Point de vue protection des données

Aujourd'hui, je vous mets au défi de rester plus de 10 minutes concentré sur le R.G.P.D.

Le Règlement Général sur la Protection des Données est entré en vigueur le 25 Mai 2018.

Jusque-là, c'est clair, tout va bien, vous pouvez respirer, asseyez vous confortablement dans votre fauteuil, et tentons de comprendre en quoi il est important pour votre structure d'avoir quelques connaissances sur le sujet.

Partie 1 - La prise de conscience

Le RGPD : 99 Articles de lois et 173 Considérants 

Vous avez des obligations ! 

C'est ce que l'on vous répète souvent, n'est ce pas ?

Le terme "obligation" ayant pour objet de vous "contraindre à faire".

L'imaginaire de beaucoup se base et se résume souvent sur les points suivants :

• Mettre une case à cocher opt 'in' sur un formulaire de contact du site internet.
• Mettre quelques phrases juridiques dans les contrats ou encore dans les interactions via la messagerie électronique.
• Mettre quelques règles sur votre site internet précisant les droits des usagers ou de vos futurs prospects/clients.

Une fois mise en place ces formules, peu savent qu'en réalité la notion de protection des données personnelles est bien plus large.

Oui, je sais, ça ne fait pas rêver à cette étape, encore une contrainte que l'on va vous imposer, difficile à gérer en plus du quotidien...

Trop dans le feu de l'action commerciale ou de vos actions quotidiennes, pour prendre un peu de temps et vous rendre compte du volume de données dont vous vous servez au quotidien ?

Oui et ça peut se comprendre, vous avez tout à fait raison, pourquoi recenser tous les process informatiques ou papiers qui traitent de la "Datas" dans votre entité ?

Je vous ai parlé des données papiers ? Nous y reviendrons un peu plus tard.

Quel temps perdu, pourquoi identifier toutes ces opérations longues et fastidieuses, mais encore une fois vous avez pleinement raison, on ne peut qu'approuver votre point de vue à cet instant de l'histoire.

Vous êtes le (a) seul (e) maître à bord du navire de la donnée , et n'êtes pas le seul responsable en cas de problème ( enfin c'est ce que vous pensez ? ).

C'est vous qui avez les cartes en main !

Non , le service informatique de votre structure n'est pas le responsable des fuites de données, des pertes de données sur le serveur, de la sauvegarde en échec ou encore du cryptovirus ouvert par Mademoiselle H en prenant son café ce matin.

Non, le seul concerné par cette fuite de données, c'est vous le président de la SAS , le chef d'entreprise, le responsable de structure associative , le grand responsable du département "Europe" qui avait confié vos données à vos services.

C'est un coup dur que vous n'aviez pas vu venir ?

À cet instant, je viens de vous faire peur (technique adéquate pour vous faire réagir), rassurez vous et lisez ce qui suit. 

Vous pouvez discuter pendant 2 heures avec le Data Protect Owner ou votre service juridique, que vous avez fraîchement nommé pour vous satisfaire de l'obligation "Juridique", ça ne changera rien, le responsable de la donnée, ce qui se traite dans l'entreprise, c'est vous, vous et ... vous, navré de vous l'apprendre.

Ah, vous n'aviez pas conscience qu'il y avait autant de données stockées dans vos outils ?

Oui, Jean-Yves, notre DSI, ne pouvait pas passer 4 heures par semaine à discuter des process avec chaque service, il avait bien conscience des risques, mais était trop occupé à gérer les droits sur le compte du domaine qu'il recevait par mail, et de toute façon, il n'aime pas beaucoup parler.

Mais pourquoi avoir nommé Jean-Yves sur cette tâche, s'il n'est pas en mesure d'échanger avec ses collègues ?

Et là, c'est le drame.

Ci-dessous le scénario du pire établi par notre ami "Murphy" (une pure fiction, quoi que) :

"Pour effacer, les traces d'une copie des données de la "CRM", un des salariés à propagé un cryptovirus sur le réseau avant la fermeture des bureaux, ce dernier avait pour objectif de vendre les datas "Clients" sur le DarkWeb (45€ environ par profil en cryptomonnaies).

Les sauvegardes n'ayant pas été contrôlées, suite à un arrêt-maladie de Jean-Yves, la sauvegarde la plus récente date d'environ 3 mois.

La plus grande difficulté est de devoir à présent faire une réinstallation complète des 173 postes de l'entreprise et des 10 serveurs, le plus rapidement possible.

Il faudra procéder par la suite à la ressaisie de toutes les ventes clientes, dont les fichiers de base de données ont été cryptés, retrouver les factures impayées et relancer les clients avec quelques semaines de retard.

Des actions internes qui vont durer plusieurs semaines, le coût de l'opération va être conséquent et pas sans conséquences.

Quel est le plan d'action pour le "Scénario du pire" chef ? 

L'action immédiate à réaliser est de suivre la procédure de "Violation des données" .

"La procé.. quoi ?"

Action n° 1 : immédiate,  déconnexion immédiate de toute l'infrastructure réseau - déconnexion physique ou électrique des switchs - déconnexion des serveurs .

Action n° 2 : identifier les serveurs touchés en les isolants du réseau.

Action n° 3 : tous les postes non connectés au réseau au moment de l'attaque ne doivent en aucun cas se reconnecter.

Etc...

Identifier rapidement les datas touchées, le souci étant que vous ne savez pas quel sont les process utilisés dans chaque service.

Ça va être plus long que prévu dans votre plan d'urgence technique.

Action XXX

Avertir vos clients BtoC, BtoB ou encore vos adhérents, évaluer les pertes et conséquences, en informer la CNIL de suite, mais avec un peu de formalité évidemment.

OK, je sais, on imagine toujours le pire, n'est-ce pas ?

Autre fiction de violation de données :

Cela n'arrive qu'au autres de toutes façon.

Oui comme la semaine dernière où Annie, envoie un bulletin de salaire à des clients par erreur, c'était assez risible au départ.

Le salarié concerné et le patron n'ont pourtant pas trop apprécié la blague, mais observons les détails et conséquences de cette histoire.

Un des clients appelle le patron, lui exprimant :

"Pas étonnant que vous perdiez vos salariés , au prix ou vous les payez"

Une remarque par très agréable au demeurant.

Un suivant ayant vu le n° de téléphone sur la fiche de paie, contacte le salarié concerné en lui faisant une offre d'emploi mieux rémunéré.

Résultats :

• Le salarié quitte la boîte pour un meilleur contrat.
• Annie est licenciée pour faute lourde.
• 2 nouveaux recrutements sont lancés.
• La société subie des pertes financières pendant plusieurs semaines du fait des pertes de ses ressources internes.

Vous pensez ce scénario improbable ?

Quand "Murphy" s'en mêle, vous pouvez mettre beaucoup d'énergies et de temps à le contrer.

Vous commencez doucement, à prendre conscience que des données sont traitées dans votre structure et que vous êtes le responsable de ces données, parfait .

Continuons.

Oublions quelques minutes l'aspect réglementaire des choses et concentrons nous sur des questions de bon sens.

Partie 2 - se détendre et procéder par étapes.

À présent, prenons les choses sous un autre angle, anticiper et prévenir les blagues de ce bon vieux "Murphy" .

Voir le RGPD comme une opportunité et non comme une contrainte, une chance de protéger sa structure, ses collaborateurs et ses clients.

Anticipation

Pour anticiper, il est nécessaire d'identifier chaque processus traitant de la donnée.

C'est bien beau, allez-vous me dire ?

1 - Recenser les traitements de données

Vous traitez des données - c'est un fait !

Quelques exemples :

• Vous avez un formulaire de contact depuis votre site internet
• Vous allez tenter d'établir un contact "commercial" ou d'établir une proposition de services depuis ce site.
• Une vente, une adhésion, une démarche aboutiront ou non lors de cette mise en relation.
• etc.. La liste peut-être assez longue. 

Votre formulaire de contact contiendra les éléments d'identification d'un potentiel "Prospect", on dit souvent qu'il suffit de 3 critères pour identifier une personne.

Ces étapes ne sont qu'un petit exemple d'un ensemble d'éléments, concernant la "récolte" de données personnelles.

Au-delà de ce cas, il y a également des traitements dont vous n'avez pas encore conscience, bien oui, vous avez des salariés ?

Aïe, nouvel exemple de traitement :

Les ressources humaines, vous allez traiter des données concernant vos salariés et oui, nouveau process à identifier et travailler, quelles données seront traitées, comment les protéger, quel est le sous-traitant qui établit les fiches de paies, comment sont réglés les salaires, etc.

Vous avez de nouveau des données que vous allez devoir protéger, non pas pour faire plaisir au règlement général sur la protection des données, mais pour faire preuve de bon sens, protéger vos collaborateurs.

Exemple de risque d'inattention : 1 bulletin de salaire a été laissé à l'imprimante dans l'open space ou 20 collaborateurs sont présents, il s'agit du bulletin de salaire du cadre qui gère les 20 collaborateurs.

Oui, ça fait mal, n'est-ce pas.

Exemple de solutions :

Réaliser l'impression des fiches de paie, sur une imprimante présente dans le bureau fermé des RH, dont seul sont présentent les personnes habilitées à traiter les bulletins de salaire.

Avant de sortir du bureau, elles prendront le soin de ranger les fiches de paie dans une armoire fermée à clé et le bureau fermé à leur départ, double sécurité.

Une triple sécurité serait le coffre-fort numérique bien sûr , mais c'est évidemment un coût supplémentaire.

2 - Formaliser les traitements

A partir d' un outil qui permettra de recenser les process et d'identifier un certain nombre de caractéristiques du traitement, licéité, données traitées, sécurité, personnes concernées, transferts de data hors Union européenne, etc.

3 - Tous les process sont identifiés.

Bien, très bien, maintenant vous pouvez sereinement entrer dans la phase.

"Ah ouais, on avait tout ça ?"

On ne peut prendre conscience d'un volume de données que lorsque ce volume est parfaitement identifié.

4 - Sécuriser

A cette étape, il faudra prendre des décisions techniques, comment sécuriser sans monter une usine à gaz, faire simple et efficace pour protéger les datas.

Mettre en place un vrai plan d'action, pour éviter le scénario du pire.

Comment gérer les datas accessibles depuis l'extérieur, le chiffrement des disque dur du matériel "Portable en cas de vol, les protections réseaux, la mise en place de VPN, les protections techniques, la recherche de failles, les mises à jour.

Sensibiliser vos équipes au phishing , aux différentes arnaques existantes, à la cybersécurité en général, etc.

Bienvenue dans l'ère des technologies numérique, ce monde qui a envahi votre structure, smartphone, tablette, pc.

5 - Consigner et gérer les demandes.

Vos clients particuliers pourraient vous demander quelle donnée vous avez sur eux, ses données sont-elles utilisées dans un intérêt légitime ?

Pourquoi leur demander leur date de naissance par exemple ?

Ciblage ou juste pour leur souhaiter leur anniversaire ? Question intéressante.

Comment être certain que la personne qui justement veut exercer un droit, est -elle bien la personne concernée ?

Pourquoi faire un mailing BToC à vos clients qui n'ont pas acceptés de recevoir de communication commerciale.

Je ne sais pas si à ce stade de la lettre de e-motivation, vous comprenez l'enjeu d'appliquer le R.G.P.D non pas sous une forme contrainte, mais bel et bien sous l'angle d'une opportunité de maîtriser la data que vous avez dans vos outils.

Il y a quelques jours, une question m'a été posée sous la forme suivante :

"Pourquoi un chef d'entreprise, une structure associative, une PME, Une TPE investirais dans un accompagnement RGPD ?  "

"La protection des données" qu'elles soient personnelles ou non, mérite une attention particulière, de par l'image que l'entreprise renverra à ses clients mais également par le fait que ce dernier ne risque pas de devenir une cible.

• J'aurais pu jouer sur le fait que 80% des structures touchées par une cyberattaque font faillites dans les 12 Mois , plusieurs articles sur Internet traitent ce sujet.
• ou encore que les entreprises touchées serait en majorité des TPE / PME , plusieurs articles traitent ce sujet .

Mais je suis un technicien, j'aime les exemples concrets, ce qui parait toujours improbable et qui survient quand on s'y attend le moins ! Murphy m'ayant très longtemps accompagné dans ma petite vie professionnelle.

Pour ma part, le RGPD pourrait se décomposer en 2 grands volets métiers et ceci ne reste qu'un point de vue :

• Une part juridique pour les mentions légales, contractuelles, etc.. C'est vrai que le sujet est complexe.
• Une part technique et analyse terrain, comprendre et savoir analyser les process métier d'une entreprise, sa réalité, détecter les failles techniques, assister dans la prise de conscience des data traitées, sensibiliser à la cybersécurité.

Dans le métier, il y a toujours des débats pour savoir qui sera légitime pour accompagner sur ce sujet, avocats spécialisés ou DPO externalisé.

Pour ma part , je pense que le partage, profites à tous et reste bien plus efficace pour créer de la valeur.

Pour terminer sur cet article, bien sûr qu'il y a des coûts associés à ce RGPD, mais essayer d'estimer les pertes liées à la pertes de vos données et vous envisagerez très certainement les choses autrement.

Vous êtes le maître de vos données.

A très bientôt.

Christophe