Les entreprises ont-elles bien compris que le non-respect du RGPD (Règlement Général européen sur la Protection des Données personnelles), en application depuis un an, pourrait leur coûter très cher, non seulement en amendes (jusqu'à 4 % du chiffre d'affaires mondial) mais aussi en crédibilité auprès de leurs clients ? Quand on observe les résultats de la CIO.étude Les entreprises ont-elles pris toute la mesure du RGPD ?, on peut en douter. Un premier bilan s'imposait donc, ainsi que de rappeler les bonnes pratiques pour respecter les obligations actuelles en matière de données personnelles. Surtout, une fois la conformité atteinte, il faut la maintenir.
Ces sujets étaient ceux de la CIO.conférence organisée à Paris le 21 mai 2019 en partenariat avec BigID, Forcepoint, Netwrix, OneTrust, Sinequa et Syncsort et bénéficiant du soutien de de l'AFCDP (Association Française des Correspondants à la Protection des Données à caractère Personnel), du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) et du CLUSIF (Club de la Sécurité des Systèmes d'Information Français). La matinée, comme à chaque conférence, a commencé par la présentation des résultats de la CIO.étude avant que ne s'enchaînent les témoignages d'entreprises et les expertises des partenaires. Ces résultats ont démontré l'immaturité des entreprises françaises en matière de conformité RGPD, immaturité confirmée par plusieurs intervenants.
Commencer par la base : l'inventaire
En particulier l'inventaire des données personnelles possédées est la base de tout, en plus d'être obligatoire. « Connaître ses données, c'est essentiel » a rappelé Jean-Michel Kaçmann, vice-président des ventes Europe du Sud chez BigID en présentant « Inventorier, classifier, cartographier et corréler les données personnelles entre les différentes sources de données, applications, localisations géographiques; un enjeu majeur du RGPD ». Ces données sont non seulement celles présentes en Europe (sur n'importe qui) mais aussi sur tous les citoyens européens (n'importe où dans le monde).
Il faut donc scanner toutes les données, malgré le silotage, et ensuite de les classifier en recourant à du machine learning. Une telle solution est un « outil du DPO », surtout si elle permet en plus de dresser des tableaux de bord et d'effectuer des calculs de risques selon des critères définis par le DPO lui-même. Le premier cas d'usage, a rappelé Jean-Michel Kaçmann, est celui des ressources humaines de l'entreprise. Il faut en effet répertorier ces données sensibles puis vérifier leur légalité et leur sécurité.
« Inventorier, classifier, cartographier et corréler les données personnelles entre les différentes sources de données, applications, localisations géographiques; un enjeu majeur du RGPD » a détaillé Jean-Michel Kaçmann, VP of Southern Europe Sales de BigID.
Trouver les données
Quatre défis sont à relever par les organisations, a souligné Simon Turowski, directeur Customer Solution EMEA de Sinequa : trouver les différentes sources de données, accéder et analyser ces données, détecter en leur sein les données personnelles et enfin réduire le temps de mise en place des outils. Or, comme il l'a rappelé, « 90 % de la donnée digitale est non-structurée ». Analyser et classifier de la donnée structurée est évidemment plus simple mais cela ne représente que 10 % du total du patrimoine data. Traiter cet aspect du problème, « Repérer les nouveaux traitements et usages de données personnelles » comme était intitulée son intervention, est précisément la force traditionnelle des moteurs de recherche. En les augmentant par de l'intelligence artificielle, l'indexation est rapide, même à haut volume, et l'analyse permet de repérer les données personnelles. Le tout se fait en capitalisant avec les autres usages des moteurs de recherche.
« Repérer les nouveaux traitements et usages de données personnelles » a exposé Simon Turowski, directeur Customer Solution EMEA de Sinequa.
De la théorie à la pratique
Après la théorie, Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, a ensuite témoigné de la pratique, autrement dit « Les difficultés de la conformité au quotidien ». Beaucoup d'entreprises se sont réveillées très tard et, de fait, la conformité est toujours un problème, confirmant ainsi les résultats de l'étude CIO ayant introduit la matinée. « Pour ceux qui étaient conformes à la Loi de 1978, la différence avec le RGPD a été faible, 80 ou 90 % du travail était fait » a pourtant souligné Etienne Papin. Et, de fait, le vrai problème du RGPD était que de nombreuses entreprises avaient juste 40 ans de retard. Certaines entreprises ont pris le sujet à bras le corps et ont atteint un « bon niveau de conformité », la « conformité totale étant un idéal que l'on n'atteindra pas tout de suite ». Et puis, il y a les autres...
Etienne Papin, Avocat associé du Cabinet Feral-Schuhl / Sainte-Marie, a expliqué « Les difficultés de la conformité au quotidien ».
La clé : la simplicité
Une excuse souvent mise en avant par les entreprises est la difficulté de la mise en conformité. Le « Laxisme dans la gestion des droits d'accès aux données », dénoncé par Pierre-Louis Lussan, Directeur Europe du Sud-Ouest chez Netwrix, repose sur le sentiment de la complexité. Plutôt qu'un mode projet pour mener à la conformité, il vaut mieux s'outiller et faire en sorte que le quotidien soit simple. Pierre-Louis Lussan a ainsi affirmé : « la simplicité est la clé d'usage de notre solution pour vérifier la conformité ». La solution retrouve même les mails et les CV dispersés dans le SI. En fait, les entreprises sont assez peu sensibles au risque CNIL mais, par contre, dressent l'oreille quand on parle de données stratégiques confidentielles. La solution vise en fait à analyser les accès, les comportements d'accès, et à repérer les anomalies (y compris les accès par les personnes sorties de l'effectif). Thomas Limpens, Ingénieur Avant-Vente Europe du Sud-Ouest chez Netwrix, en a fait d'ailleurs la démonstration.
« Laxisme dans la gestion des droits d'accès aux données » ont dénoncé Pierre-Louis Lussan, Directeur Europe du Sud-Ouest (premier plan, à droite), et Thomas Limpens, Ingénieur Avant-Vente Europe du Sud-Ouest, chez Netwrix.
Un exemple de mise en conformité RGPD complexe
La complexité, Armande François, DPO de l'AP-HP et membre de l'AFCDP, la connaît. L'Assistance Publique Hôpitaux de Paris regroupe en effet 39 hôpitaux accueillant de 8 à 10 millions de patients gérés au travers d'un millier d'applications informatiques, sans oublier d'ajouter les données non-structurées. Sur les 100 000 collaborateurs, environ 80 000 sont amenés à manipuler des données personnelles particulièrement sensibles : les données de santé. Elle a témoigné, lors de la conférence, des mesures prises pour assurer la mise en conformité de cet immense ensemble, notamment en sensibilisant les personnels.
Armande François, DPO de l'AP-HP et membre de l'AFCDP, a présenté un exemple de mise en conformité RGPD complexe.
Et en cas d'incident, il faut savoir réagir
Le RGPD a tout de même apporté quelques nouveautés majeures par rapport aux règles antérieures, parmi lesquelles l'obligation de notifier les incidents, le cas échéant aux personnes concernées. Hugo Woog, Lead Ingénieur Solutions France chez OneTrust, a donc présenter comment mener l'« Élaboration d'un plan d'action de 72 heures en cas d'incident et de violation en vertu du RGPD ». Il a en effet souligné : « le problème de la gestion des incidents existe depuis toujours mais le RGPD a ajouté le besoin de notification. »
Pour pouvoir tenir les délais (les fameuses « 72 heures »), il faut que la gestion d'incident soit anticipée. Cela suppose ainsi, déjà, de disposer d'une vraie cartographie des données, de gérer les fournisseurs, d'avoir établi formellement des mesures de sécurité, avec une politique explicite sur la confidentialité et les risques, d'avoir mené des formations internes, avec des mécanismes de rapport, d'être au point sur les obligations de notification et de documenter les violations. Lorsqu'un incident survient, il faut donc commencer par identifier celui-ci, enquêter à son propos et le comprendre, bien sûr y remédier, notifier à la CNIL et enfin informer le cas échéant les personnes concernées.
« Élaboration d'un plan d'action de 72 heures en cas d'incident et de violation en vertu du RGPD » a plaidé Hugo Woog, Lead Ingénieur Solutions France de OneTrust.
Relever le défi de la conformité
« Êtes-vous en conformité avec le RGPD ? » a interrogé fort à propos Vincent Muzellec, Ingénieur Avant-Vente chez Syncsort. En effet, lorsqu'on demande aux DSI quels défis sont à relever pour eux, à côté de l'accélération de la cloudification et du manque de ressources humaines IT, la conformité réglementaire est en bonne place et la priorité au sein de ce défi est le RGPD. Face à des systèmes hétérogènes, la sécurisation est parfois complexe, d'autant que des outils globaux n'existent pas toujours. Syncsort se présente comme éditeur de logiciels mainframe avec une dimension de plus en plus forte en matière de sécurité : monitoring du SI pour la sécurité et la conformité, contrôle d'accès et authentification, confidentialité des données, surveillance et reporting...
« Êtes-vous en conformité avec le RGPD ? » a interrogé Vincent Muzellec, ingénieur avant-vente chez Syncsort.
Le quotidien du DPO
Avec le RGPD est apparu un nouvel acteur dans l'entreprise : le DPO (Data Protection Officer), successeur du CIL. Le Grand Témoin de la matinée a été Johanna Carvais-Palut qui est d'une part DPO chez Malakoff Médéric Humanis et d'autre part Administratrice de l'AFCDP. Cette association permet d'ailleurs aux DPO et autres collaborateurs intéressés par le sujet de la protection des données personnelles (comme des RSSI) d'échanger des bonnes pratiques et de mutualiser un important effort documentaire et doctrinal, tous secteurs confondus. Comme pratique, Johanna Carvais-Palut a ainsi expliqué comment elle a sensibilisé les collaborateurs de Malakoff Médéric Humanis au travers d'un serious game, en amont de toute formation, pour que chacun apprenne en faisant et en se trompant. Elle a bien sûr détaillé l'ensemble des procédures mises en oeuvre pour la mise en conformité du groupe.
Johanna Carvais-Palut, DPO de Malakoff Médéric Humanis et Administratrice de l'AFCDP, a été le grand témoin de la matinée.
Prioriser les actions
Christian Guyon, Manager Sales Engineering chez Forcepoint, a lui explicité « RGPD : 5 enseignements à tirer depuis mai 2018 ». Il est ainsi dommage que la question soit souvent vue sous un angle étroit, celui du risque d'amende. Le principal risque est en effet plutôt opérationnel et sur l'image de l'entreprise. Et, surtout, il n'a pu que regretter que « le sujet ne puisse pas se résumer à une solution technique, ce qui serait évidemment plus simple. »
Comme il n'y a pas deux sociétés avec le même contexte, l'approche de mise en conformité doit s'adapter. Il faut prioriser les actions, en fonction des risques réels, et adopter une approche agile. « Comme l'utilisateur est souvent le maillon faible », a til rappelé, « la protection des données personnelles doit commencer par la formation des utilisateurs. »
« RGPD : 5 enseignements à tirer depuis mai 2018 » a listé Christian Guyon, Manager Sales Engineering chez Forcepoint.
La conformité continue
La conformité n'est pas un idéal atteint en une fois. Les entreprises vivent, son système d'information aussi. La conformité doit donc être maintenue dans la durée. C'était le thème principal de la table ronde qui concluait la matinée : « Maintenir la conformité en continu », qui a réuni Pascal Alix, Avocat à la Cour, DPO Externalisé, et Valentine Poylo, DPO de SNCF Réseau. Ils sont aussi revenus sur le quotidien des DPO, internes et externes, avec la grande difficulté des relations clients-fournisseurs dès lors que le RGPD s'en mêle.
Valentine Poylo, DPO de SNCF Réseau, et Pascal Alix, Avocat à la Cour et DPO Externalisé, ont débattu sur la table ronde « Maintenir la conformité en continu ».
Commentaire