La newsletter

#Cyberdayinfo. RGPD – Révision de la Gouvernance des Risques Numériques


Pierre-Luc REFALO Directeur Consulting Cybersécurité et Protection des Données Leader de l’offre « RGPD » Capgemini France

Le Digital, et la donnée en particulier, rabattent les cartes.
Ils introduisent le concept de « plate-forme » reposant sur le « réseau » et le « Cloud ». Nous entrons dans une galaxie à 3 dimensions incarnées par le triptyque Digital, Data et Cloud.



RGPD - (1) Règlement Général sur la Protection des Données
 

La transformation digitale est porteuse de nombreux risques qu’il faut gérer et minimiser.

Elle est aussi centrée sur la donnée dont la gestion et la protection s’inscrivent dans une logique juridique et technologique mais aussi organisationnelle et culturelle. Elle est autant une aventure humaine que technologique. Dans le domaine du risque, on distingue de plus en plus mal les principes anciens tels la sûreté et la sécurité, le matériel et l’immatériel, le physique et le logique (2).
L’IA et la robotique en sont deux exemples flagrants.
Enfin, le modèle d’organisation par « offre » (produits / services) et / ou « demande » (marchés / clients) est perturbé par la digitalisation notamment en accélérant la liaison entre la R&D et la relation client.
Le binaire est omniprésent mais imparfait…
Qui sont les gentils et les méchants, les bons et les mauvais ?

(2) Voir « La sécurité numérique de l’entreprise - L’effet Papillon du Hacker » (Eyrolles 2012)

Le « binaire » atteint ses limites face à la complexité croissante et à la forte accélération apportées par le numérique.

La Galaxie des risques numériques
La Galaxie des risques numériques
Le Digital, et la donnée en particulier, rabattent les cartes.
Ils introduisent le concept de « plate-forme » reposant sur le « réseau » et le « Cloud ». Nous entrons dans une galaxie à 3 dimensions  (3) incarnées par le triptyque Digital, Data et Cloud.
Le RGPD revêt alors une opportunité unique pour revisiter comment peuvent être abordées les questions de responsabilités et de compétences dans ce modèle tridimensionnel. Il peut aussi devenir un véritable catalyseur de refondation de la Gouvernance des risques numériques. Le RGPD introduit formellement 3 niveaux d’intervention :
  • Le Responsable de traitement (avec Sous-traitant et Délégué à la Protection des données)
  • La Personne concernée
  • L’ Autorité de contrôle
(3) Voir infographie
gdpr_infographic_fra.jpg GDPR_Infographic_Fra.jpg  (190.98 Ko)

Le Délégué à la Protection des Données (DPD) est requis si : « le traitement est effectué par une autorité publique ou un organisme public » et pour des activités qui exigent « un suivi régulier et systématique à grande échelle des personnes concernées ».
Ses activités sont a minima :
« informer et conseiller, contrôler le respect du règlement …
y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel, dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci ...
…, coopérer avec l'autorité de contrôle; Il tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement. »


 

DPD et RSCI remplaceront-ils les CIL et RSSI d’hier ?

Cette fonction ressemble beaucoup au RSSI (4), apparue dans les années 90 et qui opère dans un contexte différent, généralement plus technique et opérationnel, et désormais fortement influencée par le Digital et le Cloud.
Ce RSSI là, opérationnel, deviendra parfois un Responsable de la Sécurité du Cloud et des Infrastructures (RSCI).
DPD et RSCI remplaceront-ils les CIL (5) et RSSI d’hier ?

(4) Responsable Sécurité des Systèmes d’Information
(5) Correspondant Informatique et Libertés


 

Ce binôme ne pourra rien si on ne ferme pas le triangle avec une fonction de « Responsable des Risques Numériques » au cœur de la transformation digitale et centrée sur les processus et activités « métier ».

Celui-ci deviendra le point d’équilibre de la gestion des risques numériques soutenu par les piliers
« conformité » (juridique) et « sécurité » (technologique). Dans certains cas, on peut imaginer un pilotage commun rapprochant des activités encore trop cloisonnées et peu communicantes.
Ce modèle d’évolution est-il une utopie ou une illusion ?
Pas si sûr dès lors qu’on accepte l’idée que l’enjeu majeur de la Transformation Numérique et de la Protection des données est aussi de rassembler ce qui est épars (pillé) !
 

Le Livre Blanc | Coup d'oeil Programme 2020 | La newsletter