La complaisance, ennemi des entreprises face au RGPD, selon NTT Security
juin 2017 par Emmanuelle Lamandé
NTT Security, branche sécurité du groupe NTT, lance de nouveaux services pour accompagner les entreprises dans la mise en place de programmes RGPD adaptés à leurs besoins.
Alors que l’échéance du 25 mai 2018 se profile à l’horizon, NTT Security constate que les entreprises restent dans le flou quant aux mesures à prendre pour assurer leur pleine conformité au RGPD. Et si certaines ont déjà pris les devants, elles ne sont finalement pas toujours 100% conformes, ce qui les expose à des amendes pouvant atteindre 20 millions d’euros ou 4% de leur chiffre d’affaires annuel mondial – en fonction du montant le plus élevé.
« La complaisance pourrait bien devenir le nouvel ennemi des entreprises » selon Rob Bickmore, conseiller principal en sécurité chez NTT Security. « Elles savent que le RGPD sera bientôt applicable mais il y a encore des incertitudes sur leurs obligations et les priorités à se fixer. Notre gamme complète de services RGPD comble ces écarts et traduit le règlement dans un langage compréhensible et actionnable par tous les acteurs concernés dans l’entreprise. »
Parmi les idées reçues les plus courantes :
•La norme ISO27001 suffit à garantir la conformité au RGPD.
L’implémentation de contrôles liés à cette certification pose de bonnes bases mais ne répond que partiellement à l’ensemble des exigences.
•Il s’agit du même processus que pour la préparation aux normes PCI DSS.
Vous devrez élargir les contrôles mis en œuvre dans le cadre du PCI DSS afin d’y inclure les informations à caractère personnel, qui elles-mêmes ne sont qu’une facette des exigences du RGPD.
•Le programme RGPD de l’entreprise doit être géré par l’équipe juridique ou informatique.
En réalité, la conformité au règlement est l’affaire de tous. Cette mission ne devrait donc pas être confiée à une seule équipe : le service juridique, la DSI, les RH et les autres fonctions métiers doivent toutes y participer avec le soutien affiché des dirigeants de l’entreprise.
•L’entreprise n’a pas à s’en soucier car elle a externalisé toutes ses opérations de traitement de données.
Bien que le RGPD oblige effectivement les sous-traitants à protéger les données personnelles sous leur responsabilité, il revient encore et toujours au détenteur officiel de ces données de veiller à ce que son sous-traitant implémente « les mesures techniques et organisationnelles » nécessaires à la protection des informations.
Dans le cadre de ses services RGPD, NTT Security propose aux entreprises un bilan approfondi de leur programme existant et les services suivants :
•Analyse des écarts : identification des lacunes, proposition de solutions et définition d’un plan d’actions pour la mise en conformité
•Identification et cartographie des données personnelles : identification des emplacements et des flux d’informations à caractère personnel dans les processus IT et métiers, détection des écarts de conformité potentiels et mise en lumière des points d’amélioration
•Examen des procédures de gestion d’incident : révision des processus d’identification et de confirmation des violations de sécurité au regard des délais de notification fixés par le RGPD
•Contrôle d’intégrité de la sécurité et bilan de maturité : examen de conformité aux normes applicables comme les bonnes pratiques de l’Information Security Forum (ISF), la norme ISO 27001:2013 et le référentiel COBIT 5
•Évaluations des sous-traitants : création et implémentation de processus d’évaluation des contrôles de sécurité mis en place par des entreprises externes chargées du traitement des données personnelles
•Analyse d’impact relative à la protection des données (DPIA) : définition et implémentation d’un processus DPIA ou analyses DPIA sous forme de service
•Conseil en architecture de sécurité : accompagnement dans la création de solutions techniques orientées RGPD et dans l’implémentation de contrôles de protection des données aux stades de conception et de développement d’applications et de systèmes
•Protection intrinsèque des données : définition et implémentation des étapes à suivre pour garantir la conformité au RGPD
•Conseil aux délégués à la protection des données (DPO) : conseils d’un expert RGPD pour vos DPO (Data Protection Officer)
•Examen de l’ensemble des politiques : définition et mise en place de politiques, standards et procédures en appui des processus métiers et obligations réglementaires du client