Devant la multiplication des messages et des propositions des spécialistes du RGPD, Béatrice Piquer, directrice commerciale et marketing de Certigna précise que le RGPD c’est avant tout beaucoup de bon sens et de sens pratique. Back to basics avec des solutions simples.
>> Cet article est extrait du hors-série « Le Numérique en Pratique », la data, téléchargez-le !
Avec le Règlement général sur la protection des données à caractère personnel (RGPD), les entreprises sont entrées dans un nouvel univers de l’usage des données, même si théoriquement les principes de celui-ci sont connus depuis 40 ans et la Loi Informatique et Liberté. « A y regarder de plus près, malgré la confusion qui a semblé régner autour du sujet ces derniers mois, les messages passés par la Cnil – qui interprète le RGPD en France – ont été plutôt pratiques et accessibles » remarque Béatrice Piquer, directrice commerciale et marketing de Certigna, opérateur et tiers de confiance français, spécialiste en cybersécurité et confiance numérique. Le site de la Cnil est ainsi couramment repris comme exemple par de nombreux avocats et par les experts du numérique. « C’est une approche intéressante de « back to basics » avec laquelle nous sommes totalement en phase, très utile pour toutes les entreprises. L’idée est de se focaliser sur les points clés et les précautions élémentaires qui devraient être mises en œuvre de façon systématique » estime Béatrice Piquer.
Quelques points clés pour avoir des réponses juridiques et de sécurité
Ainsi, dans le « Guide de la sécurité des données personnelles », la Cnil énumère certaines bonnes pratiques structurantes : l’authentification des utilisateurs (que cela soit mis en place par le biais du traditionnel duo identifiant/mot de passe ou jusqu’à l’usage de cartes à puce) mais aussi l’utilisation du Security Socket Layer/Transport Layer Security (SSL/TLS) pour les sites web, la capacité à tracer les incidents ou encore le chiffrement des e-mails. « Prendre les devants en la matière n’est pas qu’une question de sécurité de l’information. Cela permet également de répondre à une question que se posent de plus en plus d’entreprises : à l’ère où notre économie est de plus en plus numérique, quelle valeur juridique nos échanges digitaux auront devant une cour française ou européenne ? » précise Béatrice Piquer.
De fait, le Guide comporte 17 fiches (voir ci-dessous) aux sujets étroitement liés. Ces « basics » sont donc les clés de voute qui doivent permettre aux entreprises de faire vivre de façon pérenne leurs usages data avec le RGPD. En effet, celui-ci, loin d’avoir pour finalité l’entrée en application du 25 mai 2018, appelle à avoir une vision de long terme, car il pourra être amené à évoluer et à se préciser. Jouant du sentiment d’urgence tout en s’intéressant à un marché en plein boom, de nombreux prestataires ont vu dans le positionnement pour accompagner le RGPD une mine d’or. « On ne s’improvise pas spécialiste de certaines spécificités du RGPD – encore moins du RGPD dans son ensemble ! – de la même façon que l’on ne s’improvise pas tiers de confiance par exemple » épingle cependant Béatrice Piquer. Selon elle, la priorité est donc de reprendre les basics très bien présentés dans les guides pratiques de la Cnil.
Une check-list de 17 points pour composer avec ses prestataires
Pourquoi se concentrer spécifiquement sur ces points pour identifier les bons prestataires ? « La Cnil a reconnu que pour les prochains mois son approche du contrôle distinguerait d’un côté « les nouvelles obligations et nouveaux droits liés au RGPD » – pour lesquels elle insistera sur son rôle d’accompagnement, et de l’autre « les principes fondamentaux de la protection des données » sur lequel elle fera des vérifications rigoureuses » explique Béatrice Piquer. S’assurer du respect des fondamentaux, connus depuis plusieurs décennies, est donc dans l’immédiat beaucoup plus important pour les entreprises. Les 17 fiches de la CNIL permettent en ce sens d’identifier les priorités suivantes :
- La sensibilisation des utilisateurs
- L’authentification des utilisateurs
- La gestion des habilitations
- Le suivi des accès et la gestion des incidents
- La sécurisation des postes de travail
- La sécurisation des équipements mobiles
- La protection du réseau informatique interne
- La sécurisation des serveurs
- La sécurisation des sites web
- La sauvegarde et la continuité d’activité
- L’archivage sécurisé
- L’encadrement de la maintenance et de la destruction des données
- La gestion de la sous-traitance
- La sécurisation des échanges avec d’autres organismes
- La protection des locaux
- L’encadrement des développements informatiques
- Le chiffrement, la garantie de l’intégrité et de l’authenticité des informations
« Un même prestataire pourra répondre à quelques-unes d’entre elles, mais certainement pas à toutes » insiste Béatrice Piquer, « il est donc important de choisir les partenaires qui permettent de répondre à ces items et de vérifier que tous ces aspects sont couverts au sein de l’entreprise ». D’autant plus que ces 17 points ont en commun d’être des enjeux permanents pour une organisation : la collaboration avec des prestataires va donc se faire sur du long terme, chacun des sujets pouvant avoir un impact sur les autres. Une cartographie permettant de positionner ses partenaires permettra également de mieux les faire coopérer. Une approche beaucoup plus réaliste que d’espérer qu’un cabinet d’avocat puisse encore régler en un claquement de doigt tous les enjeux liés aux RGPD, comme on l’entend encore. En dehors de l’aspect sécurisation des données personnelles, le RGPD permet de rediscuter des fondamentaux avec les métiers et de se reposer les bonnes questions concernant la gestion des données personnelles et leur traitement. L’enjeux de la RGPD étant également de structurer et organiser la data entre les différents processus et métiers de l’entreprise. Une chose est sure le RGPD c’est beaucoup de bon sens et de sens pratique. Il n’y aura pas de transformation digitale sans confiance numérique.
Lire aussi : RGPD : 3 incontournables pour assurer la confiance dans ses données
>> Cet article est extrait du hors-série « Le Numérique en Pratique », la data, téléchargez-le !