> Securite > RGPD : les fausses idées à combattre

RGPD : les fausses idées à combattre

Securite - Par Sabine Terrey - Publié le 16 juin 2017

25 Mai 2018, une date qui fait écho dès que l’on évoque la protection des données à caractère personnel dans le cadre du RGPD … Il y a urgence à connaître précisément son niveau de préparation et à procéder à un bilan approfondi de son existant

RGPD : les fausses idées à combattre

N’oublions pas que les potentielles amendes peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (en fonction du montant le plus élevé).

Tordre le cou aux idées reçues

Il est plus que temps de combattre quelques idées reçues, retenons d’ores et déjà :

- La norme ISO27001 garantit la conformité au RGPD : si l’implémentation de contrôles liés à cette certification pose les bases, elle  ne répond pas à toutes les exigences

- C’est le même processus que la préparation aux normes PCI DSS : il faut élargir les contrôles pour intégrer les informations à caractère personnel (elles-mêmes ne sont qu’une facette des exigences du RGPD)

- Le RGPD est géré par l’équipe IT : non, c’est l’affaire de tous. Toutes les fonctions métiers (RH, juridique, …) doivent être impliquées avec le sponsor de la direction. Il n’y a pas que les services informatiques et les équipes de sécurité informatique qui doivent s’engager !

- L’externalisation des opérations de traitement de données règle tout : le sous-traitant doit protéger les données personnelles mais le détenteur des données doit veiller à l’implémentation des « mesures techniques et organisationnelles » nécessaires à la protection des informations

L’objectif de conformité

Le RGPD doit être traduit dans un langage clair et précis, et c’est peut-être ce qui manque aux entreprises aujourd’hui. Les actions prévues sont une première étape mais il convient de les détailler et les classer par priorité.

Voici une liste non exhaustive d’actions qu’il ne faut surtout pas suivre ! Au contraire, prenez le chemin opposé …

- Ne pas analyser les écarts : au contraire, il faut se lancer dans l’identification des lacunes et la définition d’un plan d’actions

- Ne pas cartographier les données personnelles : surtout pas, l’heure est à l’identification des flux d’informations à caractère personnel dans les processus IT et métiers et des points d’améliorer

- Ne pas examiner les procédures de gestion d’incident : il faut, bien au contraire, procéder à la révision des processus d’identification et de confirmation des violations de sécurité

- Ne pas contrôler l’intégrité de la sécurité et ne pas procéder au bilan de maturité : à l’opposé, il faut un examen de conformité aux normes applicables et bonnes pratiques

- Ne pas évaluer les sous-traitants : non ! il est vital d’évaluer les contrôles de sécurité mis en place par des entreprises externes chargées du traitement des données personnelles

- Ne pas analyser l’impact relatif à la protection des données (DPIA) : il faut surtout veiller à l’implémentation d’un processus DPIA ou analyses DPIA sous forme de service

Le RGPD vu par NTT Security 

Téléchargez gratuitement cette ressource

Découvrir DevOps, l’essentiel pour tous les métiers

Découvrir DevOps, l’essentiel pour tous les métiers

Vous vous intéressez aux systèmes d’informations innovants ainsi qu’aux notions d’agilité dans le monde de IT ?DevOps est une démarche qui permet aux équipes de développement et d’infrastructure de collaborer plus efficacement face à ces nouvelles exigences du mode logiciel. À l’ère du continuous delivery et du cloud, DevOps s’inscrit dans le prolongement des méthodes agiles et s’inspire d’autres expériences telles que Lean Startup, Scrum… L’originalité de ce livre est d’aborder le sujet sous différents points de vue pour répondre au mieux aux problématiques de tous les métiers concernés qu’il s’agisse des développeurs, des opérationnels, mais aussi du management de la DSI et des acteurs métiers. Cet ouvrage offre ainsi une vision à 360° de la démarche DevOps.

Securite - Par Sabine Terrey - Publié le 16 juin 2017