Atteintes aux données personnelles : les entreprises en première ligne

Publié le

Compte rendu du débat du Cercle du 14 Avril 2016

Débat avec :

Paul-Olivier GIBERT, Président de l’Association Française des Correspondants à la Protection des Données Personnelles ; Matthieu GRALL, Chef du service de l'expertise technologique de la CNIL ; Didier HENIN, RSSI chez BUT International ; Garance MATHIAS, Avocate ; Stéphane OMNES, DPO chez Adéo Services.

Modérateur : Florence PUYBAREAU, Journaliste.

Le 14 avril, le Cercle organisait un débat sur la nouvelle législation. Les organisations ont deux ans pour se préparer. Un chantier lourd en perspective auquel les RSSI sont étroitement associés.

Par un heureux effet du hasard, le 14 avril, alors que le Cercle avait prévu depuis plusieurs mois d’organiser un débat portant sur la protection des données personnelles dans le cadre du nouveau règlement européen, le Parlement européen votait l’adoption de ce même règlement. Forts de cette actualité les différents intervenants de la table-ronde n’ont pas manqué de souligner l’urgence pour les organisations – privées et publiques, multinationales et PME - à se mettre en ordre de marche afin d’être prêtes lors de la mise en application de la nouvelle législation en 2018. Matthieu Grall, Chef du service de l'expertise technologique de la CNIL a d’abord rappelé le contexte dans lequel le règlement avait été adopté après plusieurs années de travail et plusieurs versions : « l’évolution sociétale et technologique font qu’un nombre grandissant de personnes traite de la donnée personnelle. Ce qui a poussé les autorités à en encadrer l’usage ». Et de souligner que tout le monde est concerné : les citoyens qui auront davantage de maitrise sur leurs données ; les entreprises qui se retrouveront avec moins de formalités mais plus de responsabilités - notamment les sous-traitants – et les autorités de contrôle qui verront leur pouvoir renforcé.

Un travail complexe à la portée des RSSI

Parmi les grandes innovations du règlement, figure l’obligation pour les organisations (hormis quelques exceptions) de nommer un DPO (Data Protection Officer). Pour Paul-Olivier Gibert, Président de l’AFCDP, association qui regroupe les CIL, ce DPO sera l’homme (ou la femme) clé(e) de la mise en œuvre du règlement. Le porteur de la fonction devra mêler des compétences juridiques et techniques et être capable de porter le message au plus haut niveau de l’entreprise. Mais si le DPO est au cœur du processus, toute l’organisation doit être sensibilisée car comme l’a rappelé Garance Mathias, avocate à la Cour, « les étapes sont nombreuses ». De la cartographie des risques à la réécriture des contrats avec les sous-traitants en passant par la mise en place de la notification des violations de données personnelles, le travail des RSSI dans les prochains mois va être lourd même s’ils ne sont pas seuls dans leurs démarches. Ainsi, Stéphane Omnès, DPO du groupe Adéo Services a t-il suivi une formation juridique et s’est fait accompagner d’un cabinet d’avocat (Pinsent Masons) pour être en mesure de bien gérer la problématique. D’autant que son groupe est international et dispose de nombreuses filiales en et hors d’Europe : « l’une de mes grandes difficultés va être de trouver des DPO locaux. Mais si le déploiement du règlement est complexe, il est à la portée des RSSI ». C’est également cette démarche que suit Didier Hénin, RSSI de BUT International fortement soutenu par sa Direction Générale car « dans un secteur comme le nôtre, la donnée client c’est de l’or ». Didier Hénin a mis ainsi en place différents processus à commencer par le privacy by design qui veut que la sécurité soit intégrée dès la conception des produits. Des tests d’intrusion sont également régulièrement réalisés et lui-même mène des sessions de formation auprès des 6000 salariés de l’enseigne.

Cette soirée était une première approche par rapport à un sujet qui s’annonce majeur pour les entreprises dans les prochaines années et beaucoup d’autres questions émergent déjà - comme par exemple, les données de santé – qui appelleront sans doute à d’autres débats.

Dernière publication

TEMPS DE PROPAGATION : UN INDICATEUR CRITIQUE EN MATIÈRE DE CYBERSÉCURITÉ

Lire