Extrait de la Table ronde réalisée à Eden-Paris le 10 mai 2017 avec Maître Debras (avocat au Barreau de Paris), Fabien Gautier (Equinix), Loïc Guezo (Trend Micro), Ivan Rogissart (Zscaler) et Patrick Tissier (NTT Security)
Intervenant : Patrick Tissie
Avec l’arrivée du RGPD en mai 2018, les entreprises vont devoir modifier en profondeur certains aspects organisationnel, technologique et juridique pour être en conformité à la date prévue. Ce travail de fond ne peut s’effectuer sans être piloté par une bonne stratégie, qui elle-même doit s’appuyer sur un planning d’étapes clairement défini et une analyse profonde des nouveaux concepts (DPIA, droit à l’oubli…). Plusieurs questions font alors leur apparition : quelles sont les étapes d’un traitement de données classiques ? Et quelles sont les évolutions souhaitables pour être en conformité ?
Pour respecter la réglementation, il faut analyser la maturité de l’entreprise : quel est le niveau de sécurité et si elle respecte déjà des articles. S’il y a un écart important entre l’état actuel de l’entreprise et la réglementation, il faut mesurer l’écart et définir comment anonymiser et protéger les accès aux données. Le droit à l’oubli doit également être pris en compte dans cet audit : car il faudra s’assurer d’avoir effacé toutes les données personnelles (vérifier qu’elles ne soient pas conservées dans les logs.
Si ces données sont très sensibles, il est préférable d’avoir recours à une analyse de risque : une DPIA. Pour cela, les sociétés doivent se faire aider par des consultants spécialisés pour les parties juridique, consulting organisationnel, technique et enfin, définir quelles solutions et quels produits permettront de garantir cette protection et d’être conforme au RGPD.
