/public/brochures/ESET_Brochure_BUSINESS_FR

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires