[cyber-sécurité] RGPD spécial DSI-RSSI —> L’obligation de sécurisation des systèmes d’information [art.32 GDPR]

[21 février 2018] Vous ne serez pas surpris d’apprendre que les DSI et les RSSI sont pas mal sous pression en ce moment… Avec l’entrée en vigueur du RGPD qui approche, les professionnels du Club DSI GUN de la région lilloise se regroupent et s’informent. Raison pour laquelle je les ai rejoint afin de leur parler de « l’obligation de sécurisation des systèmes d’information » [art.32 GDPR]. La présentation (entièrement nouvelle avec « La Nef des Fous » de Turf) est accessible en ligne dans le slider ci-dessous.

Vous croyez que « DSI« , ça veut dire « Directeur des Systèmes d’Information » ? Les DSI du Club GUN soutiennent que « DSI » = « Directeur de la Stratègie de l’Information« . Dis comme ça, c’est insister – à juste titre pour moi – sur la valeur de la data pour l’entreprise. Car après tout, le logiciel, ce n’est qu’un outil… Et vous le savez bien, « qu’importe le flacon, pourvu qu’on ait » les data…



L’obligation de sécurisation des systèmes d’information : une obligation légale ???

L’obligation de sécurisation, c’est l’article 32 RGPD. Avec la GDPR, cette obligation de sécurisation devient légale pour les 27 états membres de l’UE.

Et en droit français, on ne dit pas « systèmes d’information » (S.I.), on dit « Système de Traitement Automatisé de Données » (S.T.A.D.). Parce qu’avec ce terme, il existe plein de sanctions pénales depuis 1988 (et fort peu de jurisprudence…).

obligation de sécurisation des systèmes d'information RGPD-GDPR


L’obligation de sécurisation : quel risque pour les DSI / RSSI ?

Le risque pour les DSI / RSSI ? Les failles de sécurité et les fuites de données, les « violations de données à caractère personnel » en français de la Commission de Bruxelles. Vous allez découvrir que cette obligation et sa sanction (pénale) fêtent leurs 40 ans en 2018 !!! (joyeux anniversaire…)

obligation de sécurisation des systèmes d'information RGPD-GDPR

 


L’obligation de sécurisation : les recommandations légales du GDPR

Logiquement, puisque l’audience est composée d’ingénieurs, nous allons ensuite regarder en détail la typologie des mesures de sécurisation imposées par la GDPR-RGPD. Car tous les concepts ne sont pas évidents à comprendre.


L’obligation de sécurisation : jurisprudence CNIL 2014 —> 2018

Mais vous n’avez entendu parler de la jurisprudence que de loin… C’est vrai, actuellement, vous êtes plus occupé(e)s par la compréhension des menaces techniques qui pèsent sur vos SI. Mais la CNIL, elle, est à l’oeuvre depuis quelques mois déjà… 

Vous sourirez peut-être avec « l’avertissement public »  pour Orange en 2014 décidé par la CNIL (confirmé par le Conseil d’Etat en 2015).

Vous sourirez sans doute franchement moins à la lecture de la délibération du 18 juillet 2017 de la CNIL qui condamne Hertz.

Et votre sourire se figera probablement à la lecture de la jurisprudence CNIL du 8 janvier 2018 « Darty » (oui, vous avez bien lu « 8 janvier 2018 »). 

Et dans les 3 cas, la fuite se passe chez le sous-traitant…

obligation de sécurisation des systèmes d'information RGPD-GDPR


L’obligation de sécurisation : petite synthèse ?

J’ai pensé à vous préparer un petit pense-bête (pas trop bête, j’espère). Si vous pensez à regarder vos contrats (au hasard : de développement…), prenez le réflexe « Privacy by design » et préparez vos clauses avec votre Direction Juridique. Si vous leur expliquez vos contraintes, vos juristes sauront vous aider. Chers DSI / RSSI, soyez patient(e)s avec vos juristes, votre univers technique est parfois assez abscons pour nous autres, littéraires de formation… Mais relisez bien les décisions de la CNIL, les clauses de vos contrats pourront jouer en votre faveur. Ou à votre détriment si rien n’est prévu. Oui, un contrat « pro », cela fait partie des bonnes pratiques (obligatoires, certes, mais des bonnes pratiques quand même) à adopter.

obligation de sécurisation des systèmes d'information RGPD-GDPR


obligation de sécurisation des systèmes d'information RGPD-GDPR


Merci à Philippe Wlodyka, DSI de l’Ecole Polytechnique et aux DSI du Club GUN pour leur attention et leurs questions lors du séminaire du 21 février 2018. Mesdames, Messieurs, une feuille de route documentée en 2018 pour votre mise en conformité RGPD-GDPR…


Un merci tout particulier à Turf pour sa « Nef des Fous » et aux éditions Delcourt. Les cases de Turf (dit « le Génial ») se prêtaient à merveille à ce sujet difficile sur la sécurité des systèmes d’information… Que de failles et de fuites à Eauxfolles… 


obligation de sécurisation des systèmes d'information RGPD-GDPR


obligation de sécurisation des systèmes d'information RGPD-GDPR


obligation de sécurisation des systèmes d'information RGPD-GDPR


obligation de sécurisation des systèmes d'information RGPD-GDPR