GDPR & Cybersécurité : chronique du projet « pastèque »

Publié par SDmagazine 20 mai 2019

Le 28 mai 2018, le redouté GDPR est entré en application. Pour de nombreuses organisations, cette date a marqué l’accélération ou le lancement du projet « pastèque » : ses indicateurs doivent apparaitre vert, quand la cartographie des risques devrait apparaitre en rouge… avec quelques pépites noires !

La cybersécurité, au cœur des préoccupations du GDPR vient durcir l’écorce de ce qui devrait aujourd’hui s’intégrer naturellement comme le data protection by design incluant par défaut et dès la conception, une obligation de sécurité juridique et technique des données.

Entre GDPR et cybersécurité, quelles sont les difficultés rencontrées par les entreprises ? Comment envisager une approche pragmatique de la cyber-compliance ?

Par Amal MARC, Responsable Pôle Cybersécurité CESED

Une pression réglementaire croissante

Ces dernières années le paysage réglementaire et normatif n’a cessé de se complexifier sous l’impulsion des régulateurs et du marché. Désormais les entreprises doivent composer avec un volume important de textes, à l’échelle géographique et sectorielle. Le challenge pour tout organisme traitant des données est de combiner et parfois d’arbitrer entre des enjeux divergents face à une pression financière et économique toujours croissante1. Par exemple, comment assurer la transparence des données traitées pour des objectifs divers (ex : lutte contre le blanchiment d’argent) face à l’obligation de protéger l’opacité de la vie privée des individus ? Comment imposer l’effacement des données face à l’obligation d’organiser un archivage à valeur probante pérenne ?

Malgré cette complexité textuelle, les obligations de protection de toutes les données convergent autour du triptyque « qualité – sécurité – conformité ». Pour maximiser la bonne maitrise des risques opérationnels, il convient de tirer parti de cette convergence en construisant un socle de protection des données le plus commun aux réglementations applicables. Toutefois, mener à bien un projet pragmatique et réaliste de protection des données impose d’arbitrer et donc choisir de prendre et d’accepter des risques de non-conformité.

Le GDPR est une réglementation destinée à définir une ambition

Le GDPR est un document de 200 pages reprenant 75% des dispositions de la directive préexistante dont l’application était déjà en son temps difficile à mettre en œuvre. Les 25% restants correspondent à l’introduction de nouveaux concepts philosophiques – mais nécessaires ! – d’origine anglo-saxonne (comme l’accountability, le privacy by design, le droit à l’oubli). Alors que l’ambition de ce nouveau texte est bien le renforcement des droits des personnes, le GDPR ancre le quoi  mais pas le comment. Les moyens, les méthodologies et les outils à mettre en œuvre pour atteindre la cible sont laissés à l’appréciation des organisations. Mathias MOULIN, Directeur de la protection des droits et des sanctions avait confirmé que « la Cnil n’a pas à être prescriptrice sur le sujet du RGPD mais à s’assurer du respect de la loi »2. Dès lors, comment être sûrs d’avoir instruit les bonnes priorités et opérées les bonnes analyses ? Comment justifier le fait d’une impossibilité d’atteindre la cible, non pas du fait de la mauvaise foi des dirigeants, mais du fait de la réalité de la complexité d’un système d’information historiquement complexe ?

La protection des données s’apprécie à un instant T alors que les évolutions rapides de l’environnement ne permettent pas d’ancrer des pratiques et imposent une réévaluation régulière permettant la consolidation d’une vision juste et à jour des risques.

Même si la protection des données est devenue un argument commercial fort et un sujet éthique affiché, la réelle maturité dans la prise en charge de la conformité se mesure à la capacité d’une organisation à pouvoir évaluer et documenter avec précision l’écart entre ses ambitions et la matérialisation effective de ses engagements au travers d’actions concrètes dans les systèmes.

Le succès du déploiement du data protection by design passera par un outillage intelligent

Le GDPR vise à remettre la data au centre des préoccupations business imposant un alignement des équipes autour d’une stratégie, d’une tactique et d’un plan d’action communs, clairement communiqués et partagés.

En pratique, la mise en œuvre est distribuée aux métiers qui généralement fonctionnent en silos. La conformité est instruite par les services juridiques ou les directions de la compliance ; la sécurité des données par les DSI. Tous deux deviennent prescripteurs parallèles auprès des métiers qui peinent à assurer la cohérence de l’implémentation des règles dans leur périmètre. La gouvernance des données, étant souvent oubliée, ces règles, tantôt trop conceptuelles, tantôt trop strictes sont généralement perçues comme un frein.

Cependant, une implémentation efficace à l’échelle de la data, invite à repenser les fondamentaux : qui fait quoi, qui est responsable de quoi, avec quel budget ?

Il n’y a pas de recette garantissant le succès du déploiement, il y a en revanche des approches qui doivent être dimensionnées et adaptées :

  • au niveau de pénétration du digital dans l’organisation : est-elle une « data company » ?
  • aux ambitions de l’entreprise : la conformité est une priorité ou s’agit-il d’avoir une approche minimaliste ?
  • aux projets de transformation digitale de l’entreprise : quels sont les projets structurants impactés par le GDPR et nécessitant de revoir la stratégie de cybersécurité ?
  • à la complexité du paysage technique à couvrir.

Pour se préparer, de nombreuses entreprises ont dépensé beaucoup dans du consulting « papier » : cadrages, notes juridiques conceptuelles, etc. Désormais, il est attendu un déploiement opérationnel concret dans les systèmes.

Certaines organisations ont avancé vers des solutions technologiques destinées à supporter l’industrialisation du protection by design dans l’espoir de pouvoir tirer profit prochainement des apports de l’intelligence artificielle.

En attendant, la CNIL a ouvert la voie du recours à la sanction3, outil efficace de remobilisation du marché sur ce sujet structurant. La transformation digitale protection by design ne fait que commencer : soyez prêts !

Juriste spécialisée en protection des données et consultante en cybersécurité, Amal MARC a évolué au sein d’organisations publiques et privées, dont la CNIL et Capgemini où elle intervient aujourd’hui pour porter différentes offres autour de la stratégie data, les cyber risques et la conformité digitale.

1 La transformation digitale est fortement pilotée par la réduction des coûts IT, alors que le montant des sanctions financières en cas de non-conformité ne cesse de croitre (exemple concernant le GDPR, le montant maximum est de 4% du CA annuel monde)

2 JAIME Nicolas, « La Cnil n’a pas à être prescriptrice sur le sujet du RGPD mais à s’assurer du respect de la loi », JDN, en ligne le 10/12/2018, source : https://www.journaldunet.com/ebusiness/crm-marketing/1419637-la-cnil-n-a-pas-a-etre-prescriptrice-sur-le-sujet-du-rgpd-mais-a-s-assurer-du-respect-de-la-loi/

3 Affaire Google : La formation restreinte de la CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC, 21 janvier 2019, cnil.fr

PARTAGER TWEETER EPINGLER PARTAGER PARTAGER