Catégories
Actualités Bonnes pratiques | Tips Optimisation Sécurité informatique

L’efficacité organisationnelle grâce au GDPR

Respectez-vous la loi et plus particulièrement le GDPR qui entrera en application le 25 mai 2018 ?

Pour vous en assurer, découvrez ci-dessous le retour d’expérience de nos consultants qui assurent des missions d’AMOA (assistance à maîtrise d’ouvrage) afin d’aider nos clients à se mettre en conformité.

Le constat en cette fin d’année 2017

Nous entendons souvent la même histoire, des organisations publiques et privées qui ont soutenu des croissances fortes, ou au contraire des baisses budgétaires importantes, et qui n’ont pas toujours pu prendre le temps de structurer leurs processus avec des journées qui ne font que 24 heures. On produit l’essentiel pour avancer au détriment des fondations qui finalement reposent sur la solidité de telle ou telle autre personne. Nous sommes très fort pour compenser les tensions !

Certains pensent encore que le GDPR repose uniquement sur les briques techniques du SI (Système d’Information) et que seule la DSI est alors concernée. Pourtant notre expérience nous a démontré qu’il fallait porter tout autant d’attention à la sécurité des données qu’aux processus organisationnels qui permettent de les traiter.

Parfois même nous découvrons de grandes disparités entre services d’une même organisation dans la manière dont les utilisateurs gèrent les données à caractère personnel. Certains le font plutôt bien alors que d’autres sont très éloignés des bonnes pratiques attendues et le manque de dialogue entre ces services maintient un état de statu quo fort dommageable.

Si vous savez identifier facilement ces services en situation de fragilité, vous saurez alors où focaliser vos efforts en vue d’être conforme au GDPR. Voici quelques cas, les plus fréquemment rencontrés, pour vous aider à savoir où vous en êtes, et ce que vous devez faire pour corriger le tir :

Cas N°1 – Nous sommes en maîtrise ! (vérifiez tout de même)

Vous êtes en maîtrise totale : aussi bien technique qu’organisationnelle. Bravo !

Pour en être certain, vérifiez que vous remplissez bien toutes les conditions suivantes :

Technique

Organisationnelle

  • Avez-vous mis en place une politique de sécurité de votre SI ?
  • Avez-vous un logiciel permettant de tracer les accès (qui fait quoi) ?
  • Êtes-vous certain qu’il n’y a pas de shadow IT* dans votre organisation ?
  • Avez-vous un plan de sauvegarde documenté et testé régulièrement ?
  • Avez-vous une stratégie de verrouillage des mots de passe (délibération CNIL n°2017-012) ?
  • Maîtrisez-vous tous les accès et comptes de votre organisation (pas de comptes génériques tels que stagiaire01, generique01, test01, prestataire01, etc.) ?
  • Maîtrisez-vous tous vos flux d’interconnexions avec vos télétravailleurs, partenaires, sous-traitants et clients (VPN et autres technologies) ?
  • Vos prestataires et partenaires sont-ils GDPR compliance ?
  • Maîtrisez-vous la sécurité de vos appareils mobiles (tablettes et smartphones) et vous appartiennent-ils ?
  • Sensibilisez-vous les utilisateurs à propos des cybermenaces, des risques et des enjeux ?
  • Avez-vous une charte informatique à destination des utilisateurs, mais aussi à destination des informaticiens et des sous-traitants (avec engagement de confidentialité) ?
  • Avez-vous un règlement intérieur qui précise les points de sécurité du SI ?
  • Vos contrats de travail prennent-ils en compte le risque informatique ?
  • Faites-vous des rappels réguliers des bonnes pratiques sur la gestion des données à caractère personnel (par exemple via des séances de formation et de sensibilisation) ?
  • Avez-vous un processus d’intégration des nouvelles recrues qui permettent de les sensibiliser dès les premiers jours ?
  • Avez-vous un document recensant les droits et accès de vos utilisateurs ? (gestion des habilitations)
  • Auditez-vous périodiquement les droits de chacun (vérification des droits théoriques et processus de recertification de ces droits) ?
  • Possédez-vous un processus de gestion du cycle de vie utilisateur (arrivée – mobilité interne – départ)

* shadow IT : (parfois Rogue IT) est un terme fréquemment utilisé pour désigner des systèmes d’information et de communication réalisés et mis en œuvre au sein d’organisations sans approbation de la direction des systèmes d’information.

Pour plus de détails vérifiez que vous possédez déjà, ou à défaut que vous êtes en mesure de renseigner, le registre type fourni comme modèle par la CNIL.

Cas N°2 – Le SI est parfait, mais le reste, je doute…

Au niveau des strates techniques, au sein de votre SI, tout est en place et conforme aux préconisations de sécurité (chiffrement des disques de stockage des postes, authentification forte, limitation des droits d’accès administrateur, traçabilité de tous les accès, sécurités anti-intrusion et anti-virale dignes de ce nom, sauvegardes fiables).

Seulement, vous n’êtes pas en mesure de répondre favorablement aux questions qui suivent dans ce chapitre. Vous êtes donc en maîtrise partielle.

Sécurité organisationnelle

  • Sensibilisez-vous les utilisateurs à propos des cybermenaces, des risques et des enjeux ?
  • Avez-vous une charte informatique à destination des utilisateurs, mais aussi à destination des informaticiens et des sous-traitants (avec engagement de confidentialité) ?
  • Avez-vous un règlement intérieur qui précise les points de sécurité du SI ?
  • Vos contrats de travail prennent-ils en compte le risque informatique ?
  • Faites-vous des rappels réguliers des bonnes pratiques sur la gestion des données à caractère personnel (par exemple via des séances de formation et de sensibilisation) ?
  • Avez-vous un processus d’intégration des nouvelles recrues qui permettent de sensibiliser dès les premiers jours ?
  • Avez-vous un document recensant les droits et accès de vos utilisateurs ? (Gestion des habilitations)
  • Auditez-vous périodiquement les droits de chacun (vérification des droits théoriques et processus de recertification de ces droits) ?
  • Possédez-vous un processus de gestion du cycle de vie utilisateur (arrivée – mobilité interne – départ)

Cas N°3 – Les processus c’est notre passion, mais au niveau IT je ne sais pas comment ça se passe

Vous savez qui doit accéder à quoi, quand, comment, où et pourquoi. Vous êtes certain de l’exactitude de vos documents de traçabilité, MAIS techniquement, vous n’avez AUCUNE idée de ce qui est réellement mis en oeuvre. Vous êtes donc ici aussi en maîtrise partielle.

Sécurité technique

  • Avez-vous mis en place une politique de sécurité de votre SI ?
  • Avez-vous un logiciel permettant de tracer les accès (qui fait quoi) ?
  • Êtes-vous certain qu’il n’y a pas de shadow IT* dans votre organisation ?
  • Avez-vous un plan de sauvegarde documenté et testé régulièrement ?
  • Avez-vous une stratégie de choix et de verrouillage des mots de passe efficace (voir la délibération n°2017-012 de la CNIL) ?
  • Maîtrisez-vous tous les accès et comptes de votre organisation (pas de comptes génériques tels que stagiaire01, generique01, test01, prestataire01, etc.) ?
  • Maîtrisez-vous tous vos flux d’interconnexions avec vos télétravailleurs, partenaires, sous-traitants et clients (VPN et autres technologies) ?
  • Vos prestataires et partenaires sont-ils “GDPR compliance” ?
  • Maîtrisez-vous la sécurité de vos appareils mobiles (tablettes et smartphones) et vous appartiennent-ils ?

* shadow IT : (parfois Rogue IT) est un terme fréquemment utilisé pour désigner des systèmes d’information et de communication réalisés et mis en œuvre au sein d’organisations sans approbation de la direction des systèmes d’information.

Cas N°4 – Je crois bien qu’on ne maîtrise rien.

Pas de panique ! Commencez par recenser tous vos processus de traitements des données afin de les prioriser pour ensuite les sécuriser.

Consultez notre article dédié aux outils pour se préparer au GDPR.

Et si vous ne vous en sortez pas seul, n’hésitez pas à nous contacter pour en savoir plus.

Quels sont les bénéfices d’une telle démarche ?

Se mettre en conformité avec le GDPR ce n’est pas une contrainte, bien au contraire, le fait de se lancer dans ce chantier et de l’intégrer au fil du temps au coeur de votre ADN vous apportera beaucoup. Voici une liste non exhaustive des plus-values que vous pourrez obtenir pour votre organisation :

  • Une meilleure structure des différents processus de votre organisation. Et dans le cas où les processus n’étaient pas une démarche habituelle, alors vous gagnerez énormément en connaissance et maîtrise ;
  • Plus de transparence, donc plus de clarté dans qui fait quoi, où, quand et comment, mais et surtout pourquoi. Et ça sera valable pour vos équipes en interne, mais aussi pour vos partenaires et sous-traitants ;
  • Des gains de productivité assurés ;
  • Une plus grande sécurité de votre patrimoine informationnel ;
  • Vous serez plus à l’aise pour mieux répondre aux exigences de vos clients internes comme externes, et surtout il vous sera plus facile de passer des certifications de type ISO 9001-2015 et autres reconnaissances liées au savoir-faire et à l’excellence opérationnelle ;
  • Plus de confiance de la part de vos clients puisque finalement vous prendrez vraiment soin de leurs données à caractère personnel.

Quelques rappels utiles sur le GDPR :

Durée de conservation des données à caractère personnel : surtout ne faites pas dans l’illimité !

Pas d’obligation de tenir un registre pour les organismes ayant moins de 250 employés, SAUF si vous mettez en œuvre au moins l’un des traitements suivants :

  • collecte ne présentant pas un caractère occasionnel ;
  • ou portant notamment sur des catégories particulières de données (données personnelles sensibles, infractions, …) ;
  • ou comportant un risque pour les droits et les libertés des personnes concernées.

Dans quels cas un organisme doit-il obligatoirement désigner un DPO (délégué à la protection des données) ?

La désignation d’un délégué est obligatoire pour :

  • les autorités ou les organismes publics ;
  • les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
  • les organismes dont les activités de base les amènent à traiter à grande échelle des données personnelles dites « sensibles » ou relatives à des condamnations pénales et infractions.

Qu’est-ce qu’une donnée à caractère personnelle sensible ?

Le texte officiel est suffisamment clair : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

C’est quoi un consentement ?

Là aussi le texte est très précis : Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale.

Et vous devez faire en sorte que la personne puisse annuler son consentement aussi simplement qu’elle vous l’a donné !

Liste des abréviations autour du règlement Européen

  • LIL = Loi Informatique et Libertés
  • RGPD = règlement général sur la protection des données
  • GDPR = general data protection regulation
  • CIL = Correspondant Informatique et Libertés
  • DPD = délégué à la protection des données
  • DPO = data protection officer
  • RT = Responsable de traitement
  • ST = Sous-traitant
  • G29 = groupe des CNIL de l’Union européenne (groupe de travail de l’article 29 de la directive 95/46/CE)
  • EM = Etat membre (de l’Union européenne)
  • LD = lignes directrices (guidelines)

Vous parlez beaucoup de processus, mais c’est quoi un processus ?

L’ISO 9000:2000 définit ainsi le processus “Ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie” entre un fournisseur et un client.

Notez que le fournisseur, comme le client, peuvent être des collègues au sein d’une même organisation. Vous acceptez leurs données en entrée de processus, vous y apportez votre valeur ajoutée grâce à vos actions et vous fournissez le résultat bonifié à votre client en sortie de processus.

Exemple de processus cycle de vie d’un client au sein d’une organisation fictive

Besoin d’un DPO (Data Protection Officer) externalisé ?