La protection des données et le RGPD sous l’angle de l’informatique

La protection des données et le RGPD: et qu’en pense l’informatique ?

Si la protection des données et l’informatique sont intimement liées, l’application du RGPD (ou règlement général européen sur la protection des données) nous offre l’opportunité de “regarder sous le capot”. Philippe Morin, Head of Business Development, Key Account Director et Consultant Expert en communications unifiées, auprès du groupe ABISSA, nous apporte son regard de professionnel sur la mise en œuvre des actions nécessaire à la mise en conformité. Fort d’une large expérience en télécommunications (téléphonie, réseaux, serveurs et infrastructure), il a bien volontiers répondu à nos questions.

ABISSA Informatique Genève Philippe Morin IT RGPD protection des données

La protection des données: le RGPD sous l’angle de l’informatique (Conférence à Sion/Valais)

L’application du RGPD sera effective à la fin du mois de mai de cette année. Il définit des règles en matière d’obtention, de traitement et de transmission de données à caractère personnel. En quoi, est-ce que l’informatique est-elle concernée par ce règlement ?

A partir du 25 mai 2018, les entreprises privées ou publiques, les personnes morales, et les associations devront s’assurer que les données stockées, les documents utilisés, et les postes de travail (PC, téléphone, smartphone, tablettes) sont sécurisés.

En plus des actions humaines à entreprendre, l’informatique peut apporter des réponses techniques pour notamment le stockage, la sécurisation, le cryptage, la gestion des mots de passe, la gestion des comptes à privilège, etc.

La mise en œuvre des exigences du RGPD constitue une contrainte supplémentaire pour la gestion d’une entreprise. A votre avis, comment faut-il aborder sa mise en application ?

Il ne faut pas voir cette réglementation comme une contrainte. Elle aidera les entreprises à surveiller, sécuriser et protéger les données.

Y-a-t-il des étapes incontournables ?

Oui, pour moi 6 étapes au minimum sont nécessaires:

  1. Désigner un responsable au sein de l’entreprise (pilotage des actions à entreprendre)
  2. Cartographier (recensement précis des traitements des données au sein de l’entreprise)
  3. Prioriser les actions à entreprendre (identification des actions et priorisation au regard des risques éventuels)
  4. Gérer les risques (après avoir identifié les risques, il est nécessaire de mener une analyse d’impact : PIA[1])
  5. Organiser les processus internes (mise en place des procédures internes pour prendre en compte tous les événements. Ils peuvent survenir à tout moment, par exemple faille de sécurité, changement de prestataire,…)
  6. Documenter (pour prouver votre conformité au règlement)

Question complémentaire : cela n’offre-t-il pas une opportunité pour revoir son système informatique et de télécommunication ?

Cela peut éventuellement être le cas mais ce n’est pas une obligation.

Le RGPD prescrit la nomination d’un délégué à la protection des données lorsque (art. 37) « 1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

    • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
    • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
    • ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »

Par conséquent, la nomination d’un délégué à la protection des données n’est pas une fonction du nombre d’employés d’une entreprise. La quantité de données et les opérations de traitement comptent. Pour les petites structures, est-ce que des solutions informatiques existent pour répondre à ce besoin ?

Non, dans ce cas, les solutions techniques ne peuvent pas remplacer l’homme. La nomination d’une personne responsable au sein de chaque entreprise est indispensable.

Le consulting externe et l’outsourcing (maintenance externalisée ou support informatique) peuvent-ils constituer une alternative ?

Absolument, une aide extérieure qu’elle soit juridique, et/ou technique, et/ou organisationnelle peut être très précieuse. Elle apportera un regard professionnel et permettra de contourner les obstacles plus facilement. Par conséquent, ces 3 piliers sont à traiter simultanément.

Quelles sont les compétences à réunir pour mettre en conformité son système informatique ?

La mise en conformité au RGPD constitue un travail conjoint entre les procédures et l’organisation, le conseil juridique et les réponses technologiques.

Le fait de disposer de solution telles que la GED, un intranet ou encore un CRM, cela constitue-t-il un plus ?

En principe oui bien sûr puisque les données sont mieux répertoriées.

Ainsi, disposer de données répertoriées et structurées, cela vous semble-t-il être un avantage ?

Naturellement, ce sera du temps de gagné sur l’ensemble des étapes liées au projet de mise en conformité. Donc, avant d’entreprendre toute action, il sera toutefois nécessaire de se poser les questions suivantes :

  • Quelles sont les informations traitées ?
  • Doit-on les traiter ?
  • Les personnes concernées sont-elles au courant ?

Et ce nouveau règlement, va-t-il accélérer la numérisation des opérations d’entreprises ?

Oui, sans aucun doute, parce qu’une fois les entreprises conformes, elles auront plus de facilité à accélérer le processus de numérisation.

[1] PIA privacy impact analysis ou analyse d’impact relative à la protection des données (DPIA)

No Comments
 

Laissez votre avis

Autres articles du blog