Le RGPD, véritable opportunité vers la gouvernance de l’information
1. Le RGPD, véritable opportunité
vers la gouvernance de
l’information
Rietsch Jean-Marc
Expert en dématique* et
transformation numérique
*Contraction de dématérialisation et d’informatique la dématique correspond à la science traitant de la démat, de la digitalisation, de la conservation de données
numériques et de l’archivage électronique
2. 2
Plan de l’exposé
Introduction
1. Rappel objectifs et démarche CNIL
2. Ouverture de la démarche, homologation - gouvernance
3. So what ? Démarche proposée, exemple
Conclusion
3. 3
Introduction
Toute règlementation méfiance
Prendre un peu de recul RGPD peu de changements
sur le fond mais plutôt dans la forme (les sanctions)
Méthodologie non spécifique au RGPD, à traiter en
parallèle de l’homologation des SI
Demande à être étendue DPO au CTO
4. 4
Rappel objectifs RGPD
Renforcer les droits des personnes
Expression du consentement clairement définie
Droit à la portabilité des données
Droit à la réparation des dommages matériel ou moral
Responsabiliser les acteurs traitant des données
Des responsabilités partagées et précisées
Représentant légal : point de contact de l’autorité. Il a mandat pour « être
consulté en complément ou à la place du responsables de traitement sur
toutes les questions relatives aux traitements »
Le sous-traitant : Il a notamment une obligation de conseil auprès du
responsables de traitement pour la conformité à certaines obligations du
règlement (PIA, failles, sécurité, destruction des données, contribution aux
audits)
Crédibiliser la régulation grâce à une coopération
renforcée entre les autorités de protection des données
6. 6
Démarche proposée par la CNIL 1/3
1. Désigner un pilote
Pour piloter la gouvernance des données personnelles : le délégué à la
protection des données qui exercera une mission d’information, de
conseil et de contrôle en interne
2. Cartographier les traitements de données personnelles
Élaboration d'un registre des traitements :
• Qui ?
• Quoi
• Pourquoi ?
• Jusqu’à quand ?
• Comment ?
7. 7
Démarche proposée par la CNIL 2/3
3. Prioriser les actions à mener
Sur la base du registre, identifiez les actions à mener pour vous
conformer aux obligations actuelles et à venir.
Priorisez ces actions au regard des risques que font peser les
traitements sur les droits et les libertés des personnes concernées
4. Gérer les risques
S’il existe des traitements susceptibles d'engendrer des risques élevés
nécessite une analyse d'impact sur la vie privée (PIA) :
• Description du traitement et de ses finalités
• Évaluation de la nécessité et de la proportionnalité du traitement
• Appréciation des risques sur les droits et libertés des personnes
concernées
• Mesures envisagées pour traiter ces risques et se conformer au règlement
8. 8
Démarche proposée par la CNIL 3/3
5. Organiser les processus internes
Mettre en place des procédures internes qui garantissent la prise en
compte de la protection des données à tout moment,
Prendre en compte l’ensemble des événements qui peuvent survenir au
cours de la vie d’un traitement : faille de sécurité, gestion des demande
de rectification ou d’accès, modification des données collectées,
changement de prestataire…
6. Documenter la conformité
Pour prouver la conformité au règlement : constituer et regrouper la
documentation nécessaire
Actions et documents réalisés à chaque étape doivent être réexaminés
et actualisés régulièrement pour assurer une protection des données en
continu
10. 10
Homologation d’un SI (source ANSSI)
Définition de la stratégie d’homologation
Étape 1 : Quel système d’information dois-je homologuer et
pourquoi ?
Étape 2 : Quel type de démarche dois-je mettre en oeuvre ?
Étape 3 : Qui contribue à la démarche ?
Étape 4 : Comment s’organise-t-on pour recueillir et présenter les
informations?
Maîtrise des risques
Étape 5 : Quels sont les risques pesant sur le système ?
Étape 6 : La réalité correspond-elle à l’analyse ?
Étape 7 : Quelles sont les mesures de sécurité supplémentaires à
mettre en œuvre pour couvrir ces risques ?
Prise de décision
Étape 8 : Comment réaliser la décision d’homologation ?
Suivi a posteriori
Étape 9 : Qu’est-il prévu pour maintenir la sécurité et continuer de
l’améliorer ?
11. 11
RGPD et homologation SI 1/5
1. Désigner un pilote
Étape no 3 : Qui contribue à la démarche ? Identifier les
acteurs de l’homologation et leur rôle (décisionnaire,
assistance, expertise technique, etc.)
12. 12
RGPD et homologation SI 2/5
2. Cartographier
Étape no 1 : Quel système d’information dois-je
homologuer et pourquoi ? Définir le référentiel
réglementaire applicable et délimiter le périmètre du
système à homologuer.
Étape no 4 : Comment s’organise-t-on pour recueillir et présenter
les informations ? Détailler le contenu du dossier d’homologation et
définir le planning.
Étape no 5 : Quels sont les risques pesant sur le système ?
Analyser les risques pesant sur le système en fonction du contexte
et de la nature de l’organisme et fixer les objectifs de sécurité.
Étape no 6 : La réalité correspond-elle à l’analyse ? Mesurer l’écart
entre les objectifs et la réalité.
13. 13
RGPD et homologation SI 3/5
3. Prioriser
Étape no 2 : Quel type de démarche dois-je mettre en
œuvre ? Estimer les enjeux de sécurité du système et en
déduire la profondeur nécessaire de la démarche à
mettre en œuvre.
4. Gérer les risques
Étape no 7 : Quelles sont les mesures de sécurité
supplémentaires à mettre en œuvre pour couvrir ces
risques ? Analyser et mettre en œuvre les mesures
nécessaires à la réduction des risques pesant sur le
système d’information. Identifier les risques résiduels.
14. 14
RGPD et homologation SI 4/5
5. Organiser
Étape no 8 : Comment réaliser la décision
d’homologation ? Accepter les risques résiduels :
l’autorité d’homologation signe une attestation formelle
autorisant la mise en service du système d’information,
du point de vue de la sécurité.
Étape no 9 : Qu’est-il prévu pour maintenir la sécurité et
continuer de l’améliorer ? Mettre en place une procédure
de révision périodique de l’homologation et un plan
d’action pour traiter les risques résiduels et les nouveaux
risques qui apparaîtraient.
15. 15
RGPD et homologation 5/5
6. Documenter
Étape no 4 : Comment s’organise-t-on pour recueillir et
présenter les informations ? Détailler le contenu du
dossier d’homologation et définir le planning.
Étape no 8 : Comment réaliser la décision
d’homologation ? Accepter les risques résiduels :
l’autorité d’homologation signe une attestation formelle
autorisant la mise en service du système d’information,
du point de vue de la sécurité.
16. 16
RGPD et homologation SI, synthèse
Toutes les étapes de la démarche RGPD trouvent une
correspondance dans la démarche d’homologation, et
réciproquement !
Homologation d’un SI Conformité RGDP
1 Quel système d’information dois-je homologuer et pourquoi ?
2 Quel type de démarche dois-je mettre en œuvre ? Désigner un pilote 1
3 Qui contribue à la démarche ? Cartographier 2
4 Comment s’organise-t-on pour recueillir et présenter les informations ? Prioriser 3
5 Quels sont les risques pesant sur le système ? Gérer les risques 4
6 La réalité́ correspond-elle à l’analyse ? Organiser 5
7
Quelles sont les mesures de sécurité́ supplémentaires à mettre en œuvre
pour couvrir ces risques ?
Documenter 6
8 Comment réaliser la décision d’homologation ?
9 Qu’est-il prévu pour maintenir la sécurité́ et continuer de l’améliorer ?
19. 19
RGPD et gouvernance
Toutes les étapes de la démarche RGPD trouvent leur
correspondance dans les éléments de la gouvernance
Gouvernance Conformité RGDP
1 Création de valeur
2 Gestion des risques et conformité
3 Structure organisationnelle et sensibilisation Désigner un pilote 1
4 Politiques Cartographier 2
5 Intendance, gestion Prioriser 3
6 Gestion de la qualité des données Gérer les risques 4
7 Gestion du cycle de vie de l’information Organiser 5
8 Sécurité de l’information et vie privée Documenter 6
9 Architecture des données
10 Classification et métadonnées
11 Information d’audit, traces et reporting
21. 21
Retour expérience RGS/RGPD
La méthode EBIOS, difficile d’accès. Les PIA (privacy
impact assesment) / EIVP (évaluation d’impact sur la vie
privée) : complexes à réaliser (cf. analyse de risque)
Travail long
Organisation et procédures à inventer
Méthodologie indispensable (peu ou pas maîtrisée)
Apprendre à connaître et à suivre l’évolution du SI vs DP
Documenter
22. 22
Méthode proposée : homologation//RGPD
Plutôt que de partir à chaque fois d’une feuille blanche,
travailler par secteur d’activité et profiter de l’expérience
acquise
Réaliser la mise en conformité RGDP en parallèle de
l’homologation :
Questionnaires vulgarisés
Evaluation et suivi de la progression de l’homologation et
de la conformité RGDP
Production « automatique » des rapports et de la
documentation
23. 23
Exemple des collectivités
Approche guidée de bout en bout avec différents
niveaux d’assistance
Classification des services suivant de grands ensembles
prédéfinis : les services web des communes se
ressemblent (informations, paiement de services comme
la cantine scolaire, etc.)
Scénarios prédéfinis pour l’étude EBIOS
Approche « précablée » pour la conformité RGDP
24. 24
Collecte des traitements
Domaine Sous Domaine Description logiciel
Logiciel existant
: 0 = Non / 1=
Oui
Importance
du SI
Effets pertes
de données
pour l'interne
Effets pertes
de données
pour les
usagers
Le fait que les
données de
votre système
soient
inaccessibles
est-il grave ?
Le fait que les
données de
votre système
soient altérées
est-il grave ?
Le fait que les
données de
votre système
ne soient pas ou
plus
confidentielles
est-il grave ?
Personnel
Paie
Logiciel de traitement automatisé de la paye de tous
les agents de la collectivité et des indemnités d'élus.
Respect de la réglementation en vigueur. 0 0 0 0 0 0 0
RH
Gestion des ressources humaines gestion des
carrières, des absences et de la formation des
agents. Aide décisionnelle et fourniture d'indicateurs
pour la gestion du personnel. 0 0 0 0 0 0 0
Absences
Gestion des congés (en heures ou jours), quotas,
RTT, maladie (ordinaire, maternité, AT), etc. Gestion
des différents types d’abattements (90 jours
glissants…), des pièces justificatives… 0 0 0 0 0 0 0
Visites médicales
Gestion des visites médicales. Suivi des
pièces/justificatifs liés à ces visites. Suivi des
historiques des visites effectué, liste des avis
d’aptitude… 0 0 0 0 0 0 0
Formations Organisation des plans de formation. Elaboration et
suivi des budgets. Création de catalogues.
Inscription des agents aux formations. Production
des attestations de stages.
0 0 0 0 0 0 0
25. 25
Spécificité DCP
Données personnelles
DCP
sensibilité (1,
2 ou 3) /
Applicable
uniquement
aux
traitements
contenant
des DCP
Accès
illégitime /
Gravité
Disparitio
n /
Gravité
Modificati
on non
désiré /
Gravité
Définition
priorité
PIA Logiciel
utilisé et
version
Responsable
traitement
DCP
Mention légale
DCP
26. 26
Exemple sécurité
Liste
0 = Non / 1 = Oui / Ne remplir qu'une fois par pavé
jaune
Avez-vous déjà eu des
attaques sur vos systèmes
?
Pas d'attaque cette année
1
Une fois cette année
0
Plusieurs fois cette année
0
Plusieurs attaque ces derniers mois
0
Ne sait pas
0
Total Attaque 1,00
27. 27
Conclusion
Utiliser le RGPD comme un tremplin pour :
Apprendre à travailler de façon transverse
Engager la mise en place d’une gouvernance de
l’information
Réussir sa transformation numérique