pole4cn
contact@pole4cn.org

Blog

RGPD : penser sécurité dans sa démarche de conformité

Par Fabian Rodes, Fondateur de FASIS Consulting & Vice-Président 4CN (https://twitter/FabianRODES)

 

Le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans toute l’Union européenne en mai 2018, soit dans tout juste 7 mois. Cette réforme de la protection des données s’articule autour de 3 axes : 1) renforcer le droit des individus concernant leurs données personnelles, 2) responsabiliser tous les acteurs de la chaine de traitement des données et 3) favoriser la régulation grâce à une coopération entre les autorités de protection des données.

Le RGPD va renforcer plus que jamais la sécurité des données en imposant à toutes les entreprises manipulant des données de ressortissant de l’union européenne de repenser leur politique de conformité Informatique et libertés. En effet, le règlement est une évolution de notre bonne vieille loi du 6 janvier 1978 renforçant considérablement les exigences mais également le pouvoir de sanction pouvant atteindre 4% du chiffre d’affaire consolidé de l’entreprise.

Dès lors, tout traitement, tout serveur, tout prestataire ou sous-traitant stockant, manipulant ou collectant des données à caractères personnels doit prendre en compte les obligations du RGPD.

Pour se faire, il est nécessaire de commencer par cartographier les différentes briques du système d’information de l’entreprise/organisme en identifiant et en répertoriant les types de données personnelles ainsi que les traitements et personnes y accédant. Par suite, après avoir défini les enjeux de la protection des données au niveau de la direction, il est nécessaire de construire une politique de protection de ses données.

A cet effet, la méthode de l’analyse des risques reste la manière la plus probante et la plus efficace d’entreprendre cette démarche. Sur la base des risques pesant sur les actifs identifiés comme sensibles, l’entreprise bâtira les règles nécessaires à la mise en place des bonnes pratiques de sécurité en s’appuyant, grâce à sa DSI et aux services juridiques, sur les moyens de remédiation à ces risques. En parallèle, le contrôle interne, le service d’audit ou à défaut la Direction financière établiront et collecteront les preuves des contrôles nécessaires à la vérification et à l’efficience de la remédiation aux risques pouvant porter atteinte aux données personnelles.

Cette démarche, progressive et cyclique doit permettre à l’entreprise de caractériser et maîtriser les risques tout en analysant l’évolution des menaces pouvant porter atteinte aux données personnelles en terme avant tout de confidentialité, mais également de disponibilité, d’authenticité, et enfin d’intégrité. Pour se faire, l’accompagnement à la mise en place d’une démarche de conformité est nécessaire afin de permettre aux opérationnels d’entreprendre la bonne démarche d’analyse de leurs risques.

Ce travail, certes fastidieux, permettra en outre de renforcer leurs processus Métiers via des contrôles ou la mise en place d’outils afin de procurer un avantage compétitif en prodiguant aux clients et consommateurs une confiance dans les capacités de l’entreprise à protéger leurs données.