IPgarde vous propose de participer à une matinale spéciale dédiée aux entreprises

Le RGPD,
ce mot qui nous fait frémir 


By Sonia AQUE-PIGEAU, Consultante gouvernance, sécurité et conformité des SI IPgarde. 

Tout a commencé il y a fort fort longtemps, avec le projet SAFARI (SystèmeAutomatisé pour les Fichiers Administratifs et le Répertoire des Individus) au début des années 70. L’objectif de l’Etat français était de collecter des données sur tous ses citoyens et d’interconnecter les administrations entre-elles.
«Que nenni!» ont dit les français, suite à un article paru dans Le Monde («SAFARI, ou la chasse aux Français») en 1974.

Les enjeux de liberté publique étaient grands. Il fallait mettre en place des règles de protection garantissant qu’une administration ne fichait pas des pathologies, des ethnies, des religions... et ne mixe ses données entre-elles. Des libertés fondamentales comme la liberté du culte par exemple, pouvaient être menacées.

Le gouvernement a dû prendre des décisions: exit SAFARI, transformé en RNIPP (Répertoire National d’Identification des Personnes Physiques) et publication rapport du Conseiller d’Etat Bernard TRICOT qui mènera à la création de la première autorité administrative indépendantede la France – la CNIL – et à la publication de la loi informatique et libertés le 6 janvier 1978.

La CNIL avait alors, dès sa création, la mission de veiller à ce que «"l’informatique ne porte atteinte ni à l'identité humaine, ni aux droits del'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".

D’autres textes sont venus compléter la protection des personnes physiques, tant au niveau national qu’européen : notamment la directive européenne de 1995, transposée en droit français par la loi du 6/08/2004,  qui modifie alors la loi informatique et libertés.
Le RGPD, en 2016, abroge cette directive et modifie surtout le système de gestion de la conformité.

Aujourd’hui c’est du RGPD dont on parle beaucoup, dont on s’inquiète. Mais nous avons tendance à oublier que les principes fondamentaux de la protection des données personnelles étaient déjà bien présents en France, et qu’ils devaient déjà être respectés sous peine de sanction.

Mais alors ... qu’est ce qui a changé ? Pourquoi tant d’engouement et d’inquiétude?

C’est que désormais nous sommes RESPONSABLES.

Auparavant, tout le système de gestion de la conformité reposait sur des déclarations à la CNIL, des avis ou des autorisations. Nous envoyions toutes nos informations à cet organe de contrôle et ensuite... nous étions rassurés d’avoir fait notre devoir, sans pour autant nous poser la question de la sécurité de nos données au début des projets.
Aujourd’hui, disais-je, nous sommes responsables. De nos traitements. De leur sécurité. Sans attendre qu’un organe de contrôle ne nous dise «il faut revoir votre projet, les conditions de sécurité ne sont pas suffisantes».

Les termes clés?
PRIVACY BY DESIGN1: nous devons penser sécurité dès la phase de conception de nos projets, l’intégrer dès le départ, ce qui implique de former nos chefs de projets.

Et PRIVACY BY DEFAULT2: les systèmes, les applications que nous développons doivent par essence protéger les données personnelles et permettre aux utilisateurs finaux de verrouiller les paramètres qu’il souhaite (comme la géolocalisation3par exemple).

Désormais nous devons gérer notre conformité, rédiger nos procédures, valider nos choix, être transparents, et démontrer notre respect de la réglementation. C’est ce que l’on appelle le principe d’Accountability4.

En cela nous devenons plus matures.

Le RGPD nous grandit ! 



Besoin d’externaliser la gestion de conformité, d’être accompagné, formé par un expert sur ce sujet ?

Faites appel à IPgarde !

Nous accompagnons quotidiennement les entreprises dans leur mise en conformité RGPD, la gouvernance et la Sécurité de leurs Systèmes d’Information.

1   Protection des données dès la conception.
2   Protection des données par défaut.
3   Cf. étude de cas produite par le Club EBIOS en 2017 précisant des mesures pour que le dispositif de géolocalisation des véhicules d’entreprise soit respectueux de la vie privée .
4   https://www.cnil.fr/fr/definition/accountability 

ipgarde – Valence
Immeuble Rhovalparc
1, avenue de la Gare TGV
26300     ALIXAN
ipgarde – Paris
Tour de l'Horloge
4, place Louis Armand
75012     PARIS
ipgarde – Lyon
1, boulevard Vivier Merle
69443     LYON
ipgarde – Montpellier
7, avenue du Mas rouge
34670     BAILLARGUES