 |
Contexte d’évolution du cadre règlementaire |
|
- Place de la nouvelle Loi Informatique et Libertés intégrant RGPD, directive Police-Justice, application aux données de santé, etc.
- Trois objectifs : renforcer le droit des personnes, responsabiliser les acteurs, crédibiliser la régulation.
- De quelles données d’entreprise parle-t-on ?
- Obligation ou opportunité? Les raisons de se conformer au RGPD : quels risques de violation?
- Le coût de la mise en conformité.
- La future directive e-Privacy. Evolution de la « règlementation cookies », du Privacy Shield et du Cloud Act.
- Rôle de la Cnil, du CEPD, de l’Anssi, de l'Enisa.
- Différents contextes existants : PCI-DSS, CADA, LRN, HDS, etc.
- Approche globale et nouveaux outils : registre, étude d’impact, privacy by design.
- Responsabilisation de l’entreprise (accountability) et des sous-traitants. Sanctions importantes.
|
 |
Synthèse des textes et concepts fondamentaux |
|
Analyse et synthèse du RGPD, de la nouvelle loi Informatique et Libertés 3 et des différents règlements afin de dégager les composantes ayant un impact sur le SI.
- Champs d'application territorial, données personnelles et sensibles, traitement, RT/ST, …
- Critères de licéité, loyauté et transparence : finalité, minimisation, exactitude, conservation, intégrité et confidentialité.
- Les 6 conditions de licéité d'un traitement : consentement, contrat, intérêt public, légitime, ..
- Autorité de contrôle : Cnil. Nouveaux rôles. Contrôle, certifications, réclamations.
- Place du Comité Européen de Protection des Données (CEPD) : statut, missions, cohérence.
- Responsables de traitement et sous-traitants : rôles, obligations. Co-responsabilité.
- DPO (Data Protection Officer) : profil, rôle, missions.
- Registre des traitements : contenu et formalisme. Analyse d'impact (DPIA). Cas du NIR.
- Consentement, informations à fournir et droit des personnes : accès, rectification, effacement, limitation des traitements, portabilité des données, opposition. Délais et procédures.
- Cas du droit à l'oubli, des mineurs, des personnes décédées.
- Privacy by design / by default : protection des données dès la conception des traitements. Les 7 principes fondamentaux d'Ann Kavoukian.
- Voies de recours, dispositions pénales et amendes.
- Spécificités liées à la santé, au journalisme, aux communications, traitements statistiques, archivistiques et de recherche.
- Restrictions Police-Justice, sureté de l'état et Défense Nationale.
- Transfert de données dans / hors UE : décisions d'adéquation, garanties appropriées. Cas des États-Unis.
- Violation de données : déclaration et information des personnes.
- Impact sur les codes, lois et règlements.
- Codes de conduite et certifications : prise en compte.
- Autres directives : cookies, CADA, HDS, DSP/2, Cloud Act,..
|
 |
Grandes étapes de mise en conformité |
|
Une analyse globale et exhaustive des traitements et données personnelles débouchant sur un plan d'action à moyen/long terme de mise en conformité.
État des lieux et analyse préalable
- Nommer un DPO, créer une task force.
- Analyser l’environnement juridique de l’entreprise.
- Déterminer les engagements (RT, Autorité de contrôle)
- Cartographier données personnelles, niveaux de confidentialité et délais de conservation, traitements et processus (y compris non automatisés).
- Inventaire des transferts et de la sous-traitance dans/hors Union européenne (ST).
- Bilan des risques sécuritaires et de violation des données.
- Identifier les écarts à partir d’une grille de conformité.
Plan d’action
- Plan d’action sur la base de l’état des lieux : informatique, organisation, processus.
- Répartition des tâches (DPO, métiers, DSI, RSSI, RT).
- Création du registre et étude d’impact si nécessaire.
- Comment gérer les « nouveaux » consentements, les droits des personnes, l’information préalable ?
- Garantir la confidentialité des données et un haut niveau de protection dès la conception (« Privacy by design »).
- Mise à niveau de la sécurité SI et de la gestion des risques ( violation de données).
- Règles d’entreprise contraignantes (BCR) et clauses contractuelles type (CCT).
- Sensibiliser, informer et former.
- Estimation du budget prévisionnel.
Maintien de la conformité sur le long terme et audit périodique de compliance.
|
 |
Mise en œuvre du Plan d'action et « accountability » |
|
Mesures à prendre pour garantir la conformité de l’entreprise.
Nomination du DPO
- Est-il obligatoire ? Rôle des CIL ?
- A qui reporte-t-il ? Partager un DPO ?
- DPO, MOA « transverse » du RGPD.
Fiches de traitement et référentiel de données
- Définition d' un traitement.
- Contrôler la licéité.
Maintenance du registre
- Inventaire des traitements. Formalisme. Modèle simplifié de la Cnil.
- Les outils logiciels d’aide (ActeCIL, PrivaCIL, etc.).
Réalisation d’analyse d’impact (PIA)
- Quels traitements y sont soumis ? Faut-il consulter l’autorité ?
- Méthodologie eBios. Finalité, proportionnalité aux objectifs, risques supportés, mesures de protection. Alternative ISO 27018.
- Rôle du RSSI. Différence entre risque « business » et risque « personnel ».
- Comparaison à une grille de conformité. Logiciels d’aide (Nymity, Avepoint, etc.). Outil PIA et guides de la CNIL.
Sécurité du SI et confidentialité des données
- Appréciation des risques. Les 3 niveaux de la Cnil.
- Analyse des accès, habilitations et confidentialisation.
Gestion des consentements et droits des personnes
- Exprimer un accord et « notariser » le consentement.
- Quel formalisme ? Quels processus ? Quelle organisation ?
- Quelle mise en œuvre opérationnelle?
Formation, Information, Communication
- Supports et contenus en fonction des cibles (clients, collaborateurs). Diffusion d'une charte.
Sous-traitance et contrats
- Typologie des garanties (logiciels, Cloud, services...).
- Révision des documents commerciaux (CGV, CGU), contrats, etc.
Echanges avec l’étranger
- Pays concernés, contrôle et formalisation de l’environnement réglementaire.
- Etablissement des BCR, CCT. Décisions d'adéquation.
Audit de conformité et préparation au contrôle
- Les points de contrôle. Les WP (Working Paper) du CEPD. Principaux KPI et SLA.
|
 |
Impacts sur le Système d’Information |
|
Impact majeur de la mise en conformité sur le SI, sa stratégie, son organisation.
Gouvernance des données.
- Inventaire et cartographie. Le « shadow IT », les projets métiers, la dispersion des données. Les outils (Varonis, Compliance Guardian, Carto-SI, etc.).
- Nouvelles règles et hiérarchie de gestion des données (sauvegarde, archivage) en fonction des contraintes de résilience, de la durée de conservation RGPD et des obligations administratives. Gestion des « purges ».
- Impact sur le Big Data, l’IoT, l’IA, la Blockchain. Vers une restriction du patrimoine informationnel ?
Gestion des droits des personnes
- Gérer les cookies, les consentements, les droits (modification, effacement, oubli).
- Quelle intégration aux applications et progiciels existants (CRM, marketing, service desk) ?
- Nouveaux outils de gestion des droits (Versusconsulting, Gigya, Celebrus) et de CMP - Consent Management Platform (Quantcast, Didomi).
Sécurisation et confidentialisation des données.
- Adéquation infrastructure de sécurité / SMSI : cinq niveaux et quinze points de contrôle.
- Mesures à prendre aux niveaux PC-mobile, accès, stockage, PRA, Cloud, etc.
- Chiffrement, pseudonymisation et anonymisation, masquage, marquage. Pour quels types de données ?
- Logiciels de brouillage (Lamane, Solix, etc.), chiffrement (Safenet, Sophos, etc.), CASB-Cloud Access Security Broker (SkyHigh, CipherCloud, etc.), BYOK (Bring Your Own Key) . Les critères d'évaluation (re-identification, corrélation, inférence).
Droits d' accès et détection des violations
- Quelle politique de gestion des accès ? Refonte RBAC (Role Base Access Control).
- Les outils de gouvernance IGA (SailPoint, One Identity), de gestion des accès IAM (Okta, Ping Identity), de CIAM - Consumer Identity and Access Management (Forgerock, Pega, BMI) et des profils à privilèges ( Cyber Ark, Beyond trust).
- Administration des risques : détecter une violation, une diffusion de données. La gestion de crise.
- SIEM - Security Information & Event Management (Splunk, LogRythm) et DLP - Data Leak Prevention ( Symantec, Forcepoint). L'approche SOAR (Security Orchestration Automation and Response).
Evolution des développements : Privacy by design
- Intégrer dès la conception les exigences du DPO, du RSSI. Impacts au niveau cahier des charges, programmation, revue de code, tests, mise en production.
- Bonnes pratiques et méthodologies (Secure SDLC, OWAPS). Apports des méthodes agiles et de DevOps.
- Mise en œuvre de PET (Privacy Enhanced Technology). Les outils de test, revue de code, détection de vulnérabilités, inconstances, ..
- Outils de mise en œuvre d'API : CDT - Compliant Data Transfer (Wizuda, MoveIT) et services de transfert de données (Onecub).
Gestion des équipements et des utilisateurs
- Impact de l'ITSM (IT Service Management) et du MDM (Mobile Device Management) sur la maîtrise de certains paramètres du RGPD.
- Importance de la réactivité du Call Center et du Soc (Security Operation Center) sur la détection de violations.
Impact sur la sous-traitance
- Impact sur les offres des sous-traitants, fournisseurs de progiciels, le Cloud.
- Clauses de conformité dans les contrats (ISO, SOC, CISPE) . Cas de Microsoft et Google.
Impact du RGPD sur les secteurs et les métiers
- Marketing, commercial, données de santé, e-commerce, programmatique.
|