La protection des données sensibles fait constamment l’objet de l’actualité que ce soit pour des problèmes de fuite, d’évolution de la législation ou de condamnation de grandes entreprises. Entre emballement médiatique et cadre réglementaire, le moment est sans doute venu de faire le point sur les bonnes pratiques en entreprise de la gestion et de la protection des données. L’opération « Sweep 2018» constitue un point de départ intéressant pour cet état des lieux.
Application du RGPD et enquête de la CNIL
Le RGPD a été mis en place au niveau européen depuis presque un an. Ce Règlement Général de Protection des Données permet de mieux protéger les personnes et le traitement de leurs données personnelles – respect du droit de la vie privée – et responsabilise tous les acteurs qui assurent ce traitement. Concrètement, les entreprises mais également leurs sous-traitants, par exemple leurs éditeurs de logiciels, doivent assurer cette protection.
Pour évaluer la portée du RGPD mis en place en mai 2018 et qui concerne la totalité des entreprises qui utilisent des données personnelles, une grande opération d’audit a été mise en place dans 18 pays. Elle a concerné cette année les pratiques de protection des données. En France, cette opération« Sweep 2018» menée par la CNIL s’est plus spécifiquement concentrée sur ces pratiques chez les sous-traitants informatiques. Conformité avec le RGPD, réflexion sur le statut de sous-traitant, formation des collaborateurs, information des clients, gestion des problèmes de sécurité, ont ainsi été analysés, prouvant que si des progrès restent à effectuer, les sous-traitants informatiques se sont réellement emparés de la question.
La gestion concrète des données sensibles et le cas de DiliTrust
Le RGPD soulève plusieurs points quant à la protection des données. En premier lieu, il étend la responsabilité de la protection des données à l’entreprise utilisatrice de services de traitement de données – les contrats type SaaS – et non plus au seul fournisseur. Les entreprises sont donc directement responsables de la sécurité des données sensibles qu’elles gèrent, sans pouvoir se retourner contre leur sous-traitant. Il leur est donc absolument indispensable de s’assurer que leur sous-traitant informatique, leur éditeur de logiciel, est bien en conformité avec le RGPD. Pas si facile à faire quand on sait qu’une entreprise gère en moyenne 200 contrats de ce type… D’autant plus que si les éditeurs français sont soumis aux règlementations françaises et européennes, les sociétés américaines, par exemple, suivent une toute autre philosophie où, schématiquement, les données ne sont pas des éléments à protéger mais bien des sources de profit.
Pour assurer une parfaite tranquillité à nos clients, chez DiliTrust, nous avons choisi d’anticiper l’application du RGPD. Il faut dire que compte tenu de la nature ultra-sensibles des données gérées par nos clients (conseils d’administration, directions juridiques, opérations de M&A…), leur sécurité est au cœur des solutions que nous proposons. Parmi les solutions informatiques proposées aux entreprises, DiliTrust se concentre autour de deux axes : la gouvernance d’entreprise et le partage sécurisé de données sensibles. Ainsi, DiliTrust Governance est une plateforme collaborative de gestion des domaines juridiques, de l’archivage et du partage des données à la gestion du secrétariat juridique en passant par l’harmonisation des données, tandis que DiliTrust Exec est un portail destiné à la gestion de vos conseils d’administration et réunions de direction. Ainsi la protection des données sensibles est au cœur de leur métier.
Comment DiliTrust s’est-elle emparée du RGPD ?
Elle a décidé d’agir sur plusieurs niveaux. Tout d’abord, toutes les conditions générales de vente ont été mises à jour afin que les nouveaux contrats établis après mai 2018 respectent scrupuleusement le RGPD. Pour les contrats antérieurs, DiliTrust a systématiquement envoyé à ses clients un avenant établi par ses services juridiques et répondant scrupuleusement au droit français et aux exigences de la CNIL.
DiliTrust a également misé sur l’information et l’échange avec ses clients. Nous avons ainsi organisé une série de webinaires dédiés. Ils ont été l’occasion de partager des informations, de faire le point sur la politique de protection des données de l’entreprise et de rassurer les clients sur leur responsabilité en la matière. Enfin, DiliTrust a également publié un certain nombre de documents synthétiques comme des articles de blog sur le sujet et un guide pratique publié sur le site de Décision-Achats Information, transparence et sécurité, ont donc été au cœur de la démarche.
L’opération Sweep et sa déclinaison française menée par la CNIL, ont montré que les sous-traitants informatiques s’étaient réellement emparés du changement réglementaire et avaient institué toute une série de bonnes pratiques pour assurer la protection des données et le respect du cadre réglementaire fixé par le RGPD. Si des marges de progression existent, des entreprises comme DiliTrust ont montré et continuent de prouver que la protection des données et la transparence de leur gestion peuvent constituer la base de la relation fournisseur-client. Un véritable partenariat de confiance.
