Agefi Luxembourg Septembre 2019 PAGES GRATUITES

Septembre 2019 43 AGEFI Luxembourg Informatique financière Par Michael HOFMANN, Partner & Alejandro Del RIO, Manager, EY L e Règlement Général sur la Protection des Données (RGPD) est entré en vigueur enmai 2018 et reste, sans surprise, un sujet à l’ordre du jour. Depuis sa mise en place, nous observons une évolution au sein des petites et grandes organisations, ainsi que des prévisions de marché communes pour les années à venir. Dans le but de mettre à pro- fit ces leçons, nous nous sommes appuyés sur le rapport annuel de couverture mondiale publié conjointement par l’IAPP et EY (IAPP-EYAnnual Privacy Gover- nance Report 2018), ainsi que sur les réponses de professionnels obtenues lors d’événements EY. Globalement, le RGPD a été bien ac- cueilli en Europe. Selon l’étude précitée, 44% des répondants se considèrent en conformité avec le nouveau règlement. La dynamique RGPD a pris un bon dé- part, mais la proportion d’organisations en conformité ne dépassera pas les 81% (IAPP-EY, 2018). Ce seuil provoque des interrogations chez les professionnels du secteur. En effet, comment est-il possible que, parmi toutes les organisations concernées par le RGPD, 19% pensent ne jamais atteindreune conformité totale au règlement ? Défis majeurs rencontrés par les organisations Pour répondre à cette question, il convient tout d’abord de prendre en compte les facteurs opérationnels. Un bon nombre d’organisations font état d’une certaine méfiance à traiter des données à caractère personnel. Le consentement de l’utilisateur est au cœur des préoccupations de tous les jours. Ceci est d’autant plus pertinent pour les grandes entreprises de services « B to C» qui traitent unnombre considé- rable de données. Il convient là de lever certaines craintes, car le consentement de l’utilisateur n’est que l’une des six bases légales au traitement des données à caractère personnel. Toujours d’un point de vue légal, il est à noter que la différence entre le respon- sable de traitement et le sous-traitant de données, tout comme les responsabilités qui leur incombent, ne sont pas systéma- tiquement claires. Néanmoins, il faut garder à l’esprit que, quelle que soit votre fonction, vous êtes toujours res- ponsable des données en votre posses- sion, et même si ces dernières sont traitées en votre nom par quelqu’un d’autre. Ainsi, il convient également de clarifier comment vos sous-traitants trai- tent les données à caractère personnel que vous possédez. Ainsi, une protec- tion via des clauses contractuelles spéci- fiques au RGPD s’imposent. Un sous-traitant de données peut donc éga- lement être contrôlé par le biais d’audits spécifiques. La période de rétention de données est par ailleurs un point épineux. Le RGPD ne spécifie aucune échelle de temps. Le règlement déclare que, selon le droit à l’effacement (également appelé «droit à l’oubli») «la personne concernée a le droit d’obtenir du responsable du traite- ment l’effacement, dans lesmeilleurs dé- lais, de données à caractère personnel la concernant et le responsable du traite- ment a l’obligationd’effacer ces données à caractère personnel dans les meilleurs délais» (RGPD,Art. 17 –Droit à l’efface- ment («droit à l’oubli»)). Concrètement, les organisations doivent pouvoir re- trouver et supprimer les données des personnes concernées, sauf si les don- nées relatives répondent à une période de rétention spécifique telle que men- tionnée par les réglementations des pays membres de l’Union européenne. Les périodes de rétention sont usuellement définies par la loi et les régulateurs. Néanmoins, certains problèmes émer- gent en fonction de la spécificité des si- tuations et des informations traitées. Le stockage physique des données pose d’autant plus de problèmes qu’il n’est pas nécessairement possible de surveil- ler ces données via une interface logi- cielle. De plus, dans la majorité des cas, les organisations gardent leurs sauve- gardes mensuelles ou annuelles sur des disques durs indépendamment de leur confidentialité. Par conséquent, la sup- pressionde certaines données après une périodedonnée s’avère êtreundéfi tech- nique non anticipé lors de la mise en place des politiques et procédures de sauvegarde. Le stockage des données doit être repensé pour faciliter ce proces- sus de suppression de données. Il est à noter que la définition même de traitement de données est relativement large et concerne “toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des en- sembles de données à caractère person- nel, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conser- vation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme demise à disposition, le rapprochement ou l’inter- connexion, la limitation, l’effacement ou la destruction” (RGPD, Art. 4 – Défini- tions). Ainsi, dans ce règlement, le Droit à l’oubli est intriqué à la Licéité du traite- ment . En bref, si les réglementations ap- plicables requièrent une période de conservation des données de 5, 10 ou 30 ans, la base légale «obligation légale» est applicable et le Droit à l’oubli ne l’est pas. Cet aspect nous mène naturellement à certaines problématiques les plus com- munément observées chez les organisa- tions : La classification, la cartographie et la gestion des données. Dans la majorité des organisations, la cartographie des données est un imbro- glio total. Plus il y a d’applications et d’intégration internationale, plus le défi est grand. Bienque l’implémentationde solutions de data management implique de repenser sa gouvernance, le RGPD impose de revoir ses processus internes. Le règlement demande à chaque orga- nisationde connaître dans le détail où se trouve chaque type de données et le but de son traitement. Dans cette optique, l’objectif du RGPD pour les organisa- tions est de mettre en place un pro- gramme de data management pour lequel plusieurs volets sont traités, comme par exemple la classification, l’inventaire, la gouvernance et la protec- tion des données. Un incontournable réside dans la dési- gnationd’unDélégué à laProtectiondes Données (DPD). Bien que vivement re- commandé, ce n’est pas systématique- ment obligatoire. Cela dépend en effet de la taille de l’organisation, son secteur d’activité, et l’étendue des données trai- tées. Les banques, par exemple, sont te- nues de désigner unDPD. En 2018, 75% des organisation ont nommé un DPD, selon l’étude IAPP-EY de 2018. Cepen- dant, son périmètre d’action et sa posi- tion au sein de l’organisation suscitent des doutes. Le fait qu’il n’y ait pas de ré- ponseuniverselle à cette questionmet en exergue la complexité du DPD. Yaura-t-il unDPDouplusieurs ?Rend-il compte auCCO ( Chief ComplianceOfficer ) ou travaille-t-il aux côtés du RSSI (Res- ponsabledelaSécuritédesSystèmesd’In- formation)?A-t-iluneéquipesoussares- ponsabilité?Cesquestionsméritentdes’y attarder et de prendre en considération la spécificité du contexte de chaque organi- sation.DanslecasoùleDPDassumeune autre position dans l’organisation, il faut éviter le conflit d’intérêt entre son rôle de DPD et l’autre rôle qu’il occupe. Dans cette optique, on observe de plus en plus l’externalisation du rôle de DPD, ce qui, d’une part, évite les conflits d’intérêt, et, d’autre part, apporte un regard extérieur avec un certain degré d’expertise. Livrer une documentationde conformité au RGPDn’est pas tâche aisée et requiert une quantité conséquente de ressources. Laditedocumentationeststatique.Consé- cutivement aux premières implémenta- tions, les organisations se sont rendues compte que les projets de RGPD consti- tuaientunprojetsurladurée.Ladifficulté repose dans l’entretien de contrôles, de procédures et de politiques efficaces. Opportunité d’amélioration -EntreprendreleRGPDcommeunpro- jet organisationnel. Le RGPD n’est pas seulement la préoccupation du départe- ment IToude l’équipe juridique, il néces- site des modifications de gouvernance, une équipe transversale, des modifica- tions de politiques et de procédures ainsi que l’automatisation de processus audi- tables. Bien que les processus informa- tiques soient les premiers touchés et les plus pertinents à traiter aux yeux du RGPD,votreéquipeinformatiquenesera pas la seule à traiter des données à carac- tère personnel. - Insister sur la sensibilisation et les for- mations. Le RGPD est autant une exi- gence légale à suivre qu’une culture organisationnelleàassimiler.Cetteculture de la confidentialitédoit être incorporée à tous les niveaux de l’organisation. - Questionner ses traitements de don- nées. Ilfauttoujourssequestionnersurles finalités des traitements de données à ca- ractère personnel. La définition de «trai- tementdesdonnées»auregardduRGPD esttrèslarge.Ainsi,ilestimportantdebien appréhender où et comment sont stockées les données. Aqui, pourquoi, et comment les données sont transférées ? Quelle catégorie de données est traitée ? Pluslacompréhensiondestraitementsde donnéesestapprofondie,plusilserafacile de se conformer auRGPD. - Axer les traitements de données sur les activités créatrices de valeur. Il va de soi que chaque organisationa sonpropre but et ne peut pas nécessairement adapter ses activités.Ilestcependantrecommandéde ne pas se noyer dans une nuée de don- nées. Leur analyse représente par consé- quent un intérêt majeur dans le contexte duRGPD. - En profiter pour améliorer les proces- sus. Assurément le risque financier de non-conformité au RGPD est trop grand pour être ignoré. Le RGPD bat le record en termes d’amendepotentielle, amende «pouvants’éleverjusqu’à20000000EUR ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant leplus élevéétant retenu.» (RGPDArt. 83 - Conditions générales pour imposer des amendes administratives). Hormis ce risque financier, les organisations impli- quéesdansdesviolationsdedonnéesont un risque réputationnel ayant un impact comparableàl’amende. Defacto ,ilsemble donc pertinent de réévaluer les traite- ments de données, de réfléchir à com- ment les automatiser au mieux ou comment les gérer de la manière la plus optimale par exemple. Aquoi ressemble le futur ? Depuis 2019, le marché évolue naturel- lement vers une mise en place des pré- requis RGPD. En 2018, nous observions déjà une augmentation des activités en matière de conseil, de droit, de sécurité informatique et de services de confiden- tialité des données, qui répondent tous à la première phase demise en place du RGPD. Cependant, il reste du travail. Le RGPD va faire émerger de nouveaux secteurs sur le marché. Les programmes de data management étantencoreàcejourtrèscoûteux,denou- velles techniques vont émerger. Par ailleurs, reporting et agilité sont plus que jamais à l’ordredu jour. Le datamana- gement deparlamultiplicitéetl’abondance des informations traitées est intrinsèque- ment complexe. L’importance croissante deladonnéeàl’èredel’informationmène de facto aux nécessités de désigner des Chief DataOfficer à temps plein. Globalement, les organisations aspirent à avoirsursiteunDPDdédiépourassumer leur besoin de confidentialité. Seulement 1%des entreprises sondées dans le cadre de l’étudeEY-IAPPcomptent supprimer le rôle de DPD après avoir atteint la conformité requise. Le DPD as a service commence à prendre forme et devrait prendredespartsdemarché car c’est une solution économique et adaptée aux en- treprises deplus petite taille.Nous obser- vonsdirectement cetteévolutionpuisque leDPD asaservice d’EYestdeplusenplus demandé à nos collaborateurs. Finalement, 2019 marquera l’année de la certification RGPD. En France, certaines associations sont déjà accréditées par la CNIL pour fournir des certifications. Ces certifications fournissent un cadre com- munàsuivrepourimplémenterlaconfor- mité au RGPD dans toutes les organisations. Conclusion Le RGPD impose une nouvelle culture de la confidentialité.Au-delàd’uneprise de conscience relative au risque possible d’amendes, nous observons une impli- cation de tous. Souvent considéré comme un coût, il convient néanmoins d’appréhender le RGPD comme un in- vestissement incontournable, dont la mise en conformité permettra à tout un chacun d’obtenir avant tout la confiance de ses clients. IAPP-EY. (2016). IAPP-EY Annual Privacy Governance Report 2016. IAPP-EY. (2018). IAPP-EY Annual Privacy Governance Report 2018. REGULATION (EU) 2016/679 OF THE EURO- PEAN PARLIAMENT AND OF THE COUNCIL. (2016,May04).OfficialJournaloftheEuropeanUnion. RGPD – Quelles leçons à tirer depuis le 25 Mai? Par Olivier BERTRAND, Presales Engineer chez Trend Micro C ertains voient dans le cloud computing la solution à tous les problèmes. D’autres par- lent d’unmal nécessaire.Mais quelle que soit l’optique prise, une chose est sûre: le cloud computing ne disparaîtra pas de si tôt. Jusqu’il y a peu, au Grand-Duché de Luxembourg, nombre de responsables ICT tentaient encore de freiner l’utilisa- tionde solutions cloud afinde préserver davantage de contrôle sur la totalité de leur infrastructure ICT. Cette attitude a souvent eu pour conséquence d’inciter l’opérationnel à se tourner vers le cloud à l’insu du département IT. La soif de contrôle a dès lors débouché sur une situation où le département IT a juste- ment vu son contrôle diminuer. Aujourd’hui, la plupart des responsa- bles ICT ont bien compris que le cloud computing ne doit pas être uniquement un mal nécessaire mais aussi une plus- value opérant comme complément à l’infrastructure interne. Rares sont encore ceux qui croient que tout conser- ver en interne est la meilleure solution. Pour autant, ils ne croient pas davantage dans un environnement “tout au cloud”. Le cloud est synonyme d’avenir mais dans sa versionhybride, où cloudpublic et cloudprivé se complètent demanière optimale. Des obstacles subsistent néanmoins et pourraient retarder cet avenir et l’évo- lutionvers le cloud. La sécurité continue de figurer en tête de liste de ces obstacles potentiels. Non pas tellement par manque de confiance dans la capacité de sécurisation procurée par les grands prestataires cloud. Tout lemonde est aujourd’hui bel et bien conscient que Google, Amazon et Microsoft maîtrisent leur sécurité, sou- vent mieux qu’on ne peut se l’imaginer. De même, la confiance dans les infra- structures internes est suffisamment grande. C’est surtout l’intégration entre ces deux mondes et les transferts de données entre eux qui suscitent de l’in- quiétude du côté des responsables ICT et sécurité. Préoccupation parfaitement légitime d’ailleurs: pour protéger correctement une infrastructure hétérogène consistant en différents types d’environnements, situés sur différents sites et gérés par dif- férents acteurs, une solution de sécurité classique est généralement inadéquate. Vous avez besoin d’une solution prove- nant d’un fournisseur qui comprenne les environnements multi-cloud et qui propose une solution à la mesure de cette réalité complexe : une solution multi-couches avec une attention toute particulière portée à la gestion des iden- tités et des accès. L’essor du cloud computing a par ail- leurs douloureusement révélé au grand jour un autre problème croissant, à savoir la grave pénurie de profils sécu- rité. En particulier, la complexité crois- sante rend parfois bien longue la recherche des bons profils à qui confier la gestion de la totalité de l’environne- ment de sécurité. Les entreprises n’ont par ailleurs pas envied’octroyer deplan- tureux salaires à des employés opérant dans un département qu’elles ne consi- dèrent absolument pas comme straté- gique. Voilà pourquoi la réponse à cette problématique est souvent la suivante: externalisez la gestion de votre environ- nement de sécurité. Pour un cloud public, vous pouvez vous adresser au prestataire du cloud lui-même. Mais pour la gestionde l’ensemble, vous avez tout intérêt à vous tourner vers un four- nisseur de services de sécurité gérée ayant les lettres de noblesse requises pour la gestion d’environnements com- plexes. Il est parfaitement possible d’opérer un choix pérenne en faveur du cloud (hybride), un choix qui ne doit pas être freiné par les craintes que suscite lamul- titude des cyber-dangers. Si vous faites le bon choix enmatière d’architecture de sécurité et de profils sécurité auxquels en confier la gestion, vous pourrez vous reconcentrer sur l’essentiel. A savoir, la manière dont le cloud peut contribuer à concrétiser votre stratégie et vos objectifs opérationnels. Ne laissez pas la sécurité être un obstacle à votre stratégie cloud

RkJQdWJsaXNoZXIy Nzk5MDI=