Il va falloir s’habituer, dans le monde de l’entreprise comme dans la société en général, à entendre parler de RGPD, ce nouveau règlement européen sur la protection des données personnelles qui entre en vigueur simultanément dans 28 pays de l’Union Européenne le 25 mai prochain. La révolution est en marche en matière de transparence et de sécurité, ce qui est une bonne chose pour le citoyen et l’économie dans un monde où les cyber-attaques n’arrivent pas (plus) qu’aux autres. La CNIL en a rêvé, l’Europe l’a fait, en particulier sous l’impulsion de la France. Au regard des sanctions dissuasives pour les contrevenants, à savoir 4% du chiffre d’affaires mondial ou 20 millions d’euros, l’heure n’est plus au choix de protéger ou pas mais comment. Eclairage avec Phosphorus Technologies sur l’aspect technique et maître Tiffany Dumas sur le volet juridique.
Phosphorus Technologies contre-attaque
Forte du savoir éprouvé de ses créateurs en 2009, Malik Dahman et Didier Sammaritano, la société seynoise Phosphorus Technologies décline naturellement ses solutions clés en main de protection des TPE et PME vers la conformité RGPD.
« Il ne s’agit plus de se poser la question si l’on va être l’objet – la victime – d’une cyber-attaque, mais quand cela va se produire et comment on va s’en sortir », affirment de concert Malik Dahman et Didier Sammaritano, président et directeur général de Phosphorus Technologies. Après plus de 20 ans de croisements d’expériences au sein de leaders mondiaux de l’informatique, ils se sont associés en 2009 dans une structure dédiée à la sécurité des entreprises. Gage de leur sérieux et de leur reconnaissance : le label Customer Licence Agreement délivré par Microsoft, qui confère à la société seynoise le statut de « plus petit constructeur du monde » de la marque. Petit mais costaud dans les solutions développées, au point de revendiquer le sauvetage ces 18 dernier mois de 86 sociétés en France suite à des intrusions de cryptolockers. Grâce à sa « Box and Cloud » et à son concept Diod (Diod Alertes pour la surveillance en temps réel du parc informatique, Diod App sur mobile pour l’accès à distance de toutes les données…), Phosphorus Technologies a pensé la contre-attaque*. En l’occurrence, et cela fait partie intégrante de la sécurisation, elle priorise le Plan de reprise d’activité consécutif à une cyber-attaque ou un incident informatique. « Nous réduisons à quelques heures un redémarrage qui peut prendre des jours ou ne jamais être possible. L’effacement, le vol des données peuvent condamner une entreprise », plaident-ils. Des propos d’autant plus d’actualité avec l’arrivée du RGPD.
Outils d’aide à la décision
Dans la perspective de l’entrée en vigueur de ce nouveau règlement européen sur la protection des données personnelles, et des très sévères condamnations possibles pour tous ceux qui traitent les informations (magasins, organismes privés et publics…), l’entreprise varoise a travaillé sur sa brique sécurité/restauration/restitution de données. « En discutant avec notre correspondant informatique et libertés, nous avons réalisé que cette mise en conformité nécessitait un vrai parcours du combattant. Pour aider le chef d’entreprise à appréhender le problème dans la globalité, nous avons conçu un programme en 10 étapes, du questionnaire de niveau à la traçabilité finale en passant par la formation, la définition d’un pilote RGPD dans l’entreprise, la cartographie des besoins, la définition des priorités, la gestion des risques, la sécurité proprement dite, le consentement, la tenue des registres… ». Pas question de one shot mais bien d’un process qui peut être amendé et doit être alimenté. Si Phosphorus Technologies déploie des outils d’accompagnement étape par étape, en revanche « c’est leur RGPD » affirment Malik Dahman et Didier Sammaritano, « les entreprises doivent s’impliquer et l’intégrer à leur organisation. Ce ne sont pas les outils qui prennent les décisions, ils éclairent sur les divers éléments ». Pour éclairer, justement, leur produit « Diod RGPD » peut se connecter à n’importe quelle box, y compris la leur bien entendu.
Leur maîtrise du sujet les place dans une situation concurrentielle avantageuse puisque cette nouvelle ère de protection des données et de transparence s’inscrit dans leur cœur de métier, jusque dans leurs échanges réguliers avec la CNIL, seul organisme habilité à vérifier la conformité.
* Personnalisable, en contenu et design, la Box Phosphorus Technologies sauvegarde l’intégralité des ordinateurs et des serveurs de plus de 300 entreprises en France (sur les 5 derniers jours, les 4 dernières semaines et les 6 derniers mois), de grandes enseignes comme des artisans, moyennant un abonnement mensuel
Tiffany Dumas : « la CNIL en rêvait, le législateur l’a fait »
Avocate au barreau de Toulon depuis 2015, passionnée de nouvelles technologies et créatrice d’une startup, Audito, société d’audit et de mise en conformité de sites Internet, qui a notamment été accompagnée par l’Accélérateur de TVT Innovation, Tiffany Dumas est « RGPD compatible ».
Les révélations mi-2013 de l’informaticien Edward Snowden sur les programmes de captation de données des gouvernements américains et britanniques a été le point de départ du changement de paradigme annoncé. Les 6 principales CNIL européennes, dont notre Commission nationale de l’informatique et des libertés, ont décidé d’intervenir, avec une application du nouveau règlement sur la protection des données personnelles l’année des 40 ans de la loi informatique et libertés en France. « Le RGPD est une bonne surprise, assez soudaine, née de cette prise de conscience de la multiplication des dangers », explique maître Tiffany Dumas, membre avec sa société Audito de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), qui regroupe les correspondants informatique et libertés et autres professionnels de la conformité. « C’est une révolution philosophique. Cela ouvre une nouvelle pratique jusqu’à présent inconnue ou floue dans l’entreprise. On connaissait l’expert-comptable, le commissaire aux comptes, l’avocat, désormais arrive le conseil en données personnelles. Plus le monde se digitalise, plus la donnée prend de la valeur. Il faut par conséquent la protéger. C’est tout l’intérêt du RGPD, issu pour une fois d’une loi complètement dans l’actualité et non pas avec un temps de retard. En fait, la CNIL en rêvait, le législateur l’a fait ! ».
Le DPO, architecte du RGPD
Dans cette (r)évolution, il faut que le cadre juridique s’adapte. Auparavant la gestion de la donnée était déclarative, sans contrôle. La déclaration disparaît au profit de la responsabilisation de l’entreprise. Laquelle doit mettre en œuvre les actions permettant de démontrer qu’elle est en capacité de gérer les données en sa possession selon la loi. L’attestation de bonne foi ne suffit plus. Le même schéma que celui de la conformité technique s’applique, partant de l’analyse jusqu’à la traçabilité en passant par les procédés de sécurisation. « Cette responsabilité ne s’arrête pas à l’entreprise, elle touche tous ses partenaires et sous-traitants, souligne Tiffany Dumas. C’est très large et de ce point de vue cela peut être très contraignant ».
En termes de contrôles, il est probable que la CNIL aura dans son viseur les grands comptes et les grandes collectivités, ce qui lui donnera en corollaire la possibilité de toucher nombre de sociétés prestataires. Par la renégociation de contrats et les nouveaux cahiers des charges en appels d’offres, l’obligation de conformité devrait être boostée. En lien avec la « police du RGPD », c’est-à-dire la CNIL, un nouveau métier va monter en puissance, le délégué à la protection des données (DPO en anglais), qui doit être une personne indépendante hiérarchiquement du responsable du traitement du dossier, soit en interne en qualité de salarié spécialisé, soit en externe en tant qu’avocat DPO ou encore DPO mutualisé. « Il devra conseiller sur la philosophie, les nouvelles méthodes, les traitements à réaliser, les moyens à mettre en œuvre. Le DPO est l’architecte du RGPD ». Reste à trouver les bons profils sachant qu’il en existe actuellement en France quelque 17 000 et qu’il en faut rapidement 80 000… Les facultés de droit, écoles d’ingénieurs (entre autres) ont du pain sur la planche !
Par ailleurs, compte tenu des trop nombreux renvois (57) à la législation nationale de ce RGPD, une réforme de la loi informatique et libertés doit voir le jour au printemps, avant l’entrée en vigueur du règlement le 25 mai. « Même si le couperet ne va pas tomber à cette date, hâtez-vous de vous mettre en conformité lance Tiffany Dumas aux chefs d’entreprises, car le management de crise pourrait ne pas suffire. Les sanctions seront exemplaires. Et faites appel à des experts, si c’est gratuit ou pas cher c’est que c’est vous le produit… ».
Repères
- Phosphorus Technologies
- Malik Dahman et Didier Sammaritano
- 540 Boulevard de l’Europe 83500 La Seyne
- T. 04 94 10 00 01 http://www.phosphorus-technologies.com contacts@phosphorus.fr
- Maître Tiffany Dumas
- ID9 Avocats
- 334 rue du Luxembourg 83500 La Seyne
- T. 04 98 03 81 38 contact@avocat-tiffanydumas.fr
O.R.