Pour Gilles Garnier (Harmonie Technologie), le respect du RGPD passera par de premières sanctions

Pour Gilles Garnier (Harmonie Technologie), le respect du RGPD passera par de premières sanctions

Mais pas seulement

Avatar de l'auteur
Marc Rees

Publié dans

Droit

30/01/2018 7 minutes
21

Pour Gilles Garnier (Harmonie Technologie), le respect du RGPD passera par de premières sanctions

Lors du Forum international sur la cybersécurité organisé à Lille, Gilles Garnier, directeur de la Practice Protection des données chez Harmonie Technologie, une société de conseil, a bien voulu répondre à nos questions sur le Règlement général sur la protection des données. Un texte en vigueur dès le 25 mai 2018 dans toute l’Union européenne.

C’est dans un peu plus de trois mois que le futur règlement sur les données personnelles s’encastrera dans chacune des législations européennes. En France, Isabelle Falque-Pierrotin, présidente de la CNIL, nous a assuré qu’ « il n’y aura pas un couperet le 25 mai 2018 ».

À l’égard des PME, l’autorité opte pour une stratégie d’accompagnement dans la mise en conformité. En ce sens, une trousse à outils sera bientôt disponible à leur destination. 

En attendant, sur le marché commercial, difficile de faire un tri dans la jungle des offres proposées par les différents prestataires. L’avènement de ce règlement est une opportunité, mais également un nid à potentiels abus. Pour tenter d’y voir plus clair, nous avons échangé avec Gilles Garnier lors du FIC à Lille, la semaine dernière. Celui-ci est spécialiste de la protection des données chez Harmonie Technologie, une société de conseil installée à Paris.

À quelques mois de l'échéance, on assiste à une profusion d’offres de conseils sur le RGPD. Comment fait-on pour se démarquer dans ce magma ?

Déjà à travers de manifestations comme le FIC et de rencontres avec des gens justement à la recherche d’acteurs dignes de confiance. Lors des Assises de la cybersécurité à Monaco, des personnes sont venues nous voir pour tester la crédibilité d’une liste d’acteurs qui prétendent « faire » du RGPD.

Sur cette base, ils tentent de faire un tri, entre ceux avec qui ils sont susceptibles de travailler et ceux qui ne développent que des arguments commerciaux. Se démarquer, c’est donc à travers les différents contacts, des retours d’expérience des clients – qui se parlent beaucoup entre eux. Pour notre part, dans une proche pragmatique, nous avons intégré des juristes, spécialisés sur la protection des données à caractère personnel avec un passé de correspondant Informatique et Libertés.

Il y a deux ans aux Assises, nombreuses entreprises avaient une approche attentiste sur le RGPD, scrutant les premières sanctions à venir...

Aujourd’hui globalement, il y a bien une attitude de relâchement, loin de l’effervescence constatée lors de la publication du RGPD. Beaucoup d’entreprises ont depuis réalisé l’ampleur d’un chantier complexe, long et coûteux.

Certaines, ayant un intérêt particulier et traitant des données sensibles en nombre, ont continué de manière sérieuse pour être désormais quasi prêtes. Et puis il y a celles pour lesquelles cette pression est retombée.

On se retrouve donc dans la même problématique qu’il y a quelques années. Une partie de la crédibilité de ce règlement passera aussi par les sanctions infligées par les autorités dans les mois à venir. Si ces amendes sont au niveau de celles pratiquées dans le domaine de la concurrence, cela redonnera nécessairement un coup de fouet.

En somme, une pédagogie par la sanction…

Oui, mais on voit aussi des évolutions dans les mentalités sur les aspects positifs du RGPD. Un exemple simple : des entreprises s’interrogent sur la question technique du consentement, comment le recueillir, le stocker, le présenter, etc. Il y a quelques jours une grosse mutuelle nous a consultés sur le sujet : comment donner envie à une personne que l’on traite ses données ?

Elle est toujours en phase de recherche essayant d’inventer des incitations. Si à la fin le client ne clique pas sur « oui, je consens », probablement elle se dit qu’il ira voir ce qui se passe chez le concurrent.

L’idée est de vraiment donner envie à la personne d’aller plus loin dans cette relation, un cheminement qui passe par une information explicite, claire qui paraît honnête par rapport à ce que l’entreprise fait des données collectées, en passant, pourquoi pas, par une action de fidélisation. La vraie approche consiste à se démarquer sur des problématiques qui peuvent sembler intrusives, de prendre un autre chemin du risque, de cette sanction financière, réputationelle ou juridique.

N’est-ce pas une mission difficile si ce n’est impossible ?

Peut-être que cette démarche passera aussi, pourquoi pas, par des certifications, des homologations qui auront un sens, qui véritablement apportent la garantie à l’utilisateur du respect d’un certain nombre de points, valorisant un savoir-faire, une expertise de l’entreprise pour garantir la déontologie ou le respect des utilisateurs.

Ce mur du consentement n’est pas le seul point dur du RGPD… 

Non, il y a surtout la transformation opérationnelle des exigences réglementaires. Sur les aspects organisationnels, la mise en œuvre d’une gouvernance sur la protection des données, le corpus documentaire, les processus sur le droit d’accès, tout cela représente des choses relativement simples.

Ce qui est difficile est d’arriver surtout à analyser le risque potentiel que peut avoir une fuite de données et anticiper les mesures de sécurité adaptées, que ce soient en termes de chiffrement, « d'obfuscation », d’anonymisation, etc.

Beaucoup d’entreprises sont coincées à ce stade-là. Elles ont bien préparé un état des lieux, une documentation en cas de contrôle de la CNIL, un plan d’action, elles ont matérialisé des processus, documents à l’appui, etc. Elles sont désormais en phase de mise en œuvre opérationnelle de cette conformité, avec des proof of concept visant des produits et sécurité, mais le grand saut a du mal à se faire...

Et puis, il y a surtout la question du coût.

Ce coût est disproportionné pour les structures de type PME ou start-up. Des tailles ridiculeusement petites, des moyens à la hauteur de leur taille, mais des enjeux énormes en termes de traitement de données à caractère personnel. Nous leur conseillons de passer par des prestataires techniques dans lesquels elles peuvent avoir confiance.

La CNIL va peut-être avoir une approche réaliste et viser d’abord l’éléphant plutôt que la mouche, non ?

Certes, mais d’un point de vue purement client ou consommateur, quelle que soit la taille de la société, j’attends que mes données soient protégées. De plus en plus des petites sociétés viennent nous voir, alors que nos clients historiques sont plutôt dans le CAC 40.

Elles aimeraient un minimum de conseils pour augmenter le niveau de sécurité. J’en vois certaines traiter des centaines de millions de données, certaines très sensibles au-delà des nom, prénom, email, qui se sont développées dans le temps sans mettre d’autres moyens qu’un serveur sans redondance.

Je leur dis que cela ne leur coûterait pas beaucoup plus cher de faire héberger ces informations chez un acteur de confiance, de trouver un juste équilibre entre le coût d’une mise en œuvre sur leur propre système et celui d’un déport. On leur propose généralement de déléguer certaines fonctions de type RSSI à des sociétés comme la nôtre - ou qui ils veulent - puisqu’ils ont des comptes à rendre aussi auprès de partenaires.

Merci Gilles Garnier.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

À quelques mois de l'échéance, on assiste à une profusion d’offres de conseils sur le RGPD. Comment fait-on pour se démarquer dans ce magma ?

Il y a deux ans aux Assises, nombreuses entreprises avaient une approche attentiste sur le RGPD, scrutant les premières sanctions à venir...

En somme, une pédagogie par la sanction…

N’est-ce pas une mission difficile si ce n’est impossible ?

Ce mur du consentement n’est pas le seul point dur du RGPD… 

Et puis, il y a surtout la question du coût.

La CNIL va peut-être avoir une approche réaliste et viser d’abord l’éléphant plutôt que la mouche, non ?

Commentaires (21)


… pour tester la crédibilité d’une liste d’acteurs qui prétendent « faire » du RGPD.



je suis, globalement, d’accord avec lui

SI la CNIL veut être crédible (et respecté), il faudra en passer par sanctions financières !

((et pas du genre : “c’est bon….pour cette fois ce ne sera QU’UN avertissement verbale” ) <img data-src=" />


Ah vous avez besoin de nos conseils sinon ça sera des sanctions “vigoureuses” sur le coin de la gueule et en plus ça va vous couter une blinde vous les structures “ridiculeusement petites”, merci pour elles ^^



Tout l’inverse du discours de la CNIL.



Que ces acteurs continuent ainsi, à la faveur d’un politique en mal d’amour auprès de son électorat la RGPD sera sabrée en petits morceaux, comme c’est dans les cartons s’agissant des normes handicapés.



On est pile-poil dans ce que nous dénoncions quelques news précédentes. Continuez a faire peur et toute la RGPD s’effondrera…








vizir67 a écrit :



… pour tester la crédibilité d’une liste d’acteurs qui prétendent « faire » du RGPD.



je suis, globalement, d’accord avec lui

SI la CNIL veut être crédible (et respecté), il faudra en passer par sanctions financières !

((et pas du genre : “c’est bon….pour cette fois ce ne sera QU’UN avertissement verbale” ) <img data-src=" />





Non ce qu’il faut lire entre les lignes c’est la tentation de la labellisation (prochaine véritable étape après l’audit de conformité ). Je ne crois pas avoir lu que la CNIL était contre, mais c’est strictement une fausse bonne idée.



Ca finira comme pour les diagnostics perf. énergétique… Une analyse faite en quelques minutes/heures, sur des critères plus ou moins contrôlables et avec aucun résultat véritable pour les acheteurs.





Beaucoup d’entreprises ont depuis réalisé l’ampleur d’un chantier complexe, long et coûteux.





Peut-être parce qu’il y a eu plusieurs années où le traitement des données était en mode YOLO ?



&nbsp;








Jarodd a écrit :



Peut-être parce qu’il y a eu plusieurs années où le traitement des données était en mode YOLO ?




 &nbsp;








 Naturellement que le problème est là.      






Et partant de ce constat y a deux situations principales; soit on est sur uniquement des logiciels métiers sans finalité de démarchage, soit y a de la prospection et du démarchage (je fais abstraction de la question des données sensibles la RGPD ne changeant rien là dessus, et de l'usage de cloud non européen dont le traitement est pas en Europe, là on peut plus rien pour eux si des pros aiment se mettre dans des situations ingérables) :      






1° situation:      

. soit on est purement avec un soft métier géré par un prestataire. A charge alors d'interroger le prestataire sur les mesures de sécurités prises et l'état de ses diligences au regard de la RGPD. Par ailleurs, il est impératif de s'assurer de la sécurisation de l'accès à DB et de la possibilité de la sauvegarder (backup efficace). Ca doit concerner 90% des entreprises qui ne développent pas leurs outils informatiques.

. soit la structure gère elle-même voire développe ses outils. Dans cas, soit elle a la maîtrise interne pour architecturer correctement son système info. Soit elle fait appel aux prestataires susceptibles de faire le Job (sécuriser un accès à un serveur, avoir des logs des accès et faire des backup, c'est pas insurmontable).






2° situation:      

Les obligations sont nettement plus importantes, mais on peut légitiment espérer que ceux qui sont dans ce job aient fait le nécessaire bien avant pour se mettre en conformité avec une réglementation qui pour l'essentiel existe depuis 2004 voire 1978. A défaut, si cela se font défoncer ça me semble pas illogique.






On trouve aussi des assurances qui permettent de mutualiser certaines solutions (bakcup, aide en cas de piratage notamment pour la restauration, indemnisation des éventuelles victimes, voire pour certaines politique (contestable pour moi) de paiement des ransomware notamment).      

&nbsp;

Au final pour une frange de boites pour qui pourraient être dans de graves difficultés s'ils n'ont pas fait le nécessaire alors que la gestion de données est leur cœur de métier, on fout la trouille à toutes les entreprises qui ne connaissent pas grand chose à l'info et aux données persos, et vont finir par faire pression sur les politiques pour rendre inefficace la RGPD.






A charge pour la CNIL de lister (c'est en préparation) les bonnes pratiques techniques (*). Avis que n'importe quelle boite de développement est capable de sécuriser et tracer un minimum l'accès aux DB, de même pour les prestataires informatiques qui doivent être en mesure de mettre en place des backups autos sans que cela ruinent ses clients.      






(*) = accessoirement si la CNIL ne veut pas voir au final ses sanctions sabrées par le Conseil constit au nom du principe de légalité, il est fortement recommandé que les bonnes pratiques techniques soient connues et diffusées (le dernier manquement s'agissant de Darty, étant un peu faible s'agissant d'affirmer qu'il est établi que l'on doit alors que l'on a ou pas les connaissances techniques, vérifier la sécurisation d'un logiciel acheté sur l'étagère..., RGPD ou pas elle n'échappera pas à ce principe fondamental si les infractions sont rédigées avec les pieds).


Tu me fais sourire avec tes commentaires, à la mise en forme et ponctuation un peu fantaisistes, en utilisant les styles à loisir (italique, gras, souligné) <img data-src=" />

Heureusement qu’on n’a pas la possibilité de jouer avec les couleurs de police et de surlignement, on aurait mal aux yeux avec tes commentaires <img data-src=" />



(mes 2 centimes juste pour sourire)


Sans doute un multi de JVachez…








Quiproquo a écrit :



Sans doute un multi de JVachez…





PINAISE ! !

Il est toujours vivant celui-la ?









Quiproquo a écrit :



Sans doute un multi de JVachez…



Il n’encense pas spécialement IE en essayant de détruire ls autres navigateurs, donc je ne pense pas…







Vin Diesel a écrit :



PINAISE ! !

Il est toujours vivant celui-la ?



Je viens de vérifier son site, et il n’est accessible qu’avec Edge… Donc sûrement <img data-src=" />



j”ai, DÉJÀ, expliqué “pourquoi je faisais cela”, mais apparemment

“tu as oublié de me lire”, et j’ai pas envie de me répéter, tant pis pour toi

tu devras supporter “mes fantaisies”* !



* comme tu dis








vizir67 a écrit :



j”ai, DÉJÀ, expliqué “pourquoi je faisais cela”, mais apparemment

“tu as oublié de me lire”, et j’ai pas envie de me répéter, tant pis pour toi

tu devras supporter “mes fantaisies”* !



* comme tu dis







On peut faire ça aussi avec la voix, c’est une forme de personnalité (le contraire, c’est d’une platitude neutre). Il faudrait l’utiliser comme un code d’écriture à faire apprendre aux élèves sans choquer les gens.



…. ça me fait penser à la série Shogun quand Richard Chamberlain parlait japonnais, il ne suffisait pas de dire le texte l’intonation mis sur le mot pouvait totalement dire autre chose <img data-src=" />


c’est exactement ça !!!! <img data-src=" />

“ça fait plaisir”……de savoir qu’il y-en a qui suive (tt.-au-fond de la classe) !


très juste aussi ! <img data-src=" />








vizir67 a écrit :



c’est exactement ça !!!! <img data-src=" />

“ça fait plaisir”……de savoir qu’il y-en a qui suive (tt.-au-fond de la classe) !







J’aimai le fond de la classe et répondre des choses pessimistes, ça avait le pouvoirs de réveiller les autres <img data-src=" />

(c’était ait exprès et je le savais)<img data-src=" />



(pour OlivierJ. )




  • quand…tu parles, c’est pareil, les “ , ! ? 2ème degré, mot insisté, ou au contraire : chuchoter, etc..

    ont une signification * !



    * à moins…que toi….tu t’exprimes d’une voix monocorde ?


<img data-src=" />








vizir67 a écrit :



très juste aussi ! <img data-src=" />







Comme disait mon prof de musique, il ne faut pas exagéré non plus <img data-src=" />



je retire…ok ?








vizir67 a écrit :



très juste aussi ! <img data-src=" />







j’aurais dit “Très juste aussi”<img data-src=" />



ok !