Bonjour, veuillez faire une sélection:

(*format pdf)

(** à défaut d'un CP en format pdf, vous pouvez nous envoyer les infos ici)

Vos infos

Suivez-nous

(Mais pas de trop près quand même...)

Avis d'Experts

[Avis d’experts] La dématérialisation des échanges : un sujet complexe et à plusieurs visages

Publié

le

La généralisation des échanges électroniques est aujourd’hui une réalité concrète pour l’ensemble des entreprises. TPE, ETI, PME, grands comptes, organismes publics, toutes les structures sont concernées et voient leurs traditionnels échanges papiers passer à l’électronique. Dans ce contexte, la dématérialisation n’est plus un choix, mais une obligation qui nécessite d’être pensée dans une logique réellement globale pour fonctionner correctement.
C’est aussi un de ces rares cas où les efforts consentis pour passer à la dématérialisation amènent rapidement des retours positifs en termes de : traçabilité documentaire (minimisation des pertes), rapidité d’accès à l’information, sécurité des échanges et surtout économies à court terme.

Prendre de la hauteur sur son projet
Un premier point à prendre en compte tient tout simplement à bien analyser l’ensemble des flux et des documents qui seront gérés de manière dématérialisée. En effet, en fonction de leur nature, différents processus voire obligations seront nécessaires : contrats, factures, documents RH, etc., sont autant de cas d’usage différents. Attention donc à avoir une vue d’ensemble de tous les documents qui seront numérisés et échangés électroniquement en considérant également leur criticité et leur devenir.

Le point sur les factures
Concernant les factures, qui est un poste qui concerne tous les acteurs, il est fondamental de bien comprendre que l’édition et l’échange électronique de ces documents doivent reposer sur une méthodologie normalisée et compatible avec la législation en vigueur. Sur ce point, nous pouvons notamment évoquer le cas des entreprises qui travaillent avec le secteur public et qui doivent répondre aux obligations de Chorus Pro. Cette démarche aujourd’hui réservée aux fournisseurs des administrations a d’ailleurs son pendant dans le cadre de la facturation inter-entreprises également. Attention donc à entrer dans une logique de professionnalisation de la gestion des factures électroniques, conforme à la réglementation fiscale et qui ne peut donc se limiter à l’envoi d’un simple PDF joint dans un mail.

Le point lié à l’archivage des documents électroniques
Trop souvent encore les SAE (Systèmes d’Archivage Electronique) sont méconnus ou confondus avec des GED (Gestion Electronique de Documents)
Sur ce point, une vigilance particulière est également nécessaire pour réaliser un réel archivage à valeur légale et à force probatoire (i.e. pouvant avoir force de preuve en cas de litige).
Pour répondre à des obligations fonctionnelles, réglementaires et normées, l’archivage à valeur probatoire doit pouvoir garantir l’authenticité, l’intégrité et la lisibilité des pièces qui y sont versées. En effet, il est devenu très facile de modifier et falsifier un document bureautique ou PDF. Aussi, une SAE doit-il à la fois prendre en compte des notions purement technologiques, mais aussi intégrer des données réglementaires et métier, telles que le temps de conservation en fonction des documents par exemple. Globalement, les grandes fonctionnalités d’un système d’archivage électronique résident essentiellement dans le fait d’admettre que seule la version finale soit archivée et que sa destruction ne peut se faire que dans des cas bien précis et de manière « supervisée ». Pour arriver à cette finalité, un contrôle rigoureux des durées de conservation et de la présence de certaines données est absolument nécessaire.
Ces quelques points illustrent parfaitement que la dématérialisation de documents ne peut être traitée sans prendre de la hauteur. A titre d’exemple : beaucoup confondent encore les notions de stockage, sauvegarde et archivage (à caractère légal). Il est donc nécessaire de lancer son projet en prenant les bonnes décisions pour respecter tous les prérequis nécessaires afin de se conformer aux usages et à la réglementation en vigueur.

 

 

 

 

 

Par Joël SPITALIER, Directeur Commercial de Prologue Numérique

 

Facebook Comments
Lire la suite
Commenter

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Avis d'Experts

[Avis d’experts] Cybersécurité 2019 : toujours autant d’attaques à venir

Publié

le

Cela ne surprendra personne : une nouvelle fois, la cybersécurité se positionne comme l’une des principales menaces pour les particuliers et professionnels. Transformation digitale, usage toujours plus important du numérique en toutes situations, etc. Nous sommes plus que jamais dépendants du digital à tous les niveaux. Dans ce contexte, les pirates disposent aujourd’hui d’un terrain de jeu attractif pour lancer des attaques toujours plus nombreuses et qui tirent encore parti du manque de sensibilisation des utilisateurs professionnels et particuliers.

Des attaques en forte croissance
La majorité des études publiées en France comme à l’international s’accordent à affirmer que les cyber attaques connaissent aujourd’hui une forte poussée (croissance à deux chiffres). Mais quelles sont ces attaques et comment se manifestent-elles ? Un premier constat est lié à leur nature.
Bien entendu, les attaques évoluent et certaines sont même très perfectionnées, mais dans leur généralité, elles restent massives et traditionnelles : phishing, vol de données, etc. Ce point est particulièrement important et nous amène à nous poser la question de la crédulité des internautes qui se laissent encore piéger en cliquant sur des liens qu’ils reçoivent dans leurs emails : fausse identification de coordonnées bancaires, télécoms, etc. La liste est longue et l’imagination des hackers débordante.

Rien de nouveau sous le soleil
Les traditionnelles tentatives de fraude réalisées par mail ne sont donc pas épuisées et connaissent une forte croissance. Incontestablement, il n’existe pas une recette miracle pour lutter efficacement contre ce phénomène mais plusieurs points à prendre en considération.
Le premier est la sensibilisation des internautes aux bonnes pratiques (nous nous trouvons ici dans une démarche orientée formation).  Le deuxième pilier est constitué de son côté de la réponse technologique. En effet, en complément d’une nécessaire vigilance, il est important de sécuriser ses stations de travail, mobiles, serveurs et boites mails en s’appuyant sur des dispositifs adaptés à cette tâche. Ces précautions (formations et outils) de bons sens sont incontournables pour limiter sa courbe d’exposition au risque cyber et se protéger le mieux possible.

Ces différents éléments montrent une nouvelle fois que marteler des messages concrets est une nécessité pour limiter les brèches et contenir les problématiques d’intrusion, de chantage et de vols de données numériques. Un retour aux basiques et une veille active des nouvelles vulnérabilités sont donc nécessaires pour se protéger efficacement.

 

 

Par Justine GRETTEN, Chef de projet marketing chez Mailinblack

Facebook Comments
Lire la suite

Avis d'Experts

[Expert] Ce qu’il faut savoir avant de s’engager dans la jungle des photocopieurs et des contrats de leasing

Publié

le

Les photocopieurs sont un poste budgétaire important dans les PME et les entreprises utilisatrices remontent très souvent les mêmes insatisfactions : loyer trop élevé, augmentation du prix des consommables, insatisfaction du service et engagement impossible à solder…
Première idée reçue : vous n’avez pas besoin d’attendre la fin de votre contrat pour le remettre en question et faire des économies !!!

 

LE LEASER
Les frais de dossier : ils ne sont pas demandés par tous les leasers, néanmoins vous pouvez demander de les faire retirer ou offrir.
L’assurance proposée par un leaser n’est absolument pas une obligation à partir du moment où vous avez déjà votre propre assurance professionnelle et que vous pouvez en justifier. Dans ce cas le loyer ne sera pas majoré.
Prorata temporis : vérifiez que le leaser ne vous fasse pas payer un loyer au prorata temporis. En effet, dans la plupart des cas, ce loyer n’est qu’un prétexte pour faire payer au client un loyer supplémentaire qui vient s’ajouter à ceux initialement prévus.

LE CONTRAT
Dénonciation d’un contrat : vous pouvez toujours résilier un contrat ou demander à ce qu’il ne reparte pas par tacite reconduction. Dans les deux cas, les loyers se règlent habituellement terme à échoir, les CGV précisent de faire un courrier 3 mois avant la dernière échéance. Il faut donc envoyer le courrier (en recommandé) 6 mois avant la fin du contrat, au moins trois mois avant le dernier loyer prélevé.
Astuce : adressez-le recommandé avec accusé de réception pour demander la non tacite reconduction le jour même de la signature du contrat pour ne pas oublier ;-).

LE FOURNISSEUR
Faites attention aux offres trop alléchantes et notamment, celles qui consistent à recevoir, un chèque de la part du fournisseur avec l’obligation de revoir le contrat bien avant son terme! En effet lors de la revue du contrat le loyer va augmenter mécaniquement pour rembourser le “crédit” du chèque.
Ne renouvelez pas votre matériel avant la fin du contrat sans raison valable (économies ou nouveau besoin technique). Il faut renouveler votre matériel uniquement à la fin du contrat quand sa valeur résiduelle est nulle. Personne ne fait de cadeau. le changement de matériel avant la fin du contrat entraîne indéniablement un coût.

Exemple d’offre et discours du vendeur.
Voici un exemple de proposition financière indélicate pour un système d’impression avec renouvellement de matériel au bout de 20 mois. (Les chiffres ont été arrondis pour une meilleur compréhension.)
Monsieur le client, je vous propose ce matériel pour 100€ par mois sur une durée de 5 ans (60 mois) et je vous verse un chèque de 2 000€ (de subvention publicitaire par exemple). Dans 20 mois, nous vous refaisons un chèque de 2 000€ en renouvelant l’opération.
A première vue, l’offre est intéressante mais lorsque vous réalisez le calcul et que vous vous projetez dans le temps (20 mois plus tard), vous découvrez le cadeau empoisonné. Pourquoi empoisonné? Le 21ème mois, le fournisseur remplace le matériel et vous fait un nouveau chèque de 2000€, malheureusement, votre loyer ne sera plus de 100€ par mois.
En effet, dans ce nouveau loyer il y aura le nouveau matériel, le nouveau chèque de 2000€, le coût de la nouvelle machine mais également et surtout, le solde des 40 mois restant du premier contrat qui n’est pas arrivé à terme. Soit : 4 000€.
Résultat de cette gymnastique commerciale : Votre nouveau loyer s’élèvera à 227€ par mois au lieu des 100€ du premier contrat. Et ainsi de suite au bout de 20 mois …
Si vous ne souhaitez pas voir vos factures s’envoler, vous serez obligé de resigner le même type de contrat tout simplement parce que dans le contrat initial, le fournisseur a incorporé le volume d’impressions habituel dans le loyer et ce pour une durée de 20 mois. Ce qui a pour effet, dans le cas où vous ne souhaitez pas renouveler votre matériel, d’autoriser le partenaire à facturer votre volume d’impression au prix fort.

Alors comment échapper à tout cela ?
N’acceptez pas un contrat avec renégociation obligatoire avant le terme.
N’acceptez pas de renouveler votre contrat de manière anticipée si le besoin ne se fait pas sentir.
Evitez les engagements de copies, en effet, il n’est pas nécessaire d’avoir un engagement pour avoir un coût d’impression bas. D’autre part, ne pas avoir d’engagement permettra également une résiliation anticipée éventuelle plus facile et moins coûteuse.
Attendez d’un partenaire fournisseur qu’il vous équipe d’un matériel correspondant à vos besoins.
Mettez en concurrence pour mieux comprendre les différences d’un fournisseur à un autre.

Le juste prix ?
Sur la base des pratiques observées chez les clients de Phoceos par leurs fournisseurs,  le cabinet d’expertise vous propose un calculateur simple qui vous permettra d’estimer le juste prix à payer de votre loyer en fonction de votre besoin et renégocier votre contrat !

Article signé par Joël Robic
Phoceos, Cabinet d’expertise et de conseil en SI pour les PME.
www.phoceos.fr

 

Facebook Comments
Lire la suite

Avis d'Experts

[Avis d’Experts] Quel cheminement juridique, technique et organisationnel pour une conformité RGPD ?

Le règlement RGPD entrera en vigueur le 25 mai 2018. Il comporte un certain nombre d’obligations vis-à-vis du détenteur des données personnelles à savoir tout citoyen européen. Alors quel cheminement juridique, technique et organisationnel faut-il emprunter pour une conformité RGPD ?

Publié

le

Quel dirigeant ou directeur métier, quel DSI ou directeur juridique, n’a pas eu ces derniers mois un flot de demandes de contacts et d’offres promotionnelles pour « gérer la conformité » RGPD ? En effet derrière ce sigle se cache l’application du Règlement européen sur la protection des données 2016/679 du 27 avril 2016 (dit Règlement « RGPD »).
Ce règlement majeur en matière de confidentialité des données personnelles entrera en vigueur le 25 mai 2018. Il comporte un certain nombre d’obligations vis-à-vis du détenteur des données personnelles à savoir tout citoyen européen. Renversant les problématiques habituelles de gestion des données, le principe d’octroi à tout un chacun de droits de gestion et d’information sur l’usage de ses données personnelles est un sacré challenge pour les informaticiens, les juristes et finalement pour tout manager chargé d’organiser son métier. Le règlement touche les entreprises comme les collectivités et les associations.

Les bonnes questions à se poser et quels sont les risques ?
Pour donner une idée globale de l’effort à fournir, il va falloir se poser des questions clés en matière juridique, technique et organisationnelle. Par exemple, quelles sont ces données personnelles ? Comment les collectons-nous ? Dans quel but ? Ce but est-il légal ? Comment protégeons-nous ces données ? Sont-elles gérées par affectation de pseudonymes, pour éviter de voir en clair de qui il s’agit ? Dans quelles applications, quelles bases de données, quelles sauvegardes ? Comment supprimons-nous ces données si la personne à laquelle elles appartiennent en fait la demande ? Comment faire face à une demande d’information ou de contrôle émanant des pouvoirs publics ou d’un groupement de personnes ? Comment gérer une fuite de données personnelles ?…
Il y a matière à œuvrer d’autant plus que les risques sont significatifs ! En effet, le RGPD prévoit des sanctions directes sous forme d’amendes (jusqu’à de 4% du CA annuel mondial ou 20M€). Sans parler de la crise de e-réputation à gérer : l’image de l’organisation peut être gravement atteinte.
Les dirigeants doivent aussi songer aux risques de sanctions civiles et pénales engendrées par le RGPD : procès intentés sous forme d’actions de groupe par les personnes lésées (clients, administrés, salariés…), procès individuels en violation d’un texte pénal (en moyenne le Code pénal prévoit des peines maximales de 1,5 M€ pour les entreprises et 5 ans d’emprisonnement).
Ceci étant dit, les dirigeants sont habitués à prendre des risques et ceux apportés par la RGPD, fussent-ils significatifs, viennent grossir des rangs déjà nourris. Il est alors important de souligner le rôle moteur que doivent prendre les collaborateurs directs du dirigeant : il s’agit des Directeurs et Managers de la Direction Juridique, de la Direction des Systèmes d’Information, des Directions Métiers.
En RGPD, le pragmatisme doit être premier et persévérant. Deux grandes phases sont à mener pour créer et gérer le processus GDPR de son organisation : la phase Concevoir et Construire, la phase Opérer et Maintenir. Elles peuvent être traitées en parallèle ou de façon consécutive selon le contexte de votre organisation.

La Phase Concevoir & Construire (Design & Build)
Première chose à faire, se donner un cadre, comprendre sa situation propre et formuler un plan d’action. Cette phase est celle qui permet de cadrer le sujet et de lancer les projets juridiques, techniques et organisationnels nécessaires. C’est une phase d’audit et d’investissement. Elle regroupe les activités visant à sensibiliser et à former le management et les effectifs, à mobiliser les ressources clés pour travailler sur les axes juridiques, techniques et organisationnels, à cadrer et initier le Registre des Traitements (un dossier clé pour les contrôles ultérieurs). C’est aussi durant cette phase que l’on effectue des audits d’impact sur la confidentialité des données personnelles (Privacy Impact Assesment PIA) et que l’on définit le programme de projets RGPD. Ce programme d’action structure les projets juridiques, techniques et organisationnels à articuler et à gérer entre 2018 et 2020. Votre organisation va devoir mettre à jour des contrats internes et externes, des applications web ou traditionnelles, des architectures informatiques, des réseaux… Aménager ou créer des procédures de travail et les faire appliquer sera aussi un enjeu majeur…

La Phase Opérer & Maintenir (Run & Maintain)
Cette phase est celle qui gère le quotidien RGPD, elle vise la création et le maintien en conditions opérationnelles, avec les niveaux de traçabilité requis. Elle regroupe les activités visant à sensibiliser et former les nouveaux entrants, à gouverner et à manager le processus RGPD (pour disposer d’un dossier clair et probant en cas de contrôle…), réaliser les opérations typiques du RGPD (détection des incidents de diffusion de données personnelles, alerte des personnes impactées et de la CNIL, accueil et réponses aux demandes d’information des personnes…). Dans la phase il s’agira également de maintenir et apurer le Registre des Traitements mais aussi les processus et procédures RGPD, les applications, l’infrastructure technique et les contrats.

La chaine de responsabilité
Durant ces deux phases, deux types d’acteurs sont à mobiliser : les processeurs « fonctionnels » qui sont les acteurs qui vont permettre de gérer les traitements et sous-traitements sous leur angle fonctionnel (à travers les différentes applications contributives) et les processeurs « techniques » qui sont les acteurs qui portent les traitements : infogérants, intégrateurs, distributeurs, constructeurs de machines, hébergeurs, data center, opérateurs télécom… Le dirigeant et son équipe directe doivent aborder la chaine de responsabilité en matière de gestion des données personnelles pour trouver la limite de partage des eaux entre la responsabilité de l’organisation et celle de tiers.

En conclusion
Il apparaît que le processus RGPD attendu par l’Europe est difficile à mettre en œuvre car il est complexe en soi et qu’il convoque d’autres sujets techniques délicats. Le renforcement de la confidentialité des données personnelles doit en particulier s’appuyer sur une bonne maturité en cybersécurité.
Ceci étant dit, pas de panique, la CNIL, organisme français chargé de contrôler l’application du règlement RGPD, saura en 2018 faire preuve de souplesse pour accompagner les organisations dans leur démarche de maturation RGPD.
Attention la mise en place de ce processus RGPD n’est pour autant ni facile ni rapide. Des compétences existent sur le marché pour accompagner le Dirigeant et ses Directions. Il est utile de faire appel à des sociétés extérieures spécialisées pour traiter les sujets juridiques, techniques et organisationnels.
Des logiciels sont également à disposition au niveau des opérations détaillées (audit d’impact, recensement des traitements, analyse des bases de données, suivi des demandes de service, suivi des alertes…) et au niveau de la visibilité globale du processus RGPD (dossier d’audit dynamique des traitements, pilotage de la maturité vers la conformité…).
C’est l’alliance de travaux détaillés et d’une vision claire des Dirigeants, Directeurs et Managers sur leur avancement global en conformité RGPD qui fera la différence. Il faut être en mesure de prouver ses actions, disposer d’un solide dossier d’audit interne, pour se préparer aux requêtes ou aux actions en justice à venir.
On notera quand même que la RGPD est aussi une source d’opportunités : proposer des produits et services conformes RGPD donne aujourd’hui une avance concurrentielle significative à toutes les organisations qui collectent et traitent des données personnelles. Ajoutons pour terminer que proposer des objets connectés aux consommateurs européens implique d’ores et déjà un fort niveau de confidentialité et de sécurité informatique « by design », dès la conception des produits et services.
Faisons confiance aux Dirigeants pour séparer le bon grain de l’ivraie en matière de confidentialité et de sécurité de l’information. « Primus habere quod necesse est, sed quod sat est » (d’abord avoir ce qui est nécessaire puis ce qui suffit) disait Sénèque dans ses Lettres à Lucillius à l’époque romaine : il serait bon de reprendre ce conseil à son compte pour naviguer plus sereinement en RGPD en ce siècle de transformation numérique intense.

 

Frédéric Vilanova
Vice-Président CLUSIR-PACA
Dirigeant d’Effective Yellow

 

Facebook Comments
Lire la suite

Facebook

Trending

X
X