Articles

Webinar Cybersécurité x Conformité 18_07

En France, en 2018, 80% des entreprises ont été victimes d’au moins une cyberattaque, de la TPE aux grands groupes. Perte de crédibilité et surtout de chiffre d’affaires : la guerre n’est plus seulement économique, elle est aussi cyber et les enjeux sont énormes. Pour vous permettre d’anticiper les bouleversements qui attendent votre entreprise, nos consultants cybersécurité et conformité vous proposent de participer à un webinar cybersécurité jeudi 18 juillet.

Comment continuer d’innover et de développer votre croissance
sans mettre en danger votre cybersécurité et dans le respect du RGPD ?

Selon une nouvelle étude, la cybercriminalité pourrait coûter 4 600 milliards d’euros à l’économie mondiale dans les 5 prochaines années. En 2018, la CNIL a enregistré une hausse de plus de 30 % de plaintes. Les start-up/PME et autres ETI sont aussi dans leur collimateur (exemple de Sergic, ETI dans l’immobilier, qui se voit infliger 400K€ d’amende).

A l’horizon 2020, vos stratégies innovation / business doivent donc être totalement repensées :

  • Vous devez développer une nouvelle intelligence économique focalisée sur les prospectives cyber & digitales ;
  • La sécurisation et l’optimisation de votre patrimoine informationnel doivent être permanentes.

Pour vous préparer au mieux à ce nouveau risque, nous vous proposons de participer à un webinar cybersécurité, jeudi 18 juillet à 11h30.

L’objectif de ce webinar est de vous donner des conseils pragmatiques pour continuer à innover et développer votre croissance, en vous assurant de protéger la valeur que vous créez.

La cybersécurité et la conformité impactent tous les processus que votre entreprise utilise pour innover et créer de la valeur (données clients, collaborateurs, clients, SI, process métiers…).

Programme

5 points clés pour bien préparer votre stratégie 2020 :

  1. Comment mobiliser tous vos collaborateurs autour d’une « cyber-hygiène quotidienne » ?
  2. Quelles sont les meilleures méthodes pour protéger votre entreprise (Red Team, phishing, ethical hacks…) ?
  3. Comment les utiliser pour augmenter la valeur de votre entreprise (réponse à appels d’offres, fusion & acquisition…) ?
  4. Quelles sont les nouveautés juridiques mondiales (NIS, ISO, Cybersécurity Act…) ?
  5. Que retenir des plus grosses cyberattaques (WannaCry, NotPeyta, GrandCrab…) et mises en demeure de la CNIL (des grands groupes à la start-up : Uber, Sergic, Vectaury…) ?

 

Informations pratiques

Jeudi 18 juillet 2019 à 11h30
> Vous recevrez le lien de connexion au webinar quelques jours avant.

 

Inscription

 

 

Téléchargez le livre blanc sur les enjeux du RGPD

Téléchargez notre dernier livre blanc RGPD

Depuis son entrée en application, le Règlement Général sur la Protection des Données soulève de nombreuses interrogations de la part des entreprises. En fonction de leur domaine d’activité et de leur niveau de maturité, certaines se sont empressées d’y affecter les ressources nécessaires, tandis que d’autres se sont contentées de garder une position attentiste.

Cependant, aujourd’hui encore, la plupart le voient toujours comme une contrainte réglementaire.

Ce livre blanc a pour objectif de vous offrir une approche pédagogique et pragmatique des exigences du RGPD, à travers les visions complémentaires, juridiques et techniques, de nos consultants experts.

Sommaire de notre livre blanc

  • Les notions essentielles & principes liés aux données personnelles 
  • Les principes généraux du RGPD
  • RGPD : qui est concerné ?
  • Les impacts & sanctions d’une non-conformité
  • Les difficultés potentielles d’une démarche de mise en conformité
  • Proposition de valeur & accompagnement RGPD

Télécharger le livre blanc

RGPD - Etat des lieux CNIL

Suite à notre participation au CYBER-DAY 2019 (événement organisé par l’Ecole de Guerre Economique et Veille Magazine) et notamment à l’animation d’une table ronde avec la CNIL, voici ci-dessous un article publié par Veille Magazine.

Matthieu Grall, chef du service de l’expertise technologique de la Commission nationale Informatique et libertés (CNIL), à co-annimé, une table ronde dédié au RGPD lors du Cyber-Day 2019 le 20 février 2019 avec GAC Group.

Au cours de cette table ronde sur le Règlement général pour la protection des données (RGPD), il a dressé l’état des lieux des actions menées par la CNIL pour accompagner la mise en œuvre de ce cadre normatif européen en France, neuf mois après son lancement en mai 2018.

Pouvez-vous nous faire un bilan d’étape des actions mises en place par la CNIL depuis le lancement du RGPD ?

Le service de l’expertise technologique de la CNIL, que j’anime, a pour mission d’aider les citoyens et les entreprises à appréhender les nouvelles technologies et les enjeux qui y sont associés en matière de protection de la vie privée.

Dans le cas du RGPD, il s’agit de les aider à se mettre en conformité. En plus d’avoir ardemment travaillé à l’interprétation du texte, nous avons élaboré divers outils. Parmi eux, il y a des référentiels dans des domaines variés : gestion clients et prospects, gestion des impayés, vigilance sanitaire, ressources humaines ou encore gestion des cabinets médicaux. La CNIL a aussi adopté deux référentiels pour la certification de compétences des délégués à la protection des données (DPO). L’un pour agréer des certificateurs, l’autre pour qu’ils évaluent les candidats à la certification. Nous envisageons la délivrance des premiers agréments au cours du 1er semestre. Une autre forme de texte, inédite, est le règlement-type qui fixe un cadre exigeant et protecteur pour le contrôle d’accès par biométrie. Nous travaillons aussi sur l’élaboration d’une dizaine de codes de conduite.

Qu’il s’agisse de recommander, certifier ou réglementer, ce sont tous des textes cadres qui actualisent la doctrine de la CNIL au regard du RGPD et listent les conditions à respecter pour s’y conformer. Certains seront portés au niveau européen via l’European Data Protection Board (EDPB), qui coordonne une douzaine de groupes de travail. Toutes les autorités de contrôle n’ont pas les mêmes moyens, mais il y a une vraie volonté de se coordonner et d’harmoniser les processus au niveau européen.

 

Le RGPD doit aussi permettre de mieux lutter contre la cyber-criminalité : quelles mesures sont nécessaires pour répondre aux exigences du règlement ? 

La cyber-sécurité fait partie intégrante de la protection de la vie privée. Dans son article 32, le RGPD rappelle que les mesures doivent être proportionnées aux risques sur les droits et libertés des personnes – qui proviennent d’atteintes à la disponibilité, à l’intégrité ou à la confidentialité des données. Les mesures citées dans le RGPD – chiffrement, pseudonymisation, etc. – ne sont que des exemples, qui ne sont pas des arguments de protection suffisants.

Il convient d’intégrer sécurité et protection de la vie privée dès la conceptualisation des projets. Mesures de base, mesures d’hygiène informatique, et si nécessaire, étude de risques de sécurité. Les recours aux bonnes pratiques, aux normes internationales type ISO/IEC 270xx et aux prestataires et produits certifiés, contribuent aussi à traiter ces risques et à apporter la confiance.

 

En 2018, la CNIL a reçu 190 000 appels et 11 000 plaintes. Elle a aussi permis d’infliger une amende record à Google. A-t-elle les moyens de renforcer encore ses actions ?

Le lancement du RGPD a provoqué un « effet buzz », une soudaine prise de conscience qui s’est notamment traduite par l’explosion du volume de plaintes car les citoyens et/ou salariés ont compris qu’ils avaient des droits à défendre. Il y a aussi eu un réel effet dans le milieu de la sécurité, au sein duquel il existait peu de réglementation.

Depuis la sortie du RGPD, près de 40 000 structures ont désigné un DPO, le site de la CNIL a été visité 8 millions de fois et nous avons reçu 1200 notifications de violations de données. Et puisque notre effectif -même s’il ne diminue pas- ne va pas non plus doubler en 2019, nous avons dû trouver des solutions pragmatiques pour démultiplier nos forces. Plutôt que de traiter chaque question unitairement, la CNIL a développé une stratégie à destination des têtes de réseaux : associations, clusters régionaux, etc. Ces entités bien organisées sont nos interlocuteurs directs et nos relais auprès de leurs réseaux.

Dans la même dynamique d’optimisation des efforts, nous allons très prochainement mettre en ligne un MOOC sur les principes fondamentaux du RGPD, destiné à toute personne ayant à traiter des questions de vie privée et de protection des données. Enfin, nous allons accompagner plus spécifiquement les collectivités locales et les PME qui ont encore besoin d’être rassurées, via des fiches sur divers thèmes qui les intéressent particulièrement, comme le téléservice, la mutualisation, la sécurité…

Le RGPD ne doit pas être envisagé uniquement comme un cadre limitatif, car il offre de nombreuses opportunités aux entreprises et constitue plutôt un facteur de confiance pour leurs partenaires et leurs financeurs. La mise en conformité est à la fois un pas vers la transformation numérique et un levier d’amélioration en matière de gestion et d’efficacité commerciale, qui peut être créateur de valeur.

Ainsi, l’intérêt marqué qui se manifeste actuellement, reste à concrétiser. Les organisations doivent désormais consolider leur prise de conscience, savoir s’évaluer pour s’améliorer. En un mot, elles doivent développer leur maturité.

BIG DATA 2019 : RGPD vs Big Data

GAC Group sera présent au salon BIG DATA 2019 ! 

Retrouvez-nous le 11 mars pour un atelier « BIG DATA vs RGPD, comment passer de l’obligation à l’opportunité business ? »

Editeurs et utilisateurs de solutions BIG DATA : vous avez identifié les risques liés au RGPD, mais faute de temps et de coordination interne, vous avez finalement décidé de véritablement traiter le sujet en 2019 ? 

Venez à notre rencontre lors de notre atelier le 11 mars à 16h30 en Salle E et découvrez comment concilier exploitation du BIG DATA et obligations RGPD vis à vis de vos donneurs d’ordre.

Intervenants

  • Amelie IACONO, Consultante RGPD 
  • Fabian GUION, Consultant RGPD / IT 

Au programme :

  • Quels sont les véritables risques d’une non-conformité ?

  • Comment faire de vos obligations des opportunités business ?

  • Comment mettre en place un plan d’action pragmatique et structuré ?

Infos pratiques

Lundi 11 mars – 16h30 – Salle E

Salon Big Data – Palais des Congrès de Paris

2 place de la Porte Maillot
75017 PARIS

Cybersécurité et RGPD

RGPD vs Cybersécurité : nos consultants vous proposent de faire un check-up complet lors du CYBER-DAY, le mercredi 20 février à l’École de Guerre Économique (EGE) à Paris !

Cyber-day est l’événement dédié à la cybergouvernance, l’anticipation et la prévention des risques et des opportunités liés aux cyber-espaces. organisé par l’Ecole de Guerre Economique et VeilleMag.

GAC particpera à une table ronde et à une master class sur la cybersécurité et le RGPD. La question n’est pas « est-ce que vous allez être victimes d’une cyberattaque, d’un bad buzz  ou d’une plainte à la CNIL ? »  mais « quand ? » : le risque zéro n’existe pas !

Etre bien accompagné sur les cyber-menaces et le RGPD est une condition indispensable à toute stratégie d’innovation rentable.

Intervenants

  • Mathieu GRALL (Directeur de l’expertise technologique de la CNIL)
  • Marie DE FREMINVILLE (Directrice de la Cybergouvernance du groupe AIRBUS)
  • Fabian GUION (Consultant RGPD / IT au sein du cabinet de conseil GAC Group)

Venez échanger avec eux lors de deux temps forts :

  • 11h45 – 12h30 : table ronde
  • 15h – 15h45 : atelier de travail thématique

Au programme :

  • Comment intégrer le RGPD et la cybersécurité dans vos projets innovants ?
  • Quelles sont les conditions d’une mise en œuvre réussie ?
  • Comment responsabiliser vos parties prenantes (sous-traitants, fournisseurs, distributeurs…) ? 
  • Quels sont les véritables risques économiques et sanctions pénales à prévoir ?

Infos pratiques

Mercredi 20 février

École de Guerre Économique (E.G.E.)
196 rue de Grenelle, 75007 Paris

Informations : www.cyber-day.info

Inscription :

 

RGPD Attribution des droits

ARTICLE D’EXPERT – Par Amelie Iacono, Consultante RGPD chez GAC Group

Depuis l’adoption du RGPD, il est désormais plus simple et rapide pour les citoyens européens d’exercer leurs droits d’accès, d’effacement, d’opposition de leurs données. Selon un sondage IFOP, près de la moitié des personnes ont constaté des abus dans l’utilisation de leurs données à caractère personnel. Votre entreprise est-elle prête à réagir en cas d’une demande de droit d’une personne concernée ?

Redonner au citoyen la main sur ses données

L’adoption du RGPD avait pour objectif de redonner à l’individu les clés de la protection de ses données. Les personnes bénéficient aujourd’hui de plus de transparence quant à l’utilisation de leurs données par les entreprises et sont en mesure de vérifier que les principes du RGPD sont respectés, notamment par le biais de l’exercice de leurs droits.

A cet effet, le RGPD a, d’une part, réaffirmé les droits précédemment établis tels que le droit d’accès, le droit à l’effacement et le droit à la rectification, et, d’autre part, créé de nouveaux droits comme le droit à la portabilité.

La CNIL : sensibilisation des personnes concernées

La CNIL communique à cet égard : les personnes concernées par des traitements de données à caractère personnel ont des droits et doivent pouvoir les exercer (https://www.cnil.fr/fr/respecter-les-droits-des-personnes).

En outre, la Commission a publié, à l’occasion de la journée européenne de la protection des données, un nouvel article à ce sujet (https://www.cnil.fr/fr/vous-avez-des-droits-sur-vos-donnees-profitez-en-0), s’appuyant sur des statistiques réalisées par l’Ifop. L’étude de l’Ifop, réalisée sur un panel de plus de 1 000 personnes et disponible sur le site de la CNIL, rapporte une évolution positive de la question de la protection des données puisque 66 % des interrogés se disent sensibilisés.

Dans la continuité de sa démarche de pédagogie, la Commission met à disposition des personnes concernées la procédure à suivre pour exercer l’un de leurs droits et les modalités et informations à garder en tête.

L’exposition des entreprises face à l’exercice des droits par les personnes

Selon le sondage effectué par l’Ifop, 46 % des personnes ont constaté des abus dans l’utilisation de leurs données à caractère personnel. Seuls 16 % de cette population ont effectué un signalement ou une action en réponse à cet abus. Enfin, une grande majorité des répondants (entre 70 et 90 %), qui serait de nouveau confrontée à des abus, serait prête à agir. Dans ce cas, la personne pourrait contacter directement l’entreprise concernée, voire contacter la CNIL ou se joindre à une action collective. Au-delà du montant des sanctions qui a largement été évoqué, l’impact sur la réputation de l’entreprise lors de l’implication d’un acteur externe n’est pas négligeable.

La sensibilisation a fonctionné puisque les personnes exercent de plus en plus leurs droits. Pour autant, l’exercice de ces droits est-il utilisé à raison par les personnes concernées ? Pour rappel, le considérant 63 du RGPD dispose qu’ « Une personne devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. »

Aujourd’hui invoqués dans le cadre de  contentieux (par exemple prudhommaux), on assiste à une instrumentalisation du RGPD.

Et vous ?

Dans le contexte de votre entreprise, avez-vous déjà eu à gérer une demande de droit d’une personne concernée ?

Étiez-vous en mesure de lui apporter une réponse dans les délais légaux ? Avez-vous fait droit à toutes les demandes ? Quelle charge cela a-t-il représenté pour vous en termes d’identification des données concernées, d’extraction et de réponse apportée à la personne concernée ? Quelle forme a pris votre réponse ?

Avez-vous capitalisé sur cette expérience pour mettre en place des procédures internes ?

Si vous ne répondez pas dans les temps, la CNIL peut-être sollicitée sur ce sujet (regarder notre vidéo).

Et nous ?

Avec plus de 17 années d’expérience en méthodologie d’audit, conseil et justification à conformité, GAC Group propose une solution globale d’accompagnement à la mise en conformité RGPD, depuis la phase d’audit jusqu’à la mise en place du plan d’actions.

L’intérêt d’un accompagnement externe, outre le gain de temps lié à l’expertise et à l’expérience accumulées, réside principalement dans la pluridisciplinarité des compétences apportées, du point de vue audit et organisationnel, mais également juridique et technique, facilitant ainsi l’analyse et la priorisation des actions.

Contactez-nous pour bénéficier d’un accompagnement organisationnel sur la mise en place de procédures et apprenez à répondre aux exigences du RGPD en maîtrisant le périmètre de vos obligations.

 

Webinar RGPD : Replay

#1 : RGPD, que risquez-vous concrètement en cas de non-conformité en 2019 ?

Contrôles CNIL et amendes,  plaintes de vos clients candidats ou salariés (+ 56 % en 2018 qu’en 2017) actions groupées, perte de données et surtout de chiffre d’affaires du fait de ne pas pouvoir justifier de votre conformité auprès de vos donneurs d’ordre.

Un constat commun : Pour avoir une bonne mesure du risque, vous devez maîtriser les exigences du RGPD et investir en conséquence (informatiquement, juridiquement et commercialement).

 

#2 : Quelles démarches pragmatiques devez-vous adopter pour devenir conforme au RGPD en 2019 ?

Faites un état des lieux, un plan d’action et mettez en œuvre par étape ce plan d’action de manière continue et pragmatique. Dans le cas contraire, votre travail de mise en conformité de servira à rien. La CNIL ne vous demande pas d’être parfaitement conforme mais simplement de prouver votre bonne volonté avec des éléments concrets de preuve.

 

#3 : Mise en conformité RGPD, quel est l’intérêt d’être accompagné par un cabinet de conseil ?

Chez GAC Group, nous avons pris le parti d’accompagner à la carte nos clients à leur mise en conformité de manière très pragmatique et factuelle. Nos clients bénéficient de l’expérience de nos consultants experts en RGPD (avec un background juridique et cybersécurité) et des différents cas qu’ils ont pu gérer.

 

Voir plus de vidéos

 

RGPD #4 : Que va vérifier la CNIL en priorité en cas de contrôle ?

La CNIL va passer en revue les moyens mis en places pour informer les personnes dont vous traitez les données, les procédures de réponse à l’exercice des droits des personnes et aux violations de données, les chartes internes et politiques de sécurité informatique le cas échéant.

Voir plus de vidéos

 

Que faire en cas de contrôle CNIL ? 

Le premier élément que l’autorité de contrôle va vérifier est le registre des traitements de votre entreprise. Il s’agit de la brique principale de toute démarche de mise en conformité. Il permet de recenser l’ensemble des traitements de données personnelles réalisés par votre entreprise, et de documenter un certain nombre d’informations associées, telles que la finalité (l’objectif du traitement), le type de données traitées, leur durée de conservation, les sous-traitants éventuels, etc.

Voir plus de vidéos

 

Il est nécessaire d’avoir entamé une démarche de mise en conformité afin de se poser les bonnes questions en amont. Cela vous permettra de collecter, rédiger et centraliser toute la documentation nécessaire pour répondre rapidement aux exigences établies dans les appels d’offre.

Voir plus de vidéos