Mise en application de la RGPD : De nouveaux chantiers en perspectives

Mise en application de la RGPD : De nouveaux chantiers en perspectives

Le 25 mai 2018, entrera en vigueur le Règlement Général sur la Protection des Données (RGPD), aussi appelé communément GDPR (General Data Protection Regulation).

Outre le renforcement des droits des titulaires de données personnelles, ce règlement embarque de nouvelles dispositions réglementaires ayant une incidence forte sur l’ensemble des produits et services numériques. Que ce soit pour leurs utilisateurs ou pour leurs fabricants et/ou fournisseurs.

Ce règlement consacre le droit à l’oubli, un renforcement des sanctions et une plus grande transparence de l’usage des données personnelles s’appliquant à tous les acteurs, qu’ils soient européens ou pas.

Le détenteur de données personnels devra aussi pouvoir faire la preuve de sa conformité face au règlement européen. Mais compte-tenu de la lecture que l’on peut en faire, s’assurer également de la conformité de ses sous-traitants. Il devra en plus réaliser des analyses d’impacts des traitements sur les données personnelles, en tout cas les plus sensibles. Ceux-ci devront êtres cartographiés et l’entreprise devra disposer d’un registre où chacun sera référencé.

Cette dernière devra disposer d’un DPO (Délégué à la Protection des Données), si elle est un organisme public ou si elle gère des données considérées comme sensibles et/ou applique des traitements massifs sur celles-ci.

Le RGPD consacre le consentement explicite et positif du titulaire des données personnelles, que le détenteur devra conserver et tracer. Le titulaire disposant d’un droit d’accès renforcé.

privacy dataDans une certaine mesure, les données, en tout cas les plus sensibles, devront être cryptées. Cela aura des conséquences fortes sur les architectures des systèmes d’information des entreprises, les produits qu’elles utilisent, mais également les services qu’elles consomment.

Cerise sur le gâteau, le détenteur de données personnelles qui ferait l’objet d’une fuite des dites données, aura 72 heures pour là déclarer à l’autorité compétente.

Les amendes administratives pouvant atteindre plusieurs millions d’euros et jusqu’à 2 % du chiffre d’affaires.

Au-delà de la contrainte réglementaire, il y a la contrainte technique. Sachant que dans le cadre d’un système d’information, les intervenants peuvent être multiples. Il peuvent venir d’horizons différents et ne pas forcément avoir le même intérêt, ou la même compréhension du cadre législatif et/ou réglementaire.

L’exigence faite par le règlement de disposer d’un système d’information sécurisé, va imposer à toutes structures de s’interroger et donc de questionner ses fournisseurs, sur la qualité ou la non-qualité face aux risques liés.

Sachant qu’aucun ne pourra garantir une infaillibilité des systèmes. Et pour cause :

« le logiciel étant issu de la main de l’homme,

celui-ci n’étant pas infaillible, aucun ne peut l’être ! ».

Ainsi, l’entreprise mettant en place un ERP devra s’assurer du respect réglementaire au sein de ses équipes, mais également de son/de ses prestataires et de l’éditeur. Sachant que bien souvent en face de lui, il n’a qu’un seul interlocuteur, avec toutefois des effets de sous-traitance en cascades. S’assurer du bon niveau de sécurité et suffisant de l’ensemble intégré sera une gageure.

Ce qui représentera une difficulté supplémentaire pour les logiciels et solutions Open Source.

protection des donnéesCompte tenu de la multitude de produits, services et solutions utilisée dans les entreprises, quelles que soient leurs tailles. Le contexte aura une incidence organisationnelle et technique sur l’application des correctifs. Donc, il faudra s’assurer systématiquement du niveau de sécurité de ceux-ci.

Quand on sait que chez certaines entreprises, il existe des applicatifs qui fonctionnent depuis plusieurs décennies, sans mises à jour et/ou évolutions, ni évaluation de la sécurité d’ailleurs.

L’usage de plus en plus poussé des produits et services numériques dans les entreprises, les administrations, les collectivités, et encore plus fortement chez les particuliers, poussent à une plus grande intégration, une plus forte interdépendance, sans que les usagers aient forcément conscience des risques. Le niveau des pratiques en la matière et ce, même chez les professionnels du numérique, alors que nous vivons dans un monde de plates-formes et autres services Internet, doit donc évoluer.

Il n’est point nécessaire d’être juriste pour comprendre que ce règlement (de 88 pages en français) est complexe. Que son application, ce entre-autre dans les métiers du numérique, ou l’obligation de conseil est une contrainte forte, aura une incidence sur la relation avec le client. En contradiction également avec les exigences de facilité/simplicité du client/usagé, ou la sécurité et le droit sur ces données personnelles doivent être la règle.

Si l’on n’y prend pas garde, on peut s’attendre à des passes d’armes juridiques épiques, où les responsabilités en cascades seront actionnées ! Ou le donneur d’ordre impliquera son/ses sous-traitants.

Il n’échappera donc à personne, que dans le cadre de la mise en place de la RGPD, nous sommes tous sur le même bateau. Avec le risque que certains veuillent le quitter avant qu’une brèche n’apparaisse.

Nos métiers sont à la fois basés sur une notion forte de sous-traitance à grande échelle mais, aussi une relation de confiance et de qualité professionnelle. Celle-ci n’étant pas forcément retranscrite juridiquement.

Cela veut dire en clair, que nous ne formalisons pas forcément toutes les opérations que nous réalisons, pour et avec nos clients. Que nous ne traçons pas forcément nos échanges.

Or l’application de la RGPD impose que cela devienne la règle, compte tenu de l’exigence de traçabilité qu’elle impose. Cette exigence devra également bénéficier d’un renforcement de sa protection, compte tenu des éléments de données concernés.

privacy RGPDCompte tenu des nouveaux risques qu’elle fait apparaître, on peut facilement supposer que les primes des assurances responsabilités civiles professionnelles (RCP), ou tout du moins, les franchises, vont fortement augmenter. Tout comme les garanties contre les risques cyber, que le compagnies proposent dorénavant.

Il y a toutefois un aspect positif et valorisant face à l’incidence de la RGPD sur les systèmes d’information. En effet, ce nouveau chantier réglementaire implique que les entreprises revoient l’ensemble des outils numériques qu’elles utilisent en interne, mais aussi ceux qu’elles mettent à disposition de leurs clients, fournisseurs et partenaires. Les éditeurs étant également concernés.

On peut donc supposer un regain des besoins, en termes de prestations, dans les mois qui viennent, surtout au vu de l’état d’impréparation des entreprises, que l’on peut constater aujourd’hui !

Frédéric Libaud

Expert en Numérique, CEO et fondateur de NUM’X, Administrateur et référent pour la région Ouest de CINOV - IT.

 BIO :

 Frédéric Libaud pratique les outils numériques depuis plus de 30 ans et travaille dans le secteur du numérique depuis plus de 20 ans. Fondateur et CEO de NUM’X, Les Experts en  Numérique, il dispose d’une double compétence en infrastructure et ingénierie.

 Il a accompagné de très nombreuses entreprises sur leur Transition Numérique tant sur des aspects techniques, que fonctionnels ou organisationnels. Frédéric Libaud est également  administrateur, référent pour la région Ouest de CINOV – IT.

 Références bibliographiques :

- https://fr.wikipedia.org/wiki/Règlement_général_sur_la_protection_des_données

- https://www.cnil.fr/textes-officiels-europeens-protection-donnees

- https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

- https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees

- https://korben.info/rgpd-gdpr.html