Les séminaires Capgemini Institut
L’état de l’art
Séminaires techniques Institut Capgemini
Nouveau
programme

Impact du RGPD
sur le Système d'Information

Sécurité et confidentialité. Retours d’expérience. Méthodologie. Outils disponibles.
Sommaire

LE MOT DE L’INTERVENANT

Ce séminaire vous propose une synthèse approfondie des différents...

Ce séminaire vous propose une synthèse approfondie des différents volets de mise en œuvre du RGPD (Règlement européen sur la protection des données personnelles) et de la nouvelle loi Informatique et Libertés à la fois règlementaires, organisationnels, techniques, mais aussi et surtout informatiques et méthodologiques. Il fait également le point sur les retours d’expérience et l’évolution des offres des fournisseurs et sous-traitants. Il est destiné aux responsables métiers, juridiques, informatiques qui veulent apprécier dans leur globalité les différentes composantes du chantier de mise en conformité qui restent (éventuellement) à mettre en œuvre.

Bernard Laur
Analyste, consultant, auteur d’ouvrages et de très nombreux articles, Bernard Laur est connu depuis une quinzaine d’années pour ses synthèses des domaines émergents et novateurs des NTIC, états de l’art complets illustrés par les premiers retours d’expérience d’entreprises publiques et privées de toutes tailles et secteurs d’activité.
Lire la suite Cacher le texte

 

 

Mai 2018 : le règlement européen de protection des données personnelles est entré en vigueur. Décembre 2018 : validation par ordonnance de la nouvelle loi Informatique et Libertés. Le RGPD est à application dans les pays de l’Union pour toute entreprise dans le monde qui collecte, stocke et traite des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

Le RGPD renforce le droit des personnes et change le rapport avec l’autorité de contrôle pour passer d’un régime déclaratif à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entreprises. Il est par ailleurs basé sur des principes de coresponsabilité des sous-traitants et de « Privacy by design ».

Outre ses volets juridiques, règlementaires et organisationnels, le RGPD implique une évolution lourde du Système d’Information, la mise en œuvre d’outils logiciels (consentement, gestion des droits, pseudonymisation), de processus de sécurité adaptés (chiffrement, détection de violations), et l'évolution des méthodes de développement et de tests pour intégrer le « Privacy by design / by default ». Il impacte par ailleurs des domaines tels que le CRM, le Big Data, l’IA, l’Internet des objets. Pour certaines entreprises, il constitue l’un des plus grands chantiers informatiques de ces dernières années.



Contexte d’évolution du cadre règlementaire

  • Un cadre règlementaire unifié : place de la nouvelle Loi Informatique et Libertés intégrant RGPD, directive Police-Justice, application aux données de santé, etc..
  • Trois objectifs : renforcer le droit des personnes, responsabiliser les acteurs, crédibiliser la régulation
  • De quelles données d’entreprise parle-t-on ?
  • RGPD : obligation ou opportunité? Les raisons de se conformer au RGPD : quels risques ?
  • Le coût de la mise en conformité.
  • Place de la future directive e-Privacy. Evolution de la « règlementation cookies » et du Privacy Shield.
  • Rôle de la Cnil, de l’Anssi.
  • Différents contextes existants : Cloud Act, PCI-DSS, CADA, LRN, HDS, etc.
  • Approche globale et nouveaux outils : registre, étude d’impact, privacy by design, violations.
  • Responsabilisation de l’entreprise (accountability) et des sous-traitants.
  • Sanctions importantes.

Synthèse des textes, terminologie et concepts fondamentaux

Analyse et synthèse du RGPD, de la nouvelle loi Informatique et Libertés III et des différents règlements connexes afin de dégager tous les concepts à prendre en compte qui ont un impact sur le SI.

  • Autorités de contrôle : CNIL. Nouveaux rôles. Contrôle, certifications, réclamations. CEPD : Place du Comité européen de protection des données. Contrôle de cohérence. Lignes directrices du G29 (statut, missions)
  • Code de conduite et certification : leur importance majeure à venir.
  • Communication, formation et information : sensibilisation des clients, formation des collaborateurs. Formation, information, communication. Supports et contenus de formation en fonction des personnes concernées (clients, collaborateurs).
  • Consentement : manifester une volonté et « notariser » le consentement ?
  • Coresponsabilité : quelle responsabilité des sous-traitants ?
  • Données personnelles et sensibles : Informations identifiant directement ou indirectement une personne. Différenciation données personnelles / sensibles.
  • Données transfrontalières : transferts au sein / hors Union européenne, pays hors règlementation. Cas des États-Unis.
  • DPO (Data Protection Officer) : profil, rôle, missions du DPO. A qui reporte-t-il ? Partager un DPO ? Le DPO, MOA « transverse » du RGPD.
  • Droit à la portabilité des données , d’accès, consultation, modification, effacement, oubli : délais et procédure de prise en compte. Quelles données conserver ?
  • Minimisation des données, finalité : les « données strictement nécessaires à la finalité poursuivie ».
  • Police, Justice, santé : quel impact sur la détention de données personnelles ?
  • Privacy by design : protection des données dès la conception des applications, sites Web et autres systèmes IT. Les travaux de référence (Ann Kavoukian ). Les sept principes fondamentaux.
  • Privacy by default : garantie apportée par les mesures intégrées nativement.
  • Responsable de traitement : qui est -il, quel est son rôle ? Définir un traitement et sa « licéité ».
  • Violation de données : déclaration aux autorités dans les 72 heures et information des personnes concernées.

Grandes étapes de mise en conformité

Une analyse globale et exhaustive des traitements et données personnelles existantes, des conditions de conformité et de sécurité, débouchant sur un plan à moyen/long terme de mise en conformité.

État des lieux et analyse préalable

  • Nommer un DPO, créer une task force, informer.
  • Analyser l’environnement juridique propre à l’entreprise.
  • Cartographier les données personnelles, définir niveaux de confidentialité et délais de conservation.
  • Cartographier traitements et processus (y compris non automatisés).
  • Procéder à une étude d’impact si nécessaire. Création du registre.
  • Inventaire des transferts et de la sous-traitance dans/hors Union européenne.
  • Identifier les écarts à partir d’une grille de conformité.

Plan d’action

  • Plan d’action sur la base de l’état des lieux : informatique, organisation, processus.
  • Répartition des tâches (DPO, métiers, DSI, RSSI, RT).
  • Comment gérer les « nouveaux » consentements, les droits des personnes, l’information préalable ?
  • Comment garantir l’intégrité des données et assurer un haut niveau de protection dès la conception (« Privacy by design ») et par défaut (« Privacy by default »).
  • Mise à niveau de l’infrastructure de sécurité SI et de la gestion des risques (cas de violation de données).
  • Règles d’entreprise contraignantes (BCR) et clauses contractuelles type.
  • Sensibiliser, informer et former.

Maintien de la conformité sur le long terme, planifier l’audit périodique de compliance.

La mise en œuvre des mesures d’« accountability »

Les premières mesures à prendre pour démontrer la démarche de conformité RGPD de l’entreprise.

Nomination du DPO (Data Protection Officer)

  • Est-il obligatoire ? Rôle des CIL ?
  • A qui reporte-t-il ? Partager un DPO ?
  • Lignes directrices du CEPD (statut, missions).
  • DPO, MOA « transverse » du RGPD.

Maintenance du registre

  • Inventaire des traitements. Formalisme. Informations à fournir.
  • Quels outils logiciels d’aide (ActeCIL, PrivaCIL, DPO, etc.)?

Réalisation d’analyse d’impact (PIA – Protection Impact Assessment)

  • Quels traitements y sont soumis ? Dans quel cas consulter l’autorité ?
  • Méthodologie eBios. Finalité du traitement, proportionnalité aux objectifs, risques supportés, mesures de protection, etc. L’alternative ISO 27018.
  • Rôle du RSSI. Différenciation entre risque « business » de l'entreprise et risque « personnel » du RGPD.
  • Comparaison à une grille de conformité. Les logiciels d’aide (Nymity, Avepoint, etc.). L’outil PIA de la CNIL.

Gestion des consentements et des droits

  • Quel formalisme ? Quels processus ? Quelle organisation ?

Sous-traitance et contrats

  • Typologie des garanties en fonction des prestations (logiciels, Cloud, services...).
  • Révision des documents commerciaux (CGV, CGU), contrats, etc. Apport des CCT.

Echanges avec l’étranger

  • Inventaire des pays concernés, contrôle et formalisation de l’environnement réglementaire.

Audit de conformité

  • Les points de contrôle. Les principaux KPI à produire. Les principaux SLA à suivre.

Formation, Information, Communication

  • Supports et contenus de formation en fonction des cibles (clients, collaborateurs). Diffusion d'une charte

Impacts sur le Système d’Information

La mise en conformité RGPD de l’entreprise a un impact majeur sur le SI, sa stratégie, son organisation, qu’il faut planifier et budgéter.

Gouvernance des données.

  • Inventaire et cartographie. Le « shadow IT ». Les outils (Varonis, Compliance Guardian, Carto-SI, etc.). Gérer les projets gouvernés par les métiers, la dispersion des données.
  • Nouvelles règles de gestion (sauvegarde, archivage) en fonction de la durée de conservation et de la hiérarchie de stockage.
  • Impact sur le Big Data, l’IoT, l’IA, la Blockchain. Vers une restriction du patrimoine informationnel ?

Gestion des droits

  • Gérer les cookies, consentements, les droits des personnes (modification, effacement, oubli). Nouveaux outils de CIAM (Consumer Identity and Access Management), de CMP (Consent Management Platform) : Gigya, Celebrus, Quantcast, Didomi, etc.
  • Adéquation de l’infrastructure de sécurité et du SMSI : cinq niveaux et quinze points de contrôle.

Sécurisation des données.

  • Sécurisation des données personnelles aux niveaux PC-mobile, accès, stockage, PRA, Cloud, etc.
  • Chiffrement, pseudonymisation et anonymisation. Pour quels types de données ? Les pseudonymes sont-ils des données personnelles ? Outils logiciels (Lamane, Solix, etc.), de chiffrement (Safenet, Sophos, etc.) et CASB-Cloud Access Security Broker (SkyHigh, CipherCloud, etc.) et de gestion des droits (Forgerock, Pega, BMI)

Sécurisation des accès et détection des violations

  • Quelle politique de gestion des accès et des profils à privilèges ? ? Nouveaux outils de CIAM (Consumer Identity and Access Management).
  • Administration des risques : détecter une violation, une diffusion « extérieure » de données. La gestion de crise. Les outils de DLP (Data Leak Prevention). L’offre (Symantec, Forcepoint, etc.).

Evolution des applications : privacy by design / by default

  • L’évolution des applications et progiciels existants (CRM, marketing, service desk, etc.).
  • Privacy by Design / by Default. Intégrer dès la conception les exigences du DPO, du RSSI. Impacts au niveau cahier des charges, programmation, revue de code, tests, mise en production. Les bonnes pratiques et méthodes (Secure SDLC, OWAPS). Apports des méthodes agiles et de DevOps.
  • API et services de transfert de données (Onecub).

Impact sur la sous-traitance

  • Impact sur les offres des sous-traitants et fournisseurs, les progiciels, le Cloud. Qui doit fournir le PIA ?
  • Clauses de conformité dans les contrats (ISO, SOC, CISPE) . Cas de Microsoft et Google.
  • L’impact du RGPD sur les secteurs et les métiers : Marketing, DRH, commercial. Données de santé, e-Commerce, Programmatique.