| Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Quels sont les points importants vu par un Expert Informatique ?
L’auteur, Denis JACOPINI, Expert de justice en Informatique diplômé en Cybercriminalité et spécialisé en RGPD est certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005).
Je ne vous apprendrais rien en vous informant que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) entrera en application le 25 mai 2018.
Par contre, savez-vous que la plupart des obligations de ce règlement doivent déjà être respectés depuis presque un demi siècle ?
Selon moi, le RGPD a été créé pour deux principales raisons :
- Réguler l’usage des données personnelles par les géants du Web en prévoyant des sanctions démesurées et inadaptées pour nos entreprises européennes mais suffisamment contraignantes pour faire trembler les GAFAM (Google Apple Facebook, Amazon, Microsoft) ;
- Guider l’ensemble des entreprises manipulant nos données à caractère personnel qui, au vu des milliards d’informations volées chaque année, sont devenues malgré elles, complices de l’évolution incoercible de la cybercriminalité à travers le monde.
FAIRE DU RGPD UN BUSINESS
Vous êtes de nombreux avocats à vous être intéressé aux nouvelles technologies ces dernières années. D’une part cela est bien utile car vous utilisez la technologie, mais également ceci vous permet de vous positionner sur ce marché en y proposant vos services.
Ainsi, il parait évident que vous choisissiez d’étendre vos activités jusqu’au RGPD en proposant à vos clients de devenir leur « Délégué à la Protection des Données » ou en les accompagnant à leur « Mise en Conformité avec le RGPD ».
Basé sur la loi n°78-17 du 6 janvier 1978, même si le contenu de ce règlement est organisé en articles classés en chapitres aux noms bien législatifs, leurs détails, parfois trop incomplets pour être suivis sans risque et parfois flous, laissent place à une interprétation dont vous êtes certainement habitués.
Pourtant, si vous vous intéressez en détail à la manière de mettre en conformité un établissement, vous constaterez qu’au-delà de l’aspect réglementaire, il est question de bonnes pratiques à faire évoluer, que ça soit au niveau des décideurs, des responsables ou prestataires informatiques ou des utilisateurs.
Ainsi, mettre en conformité avec RGPD un établissement revient d’abord à faire le point sur les processus existants manipulant des Données à Caractère Personnel puis à identifier les points ne respectant pas le Règlement Général sur la Protection des Données pour enfin appliquer des corrections adhoc.
Certes, une bonne connaissance du texte réglementaire est nécessaire pour parfaire une mise en conformité RGPD, mais pour récolter les éléments de l’audit, ou aborder les changements à mettre en oeuvre, en plus des compétences en gestion de projet et en psychologie dont il faut faire preuve, il est également nécessaire de bien maîtriser une méthode relative à l’analyse des risques en informatique.
Ces compétences, également rares chez les informaticiens sont à mon avis les bases minimales pour entamer la mise en conformité avec le RGPD d’un établissement.
SE METTRE EN CONFORMITE
Que vous souhaitiez ou non proposer à vos clients des services de mise en conformité RGPD, comme chaque professionnel, administration ou association Européenne, vous devez appliquer cette démarche à votre organisme. Certes, vous pouvez considérer le RGPD comme une immense contrainte qui va vous faire perdre du temps et ajouter une charge non négligeable à vos cabinets, mais suivre les guides fournis par la CNIL et les recommandations des spécialistes dans ce règlement vous permettra enfin de vous préoccuper d’un élément fondamental de la sécurité informatique oublié même par des grands cabinets jusqu’à aujourd’hui : « Se protéger contre la fuite de données ».
En matière de sécurité informatique, il est fort probable que vous vous soyez préoccupé de vos sauvegardes pour éviter de perdre vos données numériques, d’un VPN pour assurer un minimum de confidentialité, d’un Firewall pour limiter les intrusions mais avez-vous pensé à la protection contre la fuite de données ?
Le risque peut aussi bien exister à l’intérieur de vos cabinets (personnel, visiteurs, prestataires) qu’à l’extérieur (prestataires ayant accès à distance, pirates informatiques).
L’avantage de la démarche RGPD, c’est qu’elle amène l’auditeur à vous poser un ensemble de questions qui amène à l’identification de failles dans votre organisation, failles dont vous auriez déjà pu être victime. La démarche vous fait également prendre conscience de risques jusqu’alors bien souvent négligés !
Ainsi, au terme d’un audit et d’une mise en conformité RGPD, il est fort probable que votre système informatique, aussi perfectionné ou récent qu’il soit ait besoin d’améliorations nécessaires pour boucher les failles dont personne ne se serait soucié sans que ce règlement soit appliqué.
La mise en conformité RGPD est une démarche qualité qui se soucie enfin des données à caractère personnel que détiennent les professionnels, administrations et associations. Il ne faut pas la considérer comme une contrainte mais plutôt comme une opportunité d’être guidé dans une démarche que vous auriez dû réaliser un jour ou l’autre et d’afficher votre démarche pour rassurer les vrais propriétaires de vos données.
« RGPD : Tant qu’il existe un risque que des personnes non autorisées aient accès aux Données à Caractère Personnel que vous détenez, avec des conséquences possibles sur leurs propriétaires, vous devez revoir votre copie ».
L’auteur, Denis JACOPINI, Expert de justice en Informatique diplômé en Cybercriminalité et spécialisé en RGPD est certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005). |
