Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
> > > Impact du RGPD sur le Système d'Information

Impact du RGPD sur le Système d'Information

Sécurité et confidentialité. Retours d’expérience. Méthodologie. Outils disponibles.

Le RGPD renforce le droit des personnes et change le rapport avec l’autorité de contrôle pour passer d’un régime déclaratif à une logique de responsabilisation et de justification de la protection des données personnelles (accountability) par les entreprises. Il est par ailleurs basé sur des principes de coresponsabilité des sous-traitants et de « Privacy by design ».

Outre ses volets juridiques, règlementaires et organisationnels, le RGPD implique une évolution lourde du Système d’Information, la mise en œuvre d’outils logiciels (consentement, gestion des droits, pseudonymisation), de processus de sécurité adaptés (chiffrement, détection de violations), et l'évolution des méthodes de développement et de tests pour intégrer le « Privacy by design / by default ». Il impacte par ailleurs des domaines tels que le CRM, le Big Data, l’IA, l’Internet des objets. Pour certaines entreprises, il constitue l’un des plus grands chantiers informatiques de ces dernières années.

Objectifs

  • Analyser en profondeur le RGPD (Règlement européen sur la protection des données personnelles) de mise en conformité de l’entreprise et déterminer si au-delà de la date d’application du 25 mai 2018, l’impact sur les systèmes d’information et les différentes contraintes règlementaires ont été pris en compte.
  • Synthèse sur les volets juridiques, organisationnels, techniques, informatiques et méthodologiques.
  • Point sur les retours d’expérience dans différents secteurs, publics et privés.

Public

  • Responsables métiers, juridiques, informatiques, futurs DPO, CIL qui veulent apprécier dans leur globalité les différentes composantes du chantier de mise en conformité.

Prérequis

  • Connaissances de base en Systèmes d’Information.

Programme de la formation

Contexte d’évolution du cadre règlementaire  

  • Un cadre règlementaire unifié : place de la nouvelle Loi Informatique et Libertés III.
  • Trois objectifs : renforcer le droit des personnes, responsabiliser les acteurs, crédibiliser la régulation
  • De quelles données d’entreprise parle-t-on ?
  • RGPD : obligation ou opportunité? Les raisons de se conformer au RGPD : quels risques ?
  • Le coût de la mise en conformité.
  • Place de la directive Police-Justice, de la future directive e-Privacy. Evolution de la « règlementation cookies » et du Privacy Shield.
  • Rôle de la Cnil, de l’Anssi..
  • Différents contextes existants : Cloud Act, PCI-DSS, CADA, LRN, HDS, etc.
  • Approche globale et nouveaux outils : registre, étude d’impact, privacy by design, violations.
  • Responsabilisation de l’entreprise (accountability) et des sous-traitants.
  • Sanctions importantes.

Synthèse des textes et concepts fondamentaux

  • Analyse et synthèse du RGPD, de la nouvelle loi Informatique et Libertés III et des différents règlements connexes afin de dégager tous les concepts à prendre en compte.
  • Autorité de contrôle : CNIL. Nouveaux rôles. Contrôle, certifications, réclamations. CEPD : Place du Comité européen de protection des données. Contrôle de cohérence. Lignes directrices du G29 (statut, missions).
  • Code de conduite et certification : leur importance majeure à venir.
  • Communication, formation et information : sensibilisation des clients, formation des collaborateurs. Formation, information, communication. Supports et contenus de formation en fonction des personnes concernées (clients, collaborateurs).
  • Consentement : manifester une volonté et « notariser » le consentement ?
  • Coresponsabilité : quelle responsabilité des sous-traitants ?
  • Données personnelles et sensibles : Informations identifiant directement ou indirectement une personne. Différenciation données personnelles / sensibles.
  • Données transfrontalières : transferts au sein / hors Union européenne, pays hors règlementation. Cas des États-Unis.
  • DPO (Data Protection Officer) : profil, rôle, missions du DPO. A qui reporte-t-il ? Partager un DPO ? Le DPO, MOA « transverse » du RGPD.
  • Droit à la portabilité des données , d’accès, consultation, modification, effacement, oubli : délais et procédure de prise en compte. Quelles données conserver ?
  • Minimisation des données, finalité : les « données strictement nécessaires à la finalité poursuivie ».
  • Police, Justice, santé : quel impact sur la détention de données personnelles ?
  • Privacy by design : protection des données dès la conception des applications, sites Web et autres systèmes IT. Les travaux de référence (Ann Kavoukian ). Les sept principes fondamentaux.
  • Privacy by default : garantie apportée par les mesures intégrées nativement.
  • Responsable de traitement : qui est -il, quel est son rôle ? Définir un traitement et sa « licéité ».
  • Violation de données : déclaration aux autorités dans les 72 heures et information des personnes concernées.

Grandes étapes de mise en conformité

  • Une analyse globale et exhaustive des traitements et données personnelles existantes, des conditions de conformité et de sécurité, débouchant sur un plan à moyen/long terme de mise en conformité.

État des lieux et analyse préalable

  • Nommer un DPO, créer une task force, informer.
  • Analyser l’environnement juridique propre à l’entreprise.
  • Cartographier les données personnelles, définir niveaux de confidentialité et délais de conservation.
  • Cartographier traitements et processus (y compris non automatisés).
  • Procéder à une étude d’impact si nécessaire. Création du registre.
  • Inventaire des transferts et de la sous-traitance dans/hors Union européenne.
  • Identifier les écarts à partir d’une grille de conformité.

Plan d’action

  • Plan d’action sur la base de l’état des lieux : informatique, organisation, processus.
  • Répartition des tâches (DPO, métiers, DSI, RSSI, RT).
  • Comment gérer les « nouveaux » consentements, les droits des personnes, l’information préalable ?
  • Comment garantir l’intégrité des données et assurer un haut niveau de protection dès la conception (« Privacy by design ») et par défaut (« Privacy by default »).
  • Mise à niveau de l’infrastructure de sécurité SI et de la gestion des risques (cas de violation de données).
  • Règles d’entreprise contraignantes (BCR) et clauses contractuelles type.
  • Sensibiliser, informer et former.

Maintien de la conformité sur le long terme, planifier l’audit périodique de compliance.

La mise en œuvre des mesures d’« accountability »

  • Les premières mesures à prendre pour démontrer la démarche de conformité RGPD de l’entreprise.

Nomination du DPO (Data Protection Officer)

  • Est-il obligatoire ? Rôle des CIL ?
  • A qui reporte-t-il ? Partager un DPO ?
  • Lignes directrices du CEPD (statut, missions).
  • DPO, MOA « transverse » du RGPD.

Maintenance du registre

  • Inventaire des traitements. Formalisme. Informations à fournir.
  • Quels outils logiciels d’aide (ActeCIL, PrivaCIL, DPO, etc.)?

Réalisation d’analyse d’impact (PIA – Protection Impact Assessment)

  • Quels traitements y sont soumis ? Dans quel cas consulter l’autorité ?
  • Méthodologie eBios. Finalité du traitement, proportionnalité aux objectifs, risques supportés, mesures de protection, etc. L’alternative ISO 27018.
  • Rôle du RSSI. Différenciation entre risque « business » de l'entreprise et risque « personnel » du RGPD.
  • Comparaison à une grille de conformité. Les logiciels d’aide (Nymity, Avepoint, etc.). L’outil PIA de la CNIL.

Gestion des consentements et des droits

  • Quel formalisme ? Quels processus ? Quelle organisation ?

Sous-traitance et contrats

  • Typologie des garanties en fonction des prestations (logiciels, Cloud, services...).
  • Révision des documents commerciaux (CGV, CGU), contrats, etc. Apport des CCT.

Echanges avec l’étranger

  • Inventaire des pays concernés, contrôle et formalisation de l’environnement réglementaire.

Audit de conformité

  • Les points de contrôle. Les principaux KPI à produire. Les principaux SLA à suivre.

Formation, Information, Communication

  • Supports et contenus de formation en fonction des cibles (clients, collaborateurs). Diffusion d'une charte

Impacts sur le Système d’Information

  • La mise en conformité RGPD de l’entreprise a un impact majeur sur le SI, sa stratégie, son organisation, qu’il faut planifier et budgéter.

Gouvernance des données.

  • Inventaire et cartographie. Le « shadow IT ». Les outils (Varonis, Compliance Guardian, Carto-SI, etc.). Gérer les projets gouvernés par les métiers, la dispersion des données.
  • Nouvelles règles de gestion (sauvegarde, archivage) en fonction de la durée de conservation et de la hiérarchie de stockage.
  • Impact sur le Big Data, l’IoT, l’IA, la Blockchain. Vers une restriction du patrimoine informationnel ?

Gestion des droits

  • Gérer les cookies, consentements, les droits des personnes (modification, effacement, oubli). Nouveaux outils de CIAM (Consumer Identity and Access Management), de CMP (Consent Management Platform) : Gigya, Celebrus, Quantcast, Didomi, etc.
  • Adéquation de l’infrastructure de sécurité et du SMSI : cinq niveaux et quinze points de contrôle.

Sécurisation des données

  • Sécurisation des données personnelles aux niveaux PC-mobile, accès, stockage, PRA, Cloud, etc.
  • Chiffrement, pseudonymisation et anonymisation. Pour quels types de données ? Les pseudonymes sont-ils des données personnelles ? Outils logiciels (Lamane, Solix, etc.), de chiffrement (Safenet, Sophos, etc.) et CASB-Cloud Access Security Broker (SkyHigh, CipherCloud, etc.) et de gestion des droits (Forgerock, Pega, BMI)

Sécurisation des accès et détection des violations

  • Quelle politique de gestion des accès et des profils à privilèges ? ? Nouveaux outils de CIAM (Consumer Identity and Access Management).
  • Administration des risques : détecter une violation, une diffusion « extérieure » de données. La gestion de crise. Les outils de DLP (Data Leak Prevention). L’offre (Symantec, Forcepoint, etc.).

Evolution des applications : privacy by design / by default

  • L’évolution des applications et progiciels existants (CRM, marketing, service desk, etc.).
  • Privacy by Design / by Default. Intégrer dès la conception les exigences du DPO, du RSSI. Impacts au niveau cahier des charges, programmation, revue de code, tests, mise en production. Les bonnes pratiques et méthodes (Secure SDLC, OWAPS). Apports des méthodes agiles et de DevOps.
  • API et services de transfert de données (Onecub).

Impact sur la sous-traitance

  • Impact sur les offres des sous-traitants et fournisseurs, les progiciels, le Cloud. Qui doit fournir le PIA ?
  • Clauses de conformité dans les contrats (ISO, SOC, CISPE) . Cas de Microsoft et Google.
  • L’impact du RGPD sur les secteurs et les métiers : Marketing, DRH, commercial. Données de santé, e-Commerce, Programmatique.