Une question ? Contactez notre standard : 01 41 91 58 61 - Un incident de sécurité ? Faites-vous assister : 01 47 28 38 39

Le Règlement Général sur la Protection des Données fête le premier anniversaire de sa mise en application le 25 mai 2018.

Quels enseignements tirer de cette première année ? Intrinsec vous répond à la lueur de ses expériences d’accompagnement des entreprises dans leur mise en conformité.

 

Une première phase de transition

Les exigences du RGPD posent de nombreux défis aux entreprises au premier rang desquelles se trouvent celui de faire émerger les compétences nécessaires ainsi que d’aligner les pratiques avec les exigences en matière de protection des données.

Les chantiers de mise en conformité ont souvent été initiés par les directions juridiques des entreprises, mobilisant des ressources pour initier ou compléter les registres, former les collaborateurs et le DPO, intégrer les concepts de protection des données par défaut et dès la conception, encadrer la sous-traitance et les transferts de données…

Rappel des processus à mettre en place : 

Il s’est avéré nécessaire de faire évoluer le système d’information et de se doter d’outils pour le recueil de consentement, l’exercice des droits d’accès et d’effacement, l’anonymisation, le chiffrement, la sécurisation des applications, la détection des violations de données, etc.

Pour beaucoup d’entreprises, la démarche de mise en conformité est toujours en cours. D’autant que les besoins évoluent avec les recommandations de la CNIL et la jurisprudence. En effet, le règlement n’en est qu’à ses débuts en terme d’application.

 

De réelles opportunités

Si le RGPD est souvent vu comme une contrainte supplémentaire, les opportunités sont bien réelles. La démarche de mise en conformité RGPD est l’occasion unique pour les entreprises de rationaliser la gestion de leurs données, un réflexe encore loin d’être systématique dans les organisations.

Les étapes que présuppose le RGPD, tels que disposer d’une cartographie de ses données, avoir des processus et responsables clairement définis reviennent de facto à mettre en place une gouvernance de la donnée efficace.

Nettoyer sa base commerciale pour se mettre en conformité permet de se recentrer sur les prospects les plus prometteurs en adoptant une approche plus qualitative que quantitative. D’autre part, des pratiques respectueuses de la vie privée valorisent l’organisme auprès de ses clients et partenaires. L’entreprise Cdiscount a par exemple souligné qu’elle était le premier acteur de l’e-commerce à recevoir le label « Procédure de gouvernance » RGPD de la CNIL. A terme, la démarche peut ainsi devenir un véritable atout économique et concurrentiel.

 

Une meilleure prise en compte de la sécurité

De nombreuses mesures d’une politique de sécurité contribuent à la protection des données. Par exemple, le chiffrement de surface des postes de travail et le contrôle des supports amovibles permettent de prévenir les fuites de données. Ces démarches sont ainsi valorisées dans le cadre de la mise en conformité.

Les prérequis du RGPD en matière de mesures de protection renforcent « par rebond » la voix des RSSI en interne, qui font face à un terrain plus favorable grâce à des utilisateurs davantage sensibilisés. D’après un sondage IFOP, 70% des français se disent aujourd’hui plus sensibles à la problématique de la protection des données personnelles. Les exigences en matière de protection des données et de sécurité du SI se diffusent jusque dans les PME/PMI. Nous observons clairement que beaucoup d’entreprises ouvrent des chantiers de sécurité et gagnent en maturité à l’occasion de nos missions d’accompagnement RGPD.

 

Quelles mesures de sécurité mettre en place ?

Le RGPD ne liste pas un catalogue de mesures de sécurité à mettre en place, même s’il cite la pseudonymisation et le chiffrement. Il engage les responsables de traitement et sous-traitants à mettre en œuvre des mesures techniques et organisationnelles appropriées. Il s’agit d’adapter le niveau de sécurité au risque, non pas pour l’organisme, mais pour les personnes concernées.

Le risque doit être évalué au travers d’une analyse d’impact impliquant le DPO, les métiers et le RSSI pour l’identification des mesures en place et à considérer. Les consultants d’Intrinsec accompagnent leurs clients dans leurs projets de mise en conformité RGPD et ISO 27001, en mettant en œuvre des politiques et mesures de sécurité adaptées à leur contexte et répondant aux enjeux de protection de données (découvrez nos offres Mise en conformité).

Le chiffrement se décline en chiffrement des flux (TLS), bases de données, sauvegardes, fichiers et supports de stockage… Il peut s’avérer complexe à mettre en place et ne répond pas à tous les enjeux. En effet, un chiffrement « transparent » des données fait reposer une bonne partie de la sécurité sur le contrôle d’accès.

Une gestion rigoureuse des droits d’accès demeure essentielle pour s’assurer que seules les personnes habilitées ont accès aux données à caractère personnel. Il faut s’assurer que les moyens d’authentification sont fiables, que la politique de mot de passe est conforme aux recommandations de la CNIL et assimilée par les utilisateurs. Mais il faut aussi que les profils soient adaptés aux besoins de la mission, et que les processus de gestion des entrées et sorties, d’attribution et de revue des habilitations soient en place. C’est principalement pour un défaut de gestion des droits que l’hôpital public de Barreiro au Portugal a été sanctionné.

 

Contrôles et sanctions : à quoi faut-il s’attendre ?

Les autorités avaient frappé fort avec la décision de porter le montant maximum d’une sanction pour non-conformité à 4% du chiffre d’affaires mondial total de l’exercice précédent ou 20 millions d’euros. Qu’en a-t-il été concrètement jusqu’ici ?

L’essentiel du montant des sanctions délivrées en un an de RGPD par la CNIL est constitué de l’amende infligée à Google, les autres sanctions étant antérieures au RGPD. Cette amende à Google de 50 millions d’euros représente d’ailleurs la quasi-intégralité des sanctions délivrées à l’échelle européenne à ce jour.

En l’absence jusqu’ici d’exemple marquant impliquant une entreprise privée européenne, il est parfois difficile pour les personnes chargées des projets de mise en conformité et le DPO de faire entendre leur voix en interne, notamment auprès de la direction générale.

Il faut cependant souligner que la CNIL a dévoilé fin avril sa stratégie pour l’année 2019. Si elle reste dans une démarche d’accompagnement, La CNIL explique qu’« en matière de contrôle et de politique répressive, l’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation et la nouvelle » et que désormais elle « vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen ».

L’idéal pour les entreprises reste d’anticiper l’audit en mettant en place des mesures de contrôle. Il faut alors disposer des compétences et outils permettant d’évaluer le niveau de sécurité de votre système d’information en l’envisageant du point de vue d’un attaquant, afin de corriger les failles avant qu’elle ne soient exploitées pour dérober des données personnelles (découvrez nos offres Evaluation).

Se doter de mesures de réaction efficaces permet de prendre rapidement toutes les mesures permettant d’atténuer l’impact pour les personnes concernées en cas de violation :

  • Détecter les incidents et failles de sécurité via le monitoring et l’analyse d’un SOC.
  • Identifier les fuites de données qui seraient en circulation sur les différentes couches du Web grâce à la Cyber Threat Intelligence.
  • Gérer les incidents et situations de crise, en menant les investigations et en prenant tout de suite les bonnes actions de remédiation (le CERT Intrinsec est prêt à se mobiliser pour vous !).

 

Conclusion

La démarche de mise en conformité RGPD a permis d’enclencher une dynamique, de mettre en place une gouvernance et de lancer les chantiers prioritaires. Dans une démarche d’amélioration continue, il est essentiel de faire évoluer la démarche. Il faut désormais concentrer l’effort engagé sur l’intégration pleine et entière de la conformité RGPD au sein de l’organisation et du système d’information.

Plus encore que l’étape initiale, cela implique un changement fort de culture et de process des intervenants métiers et des équipes techniques, l’acquisition de reflexes RGPD dans l’ensemble des nouveaux projets et évolutions.

Intrinsec, acteur historique de la sécurité et de la conformité depuis 1995, accompagne ses clients dans la durée à travers ses offres DPO/RSSI à temps partagé et Assistance technique, les faisant bénéficier de son expertise aussi bien en terme de gouvernance que de mise en œuvre concrète du dispositif de protection.

 

 

 

Vous souhaitez en savoir plus sur le sujet ? Définir un projet en accord avec vos besoins ? 

Verified by MonsterInsights