Avec le Règlement Général sur la Protection des Données (RGPD/GDPR), l’UE se dote d’un cadre réglementaire détaillé pour permettre à ses citoyens de reprendre le contrôle sur leurs données numériques. Pour se mettre en conformité, les entreprises ont un travail titanesque devant elles pour ne pas risquer de lourdes amandes prévues par le texte. Quels avantages peuvent tirer les entreprises de prendre le chemin de la mise en conformité ?
Au fil des conférences que nous animons ou des réunions de sensibilisations auxquelles il nous est demandé d’intervenir, nous remarquons que la grande majorité des décideurs voient d’un très mauvais oeil l’arrive de ce RGPD (Règlement Général sur la Protection des Données).
Le contexte
A cela, Denis JACOPINI, Expert Informatique spécialisé en protection des données personnelles répond plusieurs choses :
- Ne pensez-vous pas qu’en tant que consommateur, vous êtes en droit d’avoir l’assurance que le professionnel ou le service public à qui vous confiez vos données personnelles (adresse postale, adresse e-mail, date de naissance, n° de tel portable, numéro de carte bancaire, numéro de sécurité sociale, mot de passe pour accéder à notre compte, historique et remboursement de nos actes médicaux, empreintes digitales, vocales, iriennes, adn, photocopie de pièce d’identité ou de justificatif de domicile…) mettra tous les moyens techniques en oeuvre pour protéger votre vie privée ?
A l’heure de la communication de nos données à la vitesse de la lumières peut encore penser que toutes les données nous concernant, absolument toutes, doivent être libres d’accès ?
Ceux qui ne craignent pas les usages malveillants de ces données ?
A mon avis ce sont ceux qui ne connaissent pas les conséquences d’une usurpation d’identité, d’un vol de numéro de carte bancaire ou d’un vol de mot de passe.
- Denis JACOPINI vous demande maintenant de vous positionner à la place du responsable de l’établissement public ou privé qui a maintenant la lourde responsabilité de conserver et protéger toutes les informations que lu ont confié des milliers voire des millions de personnes.
Maintenant, n’est-il pas normal de faire le ménage dans votre système de traitement de données et de supprimer ou d’anonymiser les données inutiles ?
Ne pensez-vous pas qu’il est important de mettre à l’abris des regards indiscrets les numéros de cartes bancaires que vous avez récupéré dans votre système informatique ou bien plus couramment sur les tickets de votre TPE ?
Ne pensez-vous pas que les SEULES données pour lesquelles pour vous TOUT est permis ce sont VOS DONNÉES (votre nom, votre prénom, votre date de naissance, vos numéros de téléphone, nos numéro de CB, vos mots de passe, les chiffres de votre comptabilité…). ous pouvez faire ce que vous voulez avec VOS données (les accrocher derrière un Sessna et les faire défiler dans le ciel si ça vous chante). Toutes les autres données, celle appartenant à d’autres personnes ne vous appartiennent pas et vous ne pouvez pas faire ce que vous voulez avec.
Toutes les autres données appartiennent à des personnes qui comptent, et cela va de sois, sur votre discrétion et votre professionnalisme pour ne pas diffuser, divulguer ou rendre accessible ces données à des tiers non autorisés ou malveillants.
- A l’heure des gros titres quasiment quotidiens faisant état d’un usage de données volées, de la diffusion ou de la vente dans le « darknet » (sorte de marché noir de l’Internet) ou pire, dans l’Internet public de données volées à des personnes comme vous et moi, il est, selon l’avis de Denis JACOPINI urgent d’arrêter de donner à manger à ces pirates informatiques qui basent avant tout leur activité lucratives sur les erreurs et failles des utilisateurs et informaticiens négligents insensibles à la sécurité informatique ne se souciant que de la part disponibilité ou intégrité dans leur applications de la sécurité informatiques, mais ni de confidentialité et encore moins d’analyse de risque.
Les opportunités pour les établissements concernés
En entamant une démarche de mise en conformité avec la Loi Informatique et liberté I ou II, avec la Loi pour une République Numérique ou avec le RGPD (Réglement Général sur la Protection des Données), Denis JACOPINI ajoute que vous allez être amenés à corriger plusieurs failles dans les traitements de données personnelles dont votre activité administrative ou professionnelles dépend :
- En vous intéressant à la durée de conservation de vos documents, vous allez épurer vos archives contenant la plupart du temps « au cas où » la totalité de la mémoire de l’entreprise de la plus petite notre manuscrite jusqu’au dossier complet sur une entreprise ou une personne en particulier. En mettant à plat l’ensemble de vos traitements de données personnelles, vous constaterez très certainement que vous conservez des données sans y être obligé. Les détruire vous permettra non seulement de gagner de la place (Gain de place = Gain d’argent), mais également de réduire vos responsabilité en sécurisant l’accès à ces données confidentielles pour la plupart (Moins de responsabilités = moins de risque) ;
- Concernant la confidentialité, vous allez ensuite vous rendre compte qu’à la question QUI à accès à QUOI ? il est peut être temps de faire du ménage. Entre les utilisateurs qui n’existent plus et les dossiers contenant des informations sensibles partagés sans restriction particulière, il sera probablement nécessaire de revoir sa PSSI (Politique de Sécurité des Systèmes d’Information) ; L’entreprise y tirera un avantage en matière de tranquillité et surtout cela diminuera ses responsabilités en cas de vol de données (Moins de risques = Plus de tranquillité) ;
- Difficile de mettre en place une telle démarche sans avoir une personne dédiée à ces fonctions. Jusqu’au 25 mais 2018 il s’appelle CIL (Correspondant Informatique et Libertés) et DPO (Data Protection Officer) ensuite. Ce soldat dédié à la protection des données n’est pas là que pour dire à son employeur ce qu’il faut faire pour rester dans les clous de la réglementation sur les données personnelles ou signaler ce qu’il ne faut pas faire.
Cette personne dédiée à temps partiel ou à temps complet à ces fonctions a pour but, par son existence et sa déclaration auprès de l’autorité compétente (la CNIL en France), de rassurer celui qui vous a confié, qui vous confie et qui vous confiera encore des données personnelles. Sachant que bientôt la quasi totalité des citoyens et consommateurs déposeront des informations auprès d’organismes ou sur des site Internet essentiellement parce qu’ils ont confiance envers le service utilisé, l’existence de cet intermédiaire entre l’autorité compétente et votre établissement sera à minima essentielle pour ne pas faire fuir les usagers de vos services (Plus de confiance = Plus d’activité).
Autres avantages collatéraux
En entamant une démarche de mise en conformité avec les lois relatives à la protection des données personnelles, vous contribuez à la diminution de la cybercriminalité dans le monde. En effet, données plus protégées = données difficile à voler par les pirates du Web = moins de pirates = moins de temps perdu à traiter les prélèvements frauduleux, les usurpations d’identité et pannes informatiques.
Les démarches à accomplir recommandées par Denis JACOPINI
- Faire un état des lieux des données personnelles soumises à la réglementation ;
- Rechercher la présence ou non de dérogation ou d’exception relatives à votre activité ou aux données personnelles traitées ;
- Réaliser une analyse de risque relative aux données personnelles (Denis JACOPINI a spécialement passé la certification ISO 27005 qui concerne les analyses de risques relatives aux données) ;
- Mettre en conformité les traitements des données personnelles afin qu’ils répondent aux réglementations (Loi Informatique et Libertés / Loi pour une République Numérique / Règlement Général sur la Protection des Données RGPD) ;
- Mettre en place un registre et porter les annotations nécessaires à l’amélioration des traitements ;
- Suivre l’évolution de l’établissement, des traitements, des risques et mettre à jour le registre.
Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.
Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)
Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
Réagissez à cet article
|