Par Marc Cierpisz, Head of security services | RSSI/CISO
C2SMarc Cierpisz est à la fois responsable de la sécurité des systèmes d’information et responsable de l’offre de sécurité de C2S. Une double casquette qui lui permet d’aborder la réglementation en interne comme en externe.
Comment appliquer le RGDP lorsque l’on est une TPE, à qui faire appel ?
Ce qui est important c’est d’être acteur de cette réglementation et de mener le travail de cartographie des données. Cela peut requérir plus ou moins de moyens (temps, coûts), suivant sa taille et son activité. Si le nombre de traitement des données est important, il peut être judicieux de se faire accompagner, par un cabinet d’avocats et un prestataire informatique type SSII. Pour les TPE, un coaching d’une demi-journée pourra parfois suffire. Comme il n’existe aucune solution type qui réponde à 100% au sujet, attention aux vendeurs de rêve, vérifiez le sérieux des prestataires, leur labels et/ou leur historique !
Le RGDP concerne les sous-traitants ?
C’est en effet une nouveauté introduite par le RGDP, le principe de « coresponsabilité » : ce n’est pas le seul « responsable du traitement » qui est juridiquement responsable des données. Les sous-traitants qui traient les DCP pour le compte d’un client peuvent aussi assumer une responsabilité directe. Un contrat de sous-traitance écrit devient obligatoire entre ces deux parties, dans lequel les responsabilités sont distribuées en fonction de la mainmise de chacun sur les données. Il faut intégrer des clauses spécifiques dans les contrats. Dans le cas de Darty, son sous-traitant informatique n’a pas été désigné responsable de la violation des données, c’est la personne morale – l’entreprise Darty – qui a été condamnée.
En quoi la protection des données peut-elle contribuer à la compétitivité ?
Cette réglementation a permis de faire retravailler ensemble les fonctions informatique et les métiers de l’entreprise autour d’un enjeu commun : l’analyse des risques. Si l’entreprise se saisit de cette réglementation, elle peut se révéler fédératrice, en redonnant des ambitions communes surtout si elle va jusqu’à la labellisation. A l’instar des labels Iso, être garant de la protection des données constitue un vraie gage de qualité, un enjeu business !
Article publié en mars 2018 dans Touraine Eco, le magazine de la CCI Touraine.
Par Marc Cierpisz, Head of security services | RSSI/CISO
C2SSi vous avez des questions sur le RGPD, contactez-nous !
