Le RGPD est le nouveau règlement européen de référence sur la protection des données à caractère personnel. Des changements importants sont à prévoir dans le fonctionnement des entreprises. Mais concrètement, lesquels ? Tour d’horizon avec Laurent Bacca, Président de FullSave, opérateur d’infrastructures IT localisé à Labège, qui nous donne une interprétation du RGPD et nous parle des actions mises en œuvre chez FullSave pour préparer sa mise en conformité.
Le RGPD est un sujet d’actualité pour les entreprises. En tant que fournisseur de services hébergés, comment préparez-vous la mise en conformité de FullSave ?
La première phase consiste à appliquer le RGPD à nous-même, en tant qu’entreprise. Les premières actions menées nous ont permis de :
- Cartographier les applications utilisées en interne
- Identifier les données personnelles gérées par ces outils
- Vérifier qui a accès à quelles données dans l’entreprise, pour quel usage et la justification de cet accès
A y regarder de plus près, ces actions sont une partie de la gestion des rôles et responsabilités telles que définies dans l’ISO 27001, certification que nous sommes en train de préparer activement.
Notre activité d’opérateur cloud, datacenter et télécoms est exclusivement B2B. De ce fait nous collectons uniquement des données liées à l’exploitation de nos services (données relatives à un contrat, contacts techniques chez nos clients, empreintes biométriques des clients des datacenters etc.) Par ailleurs, nous gérons bien entendu des données personnelles relatives aux salariés de l’entreprise.
Une fois le périmètre des données sensibles identifié, et en collaboration avec notre DPO (Data Protection Officer), il a été nécessaire de formaliser le traitement fait pour chaque donnée, la durée de rétention, ainsi que les règles d’accès et de suppression. Prenons le cas d’un bon de commande qui contient comme donnée personnelle le nom de la personne qui le signe. En tant que pièce comptable, ce document est soumis à un délai légal de conservation. Il ne pourra pas être modifié ou supprimé même en cas de demande. De la même manière, ce n’est pas parce que l’interlocuteur technique d’un de nos clients quitte sa société que nous allons supprimer les échanges qu’il a pu avoir avec notre support.
Par ailleurs, la mise en œuvre du RGPD ne doit pas nous mettre hors la loi. Par exemple, en tant qu’opérateur, nous avons l’obligation de stocker les adresses IP dans des journaux de connexion pendant une durée définie, que l’utilisateur y consente ou non. Il subsiste donc nécessairement des zones de flou sur la mise en application du RGPD pour lesquelles il y aura forcément des jurisprudences qui feront évoluer les pratiques en entreprise.
Vos clients stockent très certainement des données personnelles via vos prestations de services. Quel rôle allez-vous jouer dans leur mise en conformité ?
Notre volonté a toujours été d’être un acteur de proximité favorisant les échanges avec nos clients. Et nous avons un rôle à jouer sur ce dossier pour accompagner nos clients. Nous sommes conscients que la mise en conformité nécessite du temps, des ressources, et ne peut se faire qu’en collaboration avec toutes les parties prenantes. Lorsque nos clients utilisent nos services hébergés, nous devenons de fait co-responsables de leur chaine de traitement et donc un des acteurs incontournables de leur mise en conformité.
Nous avons choisi d’avoir une démarche proactive et allons contacter nos clients hébergés prochainement en les sensibilisant sur le fait qu’ils gèrent probablement des données personnelles sur nos serveurs. Si tel est le cas, le RGPD impose la mise en place d’une analyse d’impacts sur le périmètre des données concernées à laquelle nous devrons contribuer.
Bien que nos plateformes soient sécurisées, nous devons déterminer avec nos clients les risques associés à la violation/compromission de données, et détailler les mesures mises en œuvre pour gérer ce risque. Le périmètre est large puisque nous ne parlons pas uniquement de sécurité physique ou système autour du vol de données/accès frauduleux, mais également du risque de perte de données suite à une défaillance système ou matériel. L’analyse d’impacts doit nécessairement se faire en collaboration avec nos équipes et celles du client. Elle aura un impact sur l’architecture mise en œuvre et sa gestion. Nous pourrons par exemple proposer un chiffrement des disques de stockage, un plan de sauvegarde adapté, de l’infogérance etc.
Nous travaillons également sur la mise à niveau de nos contrats de services pour inclure les éléments nécessaires à la mise en conformité. Par exemple, un nouveau client sera dans l’obligation de nous indiquer en début de projet s’il va gérer des données personnelles via nos services. Auquel cas, dès le démarrage du projet, nous mettrons conjointement en œuvre l’analyse d’impacts et définirons ensemble les processus de couverture associés. Ces derniers peuvent concerner les actions à mener en cas de demande de suppression de données, ou les modalités de fin de contrat. Au-delà de la réversibilité, est-ce qu’un effacement des disques est suffisant ? Devons-nous procéder à une destruction physique des disques durs, ce qui peut également aller à l’encontre de notre démarche RSE, etc.
Un point important reste également le processus d’alerte en cas de violation/perte de données. De notre côté, nous n’avons pas connaissance du « propriétaire » d’une donnée (client final) d’un système hébergé pour un de nos clients, mais nous devons savoir qui prévenir chez notre client pour qu’il enclenche sa propre procédure en cas de soupçon d’incident.
Un client doit également composer avec les contraintes des services que nous proposons. Prenons un exemple concernant le droit à l’effacement d’une donnée personnelle sur un environnement client. Lorsqu’une donnée est supprimée d’une base de données, elle reste encore nécessairement présente dans nos sauvegardes pendant toute la durée de rétention des sauvegardes. Cela montre l’importance de la sensibilisation de nos clients afin que cette contrainte soit connue et intégrée dans les contrats d’utilisation et CGV de leurs services.
Nous avons déjà nommé un DPO (Data Protection Officer) dont la mission est également de répondre aux interrogations de nos clients lorsqu’ils ont un doute sur leurs obligations d’information ou la validité de certains traitements de données.
Pour vous, le RGPD, c’est … ?
Un mal nécessaire ! La mise en conformité n’est pas seulement une revue contractuelle avec le soutien d’avocats ou d’experts juridiques ! C’est également des analyses d’impacts, de la collaboration avec les clients, et l’opportunité de se poser les bonnes questions sur son système d’information.
Si nous prenons du recul, le RGPD c’est avant tout des bonnes pratiques avec beaucoup de bon sens, que l’on gère des données personnelles ou non ! La mise en conformité n’est pas terminée de notre côté, mais cela nous a déjà permis de formaliser et d’améliorer un certain nombre de processus, en tant qu’entreprise et en tant que partenaire de nos clients. De notre point de vue, le RGPD est un chantier important et structurant qui une fois mis en œuvre est un vrai gage de qualité et de confiance réciproque !
Crédits photos
Laurent Bacca, Président de FullSave – © Lydie Lecarpentier Thomas
