CONCLUSION
Nous nous sommes efforcés au travers de ce
mémoire d'étudier les tenants et aboutissants d'un sujet
très médiatisé depuis ces derniers mois, le nouveau
Règlement Général sur la Protection des Données.
Bien qu'il ait été adopté par le
Parlement Européen depuis avril 2016, il apparait que l'opinion publique
ne s'en est réellement préoccupée qu'à la fin de
l'année 2017, alors que l'échéance du 25 mai
commençait à se rapprocher dangereusement.
Bien entendu, la plupart des grandes organisations, des
associations et des collectifs de consommateurs savaient déjà
bien de quoi il retournait, car la plupart d'entre eux s'étaient
déjà impliqués et mobilisés en amont, qu'ils soient
partisans ou réfractaires à cette initiative européenne.
Mais s'agissant des citoyens, dont la protection de la vie privée est
l'enjeu principal, ils semblaient dans l'ensemble peu informés avant
cette médiatisation.
Ce règlement s'avère pourtant très
impactant, car d'une part il a la volonté de faire respecter les droits
fondamentaux des individus, mais d'autre part parce qu'il met en place de
nouveaux jalons et des obligations que les organisations sont tenues de
respecter, sous peine d'être lourdement sanctionnées.
Ces nombreuses obligations peuvent sembler contraignantes pour
ces organisations, qui sont d'ailleurs toutes concernées, que ce soit
des entreprises, des institutions ou des associations, européennes ou
non. A partir du moment où elles sont amenées à interagir
avec des citoyens européens et à manipuler des informations
personnelles qui les concernent, elles sont désormais tenues de se
conformer aux directives du RGPD.
Nous nous sommes donc interrogés sur la mise en
application du règlement au sein de entreprises et des organisation au
sens plus large. Notre objectif était d'aller au-delà des
contraintes perçues, en identifiant quels bénéfices elles
pourraient aussi en retirer.
Nous avons ainsi nourri notre réflexion au travers de
nombreuses lectures, tant les avis et informations sur le sujet étaient
abondants. Nous nous sommes également attachés à
rencontrer des interlocuteurs susceptibles de nous faire part de leurs
expériences pratiques : dirigeants et cadres d'entreprises du
numérique, juriste spécialisé dans la protection des
données, Responsable de la sécurité des systèmes
d'information ou encore Délégué à la Protection des
Données.
Cette démarche nous a permis de dégager et
d'affiner la problématique que nous souhaitions traiter dans ce
mémoire : Le RGPD est-il une contrainte ou une
opportunité pour les entreprises ?
Nous nous sommes intéressés dans un premier
chapitre aux motivations de ce nouveaux règlement, en remontant aux
origines de la protection des données personnelles et à la
manière dont elle a été mise en oeuvre en France et dans
l'Union Européenne.
Au travers de cette rétrospective nous avons compris
les raisons qui ont poussées les pays membres de l'Union
européenne à légiférer pour aboutir à
l'élaboration d'un texte permettant de réglementer la collecte et
l'usage des données personnelles de leurs citoyens.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
81
|
|
|
Nous avons ensuite décortiqué le contenu de ce
nouveau règlement, en étudiant son champs d'application, les
modifications apportées par rapport aux précédentes
dispositions, ainsi que les moyens mis en oeuvre pour garantir son
application.
Dans un second chapitre, nous avons tout d'abord
évoqué les changements induits par la mise en place du RGPD dans
les organisations, en soulignant l'importance des données pour leurs
l'activités, ainsi que les risques auxquels elles se trouvaient
confrontées pour continuer à les exploiter.
Nous avons ensuite étudié la méthodologie
préconisée par la CNIL pour que les entreprises françaises
puissent se conformer au nouveau règlement, mais également la
manière dont elles le mettent en pratique, leur état d'esprit
à ce sujet et leur niveau de conformité.
Dans le dernier chapitre, nous avons pu mettre en
évidence que le RGPD présente bien de vraies opportunités
pour les entreprises qui sauront s'en saisir. Cela leur permet d'une part
d'adopter de bonnes pratiques en terme de sécurité et
d'utilisation des outils numériques, d'améliorer leur
organisation et la communication interne, mais surtout d'instaurer, maintenir
ou restaurer la confiance de leurs clients, gage de fidélité et
d'attractivité sur un marché particulièrement
concurrentiel. D'autre part, le RGPD a le mérite d'assainir et
rééquilibrer le marché, vis-à-vis de certaines
pratiques déloyales ou de positions dominantes, comme celle des GAFAM.
C'est enfin l'opportunité de créer de nouveaux modèles
économiques, plus éthiques et respectueux des individus, voir
d'imaginer l'Europe revenir sur le devant de la scène numérique
internationale.
Nous avons poursuivi notre analyse en nous intéressant
à la portée sociétale du règlement européen.
Car nos société sont confrontées à des changements
majeurs liés à la transformation digitale, qui comporte son lot
de dérives et met en évidence des différences culturelles
dans la capacité des peuples à l'appréhender. Nous avons
ainsi pu observer qu'une prise de conscience de la société s'est
opérée. Au niveau européen, le RGPD en est finalement une
preuve et une conséquence, qui constitue peut-être le point de
départ d'une nouvelle responsabilisation des sociétés,
dans leur usage du numérique et dans le respect des libertés
fondamentales des individus qui les composent.
Nous citions pour clore notre dernier chapitre les propos de
Paula Forteza, qui voyait dans la mise en place du RGPD un point de
départ vers cette nouvelle responsabilisation et prédisait
l'émergence de nouveaux sujets. Nous n'en espérons effectivement
pas moins et même s'il est encore un peu tôt pour le dire, nous
pouvons déjà noter que la France est en train d'adopter une
nouvelle législation visant à sanctionner les dérives
liées à la propagation de « Fake news ». D'autres pays,
en particulier les Etats Unis sont également amenés à
s'interroger sur les répercutions occasionnées par l'utilisation
des données de leurs citoyens.
Si nos normes sont effectivement inversées et qu'en
Europe nous préférons d'abord légiférer, quitte
à laisser nos homologues américains ou asiatiques prendre de
l'avance sur les marchés, peut-être sommes-nous parvenus à
leur démontrer que, comme l'aurait dit Maître Yoda dans Star Wars,
« de l'histoire, des leçons il faut savoir tirer » et que
« d'agir avant de réfléchir, des conséquences
inconsidérées peuvent découler » !
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
82
|
|
|
REFERENCES BIBLIOGRAPHIQUES
AMRAE (2018), « Cahier technique AMRAE - RGPD : La
protection des données du citoyen européen par l'entreprise
»,
amrae.fr, France -
http://amrae.fr/sites/default/files/fichiers
upload/Cahier%20technique%20RGPD - %20v1.1%2027-02-2018 1.pdf -
Téléchargé en avril 2018
AMRAE (2017), « Atelier-conférence A3 - 25ème
Rencontres du Risk Management »,
amrae.fr, France -
https://www.youtube.com/watch?v=OZwHgN-IHmM
- Visionné le 10 juin 2018
AMRAE (2018), « Atelier-conférence B2 - 26ème
Rencontres du Risk Management AMRAE 2018 - Comment mettre en place le RGPD
»,
amrae.fr, France -
https://www.youtube.com/watch?v=jkM2LJ6tzAA
- Visionné le 10 juin 2018
Babinet, G (2017), Extraits de « L'ère
numérique, un nouvel âge pour l'humanité » (par GQ
Magazine), Editions Le Passeur, France -
https://www.gqmagazine.fr/uploads/freepages/Ere-numerique.pdf
- consulté le 10 juin 2018
Benamou, L (2018), « La cyberassurance décolle
progressivement en France », L'Observatoire des Produits d'Assurance,
France -
https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification
- Téléchargé sur Factiva en mars 2018
Berthier, F (2017), « Protection des données : gros
retard pour beaucoup d'organisations françaises »,
influencia.net, France -
http://www.influencia.net/fr/actualites/media-com,etudes,protection-donnees-gros-retard-pour-beaucoup-organisations-francaises,7364.html
-consulté le 11 juin 2018
BFM TV (2018), L'Invitech : « le RGPD permettra-t-il un
usage plus responsable des données ? »,
bfmtv.com, France -
http://bfmbusiness.bfmtv.com/mediaplayer/video/l-invitech-le-rgpd-permettra-t-il-un-usage-plus-responsable-des-donnees-2404-1064569.html
- Visionné le 24 avril 2018
Biseul, X (2018), « ePrivacy : un règlement
européen qui crispe les pros du numérique »,
silicon.fr, France -
https://www.silicon.fr/eprivacy-reglement-europeen-pros-numerique-199769.html/?infby=5b1ebaee671db8df118b5caf
- consulté le 11 juin 2018
Blanquier, JM (2017), « Insuffler la culture digitale, un
défi commun pour les entreprises et les universités »,
LinkedIn -
https://www.linkedin.com/pulse/insuffler-la-culture-digitale-un-défi-commun-pour-les-blanquer/
- consulté le 11 juin 2018
Bolzan, C (2013), « Big data : comment passer de la
donnée à l'information »,
lenouveleconomiste.fr, France
-
https://www.lenouveleconomiste.fr/lesdossiers/big-data-comment-passer-de-la-donnee-a-linformation/
- consulté le 10 juin 2018
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
83
|
|
|
Bommelaer de Leusse, C (2017), « Internet, une chance pour
l'éducation ? », Emile by Sciences Po Alumni, France -
https://www.emilemagazine.fr/article/2017/12/20/tribune-internet-une-chance-pour-lducation
- consulté le 11 juin 2018
Boucher, P (1974), « « Safari » ou la Chasse aux
Français », Le Monde, France -
http://blog.iteanu.com/index.php?post/2018/02/26/Patrimonialisation-des-donn%C3%A9es%2C-que-faut-il-en-penser
- consulté en avril 2018
Boucher, P (1974), « "Safari" ou la chasse aux
français », Le Monde, France - - évoqué dans
l'Historique de la protection des données en France - Dane-ac Lyon
Bruno, J (2017), « Les entreprises trop peu couvertes contre
le cyber-risque »,
lesechos.fr, France -
https://www.lesechos.fr/17/07/2017/LesEchos/22487-098-ECH
les-entreprises-trop-peu-couvertes-contre-le-cyber-risque.htm -
consulté le 10 juin 2018
Chausson, C (2018), « Le RGPD est une opportunité
pour les PME françaises »,
lemagit.fr, France -
https://www.lemagit.fr/actualites/252436671/Mounir-Majouhbi-le-RGPD-est-une-opportunite-pour-les-PME-en-France
- consulté le 11 juin 2018
Chemla, L (2016), « Si vous êtes le produit, ce n'est
pas gratuit »,
laquadraturedunet.fr, Paris -
https://www.laquadrature.net/fr/si-vous-etes-le-produit
- consulté le 11 juin 2018
CNIL (2018), « Historique de la CNIL et la protection des
données personnelles »,
cnil.fr, France -
http://www.cil.cnrs.fr/CIL/spip.php?article2985
- consulté le 10 juin 2018
CNIL (_), « Le G29, groupe des "CNIL" européennes
»,
cnil.fr, France -
https://www.cnil.fr/fr/le-g29-groupe-des-cnil-europeennes
- consulté le 10 juin 2018
CNIL (_), « Le fonctionnement »,
cnil.fr, France -
https://www.cnil.fr/fr/le-g29-groupe-des-cnil-europeennes
- consulté le 10 juin 2018
CNIL (2016), « Ce que change la loi pour une
République numérique pour la protection des données
personnelles »,
cnil.fr, France -
https://www.cnil.fr/fr/ce-que-change-la-loi-pour-une-republique-numerique-pour-la-protection-des-donnees-personnelles
- consulté le 10 juin 2018
CNIL (2017), « CNIL Atelier Règlement européen
sur la protection des données : ce qui change », CNIL, France - -
Obtenu en mars 2018
CNIL (_), « Opt-in, opt-out, ça veut dire quoi ?
»,
cnil.fr, France -
https://www.cnil.fr/fr/cnil-direct/question/514
- consulté le 10 juin 2018
CNIL (2018), « RGPD : comment la CNIL vous accompagne dans
cette période transitoire ? »,
cnil.fr, France -
https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire
- consulté le 10 juin 2018
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
84
|
|
|
CNIL (2018), « Transition vers le RGPD : des labels à
la certification »,
cnil.fr, France -
https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification
- consulté le 10 juin 2018
CNIL (2018), « Transition vers le RGPD : des labels à
la certification »,
cnil.fr, France -
https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification
- consulté le 10 juin 2018
CNIL (_), « RGPS, se préparer en 6 étapes
»,
cnil.fr, France -
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
- consulté le 10 juin 2018
CNIL (2018), « Désigner un pilote »,
cnil.fr, France -
https://www.cnil.fr/fr/designer-un-pilote
- consulté le 10 juin 2018
CNRS (2018), « Pouvoir de sanction de la CNIL -
cil.cnrs.fr »,
cil.cnrs.fr, France -
www.cil.cnrs.fr/CIL/spip.php?article1425
- consulté le 10 juin 2018
CNRS (2012), « Quelques repères juridiques pour les
données à caractère personnel dans les banques de
données de langue parlée en interaction »,
cil.cnrs.fr, France -
http://www.cil.cnrs.fr/CIL/spip.php?article1646
- consulté le 10 juin 2018
Comarketingnews.com (2018),
« RGPD : Les consommateurs comptent bien en profiter »,
Comarketingnews.com, France
-
https://comarketing-news.fr/rgpd-les-consommateurs-comptent-bien-en-profiter/
- consulté le 10 juin 2018
Coulomb, G (2018), « RGPD et ePrivacy : quelles
différences ? »,
petitweb.fr, France -
http://www.petitweb.fr/actualites/rgpd-et-eprivacy-quelles-differences/
- consulté le 10 juin 2018
Cyber Droit (2015), « Résolution sur le marché
unique européen des communications électroniques »,
cyberdroit.fr, France -
http://www.cyberdroit.fr/2015/11/resolution-sur-le-marche-unique-europeen-des-communications-electroniques/
- consulté le 10 juin 2018
Cyber Droit (2012), « Décret de transposition du
« Paquet Télécom » »,
cyberdroit.fr, France -
http://www.cyberdroit.fr/2012/04/decret-de-transposition-du-«-paquet-telecom-»/
- consulté le 10 juin 2018
Cyber Droit (2011), « Transposition du Paquet
télécom »,
cyberdroit.fr, France -
http://www.cyberdroit.fr/themes/paquet-telecom/
- consulté le 10 juin 2018
de Maison Rouge, O (2010), « Le patrimoine informationnel :
Fonds de commerce du 21ème siècle ? »,
village-justice.com, France
-
https://www.village-justice.com/articles/patrimoine-informationnel-fonds,7827.html
- consulté le 10 juin 2018
Debes, F (2018), « L'Europe lance son big bag de la
protection des données », Les Echos High-Tech, France - - Lu le
25/05/2018
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
85
|
|
|
Délégation Académique du Numérique
Educatif (2017), « Historique de la protection des données en
France »,
dan-ac.fr, Lyon -
https://dane.ac-
lyon.fr/spip/IMG/article
PDF/Historique-de-la-protection-des-donnees-en-France a520.pdf -
consulté le 10 juin 2018
Denis, V (2008), « Une histoire d'identité : France
1715-1815 », Champ Vallon, France - - évoqué dans l'article
"De l'archevêque Boisgelin de Cucé au RGPD : brève histoire
de la protection des données" de Fleure Labrunie - 08/04/2018
Devaureix, J (2017), « La poudre aux yeux de la
transformation digitale »,
channelnews.fr, France -
https://www.channelnews.fr/poudre-aux-yeux-de-transformation-digitale-75671
- consulté le 11 juin 2018
DICOD (2017), « Un commandement dédié au
combat numérique de l'armée de Terre »,
defense.gouv.fr, France -
https://www.defense.gouv.fr/actualites/la-reforme/un-commandement-dedie-au-combat-numerique-de-l-armee-de-terre
- consulté le 11 juin 2018
Dumon, E (2004), « La Cnil précise le rôle du
"correspondant informatique et libertés" »,
zdnet.fr, France -
http://www.zdnet.fr/actualites/la-cnil-precise-le-role-du-correspondant-informatique-et-libertes-39186131.htm
- consulté le 10 juin 2018
Dunn, I (2016), « La gestion de l'information
stratégique à l'ère du numérique »,
cgi.com, Angleterre -
https://www.cgi.com/fr/blogue/analyse-donnees-massives/la-gestion-de-l-information-strategique-a-l-ere-du-numerique
- consulté le 10 juin 2018
Duval, C (2018), « La CNIL met en garde : attention aux
« experts RGPD » qui préparent des escroqueries »,
numeram.com, France -
https://www.numerama.com/politique/323257-la-cnil-met-en-garde-attention-aux-experts-rgpd-qui-preparent-des-escroqueries.html
- consulté le 10 juin 2018
e-marketing (_), « Glossaire - Océan
bleu/océan rouge »,
e-marketing.fr, France -
http://www.e-marketing.fr/Definitions-Glossaire/Ocean-bleu-ocean-rouge-242620.htm#wFxdAEzQkkl6mDTz.97
- consulté le 10 juin 2018
Fondation Robert Schuman (2008), « La réforme du
"Paquet Télécom" : le principe de subsidiarité au coeur
des débats - Question d'Europe n°118 »,
robert-schuman.fr, France -
https://www.robert-schuman.eu/fr/questions-d-europe/0118-la-reforme-du-paquet-telecom-le-principe-de-subsidiarite-au-coeur-des-debats
- consulté le 10 juin 2018
Forbrugerrådet Tænk (2014), « If your shop
assistant was an app (hidden camera) »,
youtube.com, Danemark -
https://www.youtube.com/watch?v=xYZtHIPktQg
- consulté le 11 juin 2018
France 5 (2018), « C dans l'Air - Données
personnelles : Le grand hold-up ? », France 5, France -
https://www.youtube.com/watch?v=UGEXJb5nzEQ
- visionné le 21/04/2018
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
86
|
|
|
Griffon, M (2017), « GILLES BABINET, TRANSFORMATION DIGITALE
: L'AVÈNEMENT DES PLATEFORMES. Histoires de licornes, de data et de
nouveaux barbares... - Cairn Info N°361 (pages 88 à 90) »,
Cairn Info, France -
https://www.cairn.info/revue-projet-2017-6-page-88.htm
- consulté le 11 juin 2018
Info Protection (2018), « Le long chemin pour
sécuriser les objets connectés »,
infoprotection.fr, France -
http://www.infoprotection.fr/?IdNode=2511&Zoom=bf5dba8ffeaa7af1d0db880b64374135&xt
or= - consulté le 11 juin 2018
Iteanu, O (2018), « Patrimonialisation des données,
que faut-il en penser ? », Blog personnel, France -
http://blog.iteanu.com/index.php?post/2018/02/26/Patrimonialisation-des-donn%C3%A9es%2C-que-faut-il-en-penser
- consulté en avril 2018
Jost, C (2016), « Democracy : un thriller haletant sur la
protection de nos données
personnelles »,
archimag.com, France -
www.archimag.com/univers-
data/2016/11/24/democracy-thriller-haletant-protection-donnees-personnelles
- consulté en mai 2018
Kallenborn, G (2017), « Hackers, engagez-vous !
L'armée française recrute des « combattants
numériques » »,
01net.com, France -
www.01net.com/actualites/hackers-engagez-vous-l-armee-francaise-recrute-descombattants-numeriques-1195388.html
- consulté le 11 juin 2018
Karayan, R (2016), « Numérique à
l'école : ce qui va changer dans les programmes à la
rentrée », L'Express, France -
https://www.lexpress.fr/education/numerique-a-l-ecole-ce-qui-va-changer-dans-les-programmes-a-la-rentree
1806878.html - consulté le 8 juin 2018
Karayan, R (2016), « Numérique à
l'école : ce qui va changer dans les programmes à la
rentrée », L'Express, France -
https://www.lexpress.fr/education/numerique-a-l-ecole-ce-qui-va-changer-dans-les-programmes-a-la-rentree
1806878.html - consulté le 8 juin 2018
La quadrature du net (_), « Paquet télécom
»,
laquadraturedunet.fr, France -
https://www.laquadrature.net/fr/Telecoms
Package - consulté le 10 juin 2018
La rédaction de Mag Securs (2011), « La
sécurité du « patrimoine informationnel » des
entreprises (Archives) »,
mag-securs.com, France -
https://www.mag-securs.com/dossiers/id/28579/pageid/28662/la-securite-du-patrimoine-informationnel-des-entreprises.aspx
- consulté le 10 juin 2018
La rédaction d'Europe1 (2018), « Le Sénat
adopte le texte sur la protection des données personnelles »,
europe1.fr, France -
http://www.europe1.fr/technologies/le-senat-adopte-le-texte-sur-la-protection-des-donnees-personnelles-3605933
- consulté le 10 juin 2018
Labrunie, F (2018), « De l'archevêque Boisgelin de
Cucé au RGPD : brève histoire de la protection des données
- »,
numerama.fr, France -
https://www.numerama.com/politique/340664-de-larcheveque-boisgelin-de-cuce-au-rgpd-breve-histoire-de-la-protection-des-donnees.htm
- consulté en avril 2018
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
87
|
|
|
Labrunie, F (2018), « RGPD : la Cnil ne veut pas «
gérer un tableau de chasse » des retardataires »,
numerama.fr, France -
https://www.numerama.com/politique/344166-rapport-cnil-2017-titre-a-def.html
- consulté le 10 juin 2018
Labrunie, F (2018), « 67 % des entreprises estiment ne pas
être prêtes pour le RGPD »,
numerama.fr, France -
https://www.numerama.com/business/345119-rgpd-approche-67-entreprises-reculent.html
- consulté le 11 juin 2018
Lausson, J (2016), « L'armée française se dote
d'un commandement des opérations cyber »,
numerama.fr, France -
https://www.numerama.com/politique/216209-larmee-francaise-se-dote-dun-commandement-des-operations-cyber.html
- consulté le 11 juin 2018
Le Sénat (_), « 1977-1978 : Le sénat invente
les autorités administratives indépendantes -
lesenat.fr - Dossier d'histoire »,
lesénat.fr, France -
http://www.senat.fr/evenement/archives/D45/context.html
- consulté en juin 2018
Léandri, E et Champeau, G (2018), « Les
données personnelles ne sont ni à prendre ni à vendre - Le
Point de vue de Eric Léandri (fondateur Qwant) et Guillaume Champeau
(dir juridique QWANT) », Les Echos, France - - Lu le 23/03/2018
Legrand, D (2018), « Collecte de données via les
sites de l'État : avant les impôts, le précédent de
l'Élysée »,
Nextinpact.com, France -
https://www.nextinpact.com/news/106478-collecte-donnees-via-sites-etat-avant-impots-precedent-lelysee.htm
- consulté le 10 juin 2018
Les Livres Blancs (_), « RGPD : Les astuces pour être
en conformité avec le règlement - Préambule du dossier
»,
leslivresblancs.fr, France -
https://www.leslivresblancs.fr/dossier/rgpd-les-astuces-pour-etre-en-conformite-avec-le-reglement
- consulté le 11 juin 2018
Lyon, D (2017), « La surveillance globale dans un monde
post-Snowden », Communiquer, France - - Lu courant avril 2018
Mailjet (_), « Le RGPD et le consentement »,
mailjet.com, France -
https://fr.mailjet.com/rgpd/consentement/
- consulté le 10 juin 2018
Martineau, O (2017), « RGPD épisode 2 : la
cartographie des données », Spread, France -
https://www.youtube.com/watch?v=quvAZSuigGE&list=PLuQRA2ya9-
BluC6w8rsf d 2U9ykxixwp&index=2 - consulté le
11 juin 2018
Martineau, O (2017), « RGPD épisode 3 : Grosse
galère ou réelle opportunité d'engager ses clients ?
», Spread, France -
https://www.youtube.com/watch?v=1A7PQzgVttY&index=3&list=PLuQRA2ya9-BluC6w8rsfd2U9ykxixwp
- consulté le 11 juin 2018
Martineau, O (2018), « RGPD Episode 4 : Que faire de vos
bases marketing ? », Spread, France -
https://www.youtube.com/watch?v=9wCFgd9uUHg
- consulté le 11 juin 2018
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
88
|
|
|
MEDEF (2018), « RGPD, ce qu'il faut savoir d'ici mars 2018
»,
medef.com, France -
http://www.medef.com/fr/content/guide-pratique-sur-la-protection-des-donnees-personnelles
- téléchargé fin mars 2018
Perolo, Y (2018), « Une entreprise recevra 89 demandes
liées au RGPD chaque mois ! »,
ladn.eu, France -
http://www.ladn.eu/nouveaux-usages/etude-marketing/etude-les-entreprises-francaises-ne-sont-pas-pretes-pour-la-rgpd/
- consulté le 10 juin 2018
Perreau, C (2018), « Le RGPD est là, mais
êtes-vous (vraiment) au point ? »,
journaldunet.com, France -
https://www.journaldunet.com/economie/services/1208625-rgpd-definition-texte-cnil/
- consulté le 10 juin 2018
Rédaction collective (2017), « Livre blanc - Les
données personnelles à l'heure du big data : De l'intelligence
artificielle au pouvoir des algorithmes », CREIS-Terminal et CECIL, France
-
https://www.lececil.org/node/27677
- consulté le 11 juin 2018
Reuters (2018), « RGPD : la position de la Cnil sera souple
au début »,
latribune.fr, France -
https://www.latribune.fr/technos-medias/internet/rgpd-la-position-de-la-cnil-sera-souple-au-debut-769003.html
- consulté le 10 juin 2018
Rudelle, JB (2018), « Données personnelles : l'Europe
ne doit pas se tromper de guerre », Les Echos, France - - Lu en mars
2018
Signoret, P (2018), « Des applications accusées de ne
pas suffisamment protéger les données des enfants », Le
Monde, France - - Lu le 18/04/2018
Stupp, C (2018), « Bruxelles presse les Vingt-huit d'adopter
le règlement ePrivacy »,
euractiv.fr, France -
https://www.euractiv.fr/section/justice-affaires-interieures/news/commission-demands-eu-leaders-approve-deadlocked-eprivacy-bill/
- consulté le 10 juin 2018
Stupp, C (2018), « Les États membres trouvent
Bruxelles trop stricte sur la vie privée »,
euractiv.fr, France -
https://www.euractiv.fr/section/economie/news/member-states-want-looser-data-rules-in-draft-eprivacy-bill/
- consulté le 10 juin 2018
Vottori, JM (2018), « RGPD, un fort bel outil à
double tranchant », Les Echos, France - - Lu le 25/05/2018
Vu, T (2018), « Le règlement E-Privacy : quelles
nouveautés? »,
affiches-parisiennes.fr,
Paris -
https://www.affiches-parisiennes.com/le-reglement-e-privacy-quelles-nouveautes-7770.html
- consulté le 10 juin 2018
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
89
|
|
|
ANNEXE 1 - Entretien Cyril Bras, Grenoble Alpes
Métropole
GUIDE D'ENTRETIEN
- Présentez-vous - quel est votre
cursus et vos attributions ?
ORGANISATION INTERNE
- Depuis quand avez-vous initié votre
démarche de conformité RGPD ?
o Avez -vous suivi une formation spécifique ?
o Participé à des réunions d'information
?
o Avez-vous été accompagné : Juristes,
experts, services spécifique de l'administration ?
o Echange avec une communauté, d'autres RSSI ?
o Pensez-vous être 100% opérationnels au 25/05/18
?
- Qu'avez-vous mis en oeuvre :
o Avez-vous désigné un DPO ? Etait-il votre CIL
(correspondant informatique et liberté) ?
o Quels services avez-vous impliqués ?
o Avez-vous cartographié vos données ? Combien de
temps avez-vous mis ?
o Comment avez-vous priorisées les actions à mener
?
o Avez-vous réalisé une analyse de risque ? Quels
outils avez-vous utilisé ? Analyse d'impact de la CNIL : PIA (Privacy
Impact Assesment) ? Outils internes ?
o Vous prestataire ou éditeurs de logiciels ont-ils
communiqué sur le sujet ? Avez-vous eu des exigences
particulières (label, cyberassurance) ? Leurs engagements contractuels
ont-ils évolués ?
o Avez-vous souscrit une cyberassurance ? Mis en oeuvre une
démarche de certification ou conformité CNIL ?
o Qu'avez-vous modifié en terme de sécurité
?
o Qu'avez-vous documenté ? registre des activités
de traitement (obligation >250 sal)
o Quels ont été les impacts financiers ?
- Quels type de données personnelles
manipulez-vous ?
o Quel est leur niveau de sensibilité ?
o Comment les collectez-vous (privacy by design et by default)
et quel impact sur la manière dont vous les collectez (conditions,
mentions, site web...) ?
o Comment sont-elles utilisées ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
o Etes-vous amené à les partager avec des tiers
?
o Avez-vous crypté, anonymisé ou
pseudonymisé ces données ?
o Etes-vous en mesure d'informer les individus qui font l'objet
du traitement ? De prouver le consentement des individus ?
o Quels mécanisme vous permet de supprimer les
données ? A la demande des individu ? Pendant combien de temps
pouvez-vous les conserver ?
o Avez-vous évaluer le coût de ces suppressions,
mis en place des ressources supplémentaires ? Une participation «
raisonnable » à leur suppression est elles demandée
N
- Sur quels aspects vous sentez vous plus
particulièrement concerné ou
impacté ?
Qu'est-ce qui vous semble le plus compliqué ?
- Quel votre avis personnel si vous souhaitez m'en faire
part ?
o Pensez-vous que ce dispositif soit suffisants ? Quelles
peuvent être les limites ?
o Quelle est votre analyse ? Avez-vous des remarques ?
o Pensez-vous que cette réforme constitue une
contrainte ou une opportunité pour l'entreprise ?
o N'y a-t-il pas une forme de protectionnisme
économique européen face aux GAFAM ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
TRANSCRIPTION INTERVIEW CYRIL BRAS
Le 27/04/2018 à Grenoble
Responsable de la Sécurité des Systèmes
d'Information (RSSI) Grenoble-Alpes Métropole, Ville de Grenoble et
CCAS
Mathieu Darmet : Merci de me recevoir, vous
êtes Responsable de la Sécurité du Système
d'information de La Métro, de la ville de Grenoble et du CCAS. Cela vous
fait un parc utilisateur de quelle taille ?
Cyril Bras : Supérieur à 6000
utilisateurs.
MD : Je vais vous laisser vous
présenter, en terme de cursus et d'attributions.
CB : Mon parcours est assez parallèle à mon
cursus. J'ai commencé par une formation préalable d'analyste
programmeur, qui a débouché sur mon premier emploi chez Orange,
où j'ai commencé en stage, en faisant un peu de
développement. Puis je me suis orienté vers l'administration
système et réseau, parce que cela me plaisait plus que la
programmation. J'ai commencé à réfléchir aux
fonctions qui me seraient proposées avec mon Bac+2, qui resteraient
tournées vers le technique et me permettraient peu d'évolution.
J'ai donc entamé des démarches auprès du CNAM, le
Conservatoire National des Arts et Métiers, pour faire un cursus en
parallèle tout en travaillant. Un an après mon DUT, j'ai
enchainé avec un poste à la CCI de Nîmes, où
j'étais chargé d'étude NTIC, qui était très
intéressant, car c'était au début des années 2000
et la ville déployait un réseau très haut débit
pour les entreprises d'un parc d'activité. Cela m'a permis de travailler
sur des nouveautés, comme la téléphonie sur IP que
démarrait seulement et c'était donc une très bonne
opportunité. J'ai terminé l'équivalent d'une
Maîtrise au CNAM, ce qui m'a ensuite permis de passer un concours au
CNRS, où je suis entré en 2004. Comme c'était un concours
national, j'ai été affecté à Caen, où
j'étais à la fois responsable de la sécurité et de
l'informatique pour un laboratoire de recherches. Entre temps, j'ai
terminé mon diplôme d'ingénieur du CNAM en 2007 et j'ai
bénéficié d'une mobilité au sein du CNRS de
Grenoble, qui m'a permis de travailler pendant 10 ans sur les mêmes
fonctions au sein d'un autre laboratoire. Je suis également enseignant
à l'Université sur les sujets liés à la
sécurité informatique et je viens récemment
d'intégrer la métropole, dont je suis le nouveau RSSI. J'ai
également suivi une formation l'année dernière à
l'école militaire de Paris, l'Institut National des Hautes Etudes de
Sécurité et de Justice sur la thématique de la
sécurité des usages numériques.
MD : Vous faites partie de leur nouveau
bataillon dédié à la sécurité
numérique ?
CB : Je fais effectivement partie de la réserve cyber
défense, je suis officier réserviste depuis l'été
dernier. C'est encore en cours de déploiement.
MD : Je vais donc m'intéresser
à votre organisation et à votre démarche de mise en
conformité RGPD.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
CB : N'étant là que depuis
deux mois, il ne s'est pas encore passé grand-chose. Je suis en phase de
prise de connaissance et d'appréhender comment la sécurité
est déployée sur mon périmètre. Le RGPD a
plutôt bien avancé côté ville de Grenoble, dont le
CIL va devenir le DPO de la ville et qui a initié pas mal de
démarches, notamment en commençant l'inventaire des traitements.
Nous travaillons en parallèle et nous sommes forcément
complémentaires sur ces sujets. Dès qu'il s'agit de
données personnelles, nous sommes tous les deux dans la boucle.
Côté Métro, c'est encore flou.
MD : Le DPO de Grenoble ne sera donc pas
forcément celui de la Métro.
CB : Non, il ne gèrera que la ville,
pour la Métro on prendra un prestataire, mais je ne suis pas encore dans
la boucle, mais ça viendra.
MD : Pour le RGPD, vous avez participé à des
réunions d'information, suivi des formations ?
CB : Il y a déjà la formation que j'ai suivi
l'année dernière à l'école militaire, où le
sujet a été largement abordé, donc j'étais au fait
des attentes et des enjeux... Je sais donc ce qu'il faut mettre en place, mais
le comment va être un gros chantier. On sait que si l'on traite de la
donnée personnelle, il faut que son stockage soit chiffré,
sécurisé, il y a pas mal de briques à mettre en oeuvre.
Là je commence par les nouveaux projets et je regarde si les choses sont
conformes ou pas, vis-à-vis du RGPD. Mais je pense que nous ne serons
pas dans les clous tout de suite, c'est une évidence.
MD : Allez-vous être accompagné
par des experts, des juristes ou peut-être des services
spécifiques de l'administration ?
CB : Je pense que l'administration a découvert la
problématique RGPD il y a quelques mois. D'après ce que j'ai pu
lire dans la presse, je pense que les collectivités se disaient que le
volet sanctions ne les concernait pas, mais cela leur a été
confirmé il y a environ un mois. Il y aura des adaptations pour les
collectivités, parce que ce ne sont pas des entreprises, qu'il n'y a pas
de notion de business. On stocke bien des données, mais c'est parce
qu'on en a besoin pour fonctionner, mais il ne s'agit pas de faire de l'argent
avec. Par contre si on ne les protège pas correctement, le volet
sanctions s'appliquera. Je pense que c'est une bonne chose, car il fallait
ça pour que les gens se réveillent en terme de
sécurité, car ici la culture de la sécurité
n'existe pas. Le fait qu'il y ait un cadre légal obligatoire et que s'il
n'est pas respecté cela va vous coûter tant, cela devrait
être plus efficace. D'autant qu'on a déjà des cadres
réglementaires qui s'appliquent, comme le RGS, Référentiel
Général de Sécurité, mais il n'y a pas vraiment de
répercutions s'il n'est pas respecté, ou ce n'est pas clairement
exprimé. De fait, le concept RGS est aussi en cours de découverte
dans les collectivités, alors qu'il devrait s'appliquer depuis au moins
2014.
MD : J'imagine que le niveau de
responsabilisation des utilisateurs est aussi assez aléatoire.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
CB : Il est très bas. Tout comme dans
mon emploi précédent au CNRS, en dépit de l'aura que la
structure peut avoir de l'extérieur. Que ce soit les scientifiques ou
les administratifs, les deux n'ont pas la vision de ce que représente la
cyber sécurité. Ils pensaient que ce qu'ils font
n'intéresse personne, il y a peu de risques... Et ici c'est la
même chose, on est une collectivité, qu'est-ce qu'on peut nous
voler ? Ils ne voient pas l'intérêt, alors qu'au contraire il y en
a, car nous avons beaucoup de renseignements sur les individus, sur les appels
d'offre. On cumule beaucoup d'aspects, car la métropole a de nombreuses
activités : la gestion de l'eau potable, la distribution
d'énergie, les transports... C'est quand même des domaines assez
sensibles et qui sont interconnectés informatiquement, mais pour
l'instant il n'y a pas de vision globale. On a une vision par silo, chacun fait
son travail dans son coin. Depuis 2 mois, j'essaie de faire le tour de toutes
les entités qui peuvent adresser le système d'informations, pour
identifier ce qu'ils manipulent, comment c'est sécurisé...
MD : Est-ce que vous échangez avec une
communauté ? D'autres RSSI par exemple.
CB : Non pas encore. J'aimerais déjà initier
quelque chose au niveau local, ne serait-ce que les communes qui font partie de
la Métro, car je suis persuadé que si nous sommes
confrontés à un problème de sécurité, qui
touche des données personnelles ou pas, il risque d'y avoir un effet
domino ou un effet miroir. Un pirate peut s'apercevoir que telle cible est
facile à attaquer, donc on va faire aussi celle d'à
côté, etc... Le meilleur moyen de lutter contre ce
phénomène c'est de communiquer.
MD : J'avais des questions sur ce que vous
avez déjà fait mais beaucoup de choses sont en cours, notamment
la cartographie.
CB : Pour la cartographie, la DSI est en train de
répertorier l'ensemble des applications qui sont utilisées et qui
sont maintenues. Cela va de pair avec le RGPD, car on pourra en déduire
ce que font ces applications, et si elles utilisent des données
nominatives ou pas. C'est déjà un travail qui fait bien avancer
les choses. Côté RSSI, je suis en train de mettre en place la
gestion des incidents, car nous avons une obligation de notification dans les
24 heures vis-à-vis de la CNIL. Ce que je veux surtout lancer c'est une
capacité de détection, car on est plutôt dans la
réaction. Quand on se rend compte qu'il y a un problème, on a les
logs, mais on n'est pas capable de se rendre compte qu'on se fait « taper
». Il faudrait pouvoir réagir rapidement et bloquer ou limiter
l'attaque lorsqu'elle est en cours.
MD : C'est donc votre action prioritaire.
Pour la nomination du DPO, il sera donc mutualisé. Vous savez s'il y
aura un appel d'offre, qui va statuer sur le sujet ?
CB : Non pas vraiment, mais j'arrive seulement sur le poste.
De plus l'ancien RSSI, n'était pas sur cette fonction à plein
temps et je pense qu'il n'avait pas totalement conscience des enjeux, qu'il
n'avait pas une vision globale, mais purement informatique. J'arrive avec une
vision plus transversale et je bouscule un peu les lignes établies.
MD : C'est donc le signe que le RGPD commence
à porter ses fruits !
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
Vous allez probablement mener une analyse d'impacts.
Allez-vous utiliser le PIA, Privacy Impact Assessment, proposé par la
CNIL ou d'autres outils ?
CB : Ce sera plutôt une démarche globale, car
dans mes attributions, je dois réaliser une PSSI, Politique de
Sécurité des Systèmes d'Information, donc ce sera un
package.
MD : Est-ce que vos prestataires ou
éditeurs de logiciels ont commencé à communiquer autour du
RGPD ? Est-ce que vous les avez-vous-même interpellés ?
CB : Pour l'instant j'ai uniquement été
impliqué dans les nouveaux projets ou ceux qui sont en cours et
globalement les prestataires ne s'en préoccupent pas, ils
considèrent que ce n'est pas leur souci. Que ce soit pour les
applications médicales, ou les appareils périphériques de
commande pour les documents administratifs. A l'inverse, je suis
sollicité par ailleurs par des prestataires qui axent leur communication
autour du règlement. Le RGPD c'est surtout de l'organisation, il n'y a
pas de label RGPD conforme. Ce n'est pas au produit d'être conforme, mais
l'usage que l'on en fait. Mais il y a des commerciaux qui ont compris qu'il y
avait un grand flou et qu'ils pouvaient jouer là-dessus, mais ça
ne fonctionne pas avec moi... D'un autre côté, il y a des
entreprises qui ne sont pas du tout au courant. J'ai travaillé hier sur
une application médicale, dans laquelle les données sont
stockées en claire, comme les identifiants ou les numéros de
sécurité sociale des patients, avec un cryptage proposé en
option. Mais c'est une solution qui est commercialisée. Je les ai donc
interpellés vis-à-vis du RGPD et ils m'ont répondu que
c'était possible, qu'ils pouvaient l'adapter et qu'ils l'ont
déjà fait. Ce n'est donc pas intégré dans leur
process...
MD : On est loin du privacy by design
préconisé par le règlement ! Beaucoup n'ont donc pas
encore pris la mesure de la portée du RGPD.
CB : Je pense que ceux qui en ont vraiment pris conscience,
c'est la GAFA, car ils sont directement ciblés. On le voit bien avec la
sanction de 4% du chiffre d'affaire, car 200 000 € ça les aurait
fait rigoler ! Là c'est autre chose, car si on prend Facebook ou Google,
l'un des deux gagne l'équivalent du PIB d'un pays. Ils sont donc face
à un enjeu commercial, mais également de
crédibilité. On voit Mark Zukerberg faire son mea culpa et
apporter des évolutions sur leurs applications. Je me mets sur les
réseaux sociaux justement pour voir ce qu'ils font, ce qu'ils collectent
et j'ai remarqué qu'on a maintenant la main pour accepter que nos
informations puissent être utilisées par un autre site, alors que
ce n'était pas le cas avant. Cela apparait clairement et de ce
côté-là il y a une prise de conscience de leur part. Mais
pour les PME et petites entreprises, ce sera plus difficile.
MD : Concernant les GAFA, même avec ce qu'ils ont
modifié, j'ai quand même le sentiment qu'on reste souvent
obligé d'accepter leurs conditions pour utiliser leurs outils.
CB : Non, je vous assure que ça a
évolué, on peut choisir ce qu'on accepte de transmettre. La seule
chose qu'on ne peut pas empêcher s'est de transmettre son
identité. Tout ce qui est annexe au profil peut être
désactivé, du moins sur les sites que j'ai pu tester.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
Pour les autres acteurs, j'ai l'impression que tout le monde
a joué la montre et qu'ils commencent à se réveiller.
MD : C'est vrai. Heureusement que la CNIL a
un discours plutôt rassurant, en disant qu'ils auront d'abord une
approche pédagogique.
CB : Seulement la première année. J'en ai
discuté en janvier lors du forum de la cyber sécurité
à Lille, avec un intervenant proche de la CNIL, qui me disait qu'ils
vont quand même faire des exemples, plutôt de grosses structures,
mais aussi des administrations ou des collectivités, pour bien montrer
que tout le monde est concerné. Ils ont changé
d'étiquette, ils ne sont plus là pour enregistrer des
déclarations, mais pour faire du contrôle et c'est sur le
contrôle qu'ils seront financés. Ils ont donc intérêt
à en faire beaucoup.
MD : Donc dans vos relations avec les prestataires,
qu'allez-vous modifier ?
CB : Dans mes nouvelles interactions, je rajoute un volet qui
n'existait pas, sur la confidentialité. Avant on ne mettait pas
particulièrement de contraintes aux prestataires et je commence à
faire des modèles types de contrats ou de documents, pas
forcément axés uniquement sur le RGPD, mais
sécurité en général. Mais de fait cela doit
être en conformité.
J'ai également découvert récemment que
nous sommes censés acheter uniquement du matériel qualifié
par l'ANSSI, l'Agence Nationale de la Sécurité des
Systèmes d'Information, comme l'exige le RGS. Et ce n'est pas du tout
pris en compte dans nos achats actuellement et cela va rendre les choses plus
complexes, car c'est une exigence que nous devrons appliquer à tous nos
prestataires.
MD : Si vous devez remplacer tout ce qui
n'est pas conforme, cela peut avoir de lourdes conséquences
financières.
CB : Oui, mais on ne pourra pas tout remplacer, mais pour les
nouveaux investissements, nous devrons en tenir compte. Mais on a plutôt
de la chance, car nous avons constaté que nous avons quand même
beaucoup de matériel qui sont qualifiés.
MD : Dans vos exigences, demanderez-vous
à vos partenaires d'avoir une cyber assurance par exemple ?
CB : Pas forcément, mais je me suis
par exemple intéressé aux outils de prise de contrôle
à distance. L'outil utilisé doit être clairement
identifié, au même titre que les intervenants, dont nous devons
une liste exhaustive des compétences et attributions. Soit ils utilisent
un compte nominatif pour se connecter, soit l'entreprise doit pouvoir nous
garantir une traçabilité précise. C'est une exigence que
je rajoute.
MD : Je reviens sur les cybers assurances,
car on voir fleurir de nouvelles offres. Vous pensez en prendre une en interne
?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
CB : J'ai posé la question en interne
aux services en charge des assurances, pour savoir si nous en avions, mais j'ai
l'impression qu'ils ont un peu découvert le concept.
MD : A leur décharge, j'ai l'impression
que le concept émerge justement avec le RGPD.
BC : Oui mais je pense qu'il faut le voir au-delà du
règlement, car on voit que les attaques récentes ciblent les
utilisateurs, avec les « ransomware ». Dans notre cas, si les
sauvegardes ne fonctionnent pas on a un vrai problème. S'assurer contre
ce type d'incident me semble un moyen de détourner le risque en
s'assurant sur ses conséquences.
MD : J'imagine que souscrire ce type de
contrat demandera des contres parties en terme de moyens mis en oeuvre pour la
sécurité.
CB : J'ai justement rendez-vous avec la Direction
Général et cela fait partie des points que je souhaite aborder
avec eux. Le sujet cyber nécessite une vision globale et c'est ce que je
souhaite pouvoir leur expliquer, car j'ai besoin d'une vision de l'ensemble du
SI.
MD : Vous serai donc une sorte de chef d'orchestre du SI.
CB : Oui et aussi homme-orchestre, car cela demande de multiples
compétences.
Le message RGPD est passé au niveau de la ville car le
CIL actuel est dynamique sur le sujet, mais il y a un gros travail en terme de
sensibilisation au niveau de la Métro. Certains services sont communs
à la Métro et à la ville, notamment la DSI qui est
mutualisée, mais d'autres sont parallèles et n'ont pas le
même niveau d'information.
Mais l'actualité joue en notre faveur, car il y a le
cas de la ville d'Atlanta qui a été piratée au mois de
mars. On leur demandé de payer 50000 dollars, mais ils ont surtout
dû revoir toute leur sécurité après l'incident, pour
un coût de 2,7 millions de dollars ! Leur réveil a
été très douloureux.
D'où l'intérêt d'être proactifs et
de ne pas attendre d'être confronté à un problème
pour
réagir.
Ce qu'il manque en France, c'est de la transparence. J'ai
l'impression qu'il y a une sorte d'omerta sur les incidents, on ne sait pas
tout. De ce fait le RGPD va obliger les organisations à déclarer
qu'ils se sont fait pirater et cela peut aussi faire avancer les choses. Car en
terme d'image, elles préfèreront mettre en place les moyens
nécessaires, plutôt que de devoir avouer qu'elles ont subi un
incident. Il est dommage que nous ayons actuellement si peu d'info sur le
piratage, notamment dans les administrations, ne serait-ce que des statistiques
anonymes par secteur. Cela ferait peut être réagir les autres.
MD : Pouvez-vous m'en dire plus sur la nature des
données personnelles qui sont manipulées au sein de la
Métro ? Quel est leur niveau de sensibilité ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
CB : Il y a de tout. On peut avoir des
données médicales, je pense notamment aux CCAS, qui ont aussi des
informations sur le revenu des personnes, les prestations dont ils
bénéficient, leur niveau de précarité... Donc des
données vraiment sensibles et ils découvrent seulement la
menace.
Nous avons aussi des télé-services qui
collectent de la donnée, qui doivent être homologués et qui
à ma connaissance le sont tous. Il y a par exemple le paiement des
amendes de stationnement, ou plutôt « d'occupation du domaine public
» aujourd'hui, sur lequel l'usager peut désormais payer en ligne,
ce qui nécessite donc une homologation. Mais je n'y ai pas
assisté, tout était déjà fait lorsque je suis
arrivé.
MD : Savez-vous si ces données sont
partagées avec des tiers ?
CB : Non, elles n'ont pas vocation à l'être.
MD : Qu'avez-vous entrepris en terme de
cryptage, d'anonymisation ou de pseudonymisation des données ?
CB : Je n'ai pas vraiment de vision sur ces aspects, mais je
suppose qu'il y aura aussi un travail à faire sur le sujet. Je pense que
le concept même de durée de vie d'une donnée n'est pas
encore intégré. Nous avions récemment le cas d'une
application qui contenait les informations sur tous les personnels qui sont
passés par ce service et qui aurait dues être supprimées.
Il y aura aussi sur ce sujet un travail d'information sur la conservation des
données, combien de temps nous pouvons la conserver, comment nous la
supprimons ou nous l'anonymisons pour pouvoir l'utiliser statistiquement.
MD : Il faudra donc être capable
d'identifier les données concernées.
CB : Cela fait partie de la mission que
devra remplir le prestataire qui a été choisi par la
Métro, comme l'a entrepris le CIL de la ville dans le cadre de son
inventaire des traitements.
Nous n'avons plus besoin de déclarer nos traitements,
mais il faut que nous tenions un registre que nous puissions présenter
à la CNIL en cas de contrôle.
MD : Et concernant l'information des
individus qui font l'objet du traitement, savez-vous ce qui est prévu
?
CB : Normalement cela devait déjà être
spécifié par rapport à la loi Informatique et
Liberté. Ce qui change, c'est surtout dans le cadre des sollicitations
par mail, qui doivent comporter un certain nombre de mentions. Je pense qu'il y
a une bonne conscience lorsque nous collectons les données des
administrés, mais ce n'est pas le cas en interne. On envoie un mail
général à tout le monde, mais on ne propose pas la
possibilité de se désinscrire, alors que c'est une obligation.
Même en interne le RGPD s'applique sur ce point, car le mail peut
contenir des informations personnelles, à partir du moment où des
individus y sont nommés.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
MD : Et pour les demandes de suppression
d'informations ? C'est peut-être un peu spécifique, puisqu'il ne
s'agit pas de clients mais d'administrés...
CB : C'est le même principe pour la portabilité
des données ou leur consultation. Je ne sais pas encore comment nous
allons traiter cela, mais il faudra être en capacité de
répondre.
MD : J'ai d'ailleurs lu que cela risque de
générer des coûts de traitement non négligeables
pour les organisations, qui pourraient même justifier une participation
« raisonnable » de la part du demandeur. Mais je ne sais pas si cela
sera applicable dans l'administration...
CB : Cela est aussi valable en interne, car un agent pourra
aussi aller voir les RH et demander à voir toutes les données qui
le concernent. Il y a eu des cas où certaines directions s'y sont
opposées, mais elles ne pourront plus refuser. Mais c'est plutôt
une bonne chose, car ces nouveaux droits vont aussi éveiller l'esprit
des gens, qui ne voyaient pas toujours d'importance à ce que leurs
données soient stockées un peu partout. Ils ne voyaient pas
spontanément en quoi le fait que Google sache qu'ils sont allez à
Carrefour, puis à Décathlon, pouvait avoir un
intérêt. Sauf que cumulé avec les comportements d'autres
individus, cela prend une toute autre dimension.
MD : C'est précisément ce que
j'aimerais faire ressortir de mon mémoire.
CB : En compilant l'ensemble de ces informations, on est
capable de créer des profils et de faire du ciblage. C'est ce que les
gens doivent maintenant intégrer. J'ai volontairement activé la
géolocalisation de mon smartphone, pour voir ce que ça collecte.
Partant aussi du principe que même si je l'ai désactivé,
ils arrivent quand même à le faire. C'est assez délirant,
ils sont capables de ressortir où nous étions la semaine
précédente, ce que nous avons acheté, dans quel magasin et
complétement à notre insu. Si on le demandait directement au
gens, ils le refuseraient tous catégoriquement.
MD : C'est aussi lié à nos différences
culturelles, par rapport aux utilisateurs américains, qui ne
perçoivent pas cela comme une atteinte à leur vie privée.
Je pense que nous avons une carte à jouer pour sur le plan
international, pour limiter ces dérives.
CB : Finalement, ils commencent à trouver que nous
n'avions peut-être raison. C'est notre seule carte à jouer, car
sur les technologies on a tout vendu à l'international. Je l'ai bien vu
à Lille lors de la cyber conférence, avec des jeunes
entrepreneurs sur des projets innovants, qui donnent le sentiment que la
finalité consiste à être rachetés par une
multinationale. Il faudrait avoir une réflexion globale à
l'échelle européenne et dire stop. Il faut que nous
développions le projet chez nous, qu'on puisse injecter des capitaux
européens. Tous les produits innovants se font racheter. Il y avait
l'entreprise slovaque ESET, qui éditait des antivirus, qui était
bien placé et a été racheté par une structure
américaine. Il y avait aussi des chercheurs à Montpellier qui
avait développé un outil d'analyse de données et c'est la
NSA qui l'a racheté.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
MD : Mais tout le problème c'est que
ces sociétés se voient proposer des montants que nous ne leur
proposons pas ici.
CB : Il faudrait aussi que ces créateurs prennent
conscience qu'il n'y a pas que l'argent, il en faut et c'est normal que leur
travail soit reconnu, mais il faudrait qu'on les encourage à continuer
et pas qu'ils aillent tout de suite vendre leur projet. Ce qu'on ne voit pas,
c'est que dans le monde d'internet, c'est la guerre actuellement. C'est ce
qu'on nous expliquait à l'école militaire. Dans la vraie vie, des
hommes en vert tirent sur d'autres hommes en vert, il y a des règles, un
engagement... Alors que sur le Net, il n'y en a pas, les hommes en vert peuvent
taper sur des civils et ça ne se verra pas toujours. Si on ne se
protège pas sur ce terrain, que l'on revend nos compétences et
savoir-faire ailleurs, on devient vulnérable et dépendant. On a
déjà perdu la maîtrise des équipements, nous ne
sommes plus capables d'en fabriquer en Europe, tout est fait en Asie, donc on a
perdu la maîtrise. Au niveau développement, on sous-traite aussi
dans d'autres pays à bas coûts. Puis lorsqu'on a un produit
innovant, on laisse aussi partir et il quitte l'Europe. Là on commence
à initier quelque chose, qui peut faire bouger les lignes.
MD : Oui et on ressent déjà
les impacts outre atlantique, car ils ont maintenant des contraintes s'agissant
du traitement de nos données.
CB : Oui, comme leur business est impacté, là ils
s'adaptent.
MD : Qu'est-ce qui vous semble le plus
compliqué ou difficile à mettre en oeuvre dans le cadre du RGPD
?
CB : Le plus compliqué sera d'être en mesure de
détecter qu'on a un souci de sécurité. Que ce ne soit pas
les médias qui nous en informent. Ce serait gênant
vis-à-vis de tous les administrés de la ville ou de la
métropole. C'est ma crainte principale et la difficulté consiste
aussi à le faire comprendre à nos dirigeants. L'enjeu est
là pour eux-aussi, en terme d'image, le jour où les
données auront été détournées, ce ne sera
pas sans conséquence pour nos élus.
MD : Vous avez envisagé un rétro
planning, des dates butoirs ?
CB : Non c'est encore trop tôt pour l'envisager. Rien
que sur mon périmètre de cyber sécurité, il y a
tellement de chantiers à lancer que ce serait difficile. Certes le cadre
réglementaire, les a poussés à prendre un prestataire,
mais si le reste ne suit pas, ça n'a pas de sens. Mais en tant que RSSI,
le règlement est un excellent levier pour faire avancer les sujets. Mais
je pense qu'il y avait déjà eu une évolution des
mentalités en 2004. Je l'ai constaté à l'époque
lorsque j'ai intégré le CNRS, où mon
prédécesseur me disait qu'avant personne ne tenait compte de ses
préconisations et ne voyait que les aspects contraignants.
On a aussi un contexte particulièrement favorable,
avec le RGPD, une recrudescence de cyber attaque depuis l'année
dernière, les pays qui structurent leurs armées cyber. On voit
d'ailleurs que les conflits usent de plus en plus du numérique, comme la
Russie qui est capable d'arrêter des centrales électriques, ou de
provoquer des pannes sur les réseaux de télécommunication.
Les états ont intérêt à maîtriser ces outils
pour déstabiliser les autres. Et
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
nous collectivités, sommes des entités
sensibles et c'est le message qu'il faut arriver à faire passer. Si une
puissance veut déstabiliser la France, elle commence par attaquer de
petites entités administratives à droite à gauche et cela
provoquera une réaction en chaîne.
MD : C'est le même problème avec le terrorisme.
CB : Pour l'instant les attaques identifiées comme
étant menées par Daesh étaient basiques. On n'est loin de
la puissance de frappe que peut avoir la Chine ou la Russie, qui ont des
experts et en quantité.
La France commence à changer, avec la création
de la réserve Cyber Défense, qui consiste à créer
une réserve de professionnels déployée sur le territoire
pour remédier à des problèmes de cyber attaques globales,
qui atteindraient des banques, tout ce qui fait que le pays fonctionne.
MD : Face à une attaque de ce type,
vous serez donc mobilisé en tant que réserviste et envoyé
sur telle ou telle mission.
CB : Absolument, le but est d'aider des entités
civiles. Actuellement nous sommes environ 400, mais l'objectif est d'être
4000.
MD : Et c'est eux qui vous ont approché
?
CB : Non, j'en ai entendu parler à l'école
militaire et comme j'étais sensibilisé, je me suis dit pourquoi
pas. Il y aussi un chantier énorme pour les individus, qui ne sont
absolument pas sensibilisés aux risques cyber. Que ce soit dans
protection de leurs ordinateurs et du chiffrage des données qu'ils
contiennent. Il y a bien sûr le vol crapuleux de la machine physique que
tout le monde comprends bien, mais ils ne perçoivent pas tellement que
c'est aussi ce qu'elle contient qui est convoité.
C'est un vaste chantier, d'autant que maintenant, 80% des
incidents proviennent de l'utilisateur. On peut avoir les meilleurs
systèmes de pare feu ou anti-virus, si l'utilisateur n'a pas le bon
comportement, le problème vient de l'intérieur et ces dispositifs
ne servent à rien. Ce n'est même pas forcément la faute de
l'utilisateur, il n'en a pas conscience ou ne sait pas comment réagir.
C'est aussi la responsabilité des personnes en charge de la
sécurité de faire en sorte que cela change.
MD : Je m'en rends bien compte en tant qu'utilisateur et
même en ayant travaillé dans l'informatique, je n'ai jamais eu de
formation spécifique ou rarement de directives précises quant
à la manière dont je dois me comporter.
CB : Nous sommes toujours dans un modèle
réactif, on fait signer une charte informatique, sans s'assurer que le
salarié comprenne ce qui est écrit dedans. On attend de la part
des salariés un certain comportement, sans leur expliquer comment
reconnaitre une menace ou avoir ce bon comportement. Alors que lorsqu'on
s'emploie à faire de la pédagogie,
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
on fait rapidement ouvrir les yeux au gens. Je le vois dans
mon ancien poste, je pense que quand je suis parti, les gens étaient
bien sensibilisés, mais cela a pris du temps, mais il y a eu de gros
progrès.
MD : Le problème est que cela repose
sur des bonnes volontés. On le constate à l'école,
où certains professeur vont sensibiliser les enfants au numérique
et pas d'autres, car ce n'est pas forcément imposé au
programme.
CB : La sensibilisation du personnel fait partie des
chantiers à lancer en interne. Cela représente un investissement
au départ, mais il faut le ramener à ce que coûterai un
incident lié à une mauvaise utilisation. Si on reprend l'exemple
d'Atlanta, les personnels n'ont pas travaillé pendant une semaine, les
impôts et taxes ne rentrées plus, plus rien ne fonctionnait.
J'avais aussi lu un article, qui évoquait une ville californienne dont
la billetterie s'était fait pirater, avec les gens prenait le
métro gratuitement pendant 3 jours et des répercutions
liées à la remise en route des outils.
Pour faire changer les mentalités, le RGPD est un bon
argument et il faut que les gens le portent vraiment. Il faut aller
au-delà de la sanction réglementaire et bien expliquer pourquoi
on le fait et leur donner des exemples concrets des bénéfices
qu'il aura dans la vraie vie. Il y aussi les acteurs comme la CNIL qui
communique beaucoup, notamment dans leurs derniers guides qui sont
synthétiques et faciles à appréhender. L'ANSI produit
aussi des documents, qui sont énormes, mais l'information à faire
passer l'est aussi. Le problème c'est qu'on a accumulé des
années sans rien faire et que maintenant il faut mobiliser les gens. On
sait que le timing ne sera pas respecter, mais parce qu'on a fait l'autruche et
que les gens se sont seulement réveillés il y a 6 mois, à
part les commerciaux qui communiquent depuis plus un an, il y en a partout et
ce n'est pas toujours à bon escient. C'est dommage que les entreprises
et les administrations ne s'en soient pas préoccupé avant.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
| 
