Quelles sont les premières étapes à franchir pour se mettre en conformité avec le nouveau Réglement Général pour la Protection des Données? Combien de temps et de ressources prévoir? A qui confier la tâche? Voici quelques conseils.
L’une des priorités sur lesquelles s’accordent les observateurs est la nécessité pour toute société, quelle que soit sa taille ou son secteur d’activités, de procéder à un inventaire pour déterminer dans quels fichiers, documents, bases de données, solutions, sont stockées et traitées les données à caractère personnel, et à quelle fin.
Le texte du Réglement Général pour la Protection des Données peut être téléchargé via ce lien.
Ces données personnelles peuvent parfois avoir été collectées et enregistrées sans qu’on y prenne garde et, dès lors, sans qu’on en ait conscience. “On collecte parfois des données sensibles sans le savoir”, soulignait Ilias Chantozs, directeur Global Government Affairs & Cybersecurity Policy chez Symantec, lors d’un séminaire organisé fin 2016 par Insight Belgium. “En Allemagne, par exemple, un employeur s’est aperçu qu’il détenait une information sur l’orientation religieuse d’un de ses employés, tout simplement parce que ce dernier cotisait à une église catholique, chose qui, en Allemagne, est déductible fiscalement…”
Il n’y avait donc pas “fichage” ou encodage illégal mais cette donnée, néanmoins, est à caractère personnel et tombe donc sous le coup de la Directive. Avec tous les risques que cela implique si elle est un jour piratée.
D’où le conseil généralisé de tous les observateurs: “veiller à savoir très exactement quels types de données vous collectez et traitez”.
Comment évaluer les risques?
– s’intéresser à la nature des données: certaines sont plus convoitées que d’autres (financières, santé…)
– s’intéresser aussi au type d’utilisation qui en est fait: certaines données, pour les besoins des traitements, sont exposées à de nombreuses interactions, “interfaçages”, avec le monde extérieur, que ce soit par le biais d’applications, de canaux Internet, lors d’interventions de sous-traitants…
Procéder dans l’ordre
Chaque société devrait donc procéder à un bilan de l’existant et à un exercice d’évaluation des lacunes, problèmes et possibilités de rectification.
Pour ce faire, trois étapes doivent idéalement s’enchaîner: inventaire, analyse des risques, analyse d’impact, cette dernière étant aussi appelée PIA, pour “privacy impact analysis” (EIVP, en français: étude d’impact sur la vie privée).
Une telle évaluation est obligatoire “pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques”.
L’exercice d’inventaire initial doit permettre de se faire une idée la plus précise possible de “la situation dans laquelle se trouve la société, de l’impact de la GDPR, de son état de maturité en matière de sécurité, et des faiblesses ou carences dans la manière dont les solutions de sécurité sont mises en oeuvre jusque là”, déclare Marie Del Marmol, directrice d’Insight.
Il doit s’agir d’un exercice sur-mesure.
Deux exercices
1 – Etat des lieux
Ce premier exercice permet de comprendre et documenter la situation actuelle, la situation par rapport aux nouvelles dispositions réglementaires. Il permet par exemple de répondre à des questions telles que: la société est-elle en mesure de se rendre conforme?, comment les données sont-elles gérées?, existe-t-il un registre central? les collaborateurs sont-ils formés? des procédures sont-elles en place?
2 – Evaluation d’impact sur la vie privée (PIA – Privacy Impact Assessment)
Cet exercice est nettement plus détaillé que le précédent. Il porte sur l’analyse du traitement légal qui est fait de chaque (type de) donnée, vérifie sur toutes les parties concernées (clients, partenaires…) ont été informées du traitement fait avec leurs données, si elles ont donné leur consentement, si elles ont la possibilité de le retirer. Il s’agit aussi de déterminer avec précision où sont stockées les données, etc. etc.
En France, pour aider les TPE et PME à procéder à une étude d’impact, la CNIL (Commission nationale Informatique et Liberté, l’équivalent de notre Commission Vie Privée) a publié, dès 2010, un premier guide sécurité structuré en fiches thématiques qui exposent “les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement des données personnelles.”
Plus récemment, concernant les analyses PIA, la CNIL a mis à disposition trois nouveaux documents téléchargeables:
– PIA-1, la méthode: comment mener une étude d’impact sur la vie privée
– PIA-2, l’outillage: modèles et bases de connaissances de l’étude d’impact sur la vie privée
– PIA-3, les bonnes pratiques: mesures pour traiter les risques sur les libertés et la vie privée
Après la première étape de l’inventaire, il s’agit ensuite de procéder à une classification de ses données via l’identification de leur degré de sensibilité et la détermination de l’impact que tout détournement, vol ou piratage pourra avoir.
Autre volet de cet exercice initial: l’analyse des flux de données, de leur circulation – au sein de l’entreprise et à destination de tiers: qui est impliqué? à quel titre? avec quels droits d’accès et d’action? à qui “appartiennent” telles ou telles données?
Cette évaluation permettra de procéder à une analyse d’impact et à définir les priorités en fonction du degré de risque. En la matière, il n’y a pas de schéma unique: chaque société est spécifique, de même que ses degrés de risques.
Conseils aux PME
Voici la démarche que Frédéric Gelissen, consultant spécialisé en sécurité IT (ProcSima), recommande plus spécifiquement pour les PME et TPE:
- connaître ses clients et les services qu’on leur rend afin d’identifier leurs risques. Il s’agit, pour cela, d’établir une cartographie des risques clients, les rencontrer et comprendre ce qui est acceptable ou pas pour eux
- connaître ses services/ses produits, les étudier et identifier les failles éventuelles
- connaître ses fournisseurs car il existe une chaîne de responsabilité vis-à-vis du client final
- procéder à un inventaire des informations et de leur localisation (tant en interne que chez les fournisseurs ou partenaires) et identifier comment elles sont gérées.
Et cet état des lieux, ce repérage, doit inclure… les documents papier.
Marie Del Marmol (Insight): ”Même si elles ne sont pas forcément prêtes, les grandes entreprises sont sensibilisées à la problématique. Par contre, nombre de PME pensent, à tort, que cela ne les concernent pas parce qu’elles ne seraient pas la cible de hackers.”
Comment “classifier” les données?
On le répète, chaque situation est différente. Le caractère privé des données se cache parfois dans les détails ou dans une utilisation spécifique que l’on en fait.
Un “scan” détaillé, minutieux, est dès lors nécessaire. Cas par cas.
Il peut par ailleurs être utile de se doter d’un système de gestion des données qui soit capable de “pister” les multiples copies qui sont faites, potentiellement, des données personnelles – une même donnée peut en effet être copiée et réutilisée par différents départements (c’est par exemple le cas de listes de clients).
C’est important d’être en mesure de le faire non seulement pour pouvoir établir quel système et quelle solution utilise ces données à caractère personnel mais aussi pour pouvoir intervenir efficacement en cas de demande ou de nécessité d’effacer certaines données (soit pour des raisons de minimisation de risque ou à la demande de la personne concernée)
Pour “classifier” les données, il n’est malheureusement pas possible de se reposer sur des logiciels qui procéderaient par catégorisation automatique. Même s’ils peuvent être utiles, se reposer uniquement sur eux serait s’exposer à passer à côté de risques.
A quel point le résultat de l’exercice d’évaluation par le prestataire sera-t-il précis et pertinent? Là encore, pas de réponse générique. Comme le dit Frédéric Gelissen, “la granularité de la classification dépendra de chaque consultant, de ses compétences et du temps qu’il y passera.”
Autre facteur déterminant pour la finesse de l’analyse: le degré de risque que représentent telles ou telles données, compte tenu des activités, du secteur d’activités de la société, voire de l’identité des collaborateurs.
Même s’ils peuvent être utiles, se reposer uniquement sur des logiciels de classification de données serait s’exposer à passer à côté de risques.
Il existe par contre des “grilles” d’(auto-)évaluation de risques, parfois disponibles pour téléchargement via Internet. Certaines ont été développées par des sociétés de consultance. “Même si elles appliquent les contraintes GDPR, toutes ne se valent pas en termes de niveau de détail qu’elles autorisent”, souligne Frédéric Gelissen. “Elles ne sont d’ailleurs jamais qu’un instrument pour pré-évaluation. Un consultant, lui, procédera à une analyse plus en profondeur et pourra sortir les cadavres des placards…”
Combien de temps dure cet exercice préalable?
La réponse est difficile à donner. D’une part, parce que chaque situation sera différente, et d’autre part, parce que les démarches des prestataires diffèrent sensiblement. Sans compter que certaines sociétés préféreront sans doute se charger elles-mêmes de certains pans du chantier.
Une analyse très “vue d’hélicoptère” peut se faire en une journée mais elle ne permettra pas de se faire une idée précise de la situation.
Chez Insight, la phase de “security discovery” dure 3 jours et demi, rédaction du rapport comprise. La démarche que propose la société consiste à mettre en exergue trois points prioritaires par lesquels la société pourra commencer.
“Cette phase parfaitement accessible à toute société parce qu’elle est limitée dans le temps. Elle a pour but de poser les bases pour déterminer les étapes suivantes, l’agenda de mesures et de solutions à mettre en place. Elle débouche, au besoin, sur une phase de “security assessment” avec analyse plus détaillée.” Chez Insight, cette deuxième phase dure au minimum une semaine.
Mais, selon Marie Del Marmol, une PME peut en principe se contenter de la première phase. “Elle lui donne déjà une bonne idée des choses à faire. Le security assessment peut intervenir plus tard, lorsque les mesures identifiées auront été mises en oeuvre.”
“Le périmètre de l’audit peut se limiter à l’identification des manquements dans la classification des données. Il servira alors à préparer la liste des tâches à effectuer par la suite.”
Alors se limiter à une analyse rudimentaire, identifier les grosses priorités et remettre le reste à plus tard?
“Le PIA est le point de départ et est indicatif de la marche à suivre”, estime Frédéric Gelissen. Ce que proposent ou ce qui est demandé aux consultants peut varier. Soit se limiter à identifier les problèmes ou s’en servir pour déjà baliser un plan de projets. Avec si possible, “même si c’est davantage réservé aux moyennes et grandes entreprises”, une quantification de l’effort à fournir et et un agenda précis de remédiation.
La durée de l’exercice variera donc selon l’envergure octroyée. “Pour une petite société, l’évaluation demandera de 5 à 6 jours. Cela suffira pour investiguer les données, définir leur nature privée ou non, établir une cartographie et une classification (informations, applications, équipements, documents papier). Par contre, l’exercice proprement dit exigera sans doute de 10 à 40 jours pour une PME moyenne…”
Selon Kris Vansteenwegen (NRB), la durée d’une analyse de risques dépend notamment de la taille de la société. “Pour une société de 10 ou 20 personnes, l’évaluation des risques peut durer de 5 à 20 jours. Tout dépend du détail de l’analyse. Parfois, une seule journée peut suffire pour une analyse minimale, suivie de deux journées pour la rédaction du rapport. Pour un environnement plus complexe, l’exercice d’analyse peut durer deux ou trois semaines.
Pour un grand client (un département dans le secteur public), nous avons réalisé une analyse de risk assessment qui a duré 70 jours…”
Impossible d’évaluer le coût, les tarifs variant d’un prestataire à l’autre…
A qui s’adresser?
A qui s’adresser pour procéder à l’étude préliminaire?
Ce n’est sans doute qu’un début mais nombreuses sont déjà les sociétés et les consultants qui se proposent de réaliser des évaluations préliminaires (état de la situation, analyse de risques, évaluation d’impact). A qui se fier? Tous et toutes sont-ils réellement en mesure d’effectuer un travail précis, efficace?
Car l’éventail des candidats est large, depuis les grands cabinets de consultance (du genre EY, Deloitte…) jusqu’aux petits consultants indépendants, en passant par des sociétés proposant divers types de services informatiques… “Les offres se multiplient”, confirme Frédéric Gelissen. “Mais peu de consultants ont réellement les compétences nécessaires pour effectuer une évaluation orientée vie privée.”
Comment dès lors bien choisir son prestataire?
L’idéal est de confier l’exercice à un partenaire dûment certifié. Problème: il existe peu de certifications ciblant spécifiquement la problématique de la vie privée… “et encore moins d’acteurs certifiés.”
Il faut donc s’en remettre à la réputation du prestataire. Vérifier ses références, évaluer la manière dont il procède pour effectuer son travail…
“Vérifier dans le CV de la personne si elle a déjà procédé à ce genre d’audit, dans quel secteur, dans quel contexte et à quelle fréquence”, recommande Frédéric Gelissen.
“Autre conseil que je donnerais aux PME: sachez faire confiance aux consultants que vous connaissez déjà. Ils sont peut-être moins “pointus” et ont moins d’expérience pratique en matière de “privacy impact analysis” (étude d’impact sur la vie privée) mais connaissent par contre mieux la société, son environnement, son infrastructure, ses particularités…”
Autre conseil: veiller à ce que l’intervenant ait des connaissances et compétences dans divers domaines (IT, sécurité, juridique…). L’oiseau est rare. Mieux vaut donc s’entourer d’une équipe multi-disciplinaire (sécurité, informatique, commercial, communications…). A charge pour le consultant de choisir les différents profils, d’orchestrer et de centraliser leurs travaux.
Voir aussi à ce sujet notre article consacré aux contrats.
Quid des compétences?
Quelle que soit la taille de la société, une responsabilité claire doit être assumée par une (ou plusieurs) personne(s) qui doit prendre le “lead”. Cette personne ou ces personnes devront donc être formées, démontrer les compétences nécessaires.
Nous nous penchons plus spécifiquement sur les compétences requises (ou attendues) du DPO (Data Protection Officer) dans cet autre article.
Une erreur serait de considérer que seule une personne ou une poignée de personnes parmi la direction est/sont censées maîtriser le sujet. Faire abstraction des employés comporte en fait un risque. Chacun à son niveau doit être conscient des implications et des risques potentiels du traitement et de la mauvaise protection des données à caractère personnel.
Pour faciliter la tâche de tout le monde et éviter le chaos, “il est conseillé de bien documenter toutes ses procédures de traitement”, indique Laurie-Anne Bourdain, consultante spécialisée en cyber-sécurité chez EY (Ernst & Young). DPOCe n’est certes pas obligatoire mais si ces balises n’existent pas ou si elles ne sont pas connues et accessibles à tous les employés, “la société court le risque de ne pas être conforme.” Et d’ajouter: “même si les procédures ne sont pas toujours parfaites, elles permettent néanmoins de limiter les risques.”
Pour Frédéric Gelissen, “les processus relationnels (relation client, analyse métier, gestion de contrat et relation fournisseur) sont clé pour la compréhension des sources de données privées, des risques métiers associés et de ce que l’on en fait à l’intérieur et à l’extérieur de l’entreprise. Les rôles de commercial, service manager, gestionnaire de contrat, supplier relationship manager, business analyst… devraient être des rôles internes afin de conserver la connaissance dans l’entreprise. Cependant les TPE ne pourront pas se permettre d’avoir tout ce personnel en interne et à temps plein (surtout dans le cas de l’analyste métier qui intervient uniquement s’il y a un projet en cours, par exemple).
Il conviendra donc de s’assurer que ces externes documentent clairement les aspects liés à la gestion des données privée dans les services développés. Des contrats et cahiers des charges formels et clairs peuvent garantir ceci.”
Sensibiliser le personnel
Tous les employés, tous les cadres et dirigeants doivent nécessairement être sensibilisés aux implications de la GDPR, aux risques de sécurité qui justifient son existence, et aux nouvelles habitudes à prendre.
Comme le déclare Laurie-Anne Bourdain, consultante spécialisée en cyber-sécurité chez EY (Ernst & Young), il est conseillé de bien documenter toutes ses procédures de traitement er de veiller à ce qu’elles soient connues et accessibles à tous les employés. “Sinon la société court le risque de ne pas être conforme.”
Cet exercice de “sensibilisation”, recommandait Fabrice Clément, responsable de la sécurité des systèmes IT de Proximus lors d’un atelier de la FEB, ne doit pas se limiter à la période de préparation. Les communications et les groupes de travail doivent être organisés au-delà de la date-butoir de mai 2018 (entrée en vigueur de la GDPR). “Il faut se placer dans l’optique d’un exercice d’amélioration continue, en termes de systèmes de gestion de la sécurité et de la vie privée.”
Non seulement parce que les types de risques et de menaces évoluent sans cesse, mais aussi “parce que cela permettra à une entreprise de (dé)montrer [aux autorités responsables et à ses partenaires] qu’elle a tiré les leçons de brèches et attaques éventuelles et des problèmes rencontrés.”
Marie Del Marmol (Insight): “L’intention de l’Europe, avec cette nouvelle législation, est notamment de conscientiser les gens, de les responsabiliser et de les obliger à enclencher des actions pour se protéger.”
Le plan d’amélioration, l’agenda de remédiation qui ont été définis lors ou dans la foulée de l’exercice d’évaluation PIA doivent faire l’objet d’une surveillance permanente afin de vérifier que les mesures sont correctement mises en oeuvre.
Régulièrement (une fois par an?), il est de bon conseil de procéder à de nouveaux exercices PIA qui pourront pointer de nouvelles améliorations ou corrections. “C’est un exercice continu”, insiste Frédéric Gelissen. “On ne saura en effet pas tout du premier coup. Par ailleurs, l’environnement évolue sans cesse. Il faut donc procéder à une analyse d’impact lors de tout changement, que ce soit au niveau d’un produit, d’un service, d’un applicatif ou d’un contrat.”
Bonne pratique? Procéder régulièrement à des analyses d’impact. On touche là à des pratiques d’amélioration continue et de gestion du changement. Ce qui suppose une attention constante, à mettre en oeuvre de la manière la plus pragmatique possible.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.