{"id":5500,"date":"2018-04-16T07:30:14","date_gmt":"2018-04-16T06:30:14","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=5500"},"modified":"2018-04-22T11:30:39","modified_gmt":"2018-04-22T10:30:39","slug":"cobit-vous-aide-a-devenir-conforme-au-rgpd","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/gdpr\/rgpd\/cobit-vous-aide-a-devenir-conforme-au-rgpd","title":{"rendered":"RGPD\/GDPR : appuyez-vous sur COBIT"},"content":{"rendered":"

Dans notre pr\u00e9c\u00e9dent article intitul\u00e9 RGPD\/GDPR ; Les changements au 25 Mai 2018<\/a><\/strong>, nous vous avons propos\u00e9 10 axes cl\u00e9s pour devenir conforme au RGPD. La mise en conformit\u00e9 est, par d\u00e9finition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, d\u00e8s lors qu’on parle de Gouvernance, le r\u00e9f\u00e9rentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider \u00e0 mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?<\/em><\/p>\n

\"RGPD
Cr\u00e9dits : Tatyana – Fotolia.com<\/figcaption><\/figure>\n

Le RGPD (GDPR en Anglais) contient 99 articles d\u00e9finissant les exigences\u00a0et les droits accord\u00e9s aux citoyens de l’UE. Le RGPD (\/GDPR) d\u00e9crit \u00e9galement la structure de conformit\u00e9 et p\u00e9nalit\u00e9s pour non-conformit\u00e9. Chaque organisation a besoin de bien comprendre\u00a0le RGPD (\/GDPR) et de d\u00e9terminer ses prochaines actions. Nous allons, pour les principaux sujets de pr\u00e9occupation, d\u00e9crire comment l’approche COBIT peut vous aider \u00e0 y r\u00e9pondre.<\/p>\n

Quel rapport en tre RGPD (GDPR) et COBIT?<\/h2>\n

Le RGPD (GDPR en Anglais) est une R\u00e8glementation Europ\u00e9enne destin\u00e9e \u00e0 la protection des renseignements et des donn\u00e9es personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable \u00e0 toute entreprise ou organisme, public ou priv\u00e9, dans l’Espace Economique Europ\u00e9en<\/strong>. Cette loi est entr\u00e9e en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Europ\u00e9enne) . La Commission Europ\u00e9enne a accord\u00e9 \u00a0deux ans de gr\u00e2ce aux Etats et aux organisations pour se mettre en conformit\u00e9. Ce d\u00e9lai de gr\u00e2ce expire le 25 Mai 2018. Par cons\u00e9quent, les sanctions pr\u00e9vues par loi vont s’appliquer \u00e0 compter cette date. De plus, il faut reconna\u00eetre que les sanctions pr\u00e9vues sont dissuasives (jusqu’\u00e0 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).<\/p>\n

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se pr\u00e9occuper de leur mise en conformit\u00e9. Aussi, \u00e0 un mois de l’\u00e9ch\u00e9ance, beaucoup d’entre elles commencent seulement \u00e0 se poser la question. De plus, elles pensent, de fa\u00e7on totalement erron\u00e9e, qu’il s’agit simplement d’un projet informatique de plus.<\/p>\n

La conformit\u00e9 l\u00e9gale et r\u00e9glementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas pr\u00e9cis du RGPD, il s’agit de Gouvernance du Syst\u00e8me d’Informations. Or le r\u00e9f\u00e9rentiel de Gouvernance du Syst\u00e8me d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il appara\u00eet donc clairement que COBIT 5 peut nous aider efficacement \u00e0 mettre en oeuvre des exigences du RGPD (GDPR).<\/p>\n

Quelques exigences cl\u00e9s du RGPD (GDPR)<\/h2>\n

Identification des donn\u00e9es pr\u00e9sentant un risque \u00e9lev\u00e9 et analyses d’impact<\/h3>\n

Les entreprises ont d\u00e9sormais l’obligation effectuer des analyses d’impact sur la protection des donn\u00e9es\u00a0(DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donn\u00e9e pr\u00e9sentant un\u00a0risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des citoyens de l’UE. Ces\u00a0analyses d’impact doivent \u00e9galement d\u00e9crire comment l’entreprise entend aborder le risque gr\u00e2ce \u00e0 un traitement syst\u00e9matique et \u00e9tendu\u00a0ou via des activit\u00e9s de surveillance. Donc, cela s’apparente \u00e0 une \u00e9valuation traditionnelle des risques qui\u00a0analyse les risques et les mesures en place pour y rem\u00e9dier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT \u00e0 consid\u00e9rer:<\/p>\n