Lëtzebuerger Gemengen

ICT

Protéger les données à caractère personnel, une priorité à échelle européenne

Le parlement européen a publié une réglementation, applicable dès le 28 avril 2018 aux Etat membres, qui impose à toute organisation traitant des données à caractère personnel de nommer un Délégué à la Protection des Données (DPD ou Data Protection Officer). Experte dans le domaine de la sécurité informatique, itrust consulting aide ses clients à protéger leurs informations contre toute divulgation, manipulation ou indisponibilité. Carlo Harpes, fondateur et directeur, revient avec nous sur les implications de cette réglementation.
 
Quel est le rôle d’un DPD?
La réglementation européenne oblige les entreprises à créer ce poste au sein de leur équipe ou bien à l’externaliser. Celui-ci a deux missions essentielles; d’un côté il se positionne en tant qu’avocat des clients pour défendre leurs intérêts et leurs données, de l’autre il a un droit de regard sur le traitement de celles-ci et peut alerter la direction en cas de mauvaise gestion. Comme un fou du roi, le délégué peut tout voir et montrer les défaillances aux dirigeants, sans que ceux-ci ne soient obligés de l’écouter. Il reste donc impartial et peut toujours prendre le parti des clients. Pour résoudre le problème de la protection des données il faudrait toutefois définir une gouvernance qui inclut une délégation de responsabilités et une gestion adéquate assurant que toutes les exigences de cette régulation soient respectées.
 
Que devraient donc mettre en place les organisations en complément de la création de ce poste?
Les organisations devraient également nommer un Responsable, ou délégué, de la Sécurité de l’Information (RSI). Ce poste a des attributions similaires à celui du CIO ou du CFO; le RSI garantit qu’au sein de son entreprise, les exigences quant à la protection des données soient correctement implémentées et les risques compris.
Le RSI collabore avec le DPD qui pourra lui apporter des précisions sur le cadre légal et la jurisprudence; il assiste aussi les responsables informatiques pour parer les risques de cybersécurité et les responsables métier qui sont eux en contact avec les clients et connaissent leurs attentes. Mais surtout, il définit et orchestre un système de gestion de la sécurité qui assure que chaque personne de l’organisation, dans son domaine d’activité, respecte les exigences de protection et réduit les risques dès que c’est économiquement justifiable. Il assiste également les chefs de projet pour implémenter les principes de protection par défaut et de protection dès la conception, en tant que membre responsable du projet.
 
Qu’est-ce que le cadre légal européen a changé dans la pratique?
La loi luxembourgeoise de 2002 misait sur des démarches administratives lourdes et des contrôles de la CNPD en cas de réclamations ou de pannes visibles, mais aussi longtemps que ce régulateur n’intervenait pas, les organismes ne se mobilisaient pas si elles disposaient d’une autorisation de traitement. Avec la nouvelle réglementation, l’organisation doit démontrer en cas de procès qu’elle a respecté la loi et mis en œuvre une gestion formelle des risques, non seulement pour limiter des conséquences indésirables pour elle, mais aussi dans l’intérêt des droits de ses clients. Avec la publication de la réglementation européenne 2016/679 et ses pénalités qui visent surtout les entreprises privées, on ne peut plus nier l’importance économique de la protection des données. Cependant, certains aspects pratiques de cette réglementation dépendent encore de précisions qui devraient être apportées au niveau national, et celles-ci n’ont pas encore été établies au Luxembourg.
 
Quelle aide peut apporter itrust consulting aux organismes?
Nous aidons les entreprises à documenter leurs conformités. En fonction de la situation de chaque organisme, nous proposons une formation à la gestion de la sécurité et à la protection des données, un système de gestion documenté et éprouvé auprès de multiples clients issus des secteurs public et privé ainsi qu’une analyse d’écart et une appréciation des risques encourus par l’organisation et les clients endommagés en cas d’incident. Nous continuons ensuite à prioritiser, planifier, et budgétiser les mesures de sécurité qui s’imposent. Grâce à nos outils et notre expérience, nous pouvons les implémenter plus efficacement que le personnel interne qui se voit confronté pour la première fois à cet ensemble d’exigences. Nos méthodes sont surtout éprouvées auprès d’entités ayant des ressources limitées et en interne où nous gérons la pseudonymisation des identifiants des élèves participant aux épreuves standardisées au Luxembourg, et ceci, bien sûr, sans pouvoir accéder aux résultats sensibles de ces épreuves.
Finalement, nous pouvons mettre à disposition du personnel qualifié externe sur un poste de DPO, d’auditeur interne, ou même de RSI. Nous pouvons gérer ces fonctions entièrement ou assister les personnes déjà nommées avec les compétences de toute notre équipe. Cette formule, appelée Security as a Service, définit à l’avance la quantité de travail, les méthodes, responsabilités, objectifs et prestations, tout en permettant de recourir en cas de besoin ou de dégâts à la disponibilité de toute l’équipe d’itrust consulting.
Notre atout principal est une analyse de risque efficace. Nous avons aussi récemment fait évoluer notre outil web d’analyse de risques, appelé TRICK Service, en y ajoutant les fonctions nécessaires à la protection des données. L’outil supporte à la fois des niveaux de conformité ou de risque que des notions financières.
Au niveau de la cybersécurité, nous soulignons également l’utilité de la réalisation de tests réguliers, surtout dans le domaine de l’ingénierie sociale. Nous préconisons par exemple de réaliser plusieurs fois par an des campagnes de sensibilisation auprès du personnel ou de réaliser des tests réguliers pour le maintenir en alerte.

Lire sur le même sujet: