Actualités : analyse de données, Business Intelligence, Data Science, Big Data


La complaisance, ennemi des entreprises face au RGPD


Rédigé par Communiqué de NTT Security le 7 Juin 2017

NTT Security lance de nouveaux services pour accompagner les entreprises dans la mise en place de programmes RGPD adaptés à leurs besoins.

NTT Security, branche sécurité du groupe NTT, vient de lancer une gamme complète de services RGPD* pour les entreprises soucieuses de connaître leur niveau actuel de préparation. Pourtant, selon elle, certaines entreprises semblent céder à une certaine complaisance face à l’échéance du Règlement Général sur la Protection des Données.



Alors que l’échéance du 25 mai 2018 se profile à l’horizon, NTT Security constate que les entreprises restent dans le flou quant aux mesures à prendre pour assurer leur pleine conformité au RGPD. Et si certaines ont déjà pris les devants, elles ne sont finalement pas toujours 100% conformes, ce qui les expose à des amendes pouvant atteindre 20 millions d’euros ou 4% de leur chiffre d’affaires annuel mondial – en fonction du montant le plus élevé.

« La complaisance pourrait bien devenir le nouvel ennemi des entreprises » selon Rob Bickmore, conseiller principal en sécurité chez NTT Security. « Elles savent que le RGPD sera bientôt applicable mais il y a encore des incertitudes sur leurs obligations et les priorités à se fixer. Notre gamme complète de services RGPD comble ces écarts et traduit le règlement dans un langage compréhensible et actionnable par tous les acteurs concernés dans l’entreprise. »

Parmi les idées reçues les plus courantes :

La norme ISO27001 suffit à garantir la conformité au RGPD.
L’implémentation de contrôles liés à cette certification pose de bonnes bases mais ne répond que partiellement à l’ensemble des exigences.

Il s’agit du même processus que pour la préparation aux normes PCI DSS.
Vous devrez élargir les contrôles mis en œuvre dans le cadre du PCI DSS afin d’y inclure les informations à caractère personnel, qui elles-mêmes ne sont qu’une facette des exigences du RGPD.

Le programme RGPD de l’entreprise doit être géré par l’équipe juridique ou informatique.
En réalité, la conformité au règlement est l’affaire de tous. Cette mission ne devrait donc pas être confiée à une seule équipe : le service juridique, la DSI, les RH et les autres fonctions métiers doivent toutes y participer avec le soutien affiché des dirigeants de l’entreprise.

L’entreprise n’a pas à s’en soucier car elle a externalisé toutes ses opérations de traitement de données.
Bien que le RGPD oblige effectivement les sous-traitants à protéger les données personnelles sous leur responsabilité, il revient encore et toujours au détenteur officiel de ces données de veiller à ce que son sous-traitant implémente « les mesures techniques et organisationnelles » nécessaires à la protection des informations.


Dans le cadre de ses services RGPD, NTT Security propose aux entreprises un bilan approfondi de leur programme existant. Notre équipe d’experts peut également réaliser une analyse des écarts entre les actions correctives prévues et les mises en œuvre, mais aussi fournir un plan d’actions par priorité ou dresser une liste des mesures complémentaires à mettre en place.

Rob Bickmore ajoute : « Un bon programme RGPD doit être axé sur un objectif de conformité permanente. Mais au-delà des considérations purement réglementaires, la transposition des dispositions du RGPD dans les processus de sécurité informatique et opérationnelle d’une entreprise procure des avantages à ne surtout pas sous-estimer. »

*Principaux éléments des services RGPD de NTT Security :

Analyse des écarts : identification des lacunes, proposition de solutions et définition d’un plan d’actions pour la mise en conformité
Identification et cartographie des données personnelles : identification des emplacements et des flux d’informations à caractère personnel dans les processus IT et métiers, détection des écarts de conformité potentiels et mise en lumière des points d’amélioration
Examen des procédures de gestion d’incident : révision des processus d’identification et de confirmation des violations de sécurité au regard des délais de notification fixés par le RGPD
Contrôle d’intégrité de la sécurité et bilan de maturité : examen de conformité aux normes applicables comme les bonnes pratiques de l’Information Security Forum (ISF), la norme ISO 27001:2013 et le référentiel COBIT 5
Évaluations des sous-traitants : création et implémentation de processus d’évaluation des contrôles de sécurité mis en place par des entreprises externes chargées du traitement des données personnelles
Analyse d’impact relative à la protection des données (DPIA) : définition et implémentation d’un processus DPIA ou analyses DPIA sous forme de service
Conseil en architecture de sécurité : accompagnement dans la création de solutions techniques orientées RGPD et dans l’implémentation de contrôles de protection des données aux stades de conception et de développement d’applications et de systèmes
Protection intrinsèque des données : définition et implémentation des étapes à suivre pour garantir la conformité au RGPD
Conseil aux délégués à la protection des données (DPO) : conseils d’un expert RGPD pour vos DPO (Data Protection Officer)
Examen de l’ensemble des politiques : définition et mise en place de politiques, standards et procédures en appui des processus métiers et obligations réglementaires du client




Nouveau commentaire :
Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Facebook
Apple Podcast
App Store
Google Play Store