Bonjour, veuillez faire une sélection:

(*format pdf)

(** à défaut d'un CP en format pdf, vous pouvez nous envoyer les infos ici)

Vos infos

Suivez-nous

(Mais pas de trop près quand même...)

Avis d'Experts

[Avis d’Experts] Quel cheminement juridique, technique et organisationnel pour une conformité RGPD ?

Le règlement RGPD entrera en vigueur le 25 mai 2018. Il comporte un certain nombre d’obligations vis-à-vis du détenteur des données personnelles à savoir tout citoyen européen. Alors quel cheminement juridique, technique et organisationnel faut-il emprunter pour une conformité RGPD ?

Publié

le

Quel dirigeant ou directeur métier, quel DSI ou directeur juridique, n’a pas eu ces derniers mois un flot de demandes de contacts et d’offres promotionnelles pour « gérer la conformité » RGPD ? En effet derrière ce sigle se cache l’application du Règlement européen sur la protection des données 2016/679 du 27 avril 2016 (dit Règlement « RGPD »).
Ce règlement majeur en matière de confidentialité des données personnelles entrera en vigueur le 25 mai 2018. Il comporte un certain nombre d’obligations vis-à-vis du détenteur des données personnelles à savoir tout citoyen européen. Renversant les problématiques habituelles de gestion des données, le principe d’octroi à tout un chacun de droits de gestion et d’information sur l’usage de ses données personnelles est un sacré challenge pour les informaticiens, les juristes et finalement pour tout manager chargé d’organiser son métier. Le règlement touche les entreprises comme les collectivités et les associations.

Les bonnes questions à se poser et quels sont les risques ?
Pour donner une idée globale de l’effort à fournir, il va falloir se poser des questions clés en matière juridique, technique et organisationnelle. Par exemple, quelles sont ces données personnelles ? Comment les collectons-nous ? Dans quel but ? Ce but est-il légal ? Comment protégeons-nous ces données ? Sont-elles gérées par affectation de pseudonymes, pour éviter de voir en clair de qui il s’agit ? Dans quelles applications, quelles bases de données, quelles sauvegardes ? Comment supprimons-nous ces données si la personne à laquelle elles appartiennent en fait la demande ? Comment faire face à une demande d’information ou de contrôle émanant des pouvoirs publics ou d’un groupement de personnes ? Comment gérer une fuite de données personnelles ?…
Il y a matière à œuvrer d’autant plus que les risques sont significatifs ! En effet, le RGPD prévoit des sanctions directes sous forme d’amendes (jusqu’à de 4% du CA annuel mondial ou 20M€). Sans parler de la crise de e-réputation à gérer : l’image de l’organisation peut être gravement atteinte.
Les dirigeants doivent aussi songer aux risques de sanctions civiles et pénales engendrées par le RGPD : procès intentés sous forme d’actions de groupe par les personnes lésées (clients, administrés, salariés…), procès individuels en violation d’un texte pénal (en moyenne le Code pénal prévoit des peines maximales de 1,5 M€ pour les entreprises et 5 ans d’emprisonnement).
Ceci étant dit, les dirigeants sont habitués à prendre des risques et ceux apportés par la RGPD, fussent-ils significatifs, viennent grossir des rangs déjà nourris. Il est alors important de souligner le rôle moteur que doivent prendre les collaborateurs directs du dirigeant : il s’agit des Directeurs et Managers de la Direction Juridique, de la Direction des Systèmes d’Information, des Directions Métiers.
En RGPD, le pragmatisme doit être premier et persévérant. Deux grandes phases sont à mener pour créer et gérer le processus GDPR de son organisation : la phase Concevoir et Construire, la phase Opérer et Maintenir. Elles peuvent être traitées en parallèle ou de façon consécutive selon le contexte de votre organisation.

La Phase Concevoir & Construire (Design & Build)
Première chose à faire, se donner un cadre, comprendre sa situation propre et formuler un plan d’action. Cette phase est celle qui permet de cadrer le sujet et de lancer les projets juridiques, techniques et organisationnels nécessaires. C’est une phase d’audit et d’investissement. Elle regroupe les activités visant à sensibiliser et à former le management et les effectifs, à mobiliser les ressources clés pour travailler sur les axes juridiques, techniques et organisationnels, à cadrer et initier le Registre des Traitements (un dossier clé pour les contrôles ultérieurs). C’est aussi durant cette phase que l’on effectue des audits d’impact sur la confidentialité des données personnelles (Privacy Impact Assesment PIA) et que l’on définit le programme de projets RGPD. Ce programme d’action structure les projets juridiques, techniques et organisationnels à articuler et à gérer entre 2018 et 2020. Votre organisation va devoir mettre à jour des contrats internes et externes, des applications web ou traditionnelles, des architectures informatiques, des réseaux… Aménager ou créer des procédures de travail et les faire appliquer sera aussi un enjeu majeur…

La Phase Opérer & Maintenir (Run & Maintain)
Cette phase est celle qui gère le quotidien RGPD, elle vise la création et le maintien en conditions opérationnelles, avec les niveaux de traçabilité requis. Elle regroupe les activités visant à sensibiliser et former les nouveaux entrants, à gouverner et à manager le processus RGPD (pour disposer d’un dossier clair et probant en cas de contrôle…), réaliser les opérations typiques du RGPD (détection des incidents de diffusion de données personnelles, alerte des personnes impactées et de la CNIL, accueil et réponses aux demandes d’information des personnes…). Dans la phase il s’agira également de maintenir et apurer le Registre des Traitements mais aussi les processus et procédures RGPD, les applications, l’infrastructure technique et les contrats.

La chaine de responsabilité
Durant ces deux phases, deux types d’acteurs sont à mobiliser : les processeurs « fonctionnels » qui sont les acteurs qui vont permettre de gérer les traitements et sous-traitements sous leur angle fonctionnel (à travers les différentes applications contributives) et les processeurs « techniques » qui sont les acteurs qui portent les traitements : infogérants, intégrateurs, distributeurs, constructeurs de machines, hébergeurs, data center, opérateurs télécom… Le dirigeant et son équipe directe doivent aborder la chaine de responsabilité en matière de gestion des données personnelles pour trouver la limite de partage des eaux entre la responsabilité de l’organisation et celle de tiers.

En conclusion
Il apparaît que le processus RGPD attendu par l’Europe est difficile à mettre en œuvre car il est complexe en soi et qu’il convoque d’autres sujets techniques délicats. Le renforcement de la confidentialité des données personnelles doit en particulier s’appuyer sur une bonne maturité en cybersécurité.
Ceci étant dit, pas de panique, la CNIL, organisme français chargé de contrôler l’application du règlement RGPD, saura en 2018 faire preuve de souplesse pour accompagner les organisations dans leur démarche de maturation RGPD.
Attention la mise en place de ce processus RGPD n’est pour autant ni facile ni rapide. Des compétences existent sur le marché pour accompagner le Dirigeant et ses Directions. Il est utile de faire appel à des sociétés extérieures spécialisées pour traiter les sujets juridiques, techniques et organisationnels.
Des logiciels sont également à disposition au niveau des opérations détaillées (audit d’impact, recensement des traitements, analyse des bases de données, suivi des demandes de service, suivi des alertes…) et au niveau de la visibilité globale du processus RGPD (dossier d’audit dynamique des traitements, pilotage de la maturité vers la conformité…).
C’est l’alliance de travaux détaillés et d’une vision claire des Dirigeants, Directeurs et Managers sur leur avancement global en conformité RGPD qui fera la différence. Il faut être en mesure de prouver ses actions, disposer d’un solide dossier d’audit interne, pour se préparer aux requêtes ou aux actions en justice à venir.
On notera quand même que la RGPD est aussi une source d’opportunités : proposer des produits et services conformes RGPD donne aujourd’hui une avance concurrentielle significative à toutes les organisations qui collectent et traitent des données personnelles. Ajoutons pour terminer que proposer des objets connectés aux consommateurs européens implique d’ores et déjà un fort niveau de confidentialité et de sécurité informatique « by design », dès la conception des produits et services.
Faisons confiance aux Dirigeants pour séparer le bon grain de l’ivraie en matière de confidentialité et de sécurité de l’information. « Primus habere quod necesse est, sed quod sat est » (d’abord avoir ce qui est nécessaire puis ce qui suffit) disait Sénèque dans ses Lettres à Lucillius à l’époque romaine : il serait bon de reprendre ce conseil à son compte pour naviguer plus sereinement en RGPD en ce siècle de transformation numérique intense.

 

Frédéric Vilanova
Vice-Président CLUSIR-PACA
Dirigeant d’Effective Yellow

 

Facebook Comments
Lire la suite
Commenter

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Avis d'Experts

RisingSUD lance sa chaîne de podcasts ‘’InnovatiON’’

Publié

le

Chaque dernier lundi du mois, risingSUD se propose de décrypter les grands questions d’innovation avec les entrepreneurs et experts de la région Sud. Lundi 29 juin, l’agence de développement économique de la région Sud, a en effet lancé sa chaîne de podcasts ‘’InnovatiON’’ en partenariat avec le média La Tribune.
Pour risingSUD, il est urgent, face aux mutations économiques, sociales et environnementales, de repenser et transformer nos modèles traditionnels. Pour y parvenir, un seul moyen : L’innovation (nouveaux modèles économiques, nouveaux produits, nouveaux services, nouveaux procédés …). Mais innover pour quoi et innover comment ?
Grâce à la parole d’experts réunis pour l’occasion et à des témoignages de chefs d’entreprises régionaux, les podcasts de la chaîne ‘’InnovatiON’’ donneront un éclairage pointu dur différentes thématiques liées à l’innovation et à la transformation dans l’entreprise.
Ces podcasts d’une trentaine de minutes sont à écouter et réécouter sur toutes les plateformes d’écoute.

https://podcast.ausha.co/risingsud-innov

Facebook Comments
Lire la suite

Avis d'Experts

[Avis d’expert] Pourquoi les entreprises se doivent de faire évoluer leurs organisations traditionnelles

Publié

le

Plus que jamais, les acteurs économiques de toutes tailles étudient les nouvelles méthodes de travail qui s’offrent à eux. Que ce soit à la maison, au bureau, dans un espace partagé, en public ou dans les transports, les utilisateurs peuvent désormais choisir comment ils souhaitent travailler. En ce sens, les communications unifiées, en tant que maillon important de la transformation digitale des entreprises, sont une réelle opportunité pour les entreprises, revendeurs, prestataires de services et autres partenaires externes qui peuvent ainsi mieux travailler, et ce en toute circonstance.

Une profonde évolution du marché

Dans ce contexte, nous assistons à un basculement important d’un marché centré sur la voix, vers un environnement plus intégré. Si la VoIP occupe toujours une place importante, les deux grandes étapes de l’évolution des technologies de communication sont le passage du matériel au logiciel et l’avènement des systèmes basés sur le Cloud. Bien que le marché semble évoluer, un changement de mentalité est encore nécessaire pour certaines entreprises. Pour tirer le meilleur parti de ce que sont les communications digitales, il convient désormais d’avoir une approche globale et unifiée et non cloisonnée. Chat, téléphonie, mail, visioconférence, tous ces outils doivent être pris en compte dans une approche unique.
Les applications peuvent alors interagir naturellement entre elles sur l’ensemble des équipements terminaux du marché. Cela offre une expérience utilisateur unique et contribue largement à moderniser l’approche empirique de la téléphonie traditionnelle. Il est donc stratégique d’accompagner les entreprises dans cette évolution et de les orienter vers les bonnes options. Technologies, résilience, confidentialité de données, convergence fixe-mobile sont autant de critères à prendre en considération pour faire les bons choix.

Des systèmes toujours plus intégrés et ouverts

On notera qu’à l’heure du Cloud, il est important de repenser en profondeur ses systèmes de télécommunication traditionnels. Cela va d’ailleurs être renforcé avec la fin prochaine du RTC. Sur ce point, il s’agit donc d’une réelle opportunité de s’appuyer sur des systèmes de nouvelle génération « Cloud Native » qui permettront d’accéder dès leur activation à de puissantes fonctionnalités de travail collaboratif qui répondent aux nouveaux usages de travail plébiscités par les collaborateurs. De plus, ces types d’environnements bénéficient généralement d’architectures ouvertes et flexibles qui leur permettent par exemple de se connecter aisément à des applications tierces via des interfaces (API). Ce point est capital et contribue à faire converger systèmes d’information et infrastructure télécom.
Ces différents éléments mettent clairement en évidence que nous sommes arrivés à un point de bascule sur le marché des télécommunications en entreprise. Dans un environnement toujours plus connecté, il devient incontournable de positionner les télécommunications au centre de sa démarche de transformation digitale pour permettre à ses équipes internes, partenaires et clients de collaborer toujours plus facilement, en toute sécurité et sans rupture d’exploitation. En ce sens, les sujets liés aux communications unifiées et à la convergence fixe-mobile devraient continuer de se développer à grande échelle.

par Pierre Vidalenc, Centile Telecom Applications

Facebook Comments
Lire la suite

Avis d'Experts

[Avis d’experts] 2019, une année clé pour l’hôpital 2.0

Publié

le

2019 aura incontestablement été une année clé dans le secteur de la santé. En effet, après avoir été évoqué à de maintes reprises comme incontournable, le DMP a enfin pris son envol. Dans ce contexte, les professionnels de santé (hôpitaux, cliniques, etc.) ont fortement investi et fait évoluer leurs processus de gestion pour se conformer aux nouvelles réglementations et améliorer leur qualité de service et leur relation patients. Cela s’inscrit notamment dans le cadre du programme HOP’EN pour « Hôpital numérique ouvert sur son environnement » présenté en avril 2019.

L’année de l’inter connectivité 

Une chose est sûre, l’hôpital 2.0 ne peut exister sans une parfaite interconnexion entre les applications du système d’information. A priori évident, on constate pourtant que ce chantier d’envergure est toujours d’actualité pour nombre de professionnels de santé qui recherchent à s’appuyer sur un SIH ouvert vers de nouvelles applications internes ou externes. Ce prérequis est incontournable pour se conformer aux nouvelles directives en vigueur, pour gagner en confort de travail, pour éviter les erreurs et plus globalement pour bien alimenter le dossier du patient.
En ce sens, les technologies comme l’EAI qui facilitent ces interactions sont désormais largement plébiscitées par les professionnels de santé pour leur capacité à se positionner comme un véritable chef d’orchestre pour piloter les flux et permettre de faire communiquer entre elles les différentes applications.

L’hébergement sécurisé et dédié aux professionnels de santé

Un autre point clé de l’année 2019 tient à l’hébergement des données et applications de santé. En effet très réglementé, l’hébergement des données et applications des professionnels de santé impose de s’appuyer sur des spécialistes agréés (agréments HDS, etc.). Dans ce contexte, de nombreuses offres complémentaires intégrant solutions métiers et hébergement sont nées et ont permis aux professionnels de santé de moderniser et de sécuriser leurs opérations courantes. Nous pouvons par exemple évoquer différents sujets comme ceux liés aux plateformes d’hébergement des messageries sécurisées de santé (MSsanté).

Le développement de l’IoT et de la mobilité dans les établissements de santé

L’Iot et la mobilité ont indiscutablement été des sujets technologiques majeurs en 2019 au sein des cliniques et des établissements publics de santé. Capteurs, tablettes, matériels connectés ont ainsi fait leur apparition au sein des établissements de santé (chambre, lits connectés, etc.). Les usages se sont multipliés et le nombre d’équipements utilisés s’est fortement accru. Là encore, la question de la donnée et de son exploitation et intégration au sein du SIH se positionne comme un enjeu majeur auquel il est nécessaire d’apporter des solutions pérennes et industrielles. L’interopérabilité de ces équipements avec le reste du système d’information est donc à prendre en compte dans sa stratégie de transformation.
Ces premiers éléments montrent que l’hôpital 2.0 est en marche et que les professionnels de santé sont aujourd’hui fortement concentrés sur l’évolution de leur SI pour se conformer aux nouvelles orientations et accroitre leur agilité. Le numérique va donc continuer de jouer un rôle important pour supporter cette mouvance de fond et permettre aux professionnels de santé de se transformer durablement.

par Patrick DESOT, Président de Wraptor

Facebook Comments
Lire la suite

Facebook

Trending

X
X