Nouvelle règlementation sur la protection des données personnelles : quelles bonnes pratiques ?

Face à l’augmentation continuelle des risques de cybercriminalité, un nombre croissant de réglementations obligent désormais les entreprises à sécuriser leur système d’information et leur patrimoine informationnel. Le General Data Protection Regulation (GDPR) notamment, nouveau règlement européen sur la protection des données personnelles que les entreprises devront appliquer d’ici deux ans, vient fixer de nouvelles responsabilités en matière de cybersécurité. Décryptage.

Le 25 mai 2018, de nouvelles obligations seront imposées à tous les organismes privés et publics qui collectent, traitent et stockent des données personnelles dont les propriétaires peuvent être identifiés directement (par l’entreprise elle-même) ou indirectement (par un tiers). Le règlement européen relatif à la protection des données à caractère personnel entrera en effet en vigueur et obligera les organisations à s’assurer du consentement des individus quant à l’utilisation qui sera faite de leurs données. Ces dernières devront pouvoir être transférées à leur propriétaire ou effacées si ce dernier le demande. Le GDPR oblige par ailleurs les organisations à être transparentes et à alerter les autorités compétentes en cas de constatation d’une fuite de données. Enfin, les entreprises devront se doter d’une organisation interne en charge des questions relatives à la protection des données, notamment via la nomination d’un délégué aux données personnelles ou Data Protection Officer (DPO) en anglais.

Ce règlement apporte avec lui de nombreux challenges de sécurité spécifiques : chiffrement, anonymisation, droit à l’oubli, portabilité des données sont autant de sujets aux retombées techniques importantes. Dans la mesure où la protection des données à caractère personnel est devenue indissociable de la protection du (des) système(s) d’information, quel rôle auront les RSSI dans la mise en œuvre de ces nouvelles obligations, et comment peuvent-ils se préparer d’ores-et-déjà à leur application ?

Parmi les principes les plus stratégiques pour les RSSI figure celui d’accountability. Ce dernier implique de travailler sur la gouvernance des données et imposera concrètement de constituer une documentation importante, afin de démontrer sa conformité auprès des autorités de contrôle. Les RSSI devront en particulier veiller à la traçabilité des incidents et des actions sur le système d’information.

Des démarches de formalisation de process et de politiques de protection de la vie privée peuvent également déjà être engagées. Il est pertinent de nommer un porteur du projet en interne pour traduire les exigences du règlement en dispositifs de sécurité. Les RSSI peuvent également mettre en place des audits internes ou des revues des applications métiers et/ou techniques manipulant des données personnelles.

L’adhésion de la direction générale est également un principe important. Afin d’obtenir les budgets nécessaires pour le RSSI, il s’agira de la sensibiliser et la convaincre des risques juridiques, financiers et d’image qui pèseront sur les organismes, notamment au travers des sanctions administratives (jusqu’à 4% du CA annuel mondial ou 20 millions d’euros) ou encore des notifications des violations de données aux clients. Pour donner une bonne visibilité sur les risques, il est nécessaire de valoriser la donnée : à ce titre, il faudra définir des coûts de l’information réalistes et raisonnables, et envisager de se renseigner en la matière auprès des cyber-assurances.

Les modalités de relation du RSSI avec le DPO doivent également être pensées en amont : de manière générale, le RSSI peut être considéré comme un fournisseur de moyens et d’outillage, ainsi qu’un appui technique pour un DPO qui ne posséderait pas nécessairement des compétences approfondies en la matière. En l’absence de DPO, le RSSI peut se rapprocher dès aujourd’hui du service juridique afin d’instaurer une relation de confiance. Par ailleurs, les fonctions de RSSI et de DPO ne sont pas incompatibles, et peuvent être prises en charge par un seul et même collaborateur.

Le GDPR, règlement de nature juridique, entraîne dans son sillage des considérations opérationnelles tant à destination des directions générales que des RSSI. Anticiper cette échéance dès à présent est crucial pour les organismes privés et publics afin d’être en conformité avec les obligations qui leur seront imposées. D’autant qu’il faudra parfois coupler ces obligations avec d’autres textes régissant la sécurité des systèmes d’information dans des secteurs définis, comme la loi de programmation militaire.

 

Si ce sujet vous intéresse, n’hésitez pas à me contacter.

Published by

Recent Posts

Cas d’usage des captives de réassurance, entre gestion du risque corporate et opportunité financière

Article co-rédigé avec Cyril Chalin, Charles-Henri Carlier, Joseph Delawari et Pape Modou Mbow. La loi…

1 an ago

Talent Acquisition et compétences face au changement organisationnel

Entretien avec Jérôme de Grandmaison (VP Talent Management, Product Lines & Functions, Alstom) à l’occasion…

1 an ago

Refonte du questionnaire lutte anti-blanchiment : une approche qui évolue avec des impacts forts pour les entités assujetties

Article co-écrit par Ivann Le Pallec (Senior Consultant Risk Advisory) et Valentin Brohm (Manager Risk…

1 an ago

Future of luxury travel

Five Trends Shaping the Market Hear “luxury travel,” and you’re likely to envision a swirl…

1 an ago

E-Euro : l’interview de Frédéric Faure, Head of Blockchain chez Banque de France

Interview réalisée par Marie-Line Ricard, Associée Blockchain & Web 3, Jérémy Stevance, Manager Blockchain &…

1 an ago

La prise en compte de sujets fonctionnels résultant de la réforme de la demande et des attributions, une opportunité pour les acteurs de la réforme

Article co-rédigé avec Wilfrid Biamou, Senior manager. Les évolutions réglementaires successives Alur du 26 mars…

2 ans ago