Livre Blanc

Privacy by Design

Janvier 2021

Privacy by DesignBâtir une collaboration d’entreprise conforme au règlement RGPD

2Livre Blanc Privacy by Design

Privacy by design : l’approche crée la confiance

pas pour délivrer des échanges évolutifs et conformes aux derniers règlements Européens RGPD (Règlement Général sur la Protection des Données) et ePrivacy.

Le principe sous-jacent est simple : la personne concernée (data subject) est propriétaire de ses données personnelles et nul autre ne peut en disposer librement sans son aval. La RGPD organise les manières de faire en sorte que la personne concernée jouisse de ses droits pleins et que la collecte ou le traitement de ses données par des tiers soit donc soumis à son consentement préalable ou préempté par des dispositions légales de rang supérieur.

N’hésitez pas à faire circuler ce document. Il aidera vos équipes à partager une même culture au travers d’usages raisonnés des communications unifiées, à maintenir leurs partages à l’abri des yeux indiscrets et des mouchards électroniques du web, à éviter les attaques en déni de services, la fraude et la fuite de données sensibles.

Coopérer partout, grâce aux réseaux sociaux et aux échanges continus en temps réel, c’est déjà un réflexe quotidien pour de nombreux salariés, partenaires et clients. Mais tous les outils de communications n’offrent pas le cadre de confiance nécessaire, faute de disponibilité continue, de prise en compte de règles de sécurité, de confidentialité ou de conformité.

Il est nécessaire de fournir à vos équipes une solution agile, robuste et résiliente, d’en finir avec la prolifération de services grand public qui livrent aux géants du web des données d’employés, de partenaires et de clients.

Comment transformer ces flux en temps réel en échanges profitables à votre organisation et à elle seule, tout en respectant la confidentialité des données à caractère personnel ?

Ce livre blanc fournit une méthodologie pour bâtir une plateforme de mise en relation entre personnes, services et objets connectés. C’est un guide pas à

3Livre Blanc Privacy by Design

Bâtir une infrastructure de collaboration de confianceSuivez quatre étapes simples. Faites de l’approche « Privacy by Design » un élément clé de la réussite de votre projet pour bâtir et maintenir des échanges numériques à la fois efficaces et conformes aux dernières règlementations sur les données à caractère personnel.

Le règlement européen RGPD est entré en application le 25 mai 2018. Il concerne toute organisation recueillant ou hébergeant des données personnelles pouvant servir à identifier un résident de l’UE, directement ou via un tiers. Un système d’information bien maîtrisé, aux traitements et aux flux de données traçables permet de le respecter. Mais comment reprendre le contrôle des données, des terminaux mobiles et des services en ligne partagés au fil des ans ? Nous vous invitons à bâtir un socle d’échanges conformes, à vous approprier cette plateforme de collaboration en écartant les risques introduits par le BYOD (Bring your own Device) et le Shadow IT, ces solutions Cloud retenues sans l’aval de la DSI. « Respecter le règlement RGPD amène à devoir identifier et gérer les différents types de données dont les données à caractère personnel, à anticiper les crises et à prévoir les réactions adaptées en fonction de leur gravité », résume Louis-Philippe Ollier, Data Protection Officer d’Alcatel Lucent Enterprise.

projet réussi

1. Bâtir une infrastructure de collaboration de confiance.

A l’issue de cette phase, un prototype de solution et un premier groupe d’utilisateurs peuvent tester la solution retenue.

2. Etudier les impacts majeurs sur l’entreprise et son écosystème.

A l’issue de cette phase, la solution de collaboration peut s’élargir aux partenaires et/ou aux clients de l’entreprise.

3. Adopter les dernières normes de la confiance numérique.

A l’issue de cette phase, l’organisation de l’entreprise cartographie ses données, usages, et responsables de traitements, et trace ses échanges, limitant ainsi le risque de fuite d’informations sensibles.

4. Réunir les facteurs clés d’une implémentation réussie.

A l’issue de cette phase, la plateforme devient une solution personnalisée de travail collaboratif, améliorant l’accueil et la productivité des équipes.

3Livre Blanc Privacy by Design

4Livre Blanc Privacy by Design

Un socle d’infrastructure sécurisé

Le travail collaboratif exige, avant tout, un socle d’infrastructure fiable. Le réseau doit soutenir de fortes charges applicatives comme la visioconférence, le partage de bureaux et de documents professionnels. Cette infrastructure peut être fournie clé en main et supervisée par une équipe interne ou gérée par un prestataire pour le compte de l’entreprise.

Dans un projet de collaboration numérique, l’objectif initial varie souvent selon l’organisation. On distingue le besoin de planifier des réunions à distance, de partager et de synchroniser des fichiers, d’accélérer les échanges de savoir-faire et d’idées au travers d’un réseau social d’entreprise. Les communications en temps réel améliorent la productivité des équipes dispersées géographiquement, contraintes à travailler à distance pour cause de mesures sanitaires par exemple, ou de manière plus standard pour réduire les déplacements et coûts associés. Mais le périmètre du réseau s’étend vite ; il s’avère de plus en plus difficile à cerner. En effet, il englobe les hébergeurs et prestataires de services cloud, les connexions d’agences et les liaisons des salariés en télétravail ou en déplacement. La protection des accès et des données devient inévitable.

Un partenaire technique de proximité

Quel que soit le terminal employé, la solution de collaboration doit rester souple pour accueillir, stocker, traiter et protéger, dans les règles de l’art, les données à caractère personnel de chaque correspondant, ainsi que les données sensibles de l’entreprise. « De nombreuses entreprises voient maintenant une réelle opportunité de valeur à s’abonner auprès d’un acteur local, Européen et soucieux du respect des principes et des engagements du RGPD. Cela coïncide avec notre stratégie de créer des équipements connectés et d’opérer des plateformes à distance pour nos clients. Nous avons ainsi évolué vers une approche globale, intégrant la nécessité de protection des données traitées, en particulier pour nos solutions cloud. Cette évolution se traduisant, entre autre, par l’application stricte des mesures de l’ISO27001 », admet Vincent Lomba, Chief Technical Security Officer d’Alcatel-Lucent Enterprise.

5Livre Blanc Privacy by Design

Automatiser pour gagner du temps

Par exemple, l’assistant conversationnel automatique (ou “chatbot” en anglais) est utile pour soulager un service après-vente ou un support technique. Cet assistant peut aiguiller l’internaute vers les bonnes ressources en ligne et répondre aux requêtes les plus fréquentes, sans intervention humaine. Les plateformes de communication s’emparent de tels automatismes. Encore faut-il pouvoir les personnaliser de façon simple. Des fonctions avancées de machine learning améliorent la compréhension des questions posées en langage naturel. Elles participent aussi à la génération automatique de questions/réponses. L’association des moteurs d’intelligence artificielle à l’offre de collaboration et de communications unifiées d’Alcatel-Lucent Enterprise permet de réaliser ces services performants de manière unique. La création de chatbots procure des bénéfices mais aussi de nouveaux risques. La méthodologie décrite dans ce document permet de les anticiper. Elle s’applique chez Alcatel-Lucent Enterprise, dès la définition des intentions qui structurent les opérations du chatbot, assurant ainsi la conformité au RGPD.

Etre conforme au RGPD, c’est

reconnaître et accepter que

les données personnelles

doivent être traitées de façon

sérieuse. Une difficulté consiste

à les identifier dans les flux de

collaboration menés en temps

réel. Le dictionnaire de données

(le data model) de Rainbow

permet de savoir précisément

quels sont les champs et

procédures faisant appel aux

données personnelles. C’est un

élément clé de notre approche

Privacy by design.

– Louis-Philippe Ollier

Quatre étapes pour un

«

»

5

6Livre Blanc Privacy by Design

Etudier les impacts sur l’entreprise et son écosystème Face aux risques d’atteinte à la confidentialité où à l’intégrité liés aux différents transferts de données, l’analyse d’impacts et la gestion de crises forment deux mesures à anticiper. Des réactions distinctes peuvent être retenues, en fonction de la criticité des informations.

Contrôle et reporting des données

Au-delà de l’état des lieux, plusieurs technologies de protection des données sont exploitables ponctuellement. Par exemple, l’usage du chiffrement des informations fait partie de l’arsenal couramment retenu lors des transferts via Internet. D’autres moyens de filtrage des données ou de protection des accès sont combinés, chacun se concentrant sur une couche du système d’information (infrastructures, virtualisation et applications). Parallèlement, de bonnes pratiques doivent se propager jusqu’au cœur des équipes de développements. « Nous répondons aux clients qui nous interrogent sur la conformité aux standards de sécurité de l’information comme ISO 27001 ou sur le RGPD que nos méthodes de conception et notre organisation intègrent dès le départ les principes fondateurs de ces cadres normatifs et règlementaires. Cela va des équipes techniques pour le développement et les opérations de nos solutions, jusqu’aux équipes commerciales en charge de la définition des offres et de l’accompagnement de nos clients.

Tout individu dispose selon le RGPD de différents droits sur ses données à caractère personnel. Il peut demander à votre organisation ce qu’elle sait à son propos (droit d’accès). Il peut également réclamer l’effacement ou la modification de données le concernant, par exemple ses identifiants, coordonnées personnelles ou préférences sur vos services en ligne. Ce droit fondamental va jusqu’à l’objection à tout ou partie des finalités de traitement ou à leur limitation afin de protéger la vie privée des citoyens de l’Union Européenne. En pratique, la destruction des enregistrements n’est pas la seule option possible. On peut rendre anonymes certaines informations, ou bien remplacer les noms par des pseudonymes avant de réaliser des analyses comportementales, par exemple.

Mais le suivi des informations et des applications devient bel et bien nécessaire. La réglementation Européenne encourage ou contraint la tenue d’un registre des traitements et une cartographie des données à caractère personnel. Elle invite également à documenter la manière dont un utilisateur peut solliciter une modification ou une destruction de ses données personnelles.

Les gouvernements et d’autres secteurs sensibles trouvent des réponses à leurs questions de confidentialité dans les caractéristiques techniques de nos produits et logiciels, et dans nos procédures organisationnelles, que nous démontrons régulièrement, et qui font de plus en plus partie des exigences de nos clients, eux mêmes confrontés aux besoins de conformité au RGPD », révèle Vincent Lomba.

Les acheteurs de services informatiques se doivent d’évaluer les engagements de sécurité et de confidentialité auxquels les prestataires cloud sont tenus par contrat. Ces garanties sont obligatoires pour l’entreprise aux applications partiellement externalisées, car elle reste responsable de toute la chaîne de traitements des informations. Elle doit être en mesure de préciser les moyens et procédures de protection portant sur les données à caractère personnel à l’aide d’un reporting actualisé. Pour freiner le shadow IT et maitriser les phénomènes de BYOD et CYOD, elle gagne à aiguiller ses employés et sous-traitants vers un catalogue de services présélectionnés, après s’être assurée de leur sécurité et de leur conformité.

L’obligation d’alerte sous trois jours

En cas de cyber-attaque ayant provoqué une fuite d’informations privées, l’entreprise doit prévenir les autorités de protection des données personnelles (telle que la CNIL en France) sous trois jours une fois l’incident découvert. Si des informations à caractère personnel sont exploitables, les salariés ou les clients concernés doivent être prévenus également, quel qu’en soit le nombre. Des pénalités conséquentes sont prévues en cas de non conformité au RGPD, ceci pour sensibiliser toutes les organisations, et les inciter à mettre en place des actions de contrôle ainsi que des compte-rendus précis et réguliers sur la protection des données privées. Les sanctions sont incitatives : elles peuvent déclencher une amende jusqu’à 20 millions d’Euros ou atteindre 4% du chiffre d’affaires annuel mondial si ce cumul s’avérait supérieur. Le risque financier devient considérable. Non seulement la réputation de l’entreprise sera ternie en cas de cyber-attaque réussie, mais le risque juridique peut déclencher un coût financier pouvant mettre en péril sa survie.

7Livre Blanc Privacy by Design

« Les services de collaboration de Rainbow sont opérés en France par des équipes locales, organisées pour répondre aux exigences des normes les plus contraignantes en matière de protection des données (RGPD, et HDS pour les données de santé) Le niveau de confiance apporté par la réglementation européenne, l’une des plus soucieuses des droits individuels, procure une garantie supérieure, en terme de confidentialité, par rapport à un service cloud hébergé hors de ce territoire. L’Union Européenne est devenue de fait une référence mondiale en la matière. » souligne Vincent Lomba.

En ouvrant son système d’information aux partenaires ou aux grands clients, l’entreprise peut transformer ces acteurs, présents partout, en ambassadeurs de sa marque. Elle déploie des services en ligne personnalisés, offre des échanges directs et spontanés, qui peuvent contribuer à améliorer ses produits et ses services à l’échelle mondiale.

Rainbow a été développé en parallèle du

RGPD et de la réglementation HDS ; ils

font partie de son ADN. Nous veillons à

conserver la confidentialité et l’anonymat

des utilisateurs pour ne pas laisser le

champs libre aux analyses non consenties

et surtout non respectueuse des droits à

la confidentialité de nos utilisateurs. D’un

point de vue organisationnel, nous avons

établis très tôt des ateliers internes pour

incorporer cette sensibilité dans le cycle

de vie de nos projets, avec des analyses

d’impacts et des points de contrôle clés

dans lesquels participent les représentants

du DPO.– Vincent Lomba

Se préparer aux cyber-attaques

Les menaces dépassent le simple cadre du service informatique. Par conséquent, « les cadres en charge de résultats économiques devraient devenir comptables des risques associés à leurs activités, recommande le cabinet d’études PricewaterhouseCoopers, le comité de direction devant effectuer une surveillance significative avec l’objectif de bâtir une résilience face au risque numérique ». Dans une étude menée auprès de 9500 cadres de 122 pays, PwC révèle que l’entreprise est trop rarement prête à réagir correctement aux cyber-risques. Plus d’une fois sur deux (54%) elle ne prévoit pas la moindre procédure de réponse aux incidents, ni même de programme d’alertes des salariés (48%). En cas d’attaque ciblée sur les systèmes de production automatisés, 40% redoutent pourtant une interruption durable et 39% évoquent même la perte d’informations sensibles, potentiellement de données clients. La qualité de la production pourra en pâtir selon 32% des sondés et 22% s’inquiétant des nuisances éventuelles sur des vies humaines.1

1 https://www.pwc.com/id/en/media-centre/press-re-lease/2017/english/organisations-are-failing-to-pre-pare-effectively-for-cyberattack.html

«

»

7

8Livre Blanc Privacy by Design

Adopter les dernières normes de la confiance numériqueLa confiance numérique repose sur le contrôle, la traçabilité, l’audit des échanges. La classification des données permet de les stocker et de les protéger de façon adaptée, en fonction de leur valeur, à chaque instant.

Une étude d’impact a démontré que des informations à caractère personnel étaient stockées en plusieurs endroits, en interne, au domicile des travailleurs distants, ou chez l’hébergeur. Au-delà d’une sélection de partenaires de confiance, l’inventaire et la cartographie des données aident à placer les fichiers au bon endroit, au bon moment, en suivant des règles prédéfinies. De même que l’on ne saisit pas n’importe où ses coordonnées bancaires ni ses codes d’accès, en pratique, on fera correspondre, à chaque classe de données, différentes stratégies de stockage, de sauvegarde, de réplication et de transfert, avec ou sans chiffrement.

Confiance et responsabilités

Dorénavant, tout ce qui entre et sort de l’ordinateur ou du réseau d’entreprise génère des risques numériques - fraudes, attaques ou exfiltration d’informations notamment. Les communications sur

IP amplifient ce phénomène. « Les conversations professionnelles peuvent abriter des secrets. Nous devons donc nous organiser pour rester conforme », confirme Louis-Philippe Ollier.

Le champ des responsabilités évolue avec l’époque et les outils de communication retenus. Autrefois, un simple accord verbal sur l’honneur suffisait à engager deux personnes physiques. Deux entités morales, et souvent davantage, sont maintenant liées par des contrats de service signés en ligne. Ils sont parfois certifiés par un tiers de confiance, notaire ou avocat, mais plus souvent consentis d’un simple clic sur un formulaire web. D’ailleurs, qu’en est-il de la conservation de ces contrats ? En toute rigueur, un jeton d’horodatage, un condensé du fichier et une signature électronique devraient prouver l’authenticité de l’émetteur, l’intégrité, la date et l’heure d’élaboration du document. Et ce dernier devrait être stocké chez un tiers de confiance. A présent, il faudrait même élargir la confiance numérique à diverses

formes de surveillance et d’intelligence artificielle. Il en va de la responsabilité juridique, éthique et morale des dirigeants d’entreprise traitant des données privées.

Une double conformité dans le modèle Européen

Les règlements Européens RGPD et e-Privacy ne vont pas jusque là. Ils ont pour objectif d’apporter « plus de contrôle, plus de choix et de consentement de la part de l’utilisateur qui doit être mieux informé de ce que l’on fait réellement de ses données numériques », résume Nataliia Bielova, chercheuse à l’INRIA. Elle explique que ce préalable est indispensable pour pouvoir donner, ou pas, son autorisation pour un traitement informatique. En examinant les technologies de traçage et de surveillance du web, la chercheuse contribue à développer des outils respectueux de la vie privée des utilisateurs, destinés aux développeurs de services en ligne.

« Les sanctions prévues, en cas de non conformité, devraient inciter les entreprises à recruter des personnes conscientes de ces règles. Ces personnes devront être capables de rendre le système d’information de leur entreprise conforme aux deux règlements à la fois », prévient-elle. Avant le RGPD, chaque pays de l’Union Européenne traduisait, au plan national, les directives adoptées par le Parlement Européen, puis par la Commission Européenne, de sorte à créer un ensemble de règles qui pouvait s’avérer très hétérogènes. De plus, aux lois nationales et Européennes, venaient s’ajouter des règlements de branches professionnelles, cette conformité additionnelle imposant des difficultés d’implémenter des fonctionnalités ou des configurations spécifiques, par exemple dans les secteurs de la finance ou de la santé. En réponse, le RGPD est une règlementation unifiée qui s’applique à tous les états membres dans les termes qui ont été inscrits dans le texte.

9Livre Blanc Privacy by Design

Chiffrement et protection des flux de données

Au niveau des échanges numériques, les protocoles de sécurité et le chiffrement permettent d’ajouter des garanties de confidentialité, d’authentification et d’intégrité. On renforce la sécurité des communications grâce à des contrôles d’accès, par exemple via une authentification des utilisateurs au moyen de plusieurs facteurs, comme la biométrie.

Ces technologies se démocratisent au bon moment, les prestataires de contenus et de services restant les seuls à décider de leur mise en œuvre dans leur architecture. Le RGPD suggère mais n’impose pas de solutions techniques, mais il engage la responsabilité de toutes les parties prenantes du système vis à vis du respect de la vie privée. Des mesures préventives garantissent l’intégrité et la protection des informations, avec en complément la transparence des traitements, le consentement de l’utilisateur et un suivi régulier des demandes de confidentialité.

« Idéalement, je souhaiterais des garanties sur chaque logiciel utilisé, des outils de vérification et des certificats proclamant le respect de la vie privée. Encore faudrait-il que toutes les règles pour obtenir ce label de confiance soient transparentes », pointe Nataliia Bielova.

Le RGPD invite à pouvoir démontrer

que l’on a mis en place des moyens

de sécurité appropriés empêchant

toute fuite de données personnelles.

Dans Rainbow, nous savons

démontrer que notre hébergeur est

physiquement sécurisé et que les

accès logiques sont protégés. En

outre, nous apportons les preuves

que nous implémentons les mesures

de sécurité les plus avancées pour

protéger les données de nos clients.

Cela leur permet d’intégrer ces

mesures dans leur propre politique

de sécurité.– Louis-Philippe Ollier

Ce qui a changé avec le règlement ePrivacy ?

« Le droit d’échapper à toute surveillance électronique est vital dans la perspective de la démocratie », estime Marju Lauristin, députée européenne, auteur et rapporteur du règlement ePrivacy, voté par le parlement Européen, en Octobre 2017. Sa mise en application a transformé les pratiques sur Internet. En particulier, l’approche « privacy by design » s’est imposée pour créer de nouveaux services, tandis que la traçabilité des internautes ne peut s’effectuer sans leur consentement préalable, le chiffrement devenant la règle lors du transfert de données et de conversations privées via Internet. Sans disposition sur le consentement de l’utilisateur ni paramètres de confidentialité pour les cookies des fournisseurs de contenus ou de prestataires tiers, des sanctions équivalentes à celles du RGPD peuvent être prises, à savoir jusqu’à 4% du chiffre d’affaires global ou 20 millions d’Euros.

«

»

9

10Livre Blanc Privacy by Design

Réunir les facteurs clés d’une mise en œuvre réussieEn fonction des données traitées par l’entreprise, des règles particulières de stockage, d’analyse et d’archivage peuvent être définies. Revue des bonnes pratiques pour réussir l’implémentation d’une plateforme collaborative de confiance.

La plateforme de collaboration et de communications unifiées reste un outil structurant pour l’entreprise. Mais son retour sur investissement n’apparaît qu’avec l’adhésion de chaque groupe de travail. Dès lors, les parties prenantes doivent être consultées, leurs inquiétudes prises en compte et dissipées. Bien préparer le projet suppose d’y associer tous les acteurs du travail d’équipe, de discuter avec chacun d’eux. Certains salariés sont moteurs car déjà habitués à coopérer en temps réel. D’autres doivent être accompagnés et rassurés notamment sur l’absence de surveillance continue. Une recherche de consensus doit présider, dès la définition des objectifs du projet et des bénéfices recherchés.

Une expérience utilisateur intuitive

Trop fréquemment, les mesures de sécurité freinent l’usage régulier de nouveaux services innovants. En matière de travail collaboratif, l’expérience

utilisateur doit rester intuitive. Par exemple, le démarrage d’un nouveau groupe de discussion (une bulle), d’une conférence audio-vidéo ou d’un partage d’écran sont simples et immédiatement efficaces sous Rainbow, sans exiger le moindre recours au support technique.

« Dans le cadre de l’entreprise, le salarié a déjà accepté, en signant son contrat de travail, d’utiliser les moyens de communication et de collaboration mis en place par son employeur. Il est donc inutile d’afficher un avis demandant son consentement à chaque session », précise Louis-Philippe Ollier. En revanche, pour un traitement automatique visant à dresser le profil des internautes, la question du consentement devrait être posée. Mieux, le recours aux données anonymes devient alors souhaitable.

Côté administration de la solution, un nombre croissant de paramètres deviennent accessibles par l’utilisateur final lui-même, la combinaison de terminaux utilisés et de préférences

créant de multiples combinaisons possibles. L’auto-apprentissage et l’auto-dépannage peuvent être encouragés, au travers de tutoriels et d’aides en ligne rappelant les bonnes pratiques du système d’information.

Dans les organisations réparties sur de nombreux sites, on s’attache à vérifier la compatibilité de la plateforme aux environnements agréés par la DSI, la présence d’apps mobiles pour les smartphones et tablettes Android et iOS par exemple. La solution collaborative et le serveur de communications téléphoniques de l’entreprise dialoguent au travers d’API pour faciliter le pilotage de services d’appel et d’échanges en temps réel. Cette évolution conduit les équipes de conception à contrôler plus en amont : « Auparavant, on développait un produit, puis on examinait comment il se comportait pour une validation de sécurité avant sa libération sur le marché. Les modèles DevOps obligent à placer les contrôles de sécurité dès les phases préliminaires du projet et à sensibiliser

tous les développeurs à ces exigences, le plus souvent possible, dans un cadre d’intégration continue. Nos industries sont tenues de développer une démarche qualifiée de DevSecOps en intégrant les équipes en charge de la sécurité pour une démarche plus globale », remarque Vincent Lomba.

Un modèle économique souple

La plateforme de collaboration doit être à la fois adaptable, souple, transparente et sûre. Son fournisseur doit disposer de l’assise financière, de la pérennité, de la réputation et d’un réseau de partenaires, proches des zones d’activités de l’entreprise, offrant les mêmes niveaux de services. Pour sa part, le client peut être sensible aux briques technologiques retenues dans la solution, et parfois aussi aux initiatives sociétales et environnementales du fournisseur, car elles traduisent une volonté d’amélioration continue, une démarche éthique et respectueuse de l’environnement.

11Livre Blanc Privacy by Design

Pouvoir choisir un mode de déploiement de type cloud privé ou suivre le modèle SaaS (Software as a Service) permet d’adopter la plateforme en fonction de sa stratégie informatique et financière du moment. En suivant le modèle SaaS, l’acheteur réduit le coût total d’acquisition et transforme un investissement classique en abonnement de services, assorti d’une facturation à l’acte. Finis les sur-investissements matériels en prévision de montées en charge hypothétiques. L’élasticité du cloud permet de ne dépenser qu’en fonction des usages réels des collaborateurs, le prestataire de services cloud se chargeant d’administrer la solution. En mode cloud privé ou hybride, les responsables financier et IT apprécient de pouvoir surveiller finement les usages et les ressources réellement consommées.

Grâce au respect des principaux standards de l’industrie et aux API proposées, la plateforme collaborative reste personnalisable. Son approche privacy by design facilite la composition de nouveaux services sécurisés, de leur conception jusqu’à leur mise en œuvre sur tous les sites. D’autres bénéfices résident dans l’automatisation de processus, pour améliorer les procédures d’entreprise, et dans l’intégration rapide de services Web et d’applications métiers.

Nos clients attendent de nous un

accompagnement sur leur propre

capacité à réaliser leur mise en

conformité lorsqu’ils utilisent nos

produits et services, y compris sur

des solutions verticales pour des

secteurs tels que la santé, la finance

ou les marchés gouvernementaux

qui ajoutent leurs propres exigences

de sécurité. Les principes du RGPD

invitent à considérer davantage l’usage

du chiffrement de données à caractère

personnel pour leur protection, et

l’utilisation de l’anonymisation ou de la

pseudonymisation dans la création des

modèles et architectures de données.– Vincent Lomba

«

»

11

Le DPO supervise la mise en protection

En désignant un délégué à la protection des données ou DPO (Data Protection Officer), l’entreprise signale sa volonté d’avoir un point de contact avec les autorités telle que la CNIL en France. Cette ressource interne est focalisée sur la mise en conformité et le maintien en conformité de la société. Le DPO doit s’assurer que : • le règlement est bien connu de et compris par les

parties prenantes internes et externes

• les données à caractère personnel sont identifiées et que les traitements y faisant appel sont identifiés et gérés dans le registre idoine

• l’entreprise conçoive, dès la définition des produits ou services, les fonctionnalités nécessaires au service des principes et droits de la personne concernée (data subject)

• tous les acteurs concernés puissent le joindre : les responsables de traitements, les sous-traitants et les autorités compétentes en la matière (la CNIL en France).

Conscient des enjeux économiques, juridiques et technologiques, il dialogue régulièrement avec la direction du système d’information, avec les responsables de la sécurité et de la production informatique afin qu’ils mettent en œuvre les bonnes mesures garantissant la confidentialité et l’intégrité de ces informations. Il veille au respect des règlements européens et propage les bonnes pratiques adoptées par la branche d’activités de son entreprise. Ce faisant, il contribue à anticiper et à gérer d’éventuels incidents, via l’approbation de nouvelles mesures de surveillance par exemple. Au quotidien, le DPO et ses interlocuteurs améliorent continuellement les niveaux de sécurité et de confidentialité du système d’informations.

12Livre Blanc Privacy by Design

Lexique

Accountability : Cette notion désigne la responsabilité et donc la redevabilité de l’entreprise auprès de l’autorité à mettre en œuvre le RGPD et à s’assurer que sa mise en œuvre est efficace et opposable : corollairement, elle désigne l’obligation pour l’entreprise de mettre en œuvre des mécanismes et des directives internes permettant de démontrer le respect des règles relatives à la protection des données ; gestion de crises et réactions aux fuites de données à caractère personnel en font partie.

API : Application Programming Interface ou interface de programmation applicative. Point d’entrée normalisé du logiciel offrant des services internes à d’autres programmes, soit au travers de web services soit via une bibliothèque de classes, de méthodes ou de fonctions documentées.

BYOD/CYOD : Bring/Choose your own device. Pratique consistant à

12

apporter ses équipements personnels de communication (smartphone, tablette, ordinateur portable, objets connectés) dans l’environnement professionnel. Les risques associés, concernant la sécurité du réseau et la fuite de données sensibles, amènent l’entreprise à la délaisser au profit de l’approche COPE (lire plus bas).

Cloud services : L’informatique en nuage est une forme de délocalisation de l’infrastructure, des plateformes et logiciels informatiques. Ce modèle technique et économique propose la location de services à la demande, de capacités de calcul et d’espaces de stockage répartis sur des serveurs reliés par Internet.

CNIL : Commission Nationale Informatique et Libertés entend être un régulateur complet et agile, moteur de l’inter-régulation du numérique en France et en Europe (https://www.cnil.fr/sites/default/files/atoms/files/cnil-feuille-de-route-strategique- 2019-2021.pdf). L’article 1er de la loi Informatique et Libertés stipule : « toute personne dispose du droit de

décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

COPE : Corporate owned, personally enabled. Cette pratique autorisant l’accès privé à un terminal appartenant à l’entreprise, est préférable au BYOD, car elle facilite le contrôle et le suivi des terminaux dans le respect des règles de sécurité de l’entreprise.

Cryptographie : La cryptographie est une discipline de la cryptologie destinée à assurer la confidentialité, l’authenticité et l’intégrité des messages via le recours à des secrets ou clés secrètes.

DPO : Data Privacy/Protection Officer. Délégué à la protection des données, il est chargé de la mise en œuvre et du maintien de la conformité aux règlements européens, en ce qui concerne le traitement des données personnelles. Cette fonction, parfois associée au département juridique, incombe souvent à l’ancien CIL, Correspondant Informatique et Libertés.

GDPR/RGPD : General Data Protection Regulation, ou Règlement Général sur

la Protection des Données à caractère personnel dans les communications électroniques. Ce texte de référence européen vise à protéger les données à caractère personnel des individus résidents de l’UE et définissant des principes et des droits opposables. Il encadre par exemple les transferts de données inter-entreprises. Plus d’informations: http://eur-lex.europa.eu/legal-content/EN-FR/TXT/?uri=CELEX:32016R0679&from=FR

ePrivacy : Directive « vie privée et communications électroniques » visant à mieux protéger les données relatives à la navigation des internautes avec un haut niveau de protection, partout en Europe. Plus d’informations : https://ec.europa.eu/digital-single-market/news/eprivacy-directive

Shadow IT : Service de traitement de l’information choisi, parfois pour tester un concept, sans l’accord de la direction des systèmes d’information. Sans garantie de disponibilité ni de sécurité, ils introduisent des risques d’incohérence, de pertes de données et de non-conformité.

Livre Blanc Privacy by Design

13Livre Blanc Privacy by Design

Les échanges continus et spontanés deviennent essentiels à la réactivité de l’organisation. Lorsque les collaborateurs restent joignables, en affichant leur disponibilité sur leur smartphone, sur l’ordinateur ou sur un téléphone IP, ils facilitent le partage de connaissances, améliorent la satisfaction des partenaires et l’accueil des clients. Le contexte réglementaire actuel (RGPD et ePrivacy) exige une gouvernance, une cartographie des données à caractère personnel et des traitements. L’entreprise gagne à définir sa propre grille d’analyse d’impact, à établir ses règles de sécurité et à prévoir des réactions adaptées à la protection des données à caractère personnel et sensibles. La confiance numérique ne se décrète pas. Elle s’instaure avec des partenaires locaux, capables d’accompagner leurs clients partout où ils interviennent et soucieux de respecter les règlements Européens.

Liens utiles

• Site web Alcatel-Lucent Enterprise Rainbow : https://www.al-enterprise.com/fr-fr/rainbow

• Alcatel-Lucent Enterprise Rainbow data privacy: https://www.al-enterprise.com/fr-fr/rainbow/data-privacy

• Règles ALE confidentialité et protection des données : https://www.al-enterprise.com/fr-fr/documentation-juridique/politique-confidentialite

• Mobile App Alcatel-Lucent Enterprise Rainbow pour IOS : https://itunes.apple.com/us/app/ale-rainbow/id1053514112

• Mobile App Alcatel-Lucent Enterprise Rainbow pour Android : https://play.google.com/store/apps/details?id=com.ale.rainbow

Twitter : https://twitter.com/aluenterprise

LinkedIn : https://www.linkedin.com/company/alcatellucententerprise

13

A propos d’ALE

Nous sommes ALE. Notre mission consiste à tout connecter pour créer les expériences technologiques personnalisées

dont les clients ont besoin. Dans vos locaux, sur le cloud ou selon un modèle mixte, nous fournissons des solutions

de réseau et de communication efficaces pour votre personnel, vos processus et vos clients.

Fort de sa tradition d’innovation et de dévouement pour la réussite des clients, ALE est un important fournisseur de solutions et services de réseau et de communication qui

compte plus de 830 000 clients dans le monde entier. Grâce à une présence mondiale et des implantations locales, plus de

2200 employés et plus de 2900 partenaires répartis dans 50 pays opèrent sous la marque Alcatel-Lucent Enterprise.

Le nom et logo Alcatel-Lucent sont des marques déposées de Nokia utilisées sous licence par ALE.

www.al-enterprise.com/fr-fr Le nom et le logo d’Alcatel-Lucent sont des marques commerciales de Nokia utilisées sous licence par ALE. Pour en savoir plus sur les marques utilisées par les sociétés affiliées de la Holding ALE, veuillez consulter: https://www.al-enterprise.com/fr-fr/documentation-juridique/marques-copyright. Toutes les autres marques sont la propriété de leurs titulaires respectifs. Ni la Holding ALE ni ses sociétés affiliées ne peuvent être tenues responsables de l’éventuelle inexactitude des informations contenues dans ce document, qui sont sujettes à modification sans préavis. © 2021 ALE International. Tous les droits sont réservés. DID00031439FR (Janvier 2021)

Livre Blanc Privacy by Design Janvier 2021