2. 2L’exigence digitale
Propriété EOLAS + confidentiel
Règlement général sur la protection des données
Une contrainte…
« … la recherche du Bien Commun passe par la construction d’institutions visant à
concilier l’intérêt individuel et l’intérêt général. »
Jean Tirole Prix Nobel d’Économie 2014. Membre de l’Académie des Sciences Morales et
Politiques.
Mais aussi la protection du « Bien Commun » ?
4. 4L’exigence digitale
Propriété EOLAS + confidentiel
Situation :
● Hébergement « On Premise » ou
« cloud de 1ère génération »
● Géré par la DSI interne
● Sauvegarde sur bande, 1 fois par
semaine.
● Les bandes mises dans un coffre
Cas d’usage 1 – Equipes Internes / OnPremise
Vos engagements GDPR :
● La disponibilité en cas d’incident
● La perte de données (depuis la
dernière sauvegarde)
● La confidentialité (Vs Gestion des
droits du personnel interne)
● Traçabilité
● Surveillance, Alerte et Notification
interne/externe
5. 5L’exigence digitale
Propriété EOLAS + confidentiel
Situation :
● Hébergement Cloud Public localisé
en Europe.
● Hébergeur présentant toutes les
garanties GDPR
● Prestataire infogérance externe
● Pilotage du prestataire par la DSI
Cas d’usage 2 – Equipes Internes / IAAS
Vos engagements GDPR
● Le prestataire et ses process sont
fiables et compatibles GDPR
● Votre environnement et données
sont en sureté (Vs extérieur ET les
autres clients de vos prestataires)
● La disponibilité de votre plateforme
en cas d’incident est maitrisée
● Une politique de sauvegarde
efficiente est en place (pour limiter
la perte de données)
● Le processus d’alerte & notification
est en place et validé régulièrement
6. 6L’exigence digitale
Propriété EOLAS + confidentiel
Situation :
● Solution SaaS ou Paas fournie par
un éditeur ayant pignon sur rue
● Solution directement gérée par les
équipes métier (marketing,
communication, …)
Cas d’usage 3 – Equipes Métier / SAAS
Vos engagements GDPR
● Vous maitrisez toujours vos données et
métadonnées.
‒ Vous appartiennent elles toujours ?
‒ Quel accès l’éditeur permet à vos
données et métadonnées ?
‒ Vous savez où elles sont stockées?
● Les engagements contractuels de votre
fournisseurs SaaS
‒ Y en a-t-il ?
‒ Ces engagements sont ils compatibles
avec les vôtres ?
‒ Modification en cas d’évolution légale ?
● La chaîne d’escalade et d’alerte est
maitrisée ? Testée ?
7. 7L’exigence digitale
Propriété EOLAS + confidentiel
Zoom sur les contrats de sous-traitance
● Le sous-traitant :
‒ Doit présenter des garanties suffisantes et des mesures techniques et organisationnelles.
‒ Doit prendre des engagements contractuels forts par rapports aux garanties
● Responsabilités :
‒ Même en l’absence d’un contrat signé, les sous-traitants seront désormais partiellement
responsables des traitements de données qu’ils mettent en œuvre pour le compte d’une
entreprise tierce
‒ Les sous-traitants pourront donc être audités voire sanctionnés en cas de non-respect du
GDPR
● Obligations :
‒ Tenir un registre des traitements de données effectués pour le compte du Client
‒ Mettre en œuvre les procédures et les mesures de sécurité nécessaires et être en mesure
d’informer le responsable de traitement en cas de violation de la sécurité.
‒ Être en mesure de contester les instructions du Client lorsqu’elles sont contraires à la loi
‒ Ne sous-traiter à un autre sous-traitant qu’avec le consentement ou selon les cas,
l’information préalable du responsable de traitement
8. 8L’exigence digitale
Propriété EOLAS + confidentiel
La GDPR à l’épreuve des frontières
● La GDPR :
‒ Remplace la Directive 95/46/CE
‒ S’applique aux 28 états membres
‒ Le Royaume-Uni a confirmé l’application de GDPR
malgré le BREXIT
‒ S'appliquera aux sociétés non-européennes qui
ciblent les résidents de l'UE par le profilage ou
proposent des biens et services à des résidents
européens
● Les pays « compatibles » selon la GDPR
‒ La désignation des pays tiers (ou territoires / secteurs), qui fournissent un niveau adéquat de
protection des données
‒ Un mécanisme d'examen périodique, au moins tous les quatre ans. La Commission va
surveiller de manière continue la situation
‒ La GDPR envisage expressément la possibilité d'une abrogation, d'une modification ou d'une
suspension de la décision d'adéquation
● Les « BCR » (Binding Corporate Rules)
‒ Règles internes pour les groupes internationaux régissant les transferts internes au groupe
‒ Critères uniformes avec Approbation nécessaire par les autorités compétentes
9. 9L’exigence digitale
Propriété EOLAS + confidentiel
La GDPR Vs Patriot Act
● Pensez « Cloud Souverain » !
Soumis aux lois françaises
Obligatoire pour les collectivités locales
«les collectivités françaises devront impérativement
passer par des prestataires situés sur le territoire
français pour stocker et traiter les données dans le
cloud »
√ La meilleure des protections contre les
opérations « d’intelligence économique »
● Tous les pays ont des lois qui permettent aux
autorités judiciaires d’accéder aux données
● Un hébergement en Europe par une société
soumise au droit Européen est une meilleure
assurance de respect de la GDPR. Les
autorités US n’ont pas obligation de se
conformer au Droit Européen
10. 10L’exigence digitale
Propriété EOLAS + confidentiel
Synthèse
N’oubliez pas que :
● Vous êtes toujours responsable des données que vous collectez
● Vous devez prouver que vous, et vos prestataires, respectent la GDPR de bout en bout.
Les étapes :
● Prenez connaissance du lieu où sont hébergées vos
données et de la confiance envers votre prestataire,
ses équipes, la loi du pays…
● Suivez le cheminement des données pendant le cycle
de vie du processus et assurez vous qu'il est sécurisé
en tous points
● Validez la gestion des risques en place tout au long
de la chaine de traitement et les procédures de
notification
● Validez la politique de contrôle d'accès, physique et
logique (qui peut accéder à vos données et dans
quelles circonstances…)
11. 11L’exigence digitale
Propriété EOLAS + confidentiel
En conclusion
Comparer les offres n’est plus seulement une
nécessité.
Choisir un sous-traitant de qualité devient une
obligation.
12. Propriété EOLAS + confidentiel
Eolas groupe Business & Decision
Grenoble – Paris
www.eolas.fr @BD_Eolas
MERCI
.
Pascal Fouque
@BD_Eolas
pascal.fouque@businessdecision.com