TELECOM PARIS ALUMNI
Retour aux actualités
Article suivant Article précédent

Revue TELECOM 185 - Se rendre conforme au RGPD, un exercice vertueux

Articles Revue TELECOM

-

15/06/2017

 

SE RENDRE CONFORME

AU RGPD, UN EXERCICE

VERTUEUX

 

 

Par Catherine Bouzigues et David Hozé (2000)  dans la revue TELECOM n° 185

 

Aucune organisation n’est restée insensible aux risques financiers et images induits par le RGPD. Ce règlement est l’occasion d’un véritable projet de transformation pour l’organisation. 
Retour sur deux démarches de mise en conformité RGPD, dans des contextes très différents.

 

Comment implémenter le RGPD dans une structure complexe de très grande taille, manipulant de très grandes quantités et variétés de données

Pour un établissement public employant plus de 150 000 personnes dans le secteur des transports, la mise en œuvre du RGPD est un véritable enjeu.

Pour mener cette action d’ampleur, cet établissement a mis en place de manière concertée entre le RSSI et la Direction Juridique et Conformité, un groupe de travail commun. L’objectif de cette mission est de mener conjointement un inventaire des exigences induites par le règlement, d'établir un état des lieux, de formuler des recommandations et de proposer un plan d’action.

Cette synergie entre plusieurs compétences complémentaires a permis de surmonter les difficultés inhérentes à la complexité d’un projet de ce type, à savoir :

• le recensement des données à caractère personnel et des traitements dans les nombreux SI qu’il faut passer en revue : la montée en puissance du big data favorisant l’ouverture des SI, cela complexifie d’autant la classification et la cartographie des données dans une forêt de traitements ;

• le cadrage d’un périmètre des activités et des fonctions concernés par le RGPD, et la recherche des intervenants disposant des informations pertinentes sur les traitements et leurs finalités ;

• le contexte spécifique des métiers : adapter une analyse du périmètre concerné par le RGPD implique la prise en compte des spécificités de la gestion de l’infrastructure ferroviaire, au demeurant soumise à une importante règlementation, laquelle a également son incidence sur les traitements des données.

Dans cette structure, les données à caractère personnel ne représentent qu’une petite partie du patrimoine informationnel, d’où l’attention particulière à porter sur la classification des données, étape stratégique pour tout traitement.

La démarche de mise en conformité RGPD s’est aussi insérée dans un cadre plus large d’alignement au regard de plusieurs règlementations applicables alors même que les objectifs de ces réglementations peuvent parfois sembler contradictoires.

Par exemple, l’open data qui oblige les opérateurs publics à publier en ligne certaines données1 doit être concilié avec le nécessaire respect de la confidentialité et de la protection contre les violations s’appliquant aux données à caractère personnel.

C’est pourquoi, les données doivent systématiquement être classifiées et qualifiées, exercice complexe dans une structure de cette taille.

Aussi, pour éviter l’écueil de la dispersion, la méthodologie adoptée a consisté à mener une investigation par périmètres ou fonctions où l’on trouvera potentiellement des traitements de données à caractère personnel (par exemple gestion des travaux, astreintes,…). Pour chaque périmètre, les exigences du RGPD ont été présentées sous le prisme des principales thématiques spécifiques aux SI (collecte, conservation, gestion des droits d’accès, traçabilité…).

Au vu de l’évaluation du niveau de prise en compte de ces exigences dans chaque périmètre, un état des lieux a pu ensuite être établi pour servir de base à un plan d’action.

La vocation d’une telle démarche, qui se veut à la fois analytique et pragmatique, est d’ouvrir la voie à un plan d’action réaliste, opérationnel et adapté au contexte.

 

Pour une entreprise de taille intermédiaire, comment s’adapter ?

Le deuxième cas d’usage concret concernait une société de 3 000 collaborateurs dans le secteur de la grande distribution. Pour cette structure soumise aux mêmes exigences RGPD, décliner le chantier de mise en conformité a supposé des modalités pratiques différentes.

A la différence du cas précédent, le travail de cartographie des traitements et données est apparu moins complexe, en raison d’une échelle d’activité moins vaste. Pour autant, il a exigé une préparation rigoureuse afin de ne pas inutilement perdre des ressources plus limitées.

En effet, dans cette entreprise qui ne dispose pas d’un service juridique structuré, aucun acteur n’a été désigné a priori pour porter le projet. C’est le RSSI (Responsable Sécurité des Systèmes d’Information) qui a initié la démarche.

Dans une telle configuration, l’approche a consisté en premier lieu à définir quelques processus bien balisés dans lesquels les exigences réglementaires s’inscrivaient de manière logique et coordonnée. Dix macro-processus ont été définis, et la démarche de mise en conformité a ensuite pu être déroulée.

Dans un premier temps, la cartographie des données et traitements et la détermination des différents responsables des traitements a été réalisée par une enquête directe auprès des principaux responsables des métiers.

Au vu de cette première étape, un état des lieux a été effectué sur la conformité des traitements, notamment en termes de finalité, de durée de conservation et de droits des personnes.

Quant à l’exigence de sécurité, celle-ci a donné lieu à un processus spécifique de mise en place de mesures de protection comprenant une évaluation et un plan de traitement des risques.

Il a été suivi d’un processus de contrôle des mesures de protection comprenant la mise en place d’une structure de contrôle, laquelle aura vocation à être remplacée par le DPO (Data Protection Officer), et l’établissement du registre prévu par l’article 30.

La partie juridique a porté plus spécifiquement sur la cartographie et la mise à niveau des contrats de sous-traitance.

De manière générale, toujours dans l’esprit de collaboration proactive entre les intervenants concernés, un processus transverse d’orchestration a été prévu pour toutes les étapes, avec pour séquences l’implication préalable de la Direction Générale, la sensibilisation des équipes métiers, notamment au travers de guides de bonnes pratiques autour du privacy by design, et une aide pour le choix d’un DPO.

 

Dans les deux cas de figure, une approche collaborative s’est révélée décisive

En définitive, une mise en conformité RGPD est un chantier complexe qui exige une approche pluridisciplinaire. Les questions qu’il faut se poser ne doivent pas être cloisonnées par domaines purement juridique, technique ou organisationnel, mais doivent être intégrées de manière concertée dans un échange structuré entre tous les acteurs.

Une coopération organisée entre toutes les parties prenantes dans la prise en compte de ce projet global est en effet la clé pour déployer une méthodologie opérationnelle. Quelle que soit la taille, la structure ou la culture de l’organisation concernée, le RGPD se déclinera toujours en quelques processus devant être clairement définis suivant un tronc commun : cartographie, analyse d’écart entre l’existant et les exigences du règlement, mise en place des mesures correctives, démarche de communication sur le projet, d’implication et de sensibilisation des directions et COMEX , et d’accompagnement des équipes métier concernées par les nouvelles méthodes de travail.

La désignation du DPO est une étape déterminante de gouvernance au cours de ce cheminement, au regard de sa fonction stratégique située au carrefour de tous les secteurs impliqués (DSI, RSSI, Direction générale, DRH, Direction juridique, Direction des Risques…). Cependant, elle n’est pas en soi suffisante pour surmonter toutes les difficultés. 

 

1/ Loi n° 2016-1321 du 7 octobre 2016, dite Loi Lemaire

 

Biographie des auteurs

 

 

Catherine Bouzigues a exercé une carrière de magistrat pendant 16 années. Spécialisée en droit de la SSI, elle intervient au sein du cabinet Wise-Partners sur les méthodes de mise en conformité réglementaire des systèmes d’information, spécialement sur l’implémentation du RGPD dans les entreprises clientes du Cabinet.

 

 

 

David Hozé (2000) est le fondateur du Cabinet de conseil WISE-Partners, spécialisé en cybersécurité et en confiance numérique. Il accompagne depuis plus de 15 ans les grandes entreprises et les administrations dans leurs démarches de sécurité.

david.hoze@wise-partners.fr

 

 

471 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 194 - Editorial Laura Peytavin et Yves Poilane

User profile picture

Rédaction Revue TELECOM

13 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Bye Bye Barrault

User profile picture

Rédaction Revue TELECOM

12 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Technologies et accès au système de santé Conférence ParisTalks du 4 juin 2019 par Alain Tassy (1982), Co-président de Télécom ParisTech santé

User profile picture

Rédaction Revue TELECOM

12 novembre