Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets

Internet : Conformité RGPD : Quelle approche adopter ?
Posté par JulieM le 11/10/2018 13:00:00 Articles du même auteur

Nous vivons un incroyable essor de la valeur des données personnelles. D’ici 2020, leur capitalisation pourrait en effet valoir 1000 milliards d ‘euros par an (source : Boston Consulting Group). Sans compter les enjeux business et marketing ainsi que les actes malveillants qu’elles pourraient susciter. Les protéger devient donc essentiel.

Les principales évolutions du RGPD

Aujourd’hui, chaque état européen est constitué par une autorité en charge de la protection des données à caractère personnel, qui a plus ou moins définit un cadre législatif sur l’utilisation des données personnelles.

En France, la CNIL est en charge du contrôle de l’application de la loi « Informatique et Libertés » du 6 janvier 1978. Ce cadre législatif définit les principes à appliquer lors de la collecte, du traitement et de la conservation de ces données.

La directive actuelle date de 1995 et n’avait pas prévu l’essor d’Internet, du Big Data, du Cloud ou encore de collectes massives de données à caractère personnel.

Le Règlement Général européen sur la Protection des Données (RGPD ou GDPR en anglais), entend uniformiser la protection des données au sein de l’Union européenne et mettre à jour le droit européen afin de protéger les citoyens européens contre l’utilisation frauduleuse de leurs données personnelles.

De plus, ce règlement prévoit une augmentation des sanctions financières, pouvant aller jusqu’à 4% du chiffre d’affaire mondial, et montre clairement un renforcement de la volonté à faire respecter les bonnes pratiques en termes de protection des données.

La mise en application de ce règlement pour l’ensemble des entreprises mondiales manipulant des données personnelles de citoyens européens est entrée en vigueur le 25 Mai 2018. C’est un point important et un renversement à 180° dans la mesure où ce n’est plus l’entreprise ou le détenteur de la donnée qui est considéré mais le citoyen Européen, dont la donnée est détenue et pour lequel l’entreprise détentrice doit faire la preuve de sa sécurisation. Le RGPD restitue donc la propriété des données aux citoyens et non plus aux entreprises.

Les étapes d’une mise en conformité réussie

Les entreprises qui ne l’ont pas déjà fait, devront dans un premier temps nommer un Délégué à la Protection des Données (DPO), qui sera en charge de veiller à la bonne application du RGPD. Elles devront également effectuer un audit afin d’avoir un état des lieux sur la sécurité des données à caractère personnel et définir une feuille de route.

L’approche globale préconisée suit une démarche pragmatique afin d’organiser son plan de conformité :

1-Réaliser une cartographie en identifiant précisément l’ensemble des traitements de données personnelles (Où les données sont-elles localisées ? Qui est le responsable de l’application ? Comment les données sont-elles protégées ? Etc.)
2-Analyser le gap avec l’ensemble des exigences du RGPD
3-Définir et prioriser les mesures correctives et les projets à mettre en œuvre
4-Réorganiser les processus de gestion de projets en intégrant une démarche de Privacy by Design

Bien entendu, chaque entreprise aura ses propres problématiques :

-Comment gérer les grandes quantités de données traitées par le Big data dans le domaine bancaire ?
-Comment anonymiser les données dans le cadre de calculs de statistiques chez les assureurs ? Une fois les données anonymisées, comment répondre à la demande d’un client qui souhaitent exercer son droit à l’oubli ou à la portabilité ?

-Une entreprise ayant résolument adoptée le Devops, pourra-t-elle garantir la sécurité des données qui sont parfois répliquées sur des environnements de développement non maîtrisés ?
-Certaines entreprises ont également succombé aux tentations du Cloud : comment peuvent-elles maintenant garantir la sécurité de leurs données qu’elles ne maitrisent plus totalement ?

Chaque cas devra faire appel à des solutions adaptées. Par exemple dans le cadre de l’externalisation de données dans le Cloud, le client pourra demander à mettre en œuvre un Plan d’Assurance Sécurité, insérer dans le contrat des clauses de réversibilité, des clauses de localisation et auditer les fournisseurs.

Le DPO face à ses responsabilités

Face à cette diversité le DPO devra s’adapter et composer sa propre partition en faisant appel aussi bien à des instruments techniques, organisationnels et juridiques. Il devra également faire preuve d’un véritable leadership afin de mettre en œuvre une gouvernance transversale sur la protection des données.

Concernant la politique des autorités, il est fort à parier que, face à cette diversité et des niveaux de maturité très hétérogènes, elles devront adopter une approche pragmatique afin de vérifier dans un premier temps si une démarche a été initiée et que l’ensemble des exigences du règlement ont bien été prises en compte.

Plus concrètement, une entreprise ayant externalisé ses données RH sans les chiffrer ou sans établir de Plan d’Assurance Sécurité ne devrait pas être sanctionnée financièrement mais aura plutôt des recommandations à appliquer. 

Les contrôles et sanctions seront vraisemblablement moins tolérants pour les entreprises ayant déjà laissé fuiter de grandes quantités de données personnelles ou ayant basé leur business model sur les données de citoyens n’ayant pas donné clairement leur consentement…

 

Grégory GARZINO chez Squad 

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
13/12/2018 15:00:00 - Banner Saga 3 : Eternal Arena, le Multi.
13/12/2018 14:30:00 - Vie numérique après la mort : sommes-nous automatiquement immortels ?
13/12/2018 14:00:00 - Elite Dangerous Beyond - Chapter Four, PS4, Xbox One et PC
13/12/2018 13:30:00 - Bitdefender : Surveillance proactive des cybermenaces en PME
13/12/2018 13:00:00 - Cybersécurité : Les trois prédictions de Venafi pour 2019
12/12/2018 15:00:00 - Nier Automata : Edition Game Of The Yorha, 02.2019.
12/12/2018 14:30:00 - Monster Hunter World : Le DLC Iceborne, Action/RPG.
12/12/2018 14:00:00 - War Thunder : Des jets supersoniques et des missiles guidés air-air
12/12/2018 13:30:00 - Cabela’s® The Hunt: Championship Edition : Préco sur Switch
12/12/2018 13:00:00 - Sextorsion : Le chantage à la Webcam.

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Publicité
helixee

helixee


Votre cloud personnel sécurisé et réseau social privé






© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité