Laurent Deheyer

Cybersecurity Consulting Director d’Approach

Michael Raison

Principal Consultant de la société Approach

 

 

 

 

 

 

 

 

 

 

 

 

GDPR - Comme le souligne Michael Raison, Principal Consultant de la société Approach, la nouvelle règlementation qu’est la General Data Protection Regulation (GDPR) considère désormais les données sur tout leur cycle de vie, de l’acquisition à la suppression, et fournit des détails imprécisés auparavant. Lors de l’acquisition, elle insiste beaucoup plus sur le consentement explicite d’un utilisateur. Exemple : plus de case cochée par défaut ! L’entreprise devra détailler toutes les finalités de l’utilisation des données et préciser celles des tierces parties qui y auront accès, comme des sous-traitants.

 

La General Data Protection Regulation considère désormais les données sur tout leur cycle de vie, de l’acquisition à la suppression, et fournit des détails imprécisés auparavant.

 

Objectif - Laurent Deheyer, Cybersecurity Consulting Director d’Approach, précise que l’objectif de cette règlementation est entre autres d’harmoniser et de renforcer les lois actuelles et de faciliter les échanges. Jusqu’ici, chaque État de l’UE pouvait traduire les directives européennes existantes. En outre, les contraintes de la GDPR seront assorties de sanctions beaucoup plus lourdes.

 

Connaissances multiples - En général, pour bien gérer la GDPR, il faut nécessairement impliquer des profils différents : des juristes, des spécialistes en gouvernance et gestion de flux des données, des experts en cybersécurité, des spécialistes du domaine technologique tel que le cloud ou le big data. L’idée est d’agir de manière structurelle sur quatre axes : juridique, gouvernance des données, technologie de l’information et sécurité des données. Il est nécessaire d’avoir une approche transversale et un large spectre couvrant tous les départements de l’organisation.

 

Qui s’en charge ? - Il faut définir un comité de gestion sur cette problématique au sein de l’entreprise, avec les acteurs principaux. Dans certains cas, la GDPR impose la désignation d’un Data Protection Officer (DPO). Cette fonction peut être interne ou externalisée. Afin qu’il ait un jugement objectif du traitement des données, ce DPO ne peut pas être impliqué dans l’opérationnel.

 

Pour en savoir plus - Approach organise une série de tables rondes avec des décideurs de diverses entreprises de tous secteurs. Elle contribue aussi régulièrement à des conférences et forums professionnels sur la cybersécurité. Enfin, en collaboration avec un partenaire, elle organise des formations certifiantes pour les DPO (Data Privacy Officer).