Publicité

"RGPD : Parlons enfin de mise en œuvre" autour d’un petit-déjeuner avec Iron Mountain

  • IMG-0349.JPG

    Pour Alexandre Diehl, Avocat à la cour, au sein du Cabinet Lawint, “les données personnelles sont une poudrière, car elles sont partout”.
  • RGPD. Dans la sphère B2B, tout le monde n’a plus que ce mot-là à la bouche (et en tête) avec une question capitale : serons-nous conforme en mai 2018 ? Si certains pensent que, peu importe les outils et les solutions adoptés, personne ne sera vraiment prêt à cette date, d’autres insistent sur le fait qu’il faut prendre le sujet à bras le corps dès maintenant. C’est le cas d’Iron Mountain, l’invité principal du dernier Focus de la rédaction d’Archimag.

    On ne s’est jamais autant soucié des données à caractère personnel. C’est ce qu’a rappelé Michel Remize, le rédacteur en chef du magazine, en ouverture de ce Focus en rappelant à l’auditoire la mésaventure de Target qui, outre une fuite géante de données bancaires en 2014, a aussi dû faire face un jour à la colère d’un père de famille américain, mécontent que sa fille de 17 ans ait reçu des bons de réduction pour des produits de maternité. Sauf qu’après une petite discussion avec sa progéniture, le papa remonté a appris que sa fille était bel et bien enceinte. Target avait, en effet, mis en corrélation les données de comportement d’achat de cette jeune fille avec ses propres bases. Et une fois passé à la moulinette de ses outils d’analyse, il était ressorti que la jeune fille était a priori enceinte depuis plusieurs mois et était donc potentiellement intéressée par différents produits de maternité. Moralité : votre comportement d’achat et vos données personnelles en disent beaucoup plus que vous ne le pensez sur votre vie intime.

    Les données personnelles : une véritable poudrière

    Pour Alexandre Diehl, Avocat à la cour, au sein du Cabinet Lawint, “les données personnelles sont une poudrière, car elles sont partout”.

    Il a d’ailleurs rappelé que les données à caractère personnel, ce n’était pas juste le nom, le prénom ou encore l’adresse des individus, mais que cela allait bien au-delà (une adresse IP, une date de naissance, un numéro de sécurité sociale, un mail, etc.) et que les enjeux derrière étaient énormes. Avec le RGPD, la loi Informatique et libertés va donc disparaître. Quant à la Cnil, qui a des intérêts importants à cet égard, nous pouvons être sûrs qu’elle saura être extrêmement vigilante.  “Il ne serait pas étonnant que nous apprenions  au journal de 20H que des entreprises ont été sanctionnées de plusieurs millions d’euros” a souligné Alexandre Diehl.

    Questions/réponses

    L’avocat a ensuite répondu aux questions posées en préambule du Focus par les internautes. Des questions concernant à la fois les recommandations de la Cnil, le rôle et le métier du DPO qui vont devenir très rapidement importants, le champ d’application du RGPD (qui ne s’applique pas uniquement au secteur B2C, mais aussi aux fournisseurs, salariés, etc.) et les documents à présenter en cas de contrôle. L’avocat a tenu à rappeler que “le RGPD, c’est avant tout de la documentation”.

    • Faut-il cartographie les données ? “Oui. Mais cela va être compliqué. Il faut d’ailleurs savoir si on a des données sensibles. Certaines banques ont découvert des données raciales, syndicales qu’elles ne soupçonnaient même pas” souligne l’avocat.
    • Quel lieu d’hébergement pour les données ? “Juridiquement, la France n’existe pas, explique l’avocat. C’est une région de l’Union Européenne. Il est interdit de limiter le stockage en France. La cartellisation du marché intérieur, c’est interdit”.
    • Quelle est la responsabilité de l’hébergeur ? “La responsabilité sera solidaire, répond l’avocat. La Cnil sanctionnera l’une ou l’autre des parties qui devront ensuite se débrouiller entre elles pour régler leur litige. D’où l’importance de bien choisir son partenaire”.

    La conformité en 12 étapes

    Marlène Cailleau, Responsable du pôle Gouvernance de l’information, Iron Mountain, a pris la main et a rassuré l’auditoire en expliquant comment réussir sa mise en conformité en 12 étapes.

    Le pilotage constitue la phase initiale et exige deux actions : la nomination d’un DPO dans bon nombre de cas et la disponibilité d’une vue d’ensemble sur les datas.

    La seconde phase concerne le DPO et le service juridique qui vont devoir mener des études d’impact sur la vie privée (Privacy Impact Assessment) et de consentement, mais aussi rechercher les ayants-droit et connaître parfaitement le droit des personnes.

    La troisième phase mêle l’IT, le Digital et le RSSI et doit permettre de localiser les données, d’anticiper les demandes d’accès, d’évaluer l’impact de la protection dès la phase de conception et de mettre en place une procédure en cas de violation.

    Quant à la dernière étape, elle implique les métiers et doit permettre d’accroître la sensibilisation et de traiter les données sur base légale.

    L’occasion pour Iron Mountain de faire valoir ses prestations de conseil et sa démarche de mise en conformité.

    IMG-0348.JPGBanque, mutuelle, groupe international : retours d’expérience

    Alexandre Diehl a repris le flambeau en revenant sur 3 cas clients :

    • l’audit RGPD d’une mutuelle au sein de laquelle aucune politique de conservation et d’archivage n’avait été déterminée jusqu’à présent.
    • l’audit RGPD d’un groupe bancaire où le problème était similaire. La plupart des traitements connaissaient des durées de conservation sans aucune limitation et aucune purge n’était effectuée.
    • l’audit RGPD d’un groupe international au sein duquel plusieurs purges étaient réalisées sans aucune cohérence, uniquement pour des raisons de coût.

    L’avocat a ensuite pris soin de détailler ce que visaient les différents plans de mise en conformité définis dans le cadre de ces audits, notamment la nomination d’un DPO, la modification des contrats clients et fournisseurs, la formulation des procédures RGPD et la création de documents “privacy by design” permettant de justifier la conformité au RGPD.

    La conformité en marche chez Iron Mountain

    Andrea Orbán, Corporate Counsel, Privacy & Compliance, Iron Mountain a pris la parole pour présenter le plan d’action mis en place au sein même du groupe Iron Mountain pour assurer cette conformité, en insistant sur différents points. Primo, la nécessité d’identifier les principaux risques et de les prioriser. Secundo, le fait que le RGPD constitue finalement une belle opportunité pour optimiser les processus existants et améliorer la façon de travailler. Tertio, l’intérêt de tester les nouveaux process mis en place. Quarto, comprendre qu’il y aura une vie après le 25 mai 2018 et qu’il est important de s’assurer de bien disposer des ressources disponibles pour maintenir cette conformité.

    “La mise en conformité, c’est de la gestion de projet, a souligné Andrea Orbán. Il faut donc un chef de projet”.

    C’est lui qui disposera d’une vue de l’ensemble de la chaîne de données et travaillera en interne, mais aussi en externe avec les fournisseurs et clients, pour être certain d’être en conformité. Enfin, la jeune femme a rappelé l’importance de travailler en étroite collaboration avec un cabinet juridique afin de valider les changements opérés et de s’appuyer sur lui en cas de besoin. Une logique qu’Iron Mountain est en mesure de proposer grâce à son partenariat auprès du cabinet Lewint dans le cadre du RGPD.

    Policy Center et son module de gestion des données personnelles

    Enfin, Elisabeth Buhlmann Herzog, Directrice Gouvernance de l’information, Iron Mountain, s’est livrée à une démonstration du logiciel Policy Center et plus particulièrement de son module de gestion des données personnelles. Policy Center est la plateforme unifiée de Gouvernance de l’information et des données d’Iron Mountain. Il s’agit à la fois d’un référent et d’un service. Elle permet de réaliser un audit des contenus, de cartographier les données, de savoir où elles sont stockées, de savoir qui en est responsable ou qui va être impacté en cas de modification des règles, mais aussi d’anonymiser certaines données personnelles, de les conserver selon les durées réglementaires, de les détruire grâce à des purges automatisées et même d’assurer l’archivage électronique des données et de leurs traitements.

    Enfin une solution globale et clé en main disponible

    Policy Center permet ainsi à l’organisation d’avoir une vue globale de ses contenus avec la génération (via le clic droit) d’un diagramme de flux (activité entrante, zone de stockage, règle de gestion applicable, détail des délais de conservation, etc.). Policy Center centralise l’ensemble de l’information et crée des relations entre les catégories de documents, les activités de traitement, les responsables des données, etc. Il est possible de demander ici une démo de l’outil.

    Ce petit déjeuner était l’occasion de rappeler, une fois de plus, le positionnement d’Iron Mountain non plus comme “stockeur de cartons” mais bien comme une entreprise de services à forte valeur ajoutée, capable de vous conseiller et de vous accompagner dans votre mise en conformité et ce, que votre présence soit hexagonale, européenne ou internationale.

     

     ....

    À lire sur Archimag

    Le chiffre du jour

    21
    C'est le taux de lecteurs français qui lisent un ouvrage sur liseuse, sur tablette ou sur téléphone.

    Recevez l'essentiel de l'actu !

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.