Impact du RGPD
sur le Système d'Information

Méthodologie. Contraintes. Sécurité et confidentialité. Outils disponibles. Retours d’expérience.
Sommaire

LE MOT DE L’INTERVENANT

Ce séminaire vous propose une synthèse approfondie des différents...

Ce séminaire vous propose une synthèse approfondie des différents volets de mise en œuvre du RGPD (Règlement européen sur la protection des données personnelles) et de la nouvelle loi Informatique et Libertés à la fois règlementaires, organisationnels, techniques, mais aussi et surtout informatiques et méthodologiques. Il fait également le point sur les retours d’expérience et l’évolution des offres des fournisseurs et sous-traitants. Il est destiné aux responsables métiers, juridiques, informatiques qui veulent apprécier dans leur globalité les différentes composantes du chantier de mise en conformité qui restent (éventuellement) à mettre en œuvre..

Bernard LAUR
Analyste, consultant, auteur d’ouvrages et de très nombreux articles, Bernard Laur est connu depuis une quinzaine d’années pour ses synthèses des domaines émergents et novateurs des NTIC, états de l’art complets illustrés par les premiers retours d’expérience d’entreprises publiques et privées de toutes tailles et secteurs d’activité.
Lire la suite Cacher le texte

 

 

Mai 2018 : le règlement européen de protection des données personnelles est entré en vigueur. Décembre 2018 : validation par ordonnance de la nouvelle loi Informatique et Libertés 3. Le RGPD est applicable dans les pays de l’Union à toute entreprise dans le monde qui collecte, stocke et traite des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

Le RGPD renforce le droit des personnes et change le rapport avec l’autorité de contrôle (Cnil) pour passer d’un régime déclaratif à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entreprises. Il est par ailleurs basé sur des principes de coresponsabilité des sous-traitants et de « Privacy by design ».

Outre ses volets juridiques, règlementaires et organisationnels, le RGPD implique une évolution lourde du Système d’Information, la mise en œuvre d’outils logiciels (consentement, gestion des droits, pseudonymisation), de processus de sécurité adaptés (chiffrement, détection de violations), et l'évolution des méthodes de développement et de tests pour intégrer le « Privacy by design / by default ». Il impacte par ailleurs des domaines tels que le CRM, le Big Data, l’IA, l’IoT. Pour certaines entreprises, il constitue l’un des plus importants chantiers informatiques de ces dernières années.



Contexte d’évolution du cadre règlementaire


  • Place de la nouvelle Loi Informatique et Libertés intégrant RGPD, directive Police-Justice, application aux données de santé, etc.
  • Trois objectifs : renforcer le droit des personnes, responsabiliser les acteurs, crédibiliser la régulation.
  • De quelles données d’entreprise parle-t-on ?
  • Obligation ou opportunité? Les raisons de se conformer au RGPD : quels risques de violation?
  • Le coût de la mise en conformité.
  • La future directive e-Privacy. Evolution de la «  règlementation cookies  », du Privacy Shield et du Cloud Act.
  • Rôle de la Cnil, du CEPD, de l’Anssi, de l'Enisa.
  • Différents contextes existants : PCI-DSS, CADA, LRN, HDS, etc.
  • Approche globale et nouveaux outils : registre, étude d’impact, privacy by design.
  • Responsabilisation de l’entreprise (accountability) et des sous-traitants. Sanctions importantes.

Synthèse des textes et concepts fondamentaux


Analyse et synthèse du RGPD, de la nouvelle loi Informatique et Libertés 3 et des différents règlements afin de dégager les composantes ayant un impact sur le SI.
  • Champs d'application territorial, données personnelles et sensibles, traitement, RT/ST, …
  • Critères de licéité, loyauté et transparence : finalité, minimisation, exactitude, conservation, intégrité et confidentialité.
  • Les 6 conditions de licéité d'un traitement : consentement, contrat, intérêt public, légitime, ..
  • Autorité de contrôle : Cnil. Nouveaux rôles. Contrôle, certifications, réclamations.
  • Place du Comité Européen de Protection des Données (CEPD) : statut, missions, cohérence.
  • Responsables de traitement et sous-traitants : rôles, obligations. Co-responsabilité.
  • DPO (Data Protection Officer) : profil, rôle, missions.
  • Registre des traitements : contenu et formalisme. Analyse d'impact (DPIA). Cas du NIR.
  • Consentement, informations à fournir et droit des personnes : accès, rectification, effacement, limitation des traitements, portabilité des données, opposition. Délais et procédures.
  • Cas du droit à l'oubli, des mineurs, des personnes décédées.
  • Privacy by design / by default : protection des données dès la conception des traitements. Les 7 principes fondamentaux d'Ann Kavoukian.
  • Voies de recours, dispositions pénales et amendes.
  • Spécificités liées à la santé, au journalisme, aux communications, traitements statistiques, archivistiques et de recherche.
  • Restrictions Police-Justice, sureté de l'état et Défense Nationale.
  • Transfert de données dans / hors UE : décisions d'adéquation, garanties appropriées. Cas des États-Unis.
  • Violation de données : déclaration et information des personnes.
  • Impact sur les codes, lois et règlements.
  • Codes de conduite et certifications : prise en compte.
  • Autres directives : cookies, CADA, HDS, DSP/2, Cloud Act,..

Grandes étapes de mise en conformité


Une analyse globale et exhaustive des traitements et données personnelles débouchant sur un plan d'action à moyen/long terme de mise en conformité.

État des lieux et analyse préalable

  • Nommer un DPO, créer une task force.
  • Analyser l’environnement juridique de l’entreprise.
  • Déterminer les engagements (RT, Autorité de contrôle)
  • Cartographier données personnelles, niveaux de confidentialité et délais de conservation, traitements et processus (y compris non automatisés).
  • Inventaire des transferts et de la sous-traitance dans/hors Union européenne (ST).
  • Bilan des risques sécuritaires et de violation des données.
  • Identifier les écarts à partir d’une grille de conformité.

Plan d’action

  • Plan d’action sur la base de l’état des lieux : informatique, organisation, processus.
  • Répartition des tâches (DPO, métiers, DSI, RSSI, RT).
  • Création du registre et étude d’impact si nécessaire.
  • Comment gérer les «  nouveaux  » consentements, les droits des personnes, l’information préalable ?
  • Garantir la confidentialité des données et un haut niveau de protection dès la conception («  Privacy by design  »).
  • Mise à niveau de la sécurité SI et de la gestion des risques ( violation de données).
  • Règles d’entreprise contraignantes (BCR) et clauses contractuelles type (CCT).
  • Sensibiliser, informer et former.
  • Estimation du budget prévisionnel.

Maintien de la conformité sur le long terme et audit périodique de compliance.

Mise en œuvre du Plan d'action et « accountability »


Mesures à prendre pour garantir la conformité de l’entreprise.

Nomination du DPO

  • Est-il obligatoire ? Rôle des CIL ?
  • A qui reporte-t-il ? Partager un DPO ?
  • DPO, MOA «  transverse  » du RGPD.

Fiches de traitement et référentiel de données

  • Définition d' un traitement.
  • Contrôler la licéité.

Maintenance du registre

  • Inventaire des traitements. Formalisme. Modèle simplifié de la Cnil.
  • Les outils logiciels d’aide (ActeCIL, PrivaCIL, etc.).

Réalisation d’analyse d’impact (PIA)

  • Quels traitements y sont soumis ? Faut-il consulter l’autorité ?
  • Méthodologie eBios. Finalité, proportionnalité aux objectifs, risques supportés, mesures de protection. Alternative ISO 27018.
  • Rôle du RSSI. Différence entre risque «  business  » et risque «  personnel  ».
  • Comparaison à une grille de conformité. Logiciels d’aide (Nymity, Avepoint, etc.). Outil PIA et guides de la CNIL.

Sécurité du SI et confidentialité des données

  • Appréciation des risques. Les 3 niveaux de la Cnil.
  • Analyse des accès, habilitations et confidentialisation.

Gestion des consentements et droits des personnes

  • Exprimer un accord et «  notariser  » le consentement.
  • Quel formalisme ? Quels processus ? Quelle organisation ?
  • Quelle mise en œuvre opérationnelle?

Formation, Information, Communication

  • Supports et contenus en fonction des cibles (clients, collaborateurs). Diffusion d'une charte.

Sous-traitance et contrats

  • Typologie des garanties (logiciels, Cloud, services...).
  • Révision des documents commerciaux (CGV, CGU), contrats, etc.

Echanges avec l’étranger

  • Pays concernés, contrôle et formalisation de l’environnement réglementaire.
  • Etablissement des BCR, CCT. Décisions d'adéquation.

Audit de conformité et préparation au contrôle

  • Les points de contrôle. Les WP (Working Paper) du CEPD. Principaux KPI et SLA.

Impacts sur le Système d’Information


Impact majeur de la mise en conformité sur le SI, sa stratégie, son organisation.

Gouvernance des données.

  • Inventaire et cartographie. Le «  shadow IT  », les projets métiers, la dispersion des données. Les outils (Varonis, Compliance Guardian, Carto-SI, etc.).
  • Nouvelles règles et hiérarchie de gestion des données (sauvegarde, archivage) en fonction des contraintes de résilience, de la durée de conservation RGPD et des obligations administratives. Gestion des «  purges  ».
  • Impact sur le Big Data, l’IoT, l’IA, la Blockchain. Vers une restriction du patrimoine informationnel ?

Gestion des droits des personnes

  • Gérer les cookies, les consentements, les droits (modification, effacement, oubli).
  • Quelle intégration aux applications et progiciels existants (CRM, marketing, service desk) ?
  • Nouveaux outils de gestion des droits (Versusconsulting, Gigya, Celebrus) et de CMP - Consent Management Platform (Quantcast, Didomi).

Sécurisation et confidentialisation des données.

  • Adéquation infrastructure de sécurité / SMSI : cinq niveaux et quinze points de contrôle.
  • Mesures à prendre aux niveaux PC-mobile, accès, stockage, PRA, Cloud, etc.
  • Chiffrement, pseudonymisation et anonymisation, masquage, marquage. Pour quels types de données ?
  • Logiciels de brouillage (Lamane, Solix, etc.), chiffrement (Safenet, Sophos, etc.), CASB-Cloud Access Security Broker (SkyHigh, CipherCloud, etc.), BYOK (Bring Your Own Key) . Les critères d'évaluation (re-identification, corrélation, inférence).

Droits d' accès et détection des violations

  • Quelle politique de gestion des accès ? Refonte RBAC (Role Base Access Control).
  • Les outils de gouvernance IGA (SailPoint, One Identity), de gestion des accès IAM (Okta, Ping Identity), de CIAM - Consumer Identity and Access Management (Forgerock, Pega, BMI) et des profils à privilèges ( Cyber Ark, Beyond trust).
  • Administration des risques : détecter une violation, une diffusion de données. La gestion de crise.
  • SIEM - Security Information & Event Management (Splunk, LogRythm) et DLP - Data Leak Prevention ( Symantec, Forcepoint). L'approche SOAR (Security Orchestration Automation and Response).

Evolution des développements : Privacy by design

  • Intégrer dès la conception les exigences du DPO, du RSSI. Impacts au niveau cahier des charges, programmation, revue de code, tests, mise en production.
  • Bonnes pratiques et méthodologies (Secure SDLC, OWAPS). Apports des méthodes agiles et de DevOps.
  • Mise en œuvre de PET (Privacy Enhanced Technology). Les outils de test, revue de code, détection de vulnérabilités, inconstances, ..
  • Outils de mise en œuvre d'API : CDT - Compliant Data Transfer (Wizuda, MoveIT) et services de transfert de données (Onecub).

Gestion des équipements et des utilisateurs

  • Impact de l'ITSM (IT Service Management) et du MDM (Mobile Device Management) sur la maîtrise de certains paramètres du RGPD.
  • Importance de la réactivité du Call Center et du Soc (Security Operation Center) sur la détection de violations.

Impact sur la sous-traitance

  • Impact sur les offres des sous-traitants, fournisseurs de progiciels, le Cloud.
  • Clauses de conformité dans les contrats (ISO, SOC, CISPE) . Cas de Microsoft et Google.

Impact du RGPD sur les secteurs et les métiers

  • Marketing, commercial, données de santé, e-commerce, programmatique.