Gérer les risques aujourd'hui et demain

Alain Bouillé (Cesin) : « RGPD : il ne faut pas confondre conformité et sécurité »

23-10-2018

Cinq mois après l'entrée en vigueur du Règlement européen sur la protection des données à caractère personnel (RGPD), Alain Bouillé, président du Club des Experts de la Sécurité de l'Information et du Numérique (Cesin), nous fait part de son ressenti sur sa mise en œuvre.

Alain Bouillé est président du Cesin.
© D.R.
Comment s’articulent les liens entre le RGPD et la sécurité des entreprises ?

Ces liens sont relativement naturels car, dans quasiment toutes les grandes organisations, il y a un responsable de la sécurité des systèmes d’information (RSSI) qui s’occupe déjà depuis longtemps de la sécurisation de toutes les données. Pas seulement des données à caractère personnel (DCP). Par conséquent, il leur a été assez simple de mener le projet de mise en conformité au RGPD pour la partie sécurisation des DCP. Parmi les données sensibles qui ne sont pas à caractère personnel, je rappellerais qu’il y a, par exemple, les brevets, les projets de recherche et développement, les secrets commerciaux… En revanche, il a fallu garantir une certaine cohérence au niveau de la protection des différents types de données.

Qu’entendez-vous par là ?


Avec sa menace d’amende et la date butoir de son entrée en vigueur, au 25 mai 2018, le RGPD a mis une lentille extrêmement grossissante sur les données personnelles. Les entreprises pouvaient alors se retrouver avec le risque de laisser sur le bord de la route d’autres projets de sécurisation de données plus importants. En effet, lorsqu’une entreprise se lance dans un projet de classification des données, elle aboutit à des mesures de sécurisation plus fortes sur les données les plus sensibles. Or un grand nombre de données à caractère personnel ne sont pas sensibles. C’est le cas de l’annuaire de l’entreprise auquel tout le monde accède en interne. En clair, le RGPD a pu conduire à retirer certaines budgets en matière de sécurité. Il a fallu faire des arbitrages.

Comment se répartissent les rôles entre RSSI et Délégués à la protection des données (DPD) que réclame le RGPD ?


Il y a d’abord eu le duo RSSI / Correspondant Informatique et Liberté (CIL). Dans notre baromètre de 2017, nous avions indiqué que, dans 35% des cas, la même personne cumulait les fonctions de RSSI et de CIL. En ce qui concerne le RGPD, bien des RSSI /CIL ont été mobilisés afin de conduire le projet de conformité. Notamment pour dresser l’inventaire des données personnelles. En fait, une personne de la direction des systèmes d’information (DSI) aurait très bien pu faire l’affaire. En outre, dans le cadre du RGPD, il a également fallu désigner un Délégué à la protection des données (DPD) [ou Data Protection Officer (DPO)]. On s’en doute, de nombreux RSSI/CIL sont devenus DPO. Cependant, dans les autres cas, les entreprises ont dû créer un nouveau poste. Jusqu’ici, le RSSI relevait soit de la direction des risques soit de la DSI. Tandis que les nouveaux DPO sont liés à la direction de la conformité soit, à défaut, à la direction juridique. Généralement, le DPO a un profil de juriste ou peut être issu des métiers. Sa compétence est souvent éloignée de l’informatique.

Le RGPD constitue-t-il un gain pour les entreprises ?


En sécurité des systèmes d’information, il y a un un adage : conformité ne signifie pas forcément sécurité. En effet, ce n’est pas parce que l’on est conforme à la réglementation que le système d’information sera sécurisé. Ce fut le cas de la chaîne américaine de supermarchés Target. Elle était conforme au règlement PCI DSS (Payment Card Industry Data Security Standard) sur les cartes bancaires. Pourtant, elle a été victime d’un vol du fichier de cartes bancaires, qui a affecté 110 millions de ses clients… C’est là que le rôle du RSSI est d’une importance cruciale, car c’est bien d’inventorier les données à caractère personnel, mais encore faut-il les protéger à bon escient. Il faut aussi mettre en place des processus de protection documentés ainsi que des processus de gestion de crises et d’incidents. Ce n’est pas tout : il faut les tester en vrai.

Comment se pose la question du RGPD et de la mobilité ?


Ce qui rentre en ligne de compte en termes d’utilisation, c’est la finalité de la collecte des données personnelles. A cet égard, le RGPD a considérablement renforcé la Loi Informatique et Libertés en réclamant aux entreprises de dire à quoi vont servir les données personnelles collectées. L’idée, c’est de protéger le citoyen ou le salarié-citoyen contre le détournement de finalité. Par exemple, les données de géolocalisation nécessaires à la gestion des tournées de livraison, pour assister les travailleurs isolés en situation potentiellement dangereuses, ne doivent pas servir à l’employeur pour les espionner.

Le RGPD est-il une occasion pour les TPE et les PME de mettre le pied à l’étrier de la transformation digitale ?


Oui, car la réflexion sur leurs données et leur sécurité va de pair avec la transformation digitale. Le RGPD les conduit à voir plus loin et être plus exigeantes avec leurs fournisseurs et prestataires au sujet de ce qu’ils font de leurs données.

Propos recueillis par Erick Haehnsen

Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.

Vos réactions (0)

Soyez le premier à réagir / Signaler un abus

Réagissez

Votre adresse email ne sera pas publiée
Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.