Réglement Général sur la Protection des Données : le point de vue de 3 experts

Réglement Général sur la Protection des Données : le point de vue de 3 experts

Le 25 mai 2018, le Réglement Général sur la Protection des Données (RGPD ou GDPR) entrera en application. Pour tout savoir sur l’actualité dans le domaine du traitement des données, l’importance de ce cadre légal, ses conséquences et comprendre les responsabilités de chaque entreprise, EuroCloud France organise le 15 février 2018 une conférence consacrée à cette nouvelle réglementation européenne.

Pour introduire cet évènement, appvizer a recueilli le point de vue de 3 intervenants, experts du sujet RGPD :

  • Guillaume Vautrin, Senior Legal Counsel chez Google, 
  • Eric Melki, Directeur associé Infoclip, 
  • Laurent Pontégnier, Responsable Marketing et Alliances Manager chez Crayon.

Le point de vue de Guillaume Vautrin (Google) 

Guillaume Vautrin, Senior Legal Counsel chez Google
 Le RGPD de l’Union Européenne est la législation européenne la plus importante relative à la protection de la vie privée de ces vingt dernières années. Les utilisateurs de Google Cloud peuvent compter sur l’engagement de Google de conformité au RGPD, qu’il s’agisse de G Suite ou de Google Cloud Platform (GPC), lorsque le Réglement entrera en vigueur le 25 mai 2018. Nous sommes aussi engagés aux côtés de nos clients dans leurs propres efforts pour être conforme au RGPD. Les utilisateurs peuvent tirer parti des services Google Cloud en toute connaissance de cause des fonctionnalités robustes de protection des données intégrées au sein de Google Cloud.
 
Nous avons travaillé avec diligence au cours de la dernière décennie pour aider nos clients à répondre directement aux exigences de protection des données de l'Union Européenne. Ces efforts ont été décisifs dans nos préparatifs actuels pour le RGPD :
 
Conditions contractuelles de traitement des données : Des engagements forts de protection des données entre les fournisseurs de cloud et les clients sont fondamentaux pour la conformité. Nos conditions contractuelles de traitement de données pour G Suite et Google Cloud Platform expriment clairement nos engagements envers les clients en matière de protection des données. Nous avons fait évoluer nos engagements contractuels au fil des années en fonction des retours de nos clients et des régulateurs, et les avons maintenant mis à jour également pour le RGDP.

Audits par des tiers et certifications : Nous offrons un certain nombre d'audits par des tiers et de certifications pour G Suite et GCP. Nous sommes soumis à des audits de sécurité  ISO 27001, et ce depuis plusieurs années. En 2016, nous avons introduit deux nouvelles certifications de sécurité et de protection des données, ISO 27017 pour la sécurité du cloud et ISO 27018 pour la protection des informations personnelles identifiables dans les clouds publics. Ces certifications, ainsi que d'autres audits par des tiers tels que SOC1, SOC2 et SOC3, couvrent de nombreux services au sein de Google Cloud.

Transferts internationaux de données : Le RGPD, à l'instar de la directive sur la protection des données personnelles qu'il va remplacer, comprend des dispositions sur les mécanismes de transferts internationaux de données. Pour répondre aux lois actuelles de protection des données de l'UE, G Suite et GCP sont certifiés Privacy Shield. Nous avons également obtenu la confirmation de conformité de la part des autorités européennes de protection des données pour nos clauses contractuelles types, affirmant que les engagements contractuels de G Suite et GCP répondent pleinement aux exigences de la directive sur la protection des données personnelles pour encadrer juridiquement les transferts de données hors de l'UE.

Exportation de données : Le RGPD comporte certaines exigences pour l'exportation de données personnelles. Les données que vous stockez dans Google Cloud vous appartiennent. Nous avons inclus des engagements de portabilité des données dans nos conditions contractuelles de traitement de données depuis plusieurs années, et travaillons continuellement pour renforcer la robustesse de nos capacités d'exportation de données.

Notifications d'incident : Le RGPD comporte des exigences concernant les notifications de violation. G Suite et GCP ont fourni des obligations contractuelles en matière de notification d'incidents depuis de nombreuses années. Avec des centaines d'ingénieurs Google dédiés à la sécurité, Google Cloud a investi et continuera d'investir dans nos capacités de sécurité, de réponse aux incidents, de détection des menaces et de prévention.

Le point de vue de Laurent Pontégnier (Crayon) 

 Laurent Pontégnier, Responsable Marketing & Alliances Manager chez Crayon
Crayon capitalise sur son expertise SAM pour délivrer une solution plus pertinente et plus rapide.

Dès lors qu’elles ont compris les enjeux juridiques et financiers de la RGPD, les entreprises doivent passer à une phase d’exécution rapide de leur mise en conformité. 

Le Software Asset Management, tel que Crayon le propose, répond parfaitement à cette attente en appliquant aux données une méthodologie éprouvée de gestion des actifs logiciels et de conformité réglementaire : process, technologies, services.

L’accentuation du focus porté à la protection de l’information et des données accroît significativement les questionnements sur la sécurité et l’agilité des entreprises. L’analyse RGPD Crayon aide à appréhender les points sensibles dans le cadre du respect de la législation européenne. Crayon procède à une analyse poussée qui donne une vision claire de la conformité RGPD. 

Notre rapport final contient des recommandations détaillées sur la façon dont l’entreprise peut atténuer les risques de conformité et de sécurité. 

L’analyse RGPD Crayon inclut les services suivants :

  • Une vue détaillée et exhaustive de votre environnement IT, de vos process, des règles d’usage associées et des documents légaux requis par la RGPD
  • Un focus sur les zones où le risque doit être contrôlé et diminué.
  • Un plan d’action spécifique permettant des évolutions immédiates et mesurables.  La garantie que son déploiement se fera au bon endroit et au bon moment

Le point de vue de Eric Melki (Infoclip) 

Eric Melki, Directeur Associé Infoclip
Les ingénieurs et consultants Infoclip sont sur le pont pour accompagner les organisations à l’élévation des contraintes de sécurité, que la loi, applicable le 25 mai prochain, exige. 
En conformité avec les normes ISO 9001 et 27001, Infoclip applique déjà auprès de ses clients, la plupart des attentes formulées par les législateurs européens, notamment concernant les recommandations et bonnes pratiques.  

Améliorer la sécurité des infrastructures, certifier la sécurité des traitements, garantir la sécurité des accès et des terminaux : Infoclip est naturellement du côté de l’accroissement des sécurités.
Les missions proposées par les équipes d’Infoclip :

  • Pack Audit et déploiement «RGPD : les 6 étapes de mise en conformité»
  • Externalisation infrastructure Cloud Public & Privé
  • Mise en place de systèmes de sécurité : firewall, antivirus, antimalware, antispam, détection d’intrusion, …
  • Mise en place et déploiement de solutions applicatives : Sage, Sap, MS Dynamics 365
  • Infogérance et supervision du SI

Désormais, l’enjeu de la responsabilité dépasse le simple risque légal, et implique des prises de conscience collectives. Le bon choix technique ou la sélection de la bonne contrainte ne sont qu’une étape de la démarche. Aucun système ne pourra totalement surveiller un commercial dans l’usage de son application CRM en mobilité. Aucune procédure n’évitera le copier-coller de trop. Au-delà des nécessaires mises à jour technologiques que nous accompagnons, nous sommes convaincus qu’un changement de culture de la confidentialité est incontournable.

Sur ce terrain, nous avons appris à accompagner tous les types d’organisations dans une progression de la culture de confidentialité. Auprès de nos clients, auprès des équipes aux prises avec les enjeux du business, nous contribuons à ce que la protection des données personnelles s’installe dans les réflexes du quotidien et intègre les cultures d’entreprise.

Mieux qu’une entreprise qui craint le juge, des équipes qui disposent des bons réflexes ouvrent en grand, le champ des nouvelles opportunités !

Commenter cet article

Ajouter un commentaire