Résolutions 2016…compliance ou pas ?

Normes et Réglementation
Résolutions 2016…compliance ou pas ?

« Cette histoire est une pure fiction. Toute ressemblance avec des personnes ou des situations existantes ou ayant existé ne saurait être que fortuite… »

Un matin de début Janvier, je me suis mis à la place d’un RSSI….

C'est le début de l'année, c'est le temps des bonnes résolutions.

A titre personnel, je vais faire un peu plus de marche, prendre les transports en commun, manger moins, essayer une diète au moins 4 fois dans l'année, ne plus regarder mes mails après 22H….ça ne mange pas de pain et cela n'engage que moi. 

A titre pro, revoir mes politiques, faire plus de contrôle, travailler plus avec les Admins, re-sensibiliser les membres du board ou du Codir…

Par contre qu'est-ce que je peux leur raconter cette année ?

  • Que TRUCMUCH Inc s'est fait piraté et qu'on leur a volé les recettes de fabrication de la Pie qui rit ou la Vache qui chante ?
  • Que les usines de GASMOCH Gmbh ont été bloquées 3 jours par un ransomware ?
  • Que DIESELVERT Limited a été victime d'une fraude au président de 1M€ ?

Visiblement, ça ne les a pas fait bouger pour l'instant.

Ils vont me dire que je suis encore parano et que j'essaye d'avoir toujours plus de budget. 

Et si j'essayais de leur parler du Règlement Européen sur les données perso ?

Cela fait 4 ans que c'est dans les tuyaux : on avait l'impression que le projet était victime de l'effet tunnel.

Ça y est : le règlement a fini de passer toutes les chicanes Européennes de cette longue route entre le Parlement, le Conseil et la Commission et on vient de passer le dernier virage : la ligne d'arrivée est là.

Les instances européennes l'ont enfin validé. Reste le vote du Parlement début 2016 pour le rendre applicable.

Et pour nous, quelles conséquences cela aura ?

  • Simplification des démarches au niveau européen : plus besoin de connaitre chacune des déclinaisons de la Loi Informatique et Libertés de chacun des pays où nous sommes implantés et de faire un plan d'actions spécifique à chaque pays. Les mêmes règles pour tous les pays d'Europe !
  • Renforcement du consentement des utilisateurs : Il va falloir obtenir l'accord des internautes "systématiquement" avant de collecter leurs données. Jusqu’à maintenant, on avait installé des cookies, aucune information sur les formulaires papiers ni sur le Web. On revendait les données à nos agences de marketing qui les revendaient à tous ses copains. On va devoir changer nos habitudes.
  •  Notification des fuites sur les données personnelles : Zut, il va falloir informer les clients ou le personnel dès qu'on se sera fait pirater ou voler un matériel dans les 3 jours ! Cette année, on s'est fait volé 5 portables avec les données des clients ! Je crois qu'on va parler de nous un peu plus cette année si cela nous arrive. 
  • Accord des parents pour les consommateurs de moins de 16 ans : Ouf, on n'a pas de client de moins de 16 ans…A part ceux qui se sont inscrits au laser game organisé par le CE, ceux qui ont téléchargé le sérious game sur notre dernier GAMEOFGAME.
  • Etude d'impact avant tout nouveau traitement : on va devoir évaluer les risques de sécurité sur les données avant toute mise en place d'un nouveau traitement. On va devoir changer les habitudes de la maison : Jusqu'à maintenant, on était parfois prévenu après la mise en place d'un traitement voire jamais ! 
  • Amendes : Les autorités de contrôle ont le pouvoir d'adresser des amendes allant jusque 4 % du chiffre d'affaire mondial. Sur 2014, on a fait 100 millions d'Euros…cela fait 4 millions d'Euros…cela risque de nous faire chuter le résultat ! Il y en a qui vont avoir la pression si les résultats sont plombés par une amende de ce type !

Je vois que cela va nous faire beaucoup de boulot et qu'il va falloir mobiliser les équipes DSI, les métiers, les fonctions support…

Finalement, le plus simple ce serait peut-être de supprimer les données des clients, des citoyens et du personnel.

Je ne sais pas si je vais prendre cette résolution cette année…

Ps : le Règlement Européen sur les données personnelles, ce n’est pas de la fiction !

Bruno Ober, Consultant Sécurité, Advens