Home » Posts tagged 'RGPD'

Tag Archives: RGPD

Violations de données : un gouffre financier évitable?

Comme chaque année depuis 13 ans, IBM vient de publier son rapport sur les coût des violations de données. Cette année, le coût moyen des violations de données dans le monde est en hausse de 6,4% par rapport à l’année précédente. Il atteint désormais 3,86 millions de dollars (environ 3,4 millions d’euros). Le coût moyen de chaque enregistrement perdu ou volé contenant des informations sensibles et confidentielles a également augmenté de 4,8% par rapport à l’année dernière pour atteindre 148 $ (soit environ 130 euros). Ce sont des sommes considérables. Imaginez le coût de la violation de données qui a affecté les hôtels Marriott fin 2018. 500 millions d’enregistrements de données personnelles de clients ont été affectées!! 

Violations de données : un gouffre financier pour les entreprises
Crédit © rawpixel.com 2019

Dans cet article, je vous explique comment on évalue ces coûts et comment essayer de les réduire. Cela vous permettra également d’identifier les impacts auxquels vous devez vous attendre lorsque cela vous arrivera. Vous remarquez que je n’ai pas dit « si cela vous arrive ». En effet, cela vous arrivera à coup sûr. Voyons donc les enjeux de sécurité de l’information auxquels vous devez faire face…

Le temps c’est de l’argent

Beaucoup connaissent l’adage selon lequel «le temps, c’est de l’argent». C’est un conseil judicieux pour quiconque soumis à un stress persistant dans sa vie professionnelle (et personnelle). Cela s’applique également aux violations de données. L’étude 2018 sur le coût des violations de données, réalisée par IBM / Ponemon Institute, est un guide indispensable à l’intention des CISO (Responsables de la Sécurité de l’Information), des CPO (responsables de la protection de la vie privée), des DPO (responsables de la protection des données), des gestionnaires de risques et des consultants. Elle leur permet de mieux gérer leurs cyber-risques et les coûts concomitants en cas d’infraction aux réglementations (RGPD par exemple).

Le rapport souligne le coût élevé des violations de données. Dans le même temps, souvent, les responsables de la cybersécurité ignorent si ou quand de telles violations ont lieu dans leurs réseaux. Certains gardent la tête dans le sable et ne privilégient pas suffisamment la détection comme moyen de connaissance. Les réglementations récentes en matière de confidentialité exigent le signalement en temps voulu d’une violation de données lorsque le Responsable du Traitement en a connaissance. Cela peut peut-être amener certains à penser qu’éviter de connaître une violation est une bonne stratégie. Cela permettrait de réduire les coûts associés aux rapports.

Une mauvaise stratégie des entreprises

Hélas, cette «stratégie de l’autruche» n’est pas seulement imprudente et contraire à l’éthique. Elle est bien plus coûteuse pour les organisations. Elle peut même s’avérer catastrophique. Une détection plus rapide des violations de données peut réduire considérablement les pertes. N’oubliez jamais que les pirates de frappent pas d’un seul coup. Ils ont tout leur temps. Et plus vous tardez à réagir, plus ils auront de temps pour commettre des dégâts.

Si nous reprenons le cas de la violation de données qui a touché les hôtels Marriott. C’est le 19 Novembre 2018 que l’investigation a permis de déterminer qu’une violation avait eu lieu. Apparemment un outil avait déjà alerté sur un accès non autorisé dès le 8 septembre. Cela représente plus de 60 jours de délai. Mais cette attaque avait probablement démarré bien avant septembre 2018.

La chaîne cyber-criminelle peut prendre un temps extrêmement long. Je vous invite à bien la comprendre. Elle est décrite de façon détaillée dans un de mes articles récents sur les tests de pénétration.

Le coût stupéfiant des violations de données

En 2018, dans le monde, le coût moyen d’une violation de données hausse de 6,4% par rapport à l’année précédente. Il s’élève désormais à 3,86 millions de dollars (3,4 millions d’euros). Ces statistiques devraient être très préoccupantes. Et elles ne représentent que les coûts tangibles d’une violation. Ce montant ne prend notamment pas en compte les coûts des amendes réglementaires. Par conséquent, les chiffres figurant dans ce rapport doivent être considérés comme une limite basse. Les autres coûts potentiels comprennent les frais liés aux litiges, les amendes pour non-conformité réglementaire et les pertes de revenus dues aux clients qui quittent l’entreprise à la suite d’une violation. Les entreprises investissent massivement dans les produits de cybersécurité et les services professionnels. Alors, pourquoi le coût des violations de données ne diminue-t-il pas? La question mérite d’être posée.

Des moyens insuffisants mis en oeuvre

Chaque nouvelle réglementation relative à la protection des données personnelles appelle à prendre des «mesures de sécurité appropriées». C’est le cas notamment du règlement général européen sur la protection des données (RGPD) ou de la loi américaine sur la protection des renseignements personnels des consommateurs (CCPA). Les entreprises ne prennent en général ces mesures de sécurité de l’information que pour éviter des amendes dissuasives. Et par souci de facilité et d’économie, elles se limitent à s’appuyer sur des outils informatiques facilement accessibles.  C’est hélas très insuffisant. Elles ne mettent pas en oeuvre les actions nécessaires pour prévenir la violations résultant d’erreurs humaines. J’ai rarement vu des actions de formation de masse portant sur l’ensemble du personnel. C’est généralement considéré comme trop coûteux et trop lourd.

Des réglementations qui ne vont pas assez loin

L’aspect le plus frustrant de ces nouvelles réglementations est que la responsabilité des données incombe au responsable du traitement. Cela signifie qu’une organisation est responsable de la protection de ses données, peu importe avec qui les données sont partagées et comment les données sont traitées. Cela vaut également une fois qu’elles ne sont plus sous son contrôle. Les obligations contractuelles d’un fournisseur tiers de sécuriser les données une fois qu’il y a accès résultent du contrat entre le responsable du traitement et son sous-traitant.

Le RGPD, impose que de tels accords soient signés. Cependant, il place l’entière responsabilité sur l’organisation d’origine en tant que responsable des pertes de données. Les amendes encourues peuvent atteindre jusqu’à de 4% du chiffre d’affaires mondial annuel, ou 20 millions d’euros par violation. Alors, peut-être que les meilleures pratiques «raisonnables» ne suffisent pas. Peut-être que la technologie liée à la cybersécurité n’est pas utilisée pour s’attaquer au bon problème.

Meilleure détection et meilleure réponse

Le délai moyen moyen d’identification d’une violation est maintenant de 197 jours. Cela représente une légère amélioration par rapport à l’année précédente. Cependant ce délai reste beaucoup trop long. Imaginez-vous vivre avec un voleur chez vous qui dérobe tout ce qui a de la valeur pendant 197 jours? 197 jours pendant lesquels vous ne vous apercevez de rien?

Considérez le comportement typique des attaquants. Je l’ai décrit en détail dans mon précédent article « Tests de pénétration : nécessaires mais pas suffisants« . C’est ce qu’on appelle la chaîne cyber-criminelle.  Ils suivent une méthodologie éprouvée. Cela commence par la reconnaissance pour localiser leur cible et identifier les points d’entrée. Vient ensuite la première entrée (généralement par les utilisateurs du harponnage au sein de la cible choisie). Une fois qu’ils ont réussi à voler les informations d’identité d’un utilisateur légitime, ils s’installent pour établir le contrôle pendant de longues périodes. Ils se déplacent latéralement, recherchant d’autres informations d’identification, serveurs, journaux, fichiers et documents qu’ils souhaitent. Les documents et les données sont regroupés et exfiltrés à l’aide de protocoles courants. Ils utilisent aussi des sites tiers qui servent de serveurs de transfert à partir desquels ils peuvent télécharger leurs biens volés. Le fait d’avoir pris pied permet l’exfiltration de données à long terme à un rythme adapté à leurs besoins.

Et ce qui est le plus frappant, c’est que tout cela se déroule à l’insu de l’organisation cible.

L’utilisation de leurres est-elle efficace?

La plupart des approches de détection de fraude passent à côté de la cible en matière de détection précoce. Une variété de sociétés de technologie de détection de fraude vantent les réseaux de miel (honeynets en anglais) permettant une détection précoce. En gros, il s’agit de leurres qui vont agir comme des pièges à pirates. Je vous invite à consulter cet article sur le blog du hacker pour mieux comprendre leur fonctionnement. On installe les honeynets à côté de serveurs opérationnels. Et les attaquants ne seraient attirés par ces honeynets que s’ils y étaient conduits. On prend soin d’empêcher les utilisateurs ordinaires de se connecter à des réseaux de miel. Sinon, les fausses alarmes auraient un impact négatif sur les affaires. Et, au moment où un attaquant est tombé dans un leurre (en anglais honeypot), il aura déjà avoir effectué une recherche sur le réseau opérationnel et probablement déjà volé son butin. Malheureusement, cette approche est inefficace pour détecter et réagir aux violations de données.

Il existe également des technologies émergentes de capteurs qui offrent une meilleure solution. On les déploie directement dans l’environnement opérationnel. Par exemple, des capteurs de perte de données peuvent être générés automatiquement, des documents leurres hautement crédibles avec des balises incorporées placées de manière stratégique dans des dossiers, des répertoires ou des partages tiers afin d’inciter les pirates à les ouvrir et d’alerter les équipes de sécurité sur les violations à un stade précoce.

Des pistes pour améliorer la détection

L’absence de données de recherche réelles et à grande échelle sur le monde réel a empêché la mise au point de systèmes de détection d’intrusion (IDS) efficaces pouvant arrêter une attaque dès le début de son cycle de vie. La plupart des organisations confrontées à ce type d’attaques préfèrent ne pas les annoncer publiquement pour des raisons de responsabilité et de confidentialité.

Soixante-douze pour cent des incidents résultant des menaces internes (insiders en anglais) survenus dans les établissements sondés ont été traités en interne. Aucune action judiciaire ni intervention de la police n’est intervenue. Seulement 13% des incidents issus de menaces internes ont été traités en interne mais ont donné lieu à des poursuites judiciaires. L’annonce de telles attaques peut également avoir des conséquences sur les parts de marché d’une entreprise. Pour ces mêmes raisons, les victimes d’infractions sont encore moins susceptibles de partager des données réelles qui pourraient être utilisées pour étudier de telles attaques avec le monde de la recherche.

Les attaques de mascarade

Une attaque courante est la mascarade ou usurpation d’identité (en anglais, masquerade). Elle consiste à tromper les mécanismes d’authentification pour se faire passer pour un utilisateur autorisé, de façon à obtenir des droits d’accès illégitimes et ainsi compromettre la confidentialité, l’intégrité ou la disponibilité. Un cas particulier de d’usurpation d’identité consiste pour un attaquant à « forger » de fausses adresses d’origine pour les messages qu’il émet. Dans ce cas, nous parlons alors plus particulièrement de spoofing (littéralement, parodie) d’adresse. Ce déguisement est, par exemple, très facile à réaliser sur le réseau Internet, puisqu’il n’y a pas d’authentification sur les adresses IP.

L’étude des attaques par mascarade souffre également de la rareté des données réelles, malgré leur importance. Trente-cinq pour cent des dirigeants et des membres des autorités publiques ont vu leurs informations, systèmes et réseaux utilisés sans autorisation. Les attaques de mascarade se classent au deuxième rang des cinq principaux cyber-crimes perpétrés par des personnes extérieures, juste après les virus, les vers et autres vecteurs d’attaque malveillants.

L’expérience de la DARPA

L’essentiel de cette expérience est le suivant. Les imposteurs, tout comme les voleurs qui s’introduisent dans une maison, doivent collecter des informations sur l’environnement dans lequel ils viennent d’entrer. Ils doivent en savoir plus sur leur domicile, rechercher des objets de valeur à voler et empaqueter des données pour les exfiltrer. Cette activité précoce est essentielle pour détecter leur activité néfaste. Par conséquent, le fait de placer les capteurs qui agissent comme des fils de déclenchement dans les dossiers et les répertoires les plus susceptibles d’être recherchés dans le cadre d’une attaque sert de mécanisme de détection.

L’efficacité de l’utilisation de capteurs intégrés dans des documents comme moyen de détecter la perte de données a été prouvée par une étude scientifique parrainée par la DARPA. L’étude a mesuré les vrais et faux positifs et les vrais négatifs. Dans le cadre de l’étude, 39 imposteurs individuels, tous sélectionnés pour leur connaissance approfondie et sophistiquée de l’informatique et des systèmes en général, ont été autorisés à accéder à un système comme s’ils avaient déjà réussi à voler les références nécessaires. Les imposteurs ont ensuite été informés que leur travail consistait à voler des informations sensibles dans le système en exploitant les informations d’identification qui leur étaient fournies. L’étude a suivi une méthodologie prescrite et statistiquement valide selon laquelle les imposteurs étaient informés du type d’informations à voler, mais non de la manière de les voler. Ils ont été laissés à eux-mêmes pour trouver et exfiltrer leur butin.

Dans cette étude, l’utilisation stratégique de capteurs pour détecter le moment où les documents ont été consultés a permis:

  • de détecter 98% des imposteurs
  • la génération d’un seul faux positif par semaine d’opération
  • de réussir la détection dans les 10 minutes.

Conclusion

La détection précoce d’un accès non autorisé à des données sensibles, telle que celle décrite dans cette étude de la DARPA, peut permettre aux organisations de ne pas souffrir du coût d’une violation. Il y a 28% de chances qu’une entreprise subisse une violation dans les deux prochaines années. Cela peut entraîner une perte de 3,6 millions USD basée sur le coût moyen d’une violation de données. En utilisant ces chiffres comme point de repère, la détection d’une violation dans les 30 jours ou moins (au lieu de la moyenne de 197 jours) permet à l’entreprise d’économiser un million de dollars en coûts. La plupart des entreprises s’appuient déjà sur des capteurs de réseau et de points d’accès pour collecter des données de sécurité critiques. Pourquoi ne pas utiliser des capteurs à la source des données?

Si le temps de détection est essentiel pour permettre aux entreprises de réaliser des économies substantielles, le secteur de la sécurité doit examiner de nouvelles technologies et approches pour améliorer cette mesure. L’utilisation de capteurs de perte de données est une méthode éprouvée pour attraper rapidement les imposteurs dès le début d’une attaque.

Les violations de données représentent un gouffre financier pour les entreprises. Cependant, ce n’est pas inévitable. Des solutions existent pour réduire les impacts. Encore faut-il que les dirigeants comprennent l’ampleur du phénomène et évaluent correctement les risques.

Vous êtes tous et toutes concerné(e)s puisqu’un quart d’entre vous serez potentiellement affectés dans les deux ans qui viennent. Alors, n’hésitez pas à réagir et à donner votre avis au travers de vos commentaires.

 

RGPD : GOOGLE devra payer 50 millions d’euros d’amende

Cette fois, ça y est. La première amende significative infligée par la CNIL et concernant la non-conformité au RGPD vient de tomber. Et c’est GOOGLE qui en est la cible. Le géant américain devra débourser 50 millions d’euros d’amende pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. Je vais essayer de vous expliquer pourquoi. Mais c’est sans doute aussi pour vous l’opportunité de vous assurer que vous n’êtes pas les prochains sur la liste.

RGPD : La CNIL inflige une amende de 50 millions d'euros à GOOGLE
Crédits © Fotolia 2018

Dès le 25 Mai 2018, les associations « None Of Your Business » (« NOYB ») et « La Quadrature Du Net » (« LQDN ») déposaient des plaintes collectives contre GOOGLE, sur la base du RGPD, auprès de la CNIL. La plainte de LQDN était mandatée par près de 10.000 personnes. Dans ces deux plaintes contre le géant américain, les associations reprochaient à GOOGLE de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

De quoi s’agit-il exactement?

Trois manquements ont été identifiés par la CNIL pour justifier cette amende :

  • un manquement aux obligations de transparence. Les informations fournies par Google ne sont « pas aisément accessibles pour les utilisateurs »
  • une information insatisfaisante, qui n’est pas « toujours claire et compréhensible »
  • et une absence de consentement valable pour la personnalisation de la publicité.

1. Manquement aux obligations de transparence


« Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation. »


Concernant l’accès à l’information, la CNIL regrette que des « informations essentielles […] sont excessivement disséminées dans plusieurs documents ». Il faut que l’internaute navigue entre plusieurs boutons et liens pour accéder aux indications « pertinentes ». L’Autorité de Contrôle a ainsi recensé cinq ou six actions préalables à effectuer avant d’arriver aux explications adéquates. C’est beaucoup trop.

2. Information non satisfaisante

Par ailleurs, à propos de la qualité de l’information, les traitements réalisés par Google « sont décrits de façon trop générique et vague », tout comme les données concernées. En clair, l’internaute « n’est pas en mesure de comprendre l’ampleur des traitements », alors que ceux-ci «  sont particulièrement massifs et intrusifs, en raison du nombre de services proposés, de la quantité et de la nature des données traitées et combinées. »


« Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par GOOGLE. Or ces traitements sont  particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées. »


La CNIL a constaté en particulier que les finalités sont insuffisamment énoncées. Elles sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.  Il en va de même pour l’information délivrée aux utilisateurs. Elle est considérée comme  pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE. Enfin, les conditions générales d’utilisation de GOOGLE ne mentionnent nulle part la durée de conservation de certaines données.

3. Absence de consentement éclairé pour la personnalisation de la publicité

Au sujet du consentement, la CNIL observe que le consentement des internautes « n’est pas suffisamment éclairé » (du fait des manquements précédents), et que des cases d’approbation sont pré-cochées par défaut (comme l’affichage des publicités personnalisées).


« Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte en cliquant sur le bouton «  plus d’options », présent avant le bouton « Créer un compte ». Il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées.

Le RGPD n’est pas pour autant respecté. En effet, non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au  paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple). « 


Enfin, GOOGLE présente les conditions d’utilisation de telle façon que l’internaute est obligé de toutes les accepter en bloc. Il ne peut pas le faire au cas par cas comme l’exige le RGPD.

Comment la CNIL a-t-elle pris sa décision?

Ces manquements ne portent pas sur des points anecdotiques. Bien au contraire, ils portent sur « des principes essentiels  » du RGPD. Les utilisateurs sont ainsi privés de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée. Or, « l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données. »

La CNIL a aussi tenu compte de certaines particularités, comme le poids du système d’exploitation Android en France.


« Compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français, ce sont chaque jour des milliers de Français qui procèdent à la création d’un compte GOOGLE à l’occasion de l’utilisation de leur ordiphone. De même, la formation restreinte rappelle que le modèle économique de la société repose en partie sur la personnalisation de la publicité. Une responsabilité toute particulière incombe dès lors à la société dans le respect de ses obligations en la matière. »


Enfin, l’Autorité de Contrôle fait observer que cette sanction ne punit pas « un manquement ponctuel, délimité dans le temps », mais plusieurs infractions qui sont toujours en cours à ce jour. Ces infractions constituent donc des « violations continues » du RGPD. Pour toutes ces raisons, il apparaissait nécessaire à la CNIL de frapper fort. Cependant ce n’est pas le coup le plus rude que la CNIL aurait pu porter au géant du Web.

S’agit-il d’une sanction record?

La sanction de 50 millions d’euros infligée par la CNIL à l’encontre de Google constitue à ce jour la plus forte peine prononcée par la Commission. C’est aussi la première à ce niveau qui a été rendue dans le cadre du RGPD. Cependant, elle reste extrêmement modeste au regard de la puissance financière du géant du net. En effet, son chiffre d’affaires annuel s’élève à près de 110 milliards de dollars.

À travers le RGPD, la CNIL a la possibilité de prononcer des peines dont le montant peut atteindre 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (ou 20 millions d’euros pour les organisations de plus petite envergure). L’Autorité de Contrôle doit déterminer quelle échelle il faut suivre. Elle compare les deux montants possibles et garde celui qui est le plus élevé.

Ces montants constituent un maximum. L’autorité de contrôle établit le montant de l’amende de sorte qu’elle soit dissuasive tout en restant proportionnée à l’infraction constatée.

L’amende maximum encourue par GOOGLE s’élèverait donc à plus de 4 milliards d’euros. Cette sanction apparaît donc comme extrêmement modérée.

A quelle suite s’attendre?

La firme de Mountain View ne va pas en rester là. En effet, GOOGLE a annoncé le 23 Janvier avoir décidé de contester la sanction auprès du Conseil d’Etat. Le prochain acte se jouera donc devant le Conseil d’État, la plus haute juridiction française de l’ordre administratif.

Dans un communiqué transmis à la presse, le géant du net explique avoir « travaillé d’arrache-pied pour créer un processus de consentement RGPD pour les annonces personnalisées qui soit le plus transparent et le plus simple possible. (…) Nous sommes aussi préoccupés par les effets  de cette décision (…). Pour toutes ces raisons, nous avons décidé de faire appel ».

Il est clair que l’Entreprise est beaucoup inquiète des effets collatéraux de l’annonce publique de cette sanction que de la somme à payer. En effet en cas de confirmation de la décision, cela risque d’avoir des conséquences importantes. Ces conséquences porteront notamment sur sa crédibilité aux niveau de ses clients et de ses actionnaires. Les 50 millions d’euros risquent donc d’être une goutte d’eau dans les conséquences financières réelles de cette condamnation.

Vous trouvez cette sanction justifiée? Vous êtes inquiet pour vos données personnelles et l’utilisation qui en est faite par les géants de la publicité? Ou au contraire vous pensez que les GAFA (Google-Amazon-Facebook-Apple) prennent toutes les dispositions nécessaires? N’hésitez pas à réagir au travers de commentaires.

SMSI certifié ISO 27001 vs conformité RGPD

Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité.

ISO 27001 : un SMSI certifiés est-il la solution pour la conformité RGPD?
Crédit © Adobe Stock

Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent à renforcer la sécurité des données et réduire le risque de failles de sécurité. De même, tous deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité et la disponibilité des données sensibles. ISO 27001 est une norme très détaillée en la matière. Le RGPD est une réglementation Européenne. Il faut d’ailleurs noter que l’article 24 du RGPD stipule que l’adhésion aux codes de conduite et certifications approuvées – comme ISO 27001 – peut être utilisée pour démontrer la conformité.

D’où la question : « Suis-je conforme au RGPD si j’obtiens la certification ISO 27001 de mon SMSI ? ».

Les similarités entre ISO 27001 et le RGPD

Le RGPD est un cadre beaucoup plus large avec une couverture plus fondamentale de la sécurité et de la confidentialité des données. Toutefois il est nécessaire de bien comprendre les similarités et les différences entre les deux standards pour savoir si un SMSI certifié ISO 27001 peut avoir une utilité pour passer les audits de conformité au RGPD.

Les deux cadres ont beaucoup de points communs.

Confidentialité, intégrité et disponibilité des données

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De façon similaire, plusieurs mesures de sécurité dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. Elles doivent, selon la clause 4, identifier les facteurs internes et externes susceptibles d’impacter leurs programmes de sécurité. La clause 6 leur impose de déterminer leurs objectifs de sécurité des TI et de créer un programme ad hoc. Enfin, La clause 8 définit les exigences pour la maintenance et l’amélioration continue de leur programme de sécurité . Elle leur impose de documenter ce dernier pour démontrer leur conformité.

Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données personnelles. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque. C’est le cas notamment pour les données sensibles.

ISO 27001 impose également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les  vulnérabilité pouvant affecter les actifs (clause 6.1.2). Elles doivent ensuite mettre en oeuvre les mesures de sécurité appropriées (clause 6.1.3).

Gestion des parties intéressées

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

Notification des failles de sécurité

En vertu des articles 33 et 34 du RGPD, les entreprises doivent informer l’autorité de contrôle dans les 72 heures suivant la découverte d’une violation de sécurité de données personnelles. Les personnes concernées doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des personnes concernées ».

La mesure de sécurité A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité. Cependant,  elle stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à permettre une action corrective rapide.

Protection des informations par défaut et dès la conception

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début du projet (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut. Ceci signifie qu’elle doivent s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »). Il s’agit en fait du principe de minimisation des données.

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent. La clause 6 impose qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

Conservation des enregistrements

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement. Ceci inclut la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité. Elles doivent aussi documenter les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

ISO 27001 et RGPD : est-ce la même chose?

Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il existe des différences importantes entre les deux cadres. Le RGPD est une réglementation européenne à laquelle doit se conformer toute organisation publique ou privée. C’est un cadre global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent protéger les données personnelles. ISO 27001 est une norme et les organisation peuvent, à leur choix, faire certifier leur SMSI ou pas. C’est un ensemble de bonnes pratiques centrées sur la sécurité des informations.

Les différences entre ISO 27001 et le RGPD

La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux liés à la confidentialité des données personnelles (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des personnes concernées ») :

  • Consentement : les responsables du traitement doivent prouver que les personnes concernées ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement compréhensible. De plus, la finalité du traitement des données doit être clairement décrit. Les personnes concernées ont également le droit d’annuler leur consentement à tout moment.
  • Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre responsable de traitement sans entrave à l’utilisation.
  • Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.
  • Le Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.
  • Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).
  • Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantisse pas la conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.

Introduction à COBIT 2019

L’ISACA vient de publier les deux premiers volumes de la nouvelle version de son cadre de Gouvernance et de Management de l’information d’Entreprise et des Technologies : COBIT 2019.

COBIT 2019 : le nouveau cadre de gouvernance et de management de l'I & T
© ISACA 2018

Nous vous proposons donc aujourd’hui une introduction à COBIT 2019. Cette introduction se compose de deux parties :

  • une présentation exécutive destinées aux équipes de direction. L’objectif est de mieux comprendre l’intérêt du cadre de gouvernance et de management de l’I & T,
  • les différences essentielles existant avec COBIT 5, la version précédente déjà largement adoptée dans le monde entier.

Concernant l’adoption de COBIT comme cadre de Gouvernance et de Management, mentionnons que la certification COBIT 5 Foundation fait une entrée remarquée dans les certifications qui correspondent aux meilleurs salaires en Europe en prenant cette année la 7ème place.

Présentation de COBIT 2019 et de ses nouveautés

Pour en savoir plus

Pour en savoir plus, nous vous conseillons la lecture de nos deux précédents articles COBIT 2019 – Les nouveautés ainsi que COBIT 2019 – Vos questions, nos réponses.

De plus, 2AB & Associates vous proposera début 2019 deux formations sur COBIT 2019 :

  • Une formation « Bridge » destinée aux certifiés COBIT 5 Foundation. Cette formation se déroulera sur 1 journée. Elle couvrira l’ensemble des différences entre COBIT 5 et COBIT 2019. A l’issue de cette formation, les participants pourront passer l’examen leur permettant d’obtenir la certification COBIT 2019 Foundation.
  • COBIT 2019 Foundation sans prérequis spécifiques. Cette formation d’une durée de 3 jours permet aux participants de comprendre les concepts du cadre de gouvernance et de management de l’I&T d’entreprise. A l’issue de la formation, les stagiaires passeront l’examen de certification COBIT 2019 Foundation.

Enfin, nous proposons également, sur demande, une présentation exécutive destinée aux dirigeants d’entreprises. Cette session est présentée par un de nos experts. Elle permettra donc aux participants d’échanger sur les avantages de la mise en oeuvre de COBIT 2019 dans leur organisation

Enfin, n’hésitez pas à commenter et à poser des questions à nos experts qui vous répondront en ligne. Et si vous aimez nos publications, vous pouvez bien entendu les partager sur les réseaux sociaux ou nous mettre un « like ».

RGPD – La CNIL ordonne l’effacement de 14 millions d’enregistrements

La société SINGLESPOT produit une solution technique permettant aux développeurs d’applications mobiles de monétiser leur applications grâce à de la publicité ciblée. Le 26 Mai 2018, dans le cadre du RGPD (GDPR), cette société est l’objet d’un contrôle par la CNIL. Celle-ci met alors en demeure SINGLESPOT d’effacer 14 millions d’enregistrements de données personnelles.

RGPD / GDPR : La CNIL met SINGLESPOT en demeure d'effacer 14 millions d'enregistrements de données personnelles
Crédit © rawpixel 2018

C’est le premier contrôle de la CNIL réalisé depuis l’entrée en vigueur des sanctions prévues par le RGPD. Mais Singlespot est la troisième start-up du secteur du marketing mobile à être mise en demeure par la CNIL cette année. Celle-ci souhaite informer le public sur l’utilisation de technologies s’appuyant sur la géolocalisation des téléphones portables.

Les grands groupes ne sont pas les seuls concernés par la protection des données personnelles. Près de cinq mois après l’entrée en vigueur du RGPD, les start-ups sont, elles aussi, surveillées de près par la CNIL. « Les entreprises sont toutes concernées, à partir du moment où elles gèrent une quantité importante de données », rappelle Mathias Moulin, directeur de la protection des droits et des sanctions à la CNIL.

Après Teemo et Fidzup, Singlespot est la troisième start-up utilisant des données de géolocalisation à des fins publicitaires à être mise en demeure par la CNIL. Alors que la procédure liée à Teemo a été clôturée, celle liée à Fidzup est toujours en cours. De son côté, Singlespot dispose de trois mois, à compter du 23 octobre, pour se mettre en conformité avec le RGPD. A défaut, la société s’expose à des sanctions financières importantes.

Pourquoi rendre public le cas de Singlespot?

Nul doute que ce n’est pas la seule organisation à avoir été contrôlée par la CNIL depuis le 25 Mai 2018. Pourtant toutes les infractions, pas plus que toutes les mises en demeure ne sont pas rendue publiques.

La délibération du bureau de la CNIL, datée du 18 octobre 2018 explique clairement les raisons de cette publicité. Le bureau estime que la publicité de la décision de mise en demeure se justifie par les caractéristiques des manquements. Alors quels sont ces manquements si graves qui justifient cette décision?

Les constats effectués par la CNIL

La société SINGLESPOT s’appuie sur une technologie dénommée SDK afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes.

À l’occasion de ses investigations, la CNIL a constaté que la société collecte des données de géolocalisation. Et elle le fait sans recueillir le consentement des personnes. Un tel traitement constitue, de fait, un risque particulier au regard de la vie privée. En effet, il révèle les déplacements des personnes et leurs habitudes de vie.

Le bureau de la CNIL indique également que le nombre massif de personnes susceptibles d’être impactées par le traitement mis en œuvre par la société SINGLESPOT constitue une justification pour la publicité de cette décision. En effet, le SDK est intégré à des dizaines d’applications mobiles et une partie importante de la population possède un smartphone. À cet égard, le bureau relève que le SDK installé sur les applications collecte les données de géolocalisation des personnes environ toutes les cinq minutes. De plus, il a été constaté par la délégation de la CNIL que plus de 5 millions d’identifiants avaient été collectées par la société.

Les raisons profondes de cette publicité

Le bureau estime, que, vu la gravité des faits constatés, il est du devoir de la CNIL de mettre les personnes concernées en mesure de conserver le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du traitement mis en œuvre par la société SINGLESPOT.

Enfin, la CNIL dont on connaît le manque de moyens, souhaite sensibiliser les professionnels du secteur. Cette sensibilisation est d’autant plus importante que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. De plus, l’utilisation de tels mécanismes s’inscrit dans un écosystème faisant intervenir plusieurs acteurs. Il s’agit en particulier des éditeurs d’applications mobiles et des clients annonceurs. Il est donc essentiel de les alerter sur les enjeux de la protection des données personnelles des clients.

Le bureau de la CNIL rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l’organisation se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Les faits constatés par la CNIL

L’activité de l’entreprise

La mise en demeure adressée par la CNIL à la société SINGLESPOT révèle le détail des faits constatés lors des investigations.

La particularité de la solution technique mise en place, du point de vue RGPD, tient à ce que la société établit des profils de consommateurs géolocalisés. Elle peut ainsi suivre les utilisateurs au long de leurs déplacements et leur proposer des publicités en fonction de leur localisation. “Sont ainsi, par exemple, ciblés les mobinautes s’étant rendus dans des magasins concurrents et ceux ayant visité le magasin d’un client au cours des 15 derniers jours”.

Les données collectées étaient les suivantes : l’identifiant publicitaire mobile, le nom et la version de l’application mobile et le système d’exploitation utilisé (ANDROID ou IOS). Ces données étaient ensuite croisées avec des points d’intérêts, déterminés par les annonceurs (ex: boutiques concurrentes) afin de qualifier le profil de l’utilisateur pour le ciblage publicitaire souhaité.

Le constat réalisé par la CNIL

La délégation de la CNIL a pu constater que la collecte des données de géolocalisation des personnes était opérée :

  • tous les 200 mètres pour les applications installées sur le système d’exploitation IOS ;
  • toutes les cinq minutes sur le système d’exploitation Android.

Les données des utilisateurs étaient transmises à la société SINGLESPOT sans que les personnes n’en soit spécifiquement informées et sans que leur consentement ne soit recueilli pour cette transmission.

Au terme du contrôle effectué, la CNIL constatait que plus de 14 millions d’identifiants publicitaires étaient présents dans les bases de données de SINGLESPOT, dont plus de 5 millions associés à des données de géolocalisation. Il s’agit là d’un identifiant unique lié au téléphone mobile des personnes ayant utilisé les applications des éditeurs partenaires de l’entreprise.

La CNIL notait également que les données de géolocalisation des personnes étaient collectées et conservées dans les bases de données de la société, même lorsque les utilisateurs étaient situés en dehors des points d’intérêts géographiques déterminés. De pus la durée de conservation par Singlespot atteignait treize mois à compter de la date de la collecte.

La non conformité au RGPD

Du point de vue du RGPD nous sommes apparemment face à un traitement dit de “profilage”. Le profilage est défini par l’article 4.4 du RGPD comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”.

Or, on le sait, la CNIL est particulièrement sensible à ce type de traitement.

D’un point de vue juridique, on voit quatre problèmes se profiler. La CNIL les a évidemment relevés :

  • une collecte de données personnelles sans information préalable et sans consentement
  • une violation probable des principes de loyauté et de transparence (art. 5.1.a)
  • la violation probable du principe de minimisation (art. 5.1.c)
  • une interrogation quant à la base légale sur laquelle repose le traitement (consentement ?).

Les manquements relevés par la CNIL

Lors de son contrôle, la CNIL a relevé plusieurs manquements aux dispositions légales sur la base du RGPD :

  • Un manquement à l’obligation de disposer d’une base légale pour la mise en œuvre du traitement. L’entreprise affirmait que les opérations de ciblage étaient basées sur le consentement des personnes. Or la CNIL a relevé “qu’au moment de l’installation des applications contrôlées, les personnes ne sont pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire”
  • Le non-respect de l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement. Il s’agit là, en fait, du principe de minimisation du RGPD. A ce titre, la CNIL mentionne à juste titre : “la Commission considère que l’utilisation des dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans l’espace public que dans des lieux privés. Ainsi, la CNIL estime que les données de géolocalisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géolocalisation”
  • Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données. En fait, le mot de passe administrateur consistait en un mot de passe de 16 caractères composé uniquement de trois types caractères différents (majuscules, minuscules et chiffres). Ceci contrevenait à la charte de sécurité de l’entreprise. Celle-ci préconisait un mot de passe de 10 caractères minimum composé de majuscules, minuscules, chiffres et caractères spéciaux. La CNIL relève également une utilisation non conforme des données utilisateurs des bases de données de production. En effet, celles-ci étaient utilisées dans les environnements de développement. Cette utilisation viole ainsi le principe de confidentialité

Le dernier manquement concernant la sécurité informatique relevé par la CNIL. Il semble ressortir des faits que l’entreprise développait ses applications directement dans des environnements de production. Cette pratique représente un risque majeur en matière d’intégrité des données des personnes concernées. Ce risque bien se rajouter à celui qui pèse sur la confidentialité.

Le contenu de la mise en demeure adressée par la CNIL

En conséquence, la société SINGLESPOT a été mise en demeure sous un délai de trois (3) mois à compter de la notification de la décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

  • ne pas procéder sans base légale au traitement des données de géolocalisation des personnes à des fins de ciblage publicitaire, en particulier recueillir, de manière effective, le consentement préalable des utilisateurs des applications éditées par les partenaires de la société SINGLESPOT au traitement de leurs données par cette dernière (par exemple par la mise en place d’un pop-up contenant une information et une case à cocher dédiées ou un bouton de refus) et à défaut, supprimer lesdites données collectées ;
  • sous réserve de base légale du traitement, définir et mettre en œuvre une politique de durée de conservation des données raisonnable, en particulier :
  • supprimer les données de géolocalisation des utilisateurs collectées en dehors des zones de POIs une fois la correspondance entre les données de géolocalisation et les zones de POIS effectuée ;
  • définir une durée de conservation des données de géolocalisation proportionnée à la finalité du traitement et procéder à la purge ou, le cas échéant, à l’anonymisation des données anciennes ;
  • prendre toute mesure nécessaire pour garantir la sécurité des données à caractère personnel des utilisateurs, notamment en mettant en place une politique contraignante relative aux mots de passe utilisés par les comptes accédant aux bases de données ou aux plateformes d’administration de ces bases, respectant l’une des modalités suivantes :
    • les mots de passe sont composés d’au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ;
    • les mots de passe sont composés d’au moins 8 caractères, contenant 3 des 4 catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux) et s’accompagnent d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs, (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses (au maximum 10).
  • un stockage des mots de passe sous une forme hachée (par exemple, à l’aide de l’algorithme SHA256 avec l’utilisation d’un sel) ;
    • en mettant en place une politique de séparation entre les environnements de tests de développement (ou de recette) et les environnements de production.
  • justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société SINGLESPOT s’est conformée à la mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société SINGLESPOT ne s’est pas conformée à la mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par la loi.

Les conséquences potentielles

Rappelons qu’en application des articles 121-2, 131-37, 131-38 et 226-17 du Code pénal combiné le fait, pour une personne morale, de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 était puni d’une amende de 1 500 000 euros. Avec la mise en application du RGPD, les sanctions se sont nettement alourdies. La société risque maintenant une amende allant jusqu’à 4% de son CA mondial avec un minimum de 20 millions d’euros.

COBIT 2019 – Vos questions, nos réponses

Depuis la publication de notre article présentant, en avant-première, les nouveautés de COBIT 2019, vous nous avez posé de nombreuses questions. Nous vous apportons quelques réponses. Pour l’heure, nous ne pouvons pas encore tout vous dire. Soyez patients. Nous vous donnerons notre avis détaillé sur cette nouvelle version du cadre de référence en Gouvernance de l’Information dès que les deux premières publications seront disponibles sur le site de l’ISACA.

Cadre de gouvernance COBIT 2019 - Questions réponses
Crédit © rawpixel 2018

L’accélération de la transformation numérique a rendu l’information et la technologie (I&T) cruciales pour le soutien, la croissance et la durabilité des entreprises. Les conseils d’administration et les cadres dirigeants ont pu jadis déléguer, ignorer ou éviter les décisions liées à l’I&T. Cependant ils savent maintenant que cette approche est mal avisée. Ce ne sont pas uniquement les entreprises digitales qui dépendent de l’I&T pour leur survie et leur croissance. La création de valeur par les parties prenantes (c’est-à-dire la réalisation des bénéfices à un coût optimal en ressources tout en optimisant les risques) est également souvent obtenue par la digitalisation de nouveaux modèles d’affaires, grâce à des processus efficaces et à des innovations réussies.

L’I&T est maintenant totalement intégrée à la gestion des risques d’entreprise et de la création de valeur. Un accent particulier a donc été mis sur la gouvernance de l’information d’entreprise et de la technologie (GEIT) au cours des deux dernières décennies. COBIT a reflété cet accent mis sur la GEIT dans ses dernières mises à jour, aboutissant à COBIT 5. Toutefois, une nouvelle édition, dont la sortie est prévue en novembre 2018, étendra et facilitera encore cette tendance.

La nouvelle édition s’appelle COBIT 2019. Les mises à jour de COBIT ne seront dorénavant plus identifiées par des numéros de version. Au lieu de cela, elles porteront  la date de la dernière mise à jour. Cela correspond à un environnement I&T dynamique qui génère des changements à un rythme si rapide qu’il est difficile de les suivre. COBIT 2019 prend en compte ces problèmes et les résout en faisant de COBIT un cadre de gouvernance I&T dynamique pouvant être mis à jour plus rapidement, en appliquant les commentaires des utilisateurs pour qu’ils restent pertinents pour la communauté internationale des professionnels de la gouvernance.

Vos questions, nos réponses

Qu’est-ce que COBIT?

Le processus de mise à jour de COBIT a impliqué des efforts considérables pour mettre en perspective ce qu’il est et ce qu’il n’est pas. Cet article décrit chaque côté de l’équation, en commençant par ce qu’il est.

COBIT 2019 peut être décrit comme un cadre pour la gouvernance et la gestion de l’I&T des entreprises, destiné à l’ensemble de l’organisation. L’I&T d’entreprise fait référence à tous les traitements I&T mis en place par l’entreprise pour atteindre ses objectifs, quel que soit le lieu où cela se produit dans l’organisation. En d’autres termes, l’I&T d’entreprise ne se limite pas au service informatique d’une organisation, mais il est certain qu’elle l’inclut. Elle inclut aussi sans aucun doute d’autres départements tout aussi importants comme les ressources humaines.

COBIT 2019 définit les composants permettant de construire et de maintenir un système de gouvernance : politiques, processus et procédures, structures organisationnelles, flux d’informations, compétences, infrastructure, culture et comportements. Celles-ci étaient appelées «facilitateurs» (« enablers » en anglais) dans COBIT 5. Il définit également les facteurs de conception que l’organisation doit prendre en compte pour créer un système de gouvernance parfaitement adapté.

Il aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents dans des domaines prioritaires pouvant être gérés aux niveaux de maturité requis.

Qu’est-ce que COBIT n’est pas?

Après avoir décrit ce qu’est COBIT 2019, il est important de définir ce qu’il n’est pas. Cela implique de tordre définitivement le cou à certaines idées fausses au sujet de COBIT, telles que :

  • COBIT 2019 ne décrit pas complètement l’environnement I&T d’une organisation.
  • Ce n’est pas un cadre pour organiser les processus métier.
  • Ce n’est pas un cadre technique (informatique) pour gérer toutes les technologies.
  • Il ne prend ni ne prescrit aucune décision liée à l’informatique. Par exemple, il ne répond pas aux questions telles que: quelle est la meilleure stratégie informatique? Quelle est la meilleure architecture? Combien devrait coûter l’informatique? Au lieu de cela, il définit tous les composants qui décrivent quelles décisions doivent être prises, comment et par qui elles doivent être prises.

Pourquoi le logo a-t-il changé?

COBIT 5 a été publié en 2012, ce qui fait presque 7 ans. Depuis cette époque, d’autres cadres et les normes ont évolué, créant un paysage différent. L’émergence de nouvelles technologies et les tendances business en matière d’utilisation des technologies de l’information (transformation numérique, DevOps, par exemple) n’étaient pas intégrées dans COBIT 5. Un réalignement était donc nécessaire.

Pour rester pertinent, il est impératif que COBIT continue d’évoluer, ce qui nécessitera des mises à jour plus fréquentes et plus fluides. Dans le nouveau logo, la flèche rouge symbolise cette notion d’évolution continue. De plus, pour assurer un contrôle efficace des versions, toutes les mises à jour futures comporteront l’année correspondant à la publication la plus récente.

Quelles sont les publications de COBIT 2019 et quand seront-elles disponibles?

La famille de produits COBIT 2019 est n’est pas limitée aux produits qui seront prochainement publiés. Le développement de nouvelles orientations, formations et ressources pour soutenir la famille de produits COBIT 2019 sera continuellement évaluée en fonction de la demande du marché. Ce développement sera géré en cohérence avec les autres produits de l’ISACA.

Disponibles le 12 novembre 2018

  • Cadre COBIT 2019: Introduction et méthodologie – Introduction aux concepts clés de COBIT 2019.
  • Cadre COBIT 2019: Objectifs de gouvernance et de gestion. Cette publication décrit de manière exhaustive les 40 objectifs fondamentaux en matière de gouvernance et de gestion, les processus qu’ils contiennent, et d’autres composants connexes. Ce guide fait également référence à d’autres normes et référentiels du marché.

Disponibles le 10 décembre 2018

  • Guide de conception COBIT 2019: Conception d’une solution de gouvernance de l’information et de la technologie. Ce guide explore les facteurs de conception pouvant influencer la gouvernance. Il inclut un flux d’activités afin de planifier un système de gouvernance sur mesure pour l’entreprise.
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une solution de gouvernance de l’information et de la technologie. Ce titre représente une évolution du Guide de mise en œuvre de COBIT 5.  Il propose l’élaboration d’une feuille de route pour l’amélioration continue de la gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT 2019.

Les publications COBIT 2019 seront-elles gratuites pour les membres ISACA?

Dans le cadre de l’engagement de l’ISACA d’apporter une valeur optimale à ses membres, le téléchargement au format PDF des quatre publications principales de COBIT 2019 suivantes seront gratuites pour les membres :

  • Cadre COBIT 2019 : Introduction et méthodologie
  • Cadre COBIT 2019 : Objectifs de gouvernance et de gestion
  • Guide de conception COBIT 2019 : Conception d’une solution de gouvernance de l’information et de la technologie
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une Solution de gouvernance de l’information et de la technologie

De plus, les membres de l’ISACA recevront des réductions exclusives sur l’achat de publications imprimées. Pour en savoir plus, consultez le site de ‘ISACA : http://www.isaca.org/COBIT.

COBIT 2019 est-il aligné avec les autres normes et cadres internationaux?

L’un des principes directeurs appliqués tout au long du développement était de maintenir son positionnement de COBIT 2019 en tant que cadre général de gouvernance. Ainsi, il continue de s’aligner sur un certain nombre de normes, cadres et / ou réglementations pertinents. COBIT 2019 comprend des références et s’aligne sur des concepts provenant d’autres sources. Par exemple COBIT 2019 est aligné, entre autres, sur ITIL, ISO 27001, ISO 20000, DEVOPS, PRINCE2, PMBOK, TOGAF, COSO, SFIA, etc..

Dans ce contexte, l’alignement signifie que :

  • COBIT 2019 ne contredit aucune indication des référentiels et normes correspondants,
  • Le cadre COBIT 2019 ne copie pas le contenu de ces référentiels et normes associés,
  • COBIT 2019 fournit des conseils ou références équivalents aux normes et référentiels correspondants.

Une liste complète des normes et guides pratiques utilisés dans le cadre du développement de COBIT 2019 est fournie dans la présentation PPT intitulée  COBIT® 2019 Overview. Celle-ci, en anglais, est disponible dans la boîte à outils COBIT 2019 sur le site de l’ISACA. Cette liste figure également dans la publication Cadre COBIT 2019 : Introduction et méthodologie.

Y aura-t-il un cursus de formation de certification COBIT 2019?

Un nouveau parcours de formation et de certification sera proposé dès le début 2019. COBIT 2019 est un cadre en évolution continue. En conséquence, l’ISACA continuera en permanence à évaluer le marché et à proposer de nouveaux modules de formation. Les premier modules seront disponibles selon le calendrier suivant :

Janvier 2019 : Atelier de transition COBIT 5 vers COBIT 2019 (1 journée)

Ce cours de transition d’une journée présente les concepts, les modèles et les définitions clés du nouveau cadre en mettant l’accent principalement sur les différences majeures entre COBIT 2019 et COBIT 5.

Janvier 2019 : Formation et certification COBIT 2019 Foundation (3 jours)

Développée pour préparer les participants à l’examen de certification COBIT 2019 Foundation, cette formation plongera dans le contexte, les composants, les avantages et les principales raisons pour lesquelles utiliser COBIT en tant cadre de gouvernance de l’information et des technologies en entreprise.

Avril 2019 : Formation et certification COBIT 2019 Conception et mise en oeuvre (3 jours)

Cette formation de 3 jours prépare les participants à l’examen de certification COBIT 2019 Design and Implementation. Les participants apprendront comment concevoir un système de gouvernance parfaitement adapté au contexte de leur entreprise en s’appuyant sur le cadre de gouvernance de l’ISACA.

Où puis-je me former et passer les certifications?

La formation ainsi que les examens de certification seront disponibles à partir de janvier 2019. Vous pourrez y accéder via les canaux suivants:

  • Centres de formation accrédités par ISACA (via APMG ou Peoplecert);
  • Chapitres ISACA;
  • Conférences ISACA et ateliers pré-conférence;
  • Programme de formation sur site d’ISACA.

Pour ce qui nous concerne, 2AB & Associates sera accrédité par l’ISACA dès le lancement des modules de formation. Nous avons d’ores et déjà commencé le développement des trois modules initiaux prévus par ISACA. Les premières sessions COBIT 2019 Bridge et COBIT 2019 Foundation sont déjà à notre calendrier dès janvier 2019. Nous proposons également pour les personnes déjà certifiées COBIT 5 Foundation un atelier d’une journée leur permettant de faire la transition de leur certification actuelle vers la nouvelle version.

Nous organisons également, à la demande, des présentations d’une demi-journée destinées aux dirigeants des entreprises. N’hésitez pas à consulter le site www.2abassociates.fr ou www.2abassociates.ca pour en savoir plus.

Les programmes de formation COBIT 2019 remplaceront-il les formations COBIT 5?

ISACA continuera à soutenir l’accréditation et la délivrance de la formation et du cursus de certification COBIT 5. Ainsi, la formation COBIT 5 continuera à cohabiter avec la formation COBIT 2019. Il ne serait donc par judicieux de remettre votre formation COBIT à plus tard en attendant le nouveau cursus de formation/certification. Tout au contraire, nous vous invitons à profiter de notre offre promotionnelle sous forme de package Formation et certification COBIT 5 Foundation + atelier de transition vers COBIT 2019.

Les publications COBIT 5 resteront-elles disponibles en 2019?

L’ISACA continuera de soutenir les nombreuses organisations gouvernementales et  non gouvernementales qui, depuis 2012, ont mis en oeuvre COBIT 5. Tous les guides COBIT 5 (et produits dérivés) vont donc rester disponibles pour téléchargement ou achat en ligne. De plus, tous les produits, ressources et programmes de formation COBIT 5 resteront disponibles (parallèlement à COBIT 2019).

Quelles sont les différences entre COBIT 2019 et COBIT 5?

COBIT 2019 offre une plus grande flexibilité et une plus grande ouverture pour améliorer la pertinence dans le temps de COBIT.

  • L’introduction de nouveaux concepts tels que les domaines de focalisation et les facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l’entreprise.
  • La mise à jour de l’alignement sur les normes, les cadres et les meilleures pratiques améliore la pertinence de COBIT.
  • Un modèle de type «open source» permettra à la communauté mondiale de la gouvernance de contribuer aux futures mises à jour  en apportant des commentaires, en partageant des applications et en proposant des améliorations au
    cadre et aux produits dérivés en temps réel. De la sorte, de nouvelles évolutions de COBIT pourront être publiées sur une base cyclique.
  • De nouvelles orientations et de nouveaux outils soutiennent l’élaboration d’un système de gouvernance optimal. Cela rend donc COBIT 2019 plus prescriptif.

COBIT 2019 : les nouveautés

A quelques jours seulement du lancement de COBIT 2019, prévu pour le 12 novembre 2018, nous vous livrons, en avant-première, quelques informations sur cette nouvelle version du référentiel de gouvernance de l’ISACA. Bien sûr nous reviendrons plus longuement sur les aspects majeurs de COBIT 2019 dans de prochains articles.

COBIT 2019 - Les nouveautés attendues
Crédit © ISACA 2019

COBIT, reconnu internationalement comme la référence en matière de bonnes pratiques de gouvernance efficace et stratégique de l’information d’entreprise et des technologies associées (GEIT),vient d’être mis à jour avec de nouvelles publications et guides pratiques facilitant une mise en œuvre sur mesure simplifiée.

Les nouveautés attendues de COBIT 2019

Une gouvernance efficace de l’information et de la technologie est essentielle pour succès commercial de toute organisation. Cette nouvelle version cimente encore davantage le rôle continu de COBIT en tant que moteur important de l’innovation et de la transformation des entreprises.

COBIT 2019 est une évolution de la version précédente du cadre de gouvernance de l’ISACA. Construire sur les bases de COBIT 5, elle intègre les derniers développements affectant l’information d’entreprise et la technologie. Mais ce n’est pas tout.

En plus de la mise à jour du référentiel, COBIT offre maintenant davantage de ressources de mise en œuvre, des conseils pratiques plus avancés, ainsi qu’un cursus de formation complet. COBIT 2019 aide entreprises à mieux gouverner et gérer l’information et la technologie là où elle se trouve.

Une opportunité de positionnement des entreprises

COBIT 2019 offre une opportunité de mieux positionner toute entreprise en favorisant sa réussite future :

  • Nouveaux processus, tous essentiels à une entreprise, offrant une couverture étendue des données, des projets et de la conformité; mises à jour de domaines tels que cybersécurité et la protection de la vie privée; liens actualisés avec les normes, directives, réglementations et meilleures pratiques. COBIT reste le cadre de référence pour toutes les activités de gouvernance de votre entreprise.
  • Un modèle «open source» est en cours d’adaptation à partir de COBIT 2019. Il permettra à la communauté internationale de la gouvernance de proposer en temps réel des commentaires et des améliorations. Ceux-ci se combineront aux autres évolutions de COBIT. Celles-ci seront publiées sur une base continue et incorporées dans le cadre de base et dans les produits dérivés. Ainsi, vos connaissances permettront la mise à jour du référentiel, lui permettant d’évoluer avec le temps. Il ne sera donc plus nécessaire de redéfinir, ré-implémenter ou redémarrer vos efforts de gouvernance à un certain moment en vous appuyant sur un modèle ou un cadre différent.
  • La mise en œuvre de COBIT 2019 est désormais plus flexible. Elle propose de nouvelles utilisations du référentiel à la fois ciblées sur la base de projets pour des situations spécifiques de résolution de problèmes ou globales pour l’adoption à l’échelle de l’entreprise dans le cadre de la transformation numérique des organisations. COBIT permet de personnaliser une solution de gouvernance adaptée aux besoins spécifiques de chaque entreprise.
  • Le nouveau cursus de formation de COBIT 2019 vous garantit un retour sur investissement maximal de votre programme de gouvernance. Il complète ainsi les formations précédentes sur COBIT 5. Il étend désormais vos activités de gouvernance à la stratégie et aux efforts d’innovation clés pour la transformation de l’entreprise. En raison de la nature évolutive de COBIT 2019, votre formation ne deviendra jamais obsolète. Par conséquent, la formation COBIT 2019 devient un investissement qui pérennise sa valeur, tout en ouvrant des voies à l’innovation. Il n’a jamais été aussi nécessaire de suivre une formation COBITL’information et la technologie constituent les « joyaux de la couronne » de toute organisation cherchant à accroître et stimuler la croissance, à créer des avantages concurrentiels et se renforcer face aux menaces et aux risques.

Les publications constituant le noyau de COBIT 2019

Le cadre de gouvernance COBIT 2019 va bien au-delà des technologies de l’information et fonctions du service informatique. La bonne gouvernance est un élément vital pour la formulation de la stratégie et succès de la transformation de l’entreprise. COBIT 2019 peut vous aider à tracer la voie du succès pour votre entreprise ainsi que pour votre carrière et votre apprentissage.

Le noyau de COBIT 2019 incluant le cadre de référence ainsi que des guides pratiques est constitué des quatre publications.

Référentiel COBIT 2019 : Introduction et méthodologie

COBIT 2019 Introduction et méthodologieLe coeur du référentiel COBIT 2019 intègre une définition élargie de la gouvernance. Il met à jour les principes COBIT tout en établissant la structure du cadre général. Les nouveaux concepts sont introduits et la terminologie est expliquée. Le modèle central COBIT et ses 40 objectifs de gestion fournissent le socle permettant d’établir votre programme de gouvernance. Le système de gestion de la performance est mis à jour. Plus flexible, il permet désormais d’utiliser à la fois des mesures de maturité et des mesures d’aptitude.  L’introduction aux facteurs de conception et aux domaines d’intervention propose des conseils pratiques supplémentaires en vue d’une adoption flexible de COBIT 2019, que ce soit pour des projets spécifiques ou pour une mise en œuvre complète. Publication annoncée pour le 12 novembre 2018.

Référentiel COBIT 2019 : Objectifs de gouvernance et de gestion

COBIT 2019 - Objectifs de gouvernance et de gestionCette publication contient la description détaillée du modèle central COBIT. Elle décrit ses 40 mesures de gouvernance et de gestion. Chaque mesure de gouvernance ou de gestion ainsi que son objet sont définis puis mis en correspondance avec les processus, les objectifs d’alignement et les objectifs d’entreprise. De fait on y retrouve les éléments essentiels de la cascade d’objectifs.

Les informations présentées ici peuvent être utilisée de la façon similaire à celles du guide COBIT 5 – Enabling processes. Publication annoncée pour le 12 novembre 2018.

 

Guide de conception COBIT 2019

COBIT 2019 - Guide de conceptionUne question m’est régulièrement posée à l’issue des formations COBIT 5 que j’anime : comment mettre COBIT en pratique? C’est la question à laquelle réponds cette nouvelle publication. Elle propose ainsi une approche prescriptive pour l’utilisateur. Vous y trouverez des conseils pratiques sur comment adapter un système de gouvernance à des circonstances et à un contexte uniques de l’entreprise. Elle définit et énumère les divers facteurs de conception et leur lien avec les nouveaux concepts COBIT 2019.  L’impact potentiel chaque facteur de conception sur la mise en œuvre d’un système de gouvernance est analysé et des recommandations de workflows pour créer le design adapté à votre organisatione sont proposées. Publication annoncée pour le 10 décembre 2018.

Guide de mise en oeuvre de COBIT 2019

COBIT 2019 - Guide de mise en oeuvreCe guide est la mise à jour de l’ancien guide d’implémentation COBIT 5. Il adopte donc une approche similaire pour la mise en œuvre. Cependant, la nouvelle terminologie et concepts de COBIT 2019, y compris les facteurs de conception, sont intégrés à ce guide. Grâce à ce guide, la mise en oeuvre de COBIT apparaît sous un angle pratique. Elle est plus adaptable aux exigences spécifiques de gouvernance de chaque organisation. Publication annoncée pour le 10 décembre 2018.

RGPD – La loi Française enfin publiée le 20 Juin 2018

Après une « étrange » et longue bataille juridique et un recours des sénateurs d’opposition auprès du Conseil Constitutionnel, la loi Française sur la protection des données personnelles, alignée sur le règlement européen connu sous le nom de RGPD (GDPR) a enfin été promulguée le 20 juin 2018, soit près d’un mois après la date d’entrée en vigueur du RGPD. Alors que contient cette loi? Pourquoi une aussi longue bataille pour obtenir sa promulgation? Pourquoi est-il si difficile pour la France et les Français de s’aligner sur les lois et réglementations internationales?

RGPD - La loi Française sur la protection des données personnelles publiée le 20 Juin 2018
Crédits © Sondem

La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi « Informatique et libertés » du 6 janvier 1978 au règlement général sur la protection des données (RGPD) du 27 avril 2016, directement applicable dans tous les pays européens au 25 mai 2018.

La loi du 20 juin 2018 modifie la loi « informatique et libertés » de 1978 pour la mettre en conformité avec le RGPD. Notamment, sont concernés les pouvoirs et missions de la CNIL et l’élargissement des données sensibles. Elle tire également  parti des marges de manœuvre permises par le RGPD : majorité numérique, etc.. Enfin, elle s’aligne à une directive européenne publiée également le 27 avril 2016 sur les fichiers en matière pénale, dite directive « police justice ».

Adaptation du rôle de la CNIL et de ses pouvoirs de contrôle et de sanction

La composition, les missions et les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont modifiés.

L’évolution des missions de la CNIL

Le RGPD introduit une nouvelle logique de responsabilisation et d’accompagnement des acteurs traitant des données personnelles (entreprises, administrations, etc.). Les missions de la CNIL évoluent donc afin de les adapter à cette nouvelle logique. En contrepartie, les formalités préalables auprès de la CNIL prévues dans la loi de 1978 sont quasiment toutes supprimées.

En outre, et en complément des missions qu’elle exerce déjà, la CNIL est désormais chargée :

  • d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
  • de produire et de publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
  • d’encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
  • de certifier des personnes, des produits, des systèmes de données ou des procédures ;
  • de lister les fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés fondamentales des personnes.

Un rôle de conseil

Dans l’exercice de ses missions, la CNIL doit désormais prendre en compte les besoins propres des collectivités locales. Or, parmi elles, beaucoup s’inquiètent des nouvelles règles européennes. Pour les aider, la CNIL a publié sur son site internet un certain nombre de pages qui leur sont dédiées. La loi prévoit que les petites et moyennes entreprises (TPE-PME) doivent également faire l’objet d’un accompagnement personnalisé. A cet égard, la CNIL, en partenariat avec Bpifrance, a d’ores et déjà publié un guide pratique les sensibilisant au RGPD.

Un rôle consultatif vis à vis du parlement

Toujours au titre de ses missions, la CNIL peut désormais être consultée sur toute proposition de loi portant sur la protection des données personnelles par les présidents ou les commissions compétentes de l’Assemblée nationale ou du Sénat et par les présidents des groupes parlementaires.

Renforcement des pouvoirs de la CNIL en matière de contrôle et de sanction

Pouvoirs de contrôle étendus

Les pouvoirs de contrôle de la CNIL sont précisés et étendus par la loi. La nature des locaux que ses agents peuvent visiter et les conditions dans lesquelles le secret professionnel, notamment médical, peut leur être opposé sont redéfinies. De plus, pour les contrôles en ligne, ses agents peuvent dorénavant recourir à une identité d’emprunt.

Plusieurs articles de la loi sont également consacrés à la procédure de coopération entre la CNIL et les autres autorités de protection européennes en cas de traitements transnationaux (touchant des personnes de plusieurs pays européens). Le RGPD pose, en effet, de nouvelles règles en la matière. L’objectif est d‘apporter une réponse unique en cas d’atteinte au droit à la vie privée des citoyens de plusieurs pays européens. La récente affaire Cambridge Analytica-Facebook est, à cet égard, une illustration.

Pouvoirs de sanction adaptés

Les pouvoirs de sanction de la CNIL sont adaptés. De nouvelles sanctions, comme le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément, sont prévues en cas de violation des règles sur la protection des données personnelles. En outre, le montant des amendes administratives est très fortement augmenté. Elles sont désormais alignées sur le RGPD et peuvent aller jusqu’à 20 Millions d’Euros ou 4% du CA mondial annuel. Ces astreintes et amendes concernent autant les entreprises que les collectivités locales et les associations, qu’elles soient responsables d’un traitement ou sous-traitants. Seul l’État en est dispensé.

Lors de la discussion du projet de loi, le Sénat voulait exempter les collectivités locales des sanctions financières. Il souhaitait également que leur produit serve à financer l’accompagnement par l’État des responsables de traitement et de leurs sous-traitants. Il a, de plus, proposé la création d’une dotation communale et intercommunale afin d’aider les collectivités à se mettre en conformité avec le RGPD. Cette mise en conformité va, en effet, avoir un coût budgétaire pour les petites collectivités. Toutefois, ces amendements ont tous été rejetés. Néanmoins, à la demande des sénateurs, la mutualisation des services numériques entre les collectivités et leurs groupements est facilitée. Les communes peuvent, en particulier, se doter d’un délégué à la protection des données commun. Cette disposition est totalement en ligne avec le RGPD qui ne mentionnait rien à cet égard.

La CNIL a-t-elle les moyens d’exercer sa mission?

Pour assurer la bonne application du RGPD, la CNIL a clairement besoin de ressources. La présidente de la CNIL, Isabelle Falque-Pierrotin, a d’ores et déjà demandé aux pouvoirs publics plus de moyens humains. Ceux-ci seront discutés dans le cadre de la prochaine loi de finances. La CNIL emploie actuellement 200 personnes. Ce chiffre est à comparer avec ceux des autorités de protection comparables. Celles-ci comptent en général 500 ou 700 collaborateurs (comme au Royaume-Uni et en Allemagne).

Renforcement de la protection des données personnelles sensibles

Conformément au RGPD, le champ des données sensibles (sur l’origine raciale, les opinions politiques, etc.) est étendu aux données génétiques et biométriques ainsi qu’aux données relatives à l’orientation sexuelle d’une personne. En principe, ces données ne peuvent pas faire l’objet d’un traitement en raison de leur nature même.

Des dérogations à cette interdiction sont toutefois prévues par le droit européen. C’est le cas en matière de sécurité sociale ou si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques, etc.. La loi du 20 juin 2018 ajoute d’autres dérogations. Sont notamment permis les traitements de données biométriques (empreintes digitales, etc.) strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail. Sont de même autorisés les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data.

Les marges de manoeuvre permises et prévues par le RGPD

Le RGPD, bien que d’application directe, contient plus d’une cinquantaine de marges de manœuvre autorisant les États membres à préciser certaines dispositions. La plupart d’entre elles ont été utilisées pour conserver des dispositions qui existaient déjà dans la loi de 1978. La loi du 20 juin 2018 n’aménage que quelques points, afin notamment de répondre aux évolutions technologiques et sociétales.

Des formalités préalables maintenues pour certains traitements

Les formalités préalables (autorisations ou déclarations) auprès de la CNIL sont quasiment toutes supprimées. La loi en maintient cependant quelques une, comme prévu par le RGPD, pour certains traitements. Sont concernés les traitements :

  • comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, sauf exceptions ;
  • de données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes mis en œuvre pour le compte de l’État ;
  • qui intéressent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
  • de données de santé se justifiant par une finalité d’intérêt public (sécurité des médicaments, etc.).

Catégories particulières de traitement

Plusieurs dispositions de la loi sont consacrées à des catégories particulières de traitements. Sont notamment visés les traitements de données de santé, qui font l’objet d’un régime spécifique.

Sont aussi concernés les traitements de données sur les infractions, condamnations ou mesures de sûreté connexes (hors champ de la directive c’est-à-dire à d’autres fins que la prévention et la répression des infractions). Ces traitements peuvent dorénavant être effectués par une liste élargie de personnes. Citons par exemple les associations d’aide aux victimes ou de réinsertion ou des personnes mises en cause ou victimes dans une procédure pénale. En revanche, le Conseil Constitutionnel, saisi par des sénateurs Les républicains, a déclaré anticonstitutionnel l’élargissement de la mise en œuvre des tels traitements « sous le contrôle de l’autorité publique » (comme l’hébergement des données sur un serveur). Cette formulation, pourtant reprise du RGPD, a été jugée insuffisamment précise.

Droits des personnes concernées

Sur ce point encore, la loi utilise les marges de souplesse permises par le RGPD.

Protection des données personnelles concernant les enfants

Elle fixe à 15 ans la majorité numérique, c’est-à-dire l’âge à partir duquel un enfant peut consentir seul au traitement de ses données, typiquement sur les réseaux sociaux. Le gouvernement et les sénateurs souhaitaient retenir le seuil de 16 ans. C’est l’âge du consentement fixé par défaut par le RGPD. Le texte a toutefois laissé aux États la possibilité de l’abaisser jusqu’à 13 ans. C’est donc dans ce cadre que les députés ont voté l’âge de la majorité numérique à 15 ans.

Recours à des décisions individuelles automatisées

La loi ouvre, par ailleurs, plus largement la possibilité pour l’administration de recourir à des décisions individuelles automatisées. Les décisions fondées exclusivement sur un algorithme ne sont plus interdites. Néanmoins, de nouvelles garanties sont données aux administrés : droits à l’information et à l’explication (déjà consacrés par la loi pour une République numérique de 2016), droit à recours avec une intervention humaine a posteriori, obligation pour l’administration de maîtriser l’algorithme et ses évolutions (prohibition des algorithmes auto-apprenants), interdiction d’utiliser des données sensibles.

Sur ce point les deux chambres étaient à nouveau en désaccord. Les sénateurs souhaitaient encadrer plus strictement l’usage des algorithmes par l’administration. Ils demandaient aussi la transparence des algorithmes utilisés par les universités dans le cadre de Parcoursup. Or cette transparence est exclue par la loi « orientation et réussite des élèves » du 8 mars 2018). Les propositions du Sénat ont été rejetées. Cependant, sur amendement du gouvernement, le fonctionnement de Parcoursup fera l’objet, chaque année, d’un rapport au Parlement.

Dans sa décision du 12 juin 2018, le Conseil constitutionnel a jugé conforme à la Constitution les nouvelles règles régissant l’emploi des algorithmes par l’administration. Il considère que « le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme ».

Traitement des données scolaires

La loi oblige aussi les établissements publics des premier et second degrés à rendre public, à partir de la rentrée 2018, le registre de leurs traitements de données scolaires. Il s’agit entre autres de permettre aux parents d’élèves de savoir comment les données de leurs enfants sont traitées.

Actions de groupe

Les actions de groupe, déjà autorisées depuis fin 2016 pour faire cesser en justice un manquement par un responsable de traitement ou un sous-traitant, sont étendues à la réparation des préjudices matériels et moraux subis en cas de violation des données personnelles.

En vertu du RGPD, les citoyens peuvent aussi se faire représenter par les associations ou organismes actifs dans le domaine de la protection des données personnelles pour exercer en leur nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre le responsable du traitement ou sous-traitant.

Récemment, l’association La Quadrature du Net a déposé une réclamation collective auprès de la CNIL. Elle est dirigée contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft). L’association estime, en effet, que ces derniers ne respectent pas le RGPD sur le consentement « libre et éclairé » des internautes.

Le libre choix de ses applications sur smartphone

Cette disposition est issue de l’amendement « Bothorel », du nom du député qui l’a porté. Aujourd’hui, la quasi-totalité des smartphones vendus en France et en Europe sont équipés d’un système d’exploitation mobile iOS ou Android. Ces systèmes sont imposés ainsi que le moteur de recherche par défaut (souvent Google). Il n’y a donc pas de consentement véritable des utilisateurs. La loi oblige désormais les fabricants ou distributeurs de smartphones à proposer aux consommateurs plus de choix dans les applications. L’objectif est de faire un peu plus de place aux navigateurs web et moteurs de recherche « alternatifs ». Ceux-ci sont parfois plus respectueux de la protection des données personnelles de leurs utilisateurs (par ex. Qwant en France).

La transposition de la directive « police »

Enfin, la loi du 20 juin 2018 transpose la directive du 27 avril 2016 dite « police – justice ». Celle-ci harmonise le régime des traitements à finalité pénale. Il est clairement fait référence aux fichiers de police et de justice comme le fichier national des empreintes génétiques. Par contre, les fichiers de renseignement sont exclus.

Un droit à l’information est en particulier créé pour les personnes fichées en matière pénale. Ces dernières peuvent aussi désormais exercer de façon directe leur droit d’accès auprès du responsable du traitement (sauf exceptions). Elles peuvent ensuite demander la rectification des données les concernant, voire leur effacement.

Les autorités publiques doivent, par ailleurs, respecter un certain nombre d’obligations. Parmi celles-ci, citons la production d’une analyse d’impact pour les données sensibles, la tenue d’un registre des activités du traitement et d’un journal pour certaines opérations de traitement, la désignation d’un délégué à la protection des données, la communication de toute violation de données à la CNIL et à la personne concernée, etc.

De nouvelles règles sur les transferts de données personnelles vers les autorités judiciaires et les forces de l’ordre des pays hors Union européenne sont également posées.

 

RGPD: Optical Center va payer 250.000 € d’amende! Et vous?

La formation restreinte de la CNIL a prononcé le 7 mai dernier une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER. Celle-ci est accusée avoir insuffisamment sécurisé les données de ses clients effectuant une opération en ligne sur son site internet. Heureusement, à cette date, le RGPD n’était pas encore entré en vigueur. Ceci explique le montant relativement faible de l’amende infligée. Après le 25 mai, la même infraction aurait pu être sanctionnée d’une amende allant jusqu’à 20 millions d’Euros.

Et vous? Où en êtes-vous de votre mise en conformité un mois après l’entrée en vigueur des sanctions? 

RGPD la CNIL sanctionne Optical Center
Crédits © Jürgen Fälchle

C’est la première fois que la CNIL inflige une amende conséquente pour un défaut de sécurité sur un site web. Alors des questions se posent. Pourquoi et comment les données personnelles des clients d’une entreprise peuvent-elles se retrouver accessibles par un simple clic dans un navigateur… par la planète entière ?

La décision de la CNIL (Commission nationale informatique et libertés) a été prise deux semaines seulement avant l’entrée en vigueur du Règlement Général de Protection des Données Personnelles (RGPD). Après le 25 mai, Optical Center aurait pu payer jusqu’à 20 millions d’euros — ou 4% du chiffre d’affaire du groupe — au lieu des 250.000 € exigés. Ce qui est reproché à la société est très grave et nous allons essayer de l’analyser. Pourtant, l’Entreprise a été très réactive. Le défaut de sécurité sur son site web a été corrigé le lendemain de sa découverte. Cependant la CNIL a estimé qu’elle ne pouvait pas laisser une telle infraction à la loi sans sanctions. Il faut souligner que Optical Center avait déjà été condamnée à 25.000 € pour le même type de manquement en 2015.

Il s’agit d’un défaut de sécurité et non d’une faille exploitée

C’est quoi la différence?

Suite à un signalement, la CNIL a effectué un contrôle en ligne. Le site web d’Optical Center permettait l’accès direct par navigateur — sans vérification d’authentification — à 334.000 factures de ses clients. Autrement dit, n’importe qui pouvait télécharger les documents en question. Il suffisait de taper l’adresse web y donnant l’accès. Ces factures contenaient les noms et les prénoms des clients ainsi que leur adresse postale, leurs coordonnées téléphoniques et pour certains, leur numéro de sécurité sociale et des informations médicales (correction ophtalmique). Selon la CNIL, qui a été informée d’une « fuite de données conséquente » en juillet 2017 du site  www.optical-center.fr, « le site n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société ».

Le site web d’Optical Center n’a donc pas été piraté. La fuite de données provenait simplement d’un défaut d’administration du site. C’est très différent d’un piratage exploitant une « faille » du serveur. Dans le cas d’un piratage, des compétences techniques pointues auraient été nécessaires pour contourner la sécurité établie. Il aurait fallu pénétrer par un moyen technique dans le système distant afin d’y copier des fichiers. Dans l’affaire Optical Center, il n’y avait aucun besoin de prouesses techniques pour copier les 334.000 documents. L’accès aux factures des autres clients était direct, comme pour accéder à ses propres factures.

La sanction tient compte des précédents

Cette fois, la CNIL indique que Optical Center a immédiatement averti son prestataire. « Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte [de la CNIL, en charge de l’instruction des sanctions] a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société » précise l’autorité administrative indépendante.

Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334.000), la formation restreinte a décidé de rendre publique sa décision. Donc, ce sont la récidive et la quantité de données accessibles qui expliquent la lourdeur de la sanction.

Les sites internet doivent être mieux sécurisés

Le coup de poing sur la table de la CNIL

L’amende de 250.000 € à l’encontre d’Optical Center est un coup de semonce. Cela devrait faire réfléchir les entreprises sur leurs obligation de sécurisation de leurs sites web. Cette affaire n’est pas sans rappeler celle de la fuite de données sur le site web de Darty. Celle-ci avait conduit la CNIL à infliger à la célèbre marque d’électroménager une amende de 100.000 € pour des raisons similaires.

La mise en place de contrôles d’accès sécurisés, leur vérification par des administrateurs, sont le b.a.ba de la sécurité informatique — dont celle des sites internet. Il est surprenant que des entreprises recueillant des informations sur leurs clients ne soient pas en mesure de faire le minimum à ce niveau là. Ce constat est inquiétant, surtout pour des entreprises aux chiffres d’affaire importants et dont les moyens sont parfaitement suffisants pour s’assurer une « qualité normale » de sécurité de leurs sites internet.

Des entreprises focalisées uniquement sur les coûts

D’ailleurs, c’est bien là que réside la raison de ces défauts de sécurité. Payer des gens compétents est un élément vital en sécurité informatique. Or la culture des entreprises françaises, de ce point de vue là, ne semble pas être encore à la hauteur des enjeux. Les Entreprises Françaises sont malheureusement toujours focalisée sur les coûts au détriment des risques. Souvent, les salaires des techniciens sont faibles, leur nombre est insuffisant. Dans de nombreux cas les Responsables de la Sécurité des Systèmes d’Information (RSSI) sont inexistants. Enfin, plus souvent encore, l’Entreprise n’a pas nommé de CISO (Chief Information Security Officer) à son comité de direction.

De fait, les « économies » des entreprises (et des structures publiques) sont souvent réalisées sur le dos de la sécurité des SI. Par conséquent la France apparait, en matière de protection des données personnelles, comme un très mauvais élève. Un chiffre est éloquent concernant la sécurité des SI. Selon les dernières statistiques de l’ISO, la France compte 209 entreprises certifiées ISO 27001. Ce chiffre est à mettre en relation avec les statistiques de nos voisins. On recense 1338 entreprises certifiées ISO 27001 en Allemagne, 3367 au Royaume Uni, 1220 en Italie et 752 en Espagne. Il y a donc un gros travail à faire pour les Entreprises Françaises pour revenir dans la moyenne européenne.

Enfin, le dernier problème concerne les lanceurs d’alerte en sécurité informatique. Ils sont la plupart du temps attaqués en justice en France, plutôt qu’écoutés. Pas certain que dans ces conditions la sécurité des sites web n’y gagne beaucoup…

Et vous? Avez-vous pris toutes les mesures nécessaires?

Si vous en doutez, n’hésitez pas à poster vos commentaires et vos questions. Nos consultants experts se feront un plaisir de vous répondre.

RGPD/GDPR : appuyez-vous sur COBIT

Dans notre précédent article intitulé RGPD/GDPR ; Les changements au 25 Mai 2018, nous vous avons proposé 10 axes clés pour devenir conforme au RGPD. La mise en conformité est, par définition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, dès lors qu’on parle de Gouvernance, le référentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider à mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?

RGPD : comment COBIT peut vous aider
Crédits : Tatyana – Fotolia.com

Le RGPD (GDPR en Anglais) contient 99 articles définissant les exigences et les droits accordés aux citoyens de l’UE. Le RGPD (/GDPR) décrit également la structure de conformité et pénalités pour non-conformité. Chaque organisation a besoin de bien comprendre le RGPD (/GDPR) et de déterminer ses prochaines actions. Nous allons, pour les principaux sujets de préoccupation, décrire comment l’approche COBIT peut vous aider à y répondre.

Quel rapport en tre RGPD (GDPR) et COBIT?

Le RGPD (GDPR en Anglais) est une Règlementation Européenne destinée à la protection des renseignements et des données personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable à toute entreprise ou organisme, public ou privé, dans l’Espace Economique Européen. Cette loi est entrée en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Européenne) . La Commission Européenne a accordé  deux ans de grâce aux Etats et aux organisations pour se mettre en conformité. Ce délai de grâce expire le 25 Mai 2018. Par conséquent, les sanctions prévues par loi vont s’appliquer à compter cette date. De plus, il faut reconnaître que les sanctions prévues sont dissuasives (jusqu’à 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se préoccuper de leur mise en conformité. Aussi, à un mois de l’échéance, beaucoup d’entre elles commencent seulement à se poser la question. De plus, elles pensent, de façon totalement erronée, qu’il s’agit simplement d’un projet informatique de plus.

La conformité légale et réglementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas précis du RGPD, il s’agit de Gouvernance du Système d’Informations. Or le référentiel de Gouvernance du Système d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il apparaît donc clairement que COBIT 5 peut nous aider efficacement à mettre en oeuvre des exigences du RGPD (GDPR).

Quelques exigences clés du RGPD (GDPR)

Identification des données présentant un risque élevé et analyses d’impact

Les entreprises ont désormais l’obligation effectuer des analyses d’impact sur la protection des données (DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donnée présentant un risque élevé pour les droits et libertés des citoyens de l’UE. Ces analyses d’impact doivent également décrire comment l’entreprise entend aborder le risque grâce à un traitement systématique et étendu ou via des activités de surveillance. Donc, cela s’apparente à une évaluation traditionnelle des risques qui analyse les risques et les mesures en place pour y remédier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT à considérer:

  • EDM02 Ensure Benefits Delivery ;
  • EDM04 Ensure Risk Optimization ;
  • APO11 Manage Quality ;
  • APO12 Manage Risk ;
  • APO13 Manage Security ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Protection, traitement et stockage des données personnelles

Les données personnelles de chaque personne concernée doivent être traitées de manière transparente, et uniquement pour les finalités spécifiées. L’Entreprise doit garantir un niveau « raisonnable » de protection des données et des renseignements personnels. Les données doivent être traitées en toute sécurité pour se protéger contre tout accès non autorisé, perte ou dommage. Des mesures techniques et organisationnelles appropriées doivent être mises en oeuvre. Le RGPD (GDPR) ne définit pas ce que cela signifie de façon précise. Il est cependant clair que si les données sont perdues ou volées, l’entreprise est manifestement en violation de la conformité. Les principaux processus COBIT à considérer sont donc les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO02 Manage Strategy ;
  • APO03 Manage Enterprise Architecture ;
  • APO10 Manage Suppliers ;
  • BAI01 Manage Programs and Projects ;
  • BAI02 Manage Requirements Definition ;
  • BAI03 Manage Solutions Identification and Build ;
  • BAI04 Manage Availability and Capacity ;
  • BAI06 Manage Changes ;
  • BAI07 Manage Change Acceptance and Transitioning ;
  • BAI08 Manage Knowledge ;
  • BAI09 Manage Assets ;
  • BAI10 Manage Configuration.

Consentement, portabilité, droit d’accès et droit à l’oubli

Les individus doivent donner leur consentement explicite concernant le traitement de leurs données personnelles. Rappelons que le RGPD (GDPR) considère comme traitements la collecte initialel’enregistrementl’organisationla structurationla conservationl’adaptation ou la modificationl’extractionla consultationl’utilisationla communication par transmissionla diffusion ou toute autre forme de mise à dispositionle rapprochement ou l’interconnexionla limitationl’effacement jusqu’à la destruction.

Ces personnes (« les personnes concernées ») ont le droit de savoir, sur demande, quelles données personnelles une entreprise utilise et comment ces données sont utilisées. Un citoyen de l’UE peut également obtenir, sur demande, le transfert de ses données personnelles d’une entreprise à une autre dans un format lisible par machine. De plus, les entreprises ont l’obligation  d’arrêter de traiter et / ou de supprimer des données personnelles sur un citoyen de l’UE sur sa demande. Cette exigence va plus loin: il s’agit de permettre aux citoyens de l’UE le droit d’être oublié en ayant des données personnelles supprimées sur demande. Les principaux processus COBIT à considérer sont les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO08 Manage Relationships ;
  • APO09 Manage Service Agreements ;
  • APO10 Manage Suppliers ;
  • BAI08 Manage Knowledge.

Nomination d’un délégué à la protection des données

Certaines organisations ont obligation de désigner un délégué à la protection des données (DPO). Le rôle du DPO est de superviser la stratégie de sécurité des données de l’entreprise et sa conformité au RGPD (GDPR). Alors, quelles sont les  organisations qui ont l’obligation d’avoir un DPO? L’exigence s’applique à toute organisation qui traite ou stocke de grandes quantités de données sur les citoyens de l’UE. Elle s’applique également aux organisations qui traitent ou stockent des données personnelles, surveillent régulièrement les individus. Enfin elle s’applique à toutes les autorités publiques. Pour répondre à cette exigence, les principaux processus COBIT à considérer sont :

  • EDM01 Ensure Governance Framework Setting and Maintenance ;
  • APO07 Manage Human Resources ;
  • BAI05 Manage Organizational Change Enablement.

Notification des violations de données à caractère personnel

Les entreprises (et plus particulièrement les responsables du traitement) doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une violation de données à caractère personnel. Les sous-traitants sont généralement ceux qui découvrent en premier  une telle violation de données. Par conséquent, la loi les rend responsables d’informer sans délai le responsable du traitement. Beaucoup d’organisations ont déjà mis en place de telles procédures. Cependant,  peu d’entre elles effectuent régulièrement des tests pour s’assurer que les exigences sont bien respectées. Concernant cet axe de travail, les principaux processus COBIT à considérer sont :

  • DSS01 Manage Operations ;
  • DSS02 Manage Service Requests and Incidents ;
  • DSS03 Manage Problems ;
  • DSS04 Manage Continuity ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Assurer la conformité réglementaire

Pour assurer la conformité à la législation, les organisations ont l’obligation de s’évaluer, de surveiller et d’évaluer en permanence leurs contrôles et d’étudier les améliorations continues à mettre en oeuvre en termes de technologies et d’idées. Les organisations doivent également fournir l’assurance qu’elles suivent les obligations énoncées. Pour cette exigence du RGPD (GDPR) les principaux processus COBIT à améliorer sont les suivants :

  • APO04 Manage Innovation ;
  • APO05 Manage Portfolio ;
  • APO06 Manage Budget and Costs ;
  • MEA01 Monitor, Evaluate and Assess Performance and Conformance ;
  • MEA02 Monitor, Evaluate and Assess the System of Internal Control ;
  • MEA03 Monitor, Evaluate and Assess Compliance With External Requirements.

Quelques conseils et astuces pour réussir la mise en œuvre du RGPD

Pour faciliter le travail de mise en conformité, nous vous livrons ici une série de conseils et d’astuces basés sur COBIT 5. De plus, ces conseils et astuces proviennent des observations et recommandations issues de l’expérience d’organisations qui ont déjà entamé, et pour certaines terminé avec succès, leur marche vers la conformité au RGPD (GDPR). Ce qui suit est  donc, de fait, une liste des facteurs clés de succès à prendre en compte dans votre programme de mise en conformité.

1. Créez un sentiment d’urgence et de criticité au niveau du top management

Très logiquement, c’est la toute la première des choses à faire. Obtenir le soutien de niveau exécutif est clé. C’est ce soutien qui déclenchera les attitudes et provoquera les attentes nécessaires permettant d’adopter avec succès les bonnes pratiques de gouvernance. En effet ce sont ces pratiques qui permettront d’appliquer et de se conformer les exigences du RGPD. Pour obtenir ce soutien précieux, vous devez absolument convaincre le Comité de Direction de l’urgence et de la criticité de ce programme.

Astuce : Lisez COBIT 5 Implementation Guide pour plus de conseils et techniques permettant d’obtenir un soutien de niveau exécutif et faire reconnaître le besoin d’agir.

2. Considérez le RGPD comme une opportunité de créer davantage de valeur

Le RGPD n’est pas seulement un contrainte. C’est aussi l’opportunité d’améliorer les pratiques et créer davantage de valeur pour les parties prenantes de l’organisation. Bien que mettre en oeuvre et maintenir la conformité puisse sembler pesant, c’est clairement la bonne approche. Rappelez-vous que la raison d’être de l’entreprise est de créer de la valeur pour les parties prenantes. Et le RGPD  bien appliqué est un important contributeur à la création de valeur ajoutée.

Astuce : La cascade d’objectifs de COBIT 5 identifie les besoins des parties prenantes et les transforme en objectifs d’affaires. Ensuite ceux-ci sont déclinés en objectifs informatiques permettant de soutenir les objectifs métiers. Enfin, les objectifs informatiques permettent d’identifier les processus les plus appropriés sur lesquels se concentrer pour améliorer valeur pour les parties prenantes.

3. Inventoriez les pratiques et les référentiels utilisés actuellement

Identifiez les pratiques et les référentiels utilisés actuellement dans le cadre de la gouvernance et de management de l’entreprise, y compris le plan de protection des données existant. La plupart des entreprises ont déjà mis en place un tel  plan (souvent basé sur ITIL, COBIT ou ISO 27001 par exemple). Cependant elles devront le revoir et le mettre à jour pour s’assurer qu’il s’aligne bien avec les exigences du RGPD.

Astuce : Le RGPD est une préoccupation réglementaire qui peut être satisfaite en s’appuyant sur les meilleures pratiques existantes du marché telles que COBIT, ITIL, TOGAF (le référentiel d’architecture d’entreprise de l’Open Group), le cadre de l’Institut National Américain des normes et de la technologie (NIST), les normes ISO (ISO 27001, ISO 29100 par exemple) et bien d’autres. N’hésitez pas à vous appuyer sur ce qui existe déjà au sein de l’Organisation.

4. Considérez COBIT 5 un intégrateur des autres référentiels de bonnes pratiques

Ne vous arrêtez pas à un seul référentiel. Il s’agit là d’une extension de l’astuce précédente. Bien que COBIT soit le seul cadre d’affaires pour la GEIT (Gouvernance de l’Information d’Entreprise et des Technologies associées), COBIT n’est pas le seul référentiel susceptible de vous aider. Cependant, il est bien adapté pour servir de cadre pour aider à déterminer les composants nécessaires d’autres référentiel et fournir un vrai modèle GEIT.

Astuce : Le site web COBIT Online contient des informations supplémentaires à propos de cette approche https://cobitonline.isaca.org/about.

5. Nommez un DPO dès maintenant

Nommez dès maintenant un DPO et d’éventuels autres rôles pertinents. Même dans entreprises qui ne sont pas concernées par le RGPD, certains rôles sont indispensables. Ils doivent être identifiés et assignés. Ces rôles peuvent être remplis sous des noms différents. L’essentiel est que les responsabilités correspondantes soient bien attribuées sans qu’il n’y ait de conflit d’intérêt.

Astuce : La publication COBIT 5: Enabling Processes identifie les diagrammes RACI pour chacun des 37 processus de COBIT 5. Vous pouvez vous en inspirer pour identifier les rôles et responsabilités nécessaires au bon fonctionnement de votre organisation.

6. Menez une évaluation des risques

Une évaluation des risques d’entreprise permet d’aider à la prise de décision. Il est important de savoir quelles données personnelles l’entreprise stocke et traite sur les citoyens de l’UE, ainsi que le risque associé. Les évaluations des risques permettent d’identifier les risques, de déterminer des mesures pour réduire les risques et développer des plans d’actions pour gérer les risques. Avant chaque traitement important et au début de chaque nouveau projet, le RGPD impose qu’une analyse d’impact sur les données personnelles soit menée et que des actions soient prises en fonction des risques identifiés.

Astuce : COBIT 5 for Risk et ISO 31000 constituent d’excellents cadres de référence pour déterminer le processus approprié d’évaluation des risques et le relier aux exigences du RGPD.

7. Lancez un vaste programme de sensibilisation et de formation

Tout le personnel de l’organisation doit être familier avec les exigences du RGPD ainsi qu’avec leurs applications à chaque rôle spécifique de l’Entreprise. La formation est probablement l’une des actions les plus importantes qu’une entreprise peut lancer pour augmenter la probabilité de réussite d’un programme tel que la mise en conformité à la réglementation.

Astuce : Dans les entreprises qui s’appuient sur COBIT pour leur gouvernance et le suivi de leur conformité, le cours COBIT 5 Foundation constitue une excellente première étape. Dans tous les cas, une sensibilisation au RGPD  d’une journée est un bon point de départ pour l’ensemble des employés traitant des données personnelles.

8. Préparez et répétez les plans de réponse aux incidents

Planifiez les plans de réponse aux incidents. Et surtout n’oubliez pas de les tester, de les répéter et de les revoir régulièrement. La plupart des organisations ont déjà mis en place une forme de processus de gestion incidents. Cependant, le RGPD impose certaines exigences qui n’ont pas toujours été prises en compte dans le plan déjà en place. Notamment, les entreprises doivent signaler toute violation de données personnelles à l’Autorité de Contrôle dans les 72 heures suivant sa découverte. La façon dont les équipes d’intervention réagiront influera directement sur les risque d’amendes pour l’entreprise en cas de non respect des exigences.

Astuce : Améliorez les procédures existantes de gestion des incidents en vous appuyant, le cas échéant, sur les processus COBIT, ITIL ou ISO 27001 applicables et adaptez les pour créer un modèle spécifique intégrant les exigences du RGPD.

9. Focalisez-vous sur l’information

Quand on parle de protection des données personnelles, on fait référence à un type particulier d’information.. Rappelez-vous que l’information est un actif, une ressource qui, si elle n’est pas protégée peut devenir un passif. Comprendre les attributs, l’emplacement et le cycle de vie des données permet d’améliorer la capacité de l’entreprise à fournir les protections requises par le RGPD.

Astuce : COBIT 5: Enabling Information peut aider à la compréhension du cycle de vie et des attributs de l’information.

10. Effectuez des évaluations et des audits continus

Le maintien de la conformité nécessite un suivi et une amélioration continue. Il est important pour l’entreprise de ne pas laisser ses efforts s’estomper en passant à la prochaine initiative. Dans ce cas,  des surprises désagréables peuvent survenir. Poursuivez l’élan sans relâcher les efforts.

Astuce : Utilisez le modèle de mise en œuvre de COBIT (COBIT Implementation) ou l’approche d’amélioration continue des services d’ITIL (CSI) et veillez à ce les fonctions d’audit et d’audit interne soient pleinement impliquées dans la démarche.

Les apports de COBIT dans votre mise en conformité avec le RGPD

Les organisations qui se concentrent uniquement sur la conformité sont généralement celles qui n’ont pas mis en oeuvre de cadre de gouvernance. La conformité au RGPD n’est qu’une conformité supplémentaire à respecter. C’est une composante d’une initiative plus vaste basée sur un ratio risque / bénéfice. L’objectif doit être d’équilibrer cette conformité avec les performances de l’entreprise. Le référentiel COBIT 5 est complet dans la couverture de la gouvernance d’entreprise. Cependant il ne répond pas à tous les besoins de conformité d’une entreprise. Toutefois, il peut certainement fournir le cadre de gouvernance et de gestion permettant de déterminer l’approche la plus appropriée visant à créer de la valeur et de la confiance pour les parties prenantes. Dans ce cas, il permet de donner l’assurance que les données personnelles bénéficieront de bien de la confidentialité, de l’intégrité et de la disponibilité sur la base du RGPD (GDPR).

Une remarque? Un commentaire? Une question? N’hésitez pas à lancer la discussion. Nos experts sont à votre disposition pour vous répondre. Alors merci de nous laisser un commentaire sur ce blog.

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :