menu
L'expérience de nos cyber-consultants au service de votre organisation

Le RGPD vu par CoESSI

Actualité publiée par Coessi le 09/05/2018 | Mise à jour le 26/06/2018 à 15:38
Le RGPD vu par CoESSI

Le règlement général sur la protection des données (RGPD) entre en application le 25 mai prochain. Il vise à renforcer la protection des données à caractère personnel en responsabilisant davantage les responsables de traitement de ces données relatives à des personnes se trouvant sur le territoire de l’UE (notion d’extraterritorialité). Quelles sont les principales caractéristiques du RGPD ?

 

« Le RGPD introduit deux nouveaux principes, le Privacy by Design (mesures de sécurité dès la conception des nouvelles technologies) et le Privacy by Default (plus haut niveau de confidentialité défini par défaut) »
Hervé Daussin
Président de CoESSI, Cabinet conseil en Cybersécurité


Le responsable de traitement doit se limiter à collecter les données qui sont strictement nécessaires au regard des finalités pour lesquelles elles sont traitées (principe de « minimisation » des données) pour une durée déterminée, tout en garantissant une sécurité et une confidentialité optimales des données. Les sanctions prévues en cas de non-respect du RGPD peuvent aller jusqu’à 20 million d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.


Comment CoESSI aide ses clients à la mise en conformité au RGPD ?


CoESSI procède à la cartographie des traitements de données par la conduite d’entretiens avec les différents services concernés pour la collecte et le traitement de DCP. A l’issue, une analyse d’écarts est réalisée et un plan d’action élaboré. Expert dans la mise en œuvre de référentiels propres à la sécurité des systèmes d’information (ISO 27001 ou RGS, etc.), CoESSI met à profit son savoir-faire pour proposer des mesures aux écarts constatés.


Face à une concurrence accrue, quelle est la valeur ajoutée de CoESSI ?


Le RGPD a fortement relevé le niveau d’exigences en matière de protection des DCP. La mise en œuvre de mesures techniques et organisationnelles pour protéger la vie privée des personnes tient une place importante dans la nouvelle réglementation, notamment par l’élaboration de politiques de gouvernance (gestion des droits des personnes, notification de violation du RGPD, …) et la réalisation d’analyse d’impact sur la vie privée (PIA). La gestion des risques est le cœur métier de CoESSI. Elle a déjà réalisé de nombreuses missions sur cette thématique en adaptant la méthode EBIOS prôné par l’ANSSI dans le contexte spécifique « Informatique & Liberté » de ses clients. Pour renforcer son positionnement sur le marché, CoESSI a créé un service juridique spécifique composé d’une juriste en Protection des données et d’une avocate spécialisée en droit des contrats et TIC. Ainsi, CoESSI concilie de solides compétences techniques et organisationnelles dans le domaine de la cybersécurité, et des compétences juridiques indispensables pour l’interprétation et la mise en œuvre des subtilités de la loi « Informatique & Liberté ».


Une fois la mise en conformité effectuée, quel suivi préconise CoESSI ?

CoESSI propose de planifier régulièrement des audits des traitements et incite les entreprises à documenter par écrit leur conformité au RGPD. Cela permet au responsable de traitement ou au délégué à la protection des données (DPO) de mettre à jour le registre en cas de modification des traitements et d’avoir (notamment en cas de contrôle) une vision de la mise en œuvre des mesures préconisées par ses services. CoESSI propose également la délégation d’un DPO sur site afin d’assurer en continu le suivi de la mise en conformité au RGPD.


En matière de RGPD, quelles prestations sont proposées par CoESSI ?


CoESSI a étoffé son catalogue de services dans le cadre du RGPD. Nous pouvons assister nos clients dans les spécifications sécurité de leurs applications ou systèmes (Privacy by Design). Nous sommes aussi à même de mener des actions de sensibilisation sur le RGPD, réaliser des audits organisationnels, techniques et juridiques afin d’évaluer les risques associés aux traitements de données. CoESSI propose également un suivi des plans de remédiation qui vise à s’assurer que toutes les mesures identifiées lors d’un audit ont bien été prises en compte par les différentes équipes.


Sur quels autres chantiers travaille actuellement CoESSI ?


CoESSI étudie les connexions nécessaires entre son futur outil RGPD et un outil d’analyse de risques (quels éléments du système d’information en commun, quelles fonctions d’analyse de risques en commun…). En effet, il semble inconcevable à première vue que les entreprises recensent et décrivent leurs processus en double, une fois pour l’analyse de risques, une fois pour le RGPD. CoESSI réfléchit sur ce concept car nous estimons que des connexions devront être établies entre les deux approches.

expand_less