Gérer les risques
Aujourd'hui et demain

Cyberprévention

Jean-Pierre Blanger (Ricoh) : « Le RGPD est un marqueur majeur de la transformation numérique »

Interview de Jean-Pierre Blanger, directeur solutions, services et innovations chez le fabricant d’équipement électronique Ricoh. Alors que la dead line du RGPD approche, ce fabricant a mis au point une infrastructure documentaire sous la forme d’un périphérique connecté qui se charge de capturer et d’imprimer les documents afin d’aider les entreprises à se conformer au règlement.

Jean-Pierre Blanger, directeur solutions, services et innovations chez Ricoh.
Selon vous, en quoi consiste le RGPD et pourquoi revêt-il une telle importance ? 

Le Règlement général sur la protection des données [General Data Protection Regulation(GDPR)] est un marqueur majeur de la transformation numérique au même titre que la loi n°200-230 du 13 mars 2000 portant sur l’adaptation du droit de la preuve aux technologies de l’information relative à la signature électronique ou sur la loi Godfrain (n°88-19) du 5 janvier 1988 relative à la fraude informatique. Le RGPD concerne toutes les organisations au sein de l’Union européenne ainsi que toutes les organisations traitant des données de ressortissants européens. Son application obligatoire à compter 25 mai 2018 renforce les droits et obligations relatifs à la protection des données privées quel que soit le lieu de traitement ou de stockage, au citoyen pour l’accès aux informations le concernant et son droit à l’oubli, à la sécurité et aux déclarations de cyberattaques, au responsable du traitement et ses sous-traitants, à la collecte et nature du traitement, à l’audit et à l’éducation des personnels. En outre, le RGPD renforce les mesures coercitives par une amende allant jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros.

Quelles sont les principales obligations du RGPD ? 
Dans le cadre de l’exploitation des données et des documents, il s’agit tout d’abord d’établir un cadre légal et responsable clairement identifié mais aussi de maintenir une exploitation loyale des données ainsi qu’une transparence dans l’exploitation des données. Rappelons que la collecte des données doit s’effectuer de manière explicite et légitime ainsi que dans une exploitation limitée à l’objectif de traitement et ne le dépassant en aucune manière. Les données doivent également être collectées en adéquation avec la finalité, de manière pertinente, elles doivent aussi être précises et mises à jour par le propriétaire lorsque c’est nécessaire. Le but étant de préserver l’intégrité et la confidentialité des données et ce, par exemple, en effaçant les données imprécises et non à jour. La conservation doit être limitée aux données convenues pour la conformité au traitement, et ce, dans une forme qui permet d’en identifier la finalité. Parmi les autres obligations, citons également le traitement garantissant la sécurité des données personnelles, la protection contre les accès illégaux ou encore la protection contre les pertes accidentelles, destructions ou dommages liés à des mesures techniques ou organisationnelles.

Dans le cadre du RGPD, vous avez développé une solution de traitement des données. Comment cette offre accompagne-t-elle les entreprises dans leur mise en conformité ? 
Il s’agit d’une infrastructure documentaire de MFP (Multi Functional Product) qui se présente sous la forme d’un périphérique connecté pour la capture et l’impression de documents. Son intérêt vise à permettre aux entreprises de scanner et de traiter leurs documents afin de se conformer au RGPD. En ce qui concerne l’exploitation des données et des documents, nous avons par exemple sécurisé la capture et l’impression afin de garantir la sécurité et l’identification de celui qui capture ou imprime. La trace des opérations est conservée pour garantir la capacité d’audit. De même, lorsque les clients font appel aux services externalisés de Ricoh ou de ses partenaires, les traitements sont toujours définis en amont tel que l’exige le règlement. Un registre des traitements est tenu à jour et toute modification et signalée.

Comment aidez-vous les entreprises à limiter l’accès aux données tel que l’entend le règlement ? 
Les accès utilisateurs sont généralement collectés depuis un annuaire local ou de type Lightweight Directory Access Protocol (LDAP). Celui-ci n’est systématiquement accessible qu’en partie réduite par les serveurs d’identification des utilisateurs de l’infrastructure documentaire. De plus, les droits d’accès des utilisateurs sur login, mot de passe ou badge, sont utilisés pour contrôler l’interface métier des MFP et ainsi contrôler les workflows métier qui sont potentiellement initiés par les utilisateurs. Ces derniers n’ont accès qu’à ce qu’ils ont à connaître. Sachant que la gestion des utilisateurs est réalisée en annuaire et n’impacte pas la conformité de l’infrastructure documentaire sous réserve d’une parfaite gestion des identités. De même, la capture multicanal (Fax, e-mail, scan, copie) de documents n’est rendue disponible qu’aux utilisateurs qui en ont les droits d’accès. La confidentialité des documents est ainsi préservée des personnes qui n’ont pas les droits d’accès.

Comment s’effectue ensuite la conservation des données ? 
La capture des documents tire avantage d’un stockage centralisé pour éliminer les copies multiples de données et documents. Il peut s’agir d’un système de gestion électronique de documents, d’une gestion électronique de documents sécurisée ou d’un système d’archivage électronique certifié. Dans ce dernier cas, l’utilisation de PDF/A permet d’exploiter de nombreux afficheurs sans avoir à convertir le document, limitant ainsi les risques d’erreurs et les copies inutiles. De plus, les MFP sont pourvus de dispositifs d’élimination de données qui s’exécutent à intervalles réguliers pour éviter toute trace d’information résiduelle.

Comment garantissez-vous la confidentialité des données ? 
Tout d’abord, nous avons mis au point un service de distribution de documents multicanal automatisée qui préserve la confidentialité des documents par sa capacité d’interprétation des contenus et l’identification automatique des destinataires. Les erreurs de distribution sont ainsi éliminées. De plus, les documents générés en PDF peuvent faire l’objet d’une interdiction d’impression que les MFP interprètent en s’interdisant de générer l’impression. L’impression sécurisée permet également d’éliminer la prise de connaissance d’information par des personnes qui n’ont pas droit à les connaître et qui n’en ont pas l’autorisation (pas de document en attente sur les MFP). Il est aussi possible de cacher des zones privées des documents si nécessaire. Enfin, lors de la reprise des MFP, nous proposons un service de nettoyage qui élimine toute information résiduelle qui pour contrevenir au règlement.

Propos recueillis Ségolène Kahn

Commentez

Participez à la discussion


The reCAPTCHA verification period has expired. Please reload the page.