• Perspective
Publié le 5 avril 2018

BSSI présent au Forum Sécurité Cloud et RGPD 2018 - Jour 2

Le Cloud accélérateur de conformité avec le RGPD

Maître Pitcho souligne que le RGPD peut être considéré comme une facilitation du traitement des données à caractère personnel sous réserve que le prestataire de service dispose du niveau de sécurité adéquat. Il est, de ce fait, nécessaire de vérifier les exigences de conformité à l’article 28 du RGPD de ses sous-traitants et de réviser les contrats et mentions légales en ce sens.

En effet, un sous-traitant qui fait un traitement à caractère personnel, non prévu au contrat, devient de facto responsable conjoint (au sens de l’article 26 du RGPD).

L’avocat n’étant qu’un conseil juridique ne peut s’engager sur la conformité au RGPD notamment sans :

  • La nomination d’un DPO (ou délégué à la protection des données : article 37) ;
  • La mise en place d’une étude d’impact sur la protection des données (DPIA : article 35) ;
  • La mise en place d’un processus de notification des fuites de données (articles 33 et 34) ;
  • L’obtention de certifications ISO27001, 27018 et HDS (pour l’Hébergement des Données de Santé) pour vérifier la mise en œuvre d’un système de management de sécurité de l’information (SMSI) et de mesures de protection complémentaires appropriées (articles 25, 32 et 42).

Ce faisant, il est possible de renforcer le niveau de confiance vis-à-vis des clients, prospects, et sous-traitants.

Comment valoriser et rentabiliser les labels et certifications à l’heure du RGPD ?

  • Paul HOUZE - Responsable de normalisation, MICROSOFT
  • Benjamin LEROUX - directeur marketing et innovation, ADVENS
  • Emmanuelle THOMAS - Compliance Manager, ONLINE
  • Lina Thaier - Business Developer - ISO/IEC 27001 Qualification, BSI Group

À presque 60 jours de l'échéance du RGPD, il est utile de se demander si les travaux de conformité et de certification peuvent faciliter la préparation des exigences du règlement RGPD.

D’après Lina, « la certification ISO 27001 va vous outiller pour vous conformer au RGPD ». En effet, « la norme 27001 est une norme internationale systémique basée sur l’organisation de votre entreprise. La sécurité est intégrée à la base de tous vos projets. Si vous donnez confiance à votre auditeur, vous donnerez confiance à vos clients et vous ferez du business ».

Selon Paul, « l’ISO 27001 est plus orientée sur les risques impactant l’organisation que sur les risques impactant les individus et leurs droits et libertés ». Ainsi « Il faut étirer l’ISO 27001 et aller vers la norme ISO 27552 qui est pensée dans ce sens ».

Pour rappel, Microsoft a fait certifier tous ses centres de données avec les certifications IS0 27001 et ISO 27018 par BSI.

L’ISO 27018 est un guide de bonnes pratiques pour les services Cloud rédigé en 2014, soit deux ans avant le RGPD. Une nouvelle certification 27552 est en cours de développement pour intégrer les nouvelles exigences du RGPD dont « Security by default and by design » et les mesures de protection des données à caractère personnel.

Selon Benjamin, « l’obtention de la certification ISO 27001 depuis moins d’un mois a permis de revoir tous les processus internes » pour transformer l’entreprise « initialement en mode start-up vers une entreprise dont les processus et la gestion des risques sont intégrés dans le cadre d’un SMSI ». Cela a nécessité de convaincre la direction générale et les métiers, « ce qui fut un challenge, mais un vrai levier pour nos clients ».

Le directeur Marketing et Innovation d'advent précise qu'il existe d’autres certifications spécifiques aux hébergeurs de données de santé (HDS), ou au domaine financier SOC type 2. Depuis fin février 2018, les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés HDS, en remplacement de l’agrément jusqu’ici délivré par le ministre de la Santé.

Hervé rappelle l’intérêt d’être certifié dans le cadre d’un audit de tierce personne, notamment pour les hébergeurs dans le Cloud (services informatiques Cloud soumis à la directive NIS en France).

En effet, la certification ISO 27001 ne se limite pas à l’annexe A qui reprend les éléments du code de bonne pratique de l’ISO 27002.

Il est recommandé de mettre en place la norme ISO 27001 dans un premier temps avant les autres certifications ISO 27018 et 22301 (PCA).

Quelles sont les bonnes pratiques à adopter en matière de RGPD ?

  • Olivier ITEANU - Avocat, ITEANU AVOCATS
  • Michel JUVIN - expert en cybersécurité, CESIN
  • Elsa MOREL - DPO d’une grande entreprise française

Olivier recommande de « faire descendre le RGPD en mode projet pour avoir tous les livrables, le registre, analyser les contrats, adapter les mentions des formulaires, et nommer le DPO qui doit être un chef d’orchestre, et le garant de la mise en œuvre »

Le DPO est dans le contrôle, il ne peut être dans la responsabilité de celui qu’il contrôle « comme un commissaire aux comptes qui contrôle l’expert-comptable ».

Dans le secteur public, il est obligatoire d’avoir un DPO. Dans des petites structures privées, il faut privilégier une personne de culture juridique (ex : Correspondant Informatique et Libertés). Le DPO ne peut être rattaché directement à un responsable de traitements.

Elsa Morel explique que le DPO doit être « intégré dans la chaîne de validation des projets et des traitements des données à caractère personnel, et doit pouvoir communiquer vers toute l’entreprise les exigences de conformités liées au RGPD ».

Il est recommandé de designer un chef de projet pour la mise en œuvre des changements induits par le RGPD, notamment le pilotage des analyses de risques, la revue des politiques de protection des données PII, la gestion des incidents et des notifications vers la CNIL, et la revue les contrats avec ses partenaires, fournisseurs (notamment les clauses de continuité de responsabilité, d’audit, de réversibilité, de portabilité, de sous-traitance secondaire, de gestion d’un registre des traitements)

La cyber assurance n’est pas recommandée pour couvrir le risque RGPD. En effet, il ne peut prendre en compte le risque de perte de réputation et de confiance des clients et des marchés financiers.

Article rédigé par
Grégoire VIALARET