RGDP : les PME en retard dans leur démarche de mise en conformité

Le RGPD (Règlement Général sur la Protection des Données Personnelles) entre en vigueur le 28 mai ! Il n’est pas trop tard pour lancer la démarche, mais par où commencer ?

Certes, le règlement prévoit que les TPE/PME soient dispensées de certaines obligations (dans certains certains cas seulement). Mais il s’applique bien à toute entreprise qui collecte, stocke, traite ou utilise des données à caractère personnel, pour son propre compte ou en qualité de sous-traitant. Les entreprises qui ne respecteront pas les principaux points du règlement ou qui n’auront pas au moins entamé la démarche de mise en conformité s’exposent à des sanctions. Le champ d’application est vaste : il peut s’agir des données personnelles des employés, des clients, des prospects, des partenaires, etc… Pour chaque traitement, la mise en conformité implique des mesures sur les plans juridique, organisationnel et technique.

RGPD : objet, application et sanctions

Le RGPD renforce la loi Informatique et Libertés en vigueur depuis 1978. Elle accroît les droits des citoyens en leur donnant plus de maîtrise sur leurs données. Les formalités actuelles auprès de la CNIL (déclarations, autorisations) disparaissent. En contrepartie, les entreprises qui traitent des données à caractère personnel (pour leur compte ou pour le compte de leurs clients) doivent apporter la preuve qu’elles ont mis en oeuvre toutes les mesures techniques et organisationnelles pour protéger les données, conformément au nouveau règlement. Contrairement aux directives européennes qui ne s’appliquent qu’après transposition nationale, le RGPD, en tant que règlement européen, est d’application immédiate dans l’ensemble des Etats membres à compter du 25 mai 2018. Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. L’organisme de contrôle pour la France est la CNIL.

Données personnelles dans le règlement RGPD : définition

Il s’agit de toute information se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement). Par exemple : nom, prénom, numéro de téléphone, adresses postale, email, adresse IP, identifiant, etc… Certaines données sont dites sensibles, comme par exemple l’origine raciale, l’opinion politique, l’appartenance syndicale, les convictions religieuses, les données génétiques, de santé, l’orientation sexuelle. Le principe de base est que leur traitement est interdit sauf pour certaines exceptions comme les raisons médicales d’urgence.
Le RGPD s’applique aux traitements de données sous forme de fichier, en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données (dossiers clients ou patients par exemple, liste manuscrite de mauvais payeurs…). Les fichiers “papiers” sont donc bien concernés. Enfin, le RGPD s’applique aux données personnelles de tout type de contact : clients, fournisseurs, partenaires, employés…

Quelles sont les entreprises concernées ?

Le RGPD concerne toutes les entreprises qui traitent des données à caractère personnel. Des dispenses existent pour les entreprises de moins de 250 salariés concernant certaines obligations comme la tenue d’un registre des traitements ou la nomination d’un DPO (délégué à la protection des données). Ces dispenses ne sont possibles que dans certains cas et pour les PME, Le RGPD peut représenter une contrainte lourde. La mise en conformité est coûteuse et prend du temps mais elle est vitale. Car au-delà des sanctions financières prévues, les grands comptes exigeront bientôt de leurs sous-traitants qu’ils soient conformes.
Le règlement concerne aussi les sous-traitants : notamment les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les agences marketing ou de communication qui traitent des données personnelles pour le compte de clients, etc…

La notion de traitement de données personnelles

Traitement des données personnelles :
Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Responsable du traitement :
La personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Sous-traitant :
La personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Les principales obligations du RGPD

Nomination d’un DPO (délégué pour la protection des données), si vous êtes dans le cas de figure où c’est obligatoire. Dans certains cas, ce n’est pas obligatoire. La CNIL recommande néanmoins de désigner un pilote. Son rôle consistera à centraliser les informations relatives aux traitements de données à caractère personnel et organisera les actions à mener afin de respecter les obligations applicables. En pratique, il est difficile de se passer d’un chef de projet (interne ou externe) afin de mener le plan de conformité.
Tenue du registre des traitements des données personnelles, si vous êtes dans le cas de figure où c’est obligatoire. Dans la pratique, difficile de s’en passer ne serait-ce que pour faire l’inventaire des différents traitements et garantir une conformité continue.

Conformité de chaque traitement de données personnelles

Vous devez respecter les droits des personnes : consentement, information, accès, rectification, effacement, limitation, notification, portabilité.
Le traitement doit être légitime et licite.
Vous devez minimiser les données en limitant la collecte aux seules données strictement nécessaires au traitement.
Il faut assurer la sécurité des données dans leur intégrité et au niveau de leur confidentialité : prendre les mesures organisationnelles et techniques pour éviter la destruction, la perte, l’altération ou la divulgation non autorisée des données (voir le guide de la CNIL).
Certains traitements de données personnelles peuvent engendrer un risque élevé pour les droits et libertés des personnes. Ils doivent faire l’objet d’une analyse d’impact (PIA : privacy impact assessment).

Gestion des responsabilités

Le responsable du traitement est responsable de la conformité et devra être capable de le démontrer. Il doit donc organiser et documenter la mise en conformité et le maintien de la conformité.
La co-responsabilité du sous-traitant doit être claire. Echanger des données personnelles entre deux sociétés exige désormais d’évoquer les engagements réciproques de chacun.
Mise en conformité de tous les contrats (clients, sous-traitants, CGU, CGV, mentions pour la collecte des données, contrats de travail, etc…).
Il est nécessaire de mettre en place une procédure en cas de violation. L’entreprise a pour obligation de notifier l’autorité de contrôle (CNIL) en cas de violation de sécurité ou de violation des données. L’entreprise devra également, dans certains cas, communiquer aux personnes concernées par la violation.

La démarche de mise en conformité

Les étapes :

Formulaire RGPD : mon entreprise est-elle concernée ?
Audit initial : analyse rapide d’exposition de l’entreprise au RGPD. On peut éventuellement réaliser cet audit à distance.
Nomination d’un DPO (délégué à la protection des données) ou à défaut d’un pilote.
Etat des lieux RGPD : à partir d’une cartographie des traitements, quantifier le travail à accomplir pour être en conformité avec les exigences du RGPD. Etablissement d’un plan d’action quantifié, hiérarchisé.
Mise en conformité : sur le plan contractuel et juridique, des mesures techniques et organisationnelles, des actions vis-à-vis des clients (notamment si l’entreprise est sous-traitante), actions vis-à-vis des sous-traitants et partenaires.
Mise en place de la gouvernance : rôles, procédures, documentation. Il faut démontrer à l’Autorité de Contrôle (CNIL) que les actions sont lancées et suivies.

Nous vous accompagnons dans votre démarche RGPD

La sécurisation informatique des données est une des principales exigences du règlement. Aussi, nous sommes en mesure de vous accompagner dans votre démarche de mise en conformité. En effet nous proposons une prestation spécifique. Si vous le souhaitez, nous pouvons vous faire parvenir un questionnaire. Ceci nous permettra de faire un premier état des lieux et de programmer un premier échange à distance rapidement.

> Contactez-nous

Liens

Le règlement RGPD :
www.cnil.fr/fr/reglement-europeen-protection-donnees

Le guide CNIL 2017 de la sécurité informatique :
www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

Transformation digitale indispensable pour les PME

Transformation digitale ou bien transition numérique, ou encore digitalisation, on entend ces mots partout. On les associe à l’économie, à l’entreprise, à la stratégie, et même aux services publics. Les nouvelles technologies ont envahi notre quotidien ces quinze dernières années. Avec leurs outils connectés toujours plus puissants, elles modifient profondément nos modes de vie et notre façon de consommer. A l’instar de la révolution industrielle au 19e siècle, on assiste à un bouleversement de l’économie. Ceci impacte évidemment les entreprises très fortement. Aucun secteur n’y échappe et le phénomène va encore s’accélérer dans les prochaines années.

La transformation digitale, un sujet flou pour les PME

Ce qu’on peut lire sur cette transformation numérique a de quoi inquiéter. En effet, il y a beaucoup de rapports, d’études et de sondages sur le sujet. Ils nous disent par exemple que jusqu’à 80% des métiers de dans 10-15 ans n’existent pas encore. On apprend aussi que les mutations technologiques menacent un nombre important d’emplois. Et ceux qui resteront s’en trouveront largement modifiés. D’autres bien entendu seront créés, à plus forte valeur ajoutée.

Heureusement, la révolution en cours apporte également son lot d’opportunités. Mais d’abord à ceux qui savent les saisir. Un véritable challenge pour les dirigeants de PME !

Pourtant, la plupart d’entre eux n’en font pas une priorité. Ils ne visualisent pas ce que serait la transformation digitale dans leur entreprise. Ils n’ont pas de projet précis en ce sens et pensent que cela ne les concerne pas immédiatement.

A leur décharge, ce sujet complexe peut paraître inaccessible. D’autant qu’il y a profusion d’informations, mais pas beaucoup d’éléments concrets. Le jargonnage et le mélange des sujets est systématique (UX, big data, objets connectés, ubérisation, intelligence artificielle, blockchain…).

Pas évident pour les patrons de PME, notamment celles des secteurs traditionnels, d’y voir clair et de savoir quoi faire !

L’expérience client conduit la transformation digitale

Certes la transformation digitale s’appuie sur des nouvelles technologies, mais elle ne se limite pas à ça. Ce n’est pas simplement passer à l’utilisation d’outils numériques. Ce n’est pas non plus seulement se mettre à vendre ses produits ou services sur internet. C’est bien plus large que ça. C’est un processus complet d’adaptation à un nouvel environnement, en évolution rapide. Et dans l’entreprise, il faut s’adapter sur toute la chaîne. On doit mettre l’expérience client au premier plan. De plus, il est nécessaire de faire évoluer son organisation et de repenser ses partenariats.

L’avènement du commerce en ligne a brutalement élevé le niveau d’exigence client. L’utilisation massive des téléphones portables intelligents accentue encore le phénomène. Il y a désormais de nouvelles références en matière de qualité de service, de réactivité et de personnalisation. Et ces nouvelles exigences des consommateurs B2C s’imposent maintenant en B2B. Mais pour satisfaire son client, encore faut-il connaître ses attentes. La collecte et l’analyse des informations client sont devenues primordiales.

Toutes les entreprises ne sont pas concernées de la même manière

Il convient d’évaluer la situation de son entreprise par rapport à son secteur d’activité, à la concurrence. La transformation digitale peut remettre en cause son business model et faire apparaître des opportunités supplémentaires de création de valeur.

Pour les entreprises qui pourraient être en retard sur le plan de l’utilisation des outils digitaux, il faut y aller progressivement. Laisser son personnel expérimenter de nouveaux modes de travail et outils collaboratifs peut être un premier pas. D’autant qu’ils peuvent apporter de véritables gains de productivité.

La transformation digitale impose de repenser ses méthodes de travail. Les nouvelles pratiques entraînent le décloisonnement des activités. On favorise la transversalité, la coopération, c’est la fin du travail en silo. On doit expérimenter sans cesse pour coller aux besoins du client. Seule une organisation agile est capable de fonctionner ainsi.

Les principaux freins à cette transformation sont la non adoption des nouvelles technologies et l’incompréhension des enjeux. Un autre frein constaté est la question budgétaire, bien que mal évaluée. En effet, les dirigeants pensent souvent que le ticket d’entrée est trop élevé. On peut pourtant procéder à des optimisations à moindre frais.

Leadership pour la direction, marges de manoeuvre pour les collaborateurs

La réussite de la transformation digitale vient souvent de l’impulsion donnée par la direction. Et cela s’appuie sur une stratégie formalisée et budgétée, avec mesure prévue du retour sur investissement. Cette stratégie doit intégrer une politique RH (formation et recrutement). Le management doit être impliqué également (leadership identifié, promotion de l’initiative et du travail collaboratif).

On commence par faire un diagnostic des opportunités pour l’entreprise. Puis on fait évoluer les process et outils de travail et on en mesure les résultats en termes de satisfaction client et de ses équipes en interne. Le changement s’opère sur le plan organisationnel. La direction doit accepter de laisser les collaborateurs mener des tests et prendre des décisions pour plus de réactivité.

Nous vous recommandons de lire l’étude de BPI France sur les dirigeants des PME et PMI face au digital. Vous trouverez des explications claires, ainsi que des clés pour amorcer un processus permettant d’intégrer le digital dans l’entreprise. Cette étude intègre un test pour évaluer le niveau de culture digitale des entreprises. Trois classements possibles : sceptique, apprenti, conquérant. Elle intègre également une matrice. Les trois chantiers sont présents (client, organisation, partenaires), de l’existant (pour les entreprises qui n’ont rien amorcé) à la cible, l’objectif.

La transformation digitale doit pouvoir s’appuyer sur des technologies et des systèmes informatiques solides et bien gérés. Ostin vous accompagne dans vos projets et met toute son expertise à votre service avec des offres adaptées aux PME.

> Découvrez nos offres d’infogérance

> Contactez-nous

Failles de sécurité Meltdown et Spectre : ce qu’il faut savoir et comment se protéger

On apprenait récemment l’existence des failles de sécurité Meltdown et Spectre. Les annonces de menaces sur les systèmes informatiques se multiplient et les attaques prolifèrent. Il convient de se demander si l’on dispose d’une bonne protection !

Failles de sécurité : des vulnérabilités, pas des menaces

Meltdown et Spectre ne sont pas des virus ni des menaces à proprement parler. Ce sont des failles de sécurité, c’est-à-dire des faiblesses de conception. Et elles concernent la plupart des modèles de processeurs du marché, ceux des principaux fabricants en tête (Intel, AMD…). Les processeurs sont des composants équipant ordinateurs, serveurs et appareils mobiles. La menace est là, car ces failles sont liées au fonctionnement même des processeurs. Les cybercriminels pourraient les exploiter pour lire des informations censées être protégées. Sur nos équipements, il s’agit par exemple des identifiants et mots de passe. Les systèmes d’exploitation sont ainsi vulnérables !

Mon entreprise est-elle concernée par les failles de sécurité ? Que faut-il faire ?

La grande majorité des processeurs étant concernés, vous devez absolument prendre cette menace sur la sécurité informatique au sérieux. Il faut appliquer les mesures qui s’imposent pour limiter la vulnérabilité de votre entreprise.
Les principaux éditeurs et constructeurs (Microsoft, Apple, Google…) ont rapidement réagi en mettant à disposition les correctifs sur leurs sites internet.
Pour parer au plus pressé, il est indispensable d’effectuer les mises à jour et d’appliquer les patchs nécessaires sur toutes vos machines, systèmes d’exploitation (Windows, IOS, Android, Linux), logiciels et applications (par exemple navigateurs et antivirus). Ceci concerne également vos serveurs, qu’ils soient dans vos locaux ou bien externalisés (hébergés dans le Cloud).

Prise de conscience : maitriser son informatique est indispensable !

Cet épisode est sans aucun doute l’occasion, si vous ne l’avez pas déjà fait, de vous poser les bonnes questions en ce qui concerne votre système informatique : mon informatique est-elle vulnérable, ai-je une politique de sécurité ? Une bonne maintenance et une bonne surveillance de mes systèmes ? Un réseau bien configuré ? Des droits d’accès bien gérés ? Ai-je une stratégie de stockage, de sauvegarde et de back-up pour mes données en cas d’incident ?
Une défaillance du système informatique provoquant une rupture d’activité ou une perte de données, en fonction de leur importance, peut avoir des conséquences fâcheuses : perte de chiffre d’affaires, insatisfaction client, fragilisation de l’entreprise…
On sous-estime souvent ces risques. Pourtant, quand on les évalue précisément, on prend conscience de la nécessité de donner à son informatique l’importance, et donc la valeur, qu’elle a réellement !

Le géant Intel est secoué

Nous l’avons vu plus haut, la nouvelle menace concerne à différents niveaux les grands industriels du monde de l’informatique. Les fabricants de processeurs sont en première ligne. Et en particulier Intel, AMD et AMR qui équipent la plupart de nos appareils.
Intel a largement écorné son image. De plus, le géant américain gère maladroitement la crise. D’une part il aurait prévenu en amont d’autres géants du secteur comme Microsoft ou le chinois Alibaba, et d’autre part il recommande de ne plus installer ses propres patchs car ceux-ci occasionneraient de trop nombreux redémarrages et diminueraient les performances des ordinateurs, jusqu’à 30% !

Google se lance dans la cyber-protection

De son coté, Google peut se targuer d’avoir activement participé à la découverte de ces failles de sécurité, grâce aux équipes de son Projet Zéro. Sa maison-mère, Alphabet, vient d’ailleurs d’annoncer la création d’une filiale consacrée à la cyber-protection des entreprises. Cette nouvelle entité, baptisée Chronicle, proposera via une plateforme un service en ligne d’analyse de virus.

Chacun son métier

Pour conclure, nous vous conseillons vivement de faire appel à des professionnels de la sécurité informatique. C’est une problématique de plus en plus complexe. Les incidents se sont multipliés ces derniers mois. Rappelez-vous Wannacry. Et rappelons-nous notamment les récents piratages de comptes utilisateurs chez Yahoo et Uber. Contactez-nous ! Nous vous invitons par ailleurs à consulter régulièrement le site de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information.

Un ransomware (rançongiciel) qui a fait trembler le monde

Depuis le vendredi 12 mai, le ransomware Wannacry (« tu veux pleurer ») aurait infecté plus de 200.000 ordinateurs selon Europol. Cette escroquerie serait le fruit d’opportunistes ayant recyclé un logiciel espion développé par la NSA pour profiter d’une faille de Microsoft Windows.

Ce ransomware propage un ver informatique (worm) via un ordinateur sur les réseaux d’une entreprise via un ordinateur. Le logiciel malveillant crypte les données du réseau de l’entreprise infectée. Les cyber-criminels peuvent alors réclamer une rançon contre la clé de décryptage.

Comment la propagation d’un ransomware est-elle possible ?

La faille exploitée par WannaCry concerne essentiellement de vieilles versions du système d’exploitation Windows (ex : Windows XP…) et des versions non mises à jour. L’éditeur, à titre exceptionnel, a mis à disposition un correctif pour ses systèmes obsolètes. Téléchargeable ici

Cependant dans les entreprises et administrations, les utilisateurs ne peuvent pas faire eux-mêmes les mises à jour. Seuls les administrateurs le peuvent.

Peut-on se protéger contre un ransomware ? 

La mise à jour de votre système d’exploitation, c’est comme se brosser les dents tous les jours, c’est une bonne habitude à avoir. Si vous ne pouvez le faire vous mêmes assurez-vous que votre service ou responsable informatique le fasse.

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

De manière préventive il n’est pas possible de mettre à jour un serveur. Mais sachez que l’équipe d’Ostin vérifie tous les serveurs de ses clients et leur envoie des rappels réguliers des règles de sécurité.

Actualité Century 21 RDRG

Dans un but de croissance et d’intégration de nouveaux collaborateurs, l’un de nos clients doit adapter son réseau et ses ressources informatiques à ses ambitions.

Chargé de l’infogérance de celui-ci, Ostin pilote donc cette mutation.

Celle-ci passe par une refonte complète de réseau filaire, achat de matériel en hardware (postes informatiques + switch), en software (intégration d’un progiciel webifié)  et d’une augmentation conséquente du débit.

Ostin établi un cahier des charges ainsi qu’un planning d’intervention.

Première étape, redessiner le réseau filaire, puis faire effectuer des devis pour la réfection de celui-ci.

L’étape suivante, consiste à lancer un appel d’offre visant à trouver un fournisseur offrant un débit suffisant pour l’utilisation du futur progiciel wébifié ainsi qu’un passage à la téléphonie VOIP, le tout au meilleur prix.

Une fois la solution et le fournisseur identifiés, Ostin se charge de la mise en place avec celui-ci.

Dernière étape : définition des besoins du client en termes de matériel, demande de devis correspondant. Une fois le choix défini, achat et livraison du matériel dans les locaux d’Ostin pour configuration et installation de l’ensemble des logiciels utiles à son client sur l’ensemble des postes Pour finir, intervention des techniciens d’Ostin chez leur client pour l’installation finale ecartes.xyz bahamas carte interactive

S&H, SSII spécialisée dans les SI RH, confie son infogérance à Ostin.

Fort de 200 collaborateurs, dont une trentaine à demeure, S-H possède un parc informatique important sans pour autant disposer de « réels » services informatiques. Recourir à l’infogérance Ostin leur a permis de episode free gems confier les opérations de gestion et de maintenance informatiques – souvent fastidieuses et onéreuses – à un partenaire externe de confiance… http://www.defis2025.com