RGPD: l’assessment, et après ? Quelles mesures ?

Règlement Général sur la Protection des Données : c’est parti ! Après plus d’un an de préparation, les organismes publics et les entreprises luxembourgeois sont en conformité depuis le 25/05. Ils ont notamment réalisé l’assessment, grâce au toolkit de la CNPD, ainsi que la cartographie et la création du registre des traitements.

Le 15 mai, quelques jours avant l’entrée en application du Règlement, l’Association pour la Protection des Données à Luxembourg (APDL) en collaboration avec Sopra Steria, réunissait une cinquantaine de Data Protection Officers, Chief Information Security Officers, CIO et Consultants de différents secteurs (banque, assurance, santé, administration, transports, industrie) afin d’échanger sur les prochaines étapes de la conformité, en particulier la mise en œuvre des mesures de sécurité et la prévention des fuites de données (article 32), ainsi que l’analyse de risque et d’impact (Data Protection Impact Assessment) (article 35).Ce à l’occasion d’un petit déjeuner convivial : « GDPR : l’assessment et après ? Quelles mesures ?»aux Espaces Réunions à Leudelange.

La conférence a été ouverte par Michael Hofmann, vice-président de l’APDL, qui a souligné la convergence entre le RGPD et différents règlements et standards tels que NIST 2018. Elle a été suivie par une introduction aux mesures de sécurité de l’article 32, par Romain Sabel (BDO), responsable de la commission technique de l’APDL.

Le RGPD, règlement général sur la protection des données, entraîne un changement de paradigme, dans la mesure où les notifications ou autorisations à obtenir à priori auprès de la CNPD disparaissent. En contrepartie, chacun est responsable d’être en conformité avec la législation et capable de prouver cette conformité au moment de contrôles à postériori, qui seront probablement plus nombreux. Parmi les principes clés du RGPD qui structurent la mise en conformité de tout organisme, public ou privé, il y a l’obligation d’assurer l’intégrité et la confidentialité des données.

Puis Philippe Simon (RBS) et Sylvie Dessolin (Sopra Steria Consulting), ont présenté non sans humour le document élaboré par la Commission Technique de l’ADPL[1]. Celle-ci, considérant les publications disponibles, a souhaité proposer aux organismes et entreprises luxembourgeois, en particulier aux PME, une approche pratique. Ce document, «  Orientations sur l’implémentation de l’article 32 du GDPR (mesures de sécurité) », comprend un tableau des menaces et des mesures sur lequel  les organismes publics et entreprises peuvent s’appuyer, afin de mettre en œuvre les mesures de sécurité appropriées, ainsi qu’un glossaire expliquant les termes utilisés. Par de simples hyperliens le lecteur peut mettre en correspondance une menace avec des mesures et inversement.

Ce document se veut pragmatique et n’a pas pour objectif de remplacer l’analyse de risque que chaque responsable est amené à réaliser. Nous ne retenons donc que les menaces les plus courantes et fournirons une liste de mesures les mieux adaptées permettant de les mitiger.

Après une pause café-networking, la  matinée s’est poursuivie par une table ronde dédiée aux retours d’expériences sur les principales mesures de sécurité.

Pierre van Wambeke (Seezam) a échangé avec Stéphane Badey (Arendt – ARC) sur les constats faits sur le terrain , et avec  Eric Metz (Tech-IT) sur les mesures pratiques pour les PME. Lucas Colet (Fedisa  Luxembourg)a expliqué de manière très concrète  le chiffrement (encryption),Karim Azer Nessim et Jérémy Sintes (Sopra Steria ) ont présenté respectivement  les apports de la Cyber Sécurité et le Privacy by Design.

 

[1]Document élaboré par la Commission Technique :  Stéphane BADEY (Arendt Regulatory & Consulting S.A.) ,  Sylvie Dessolin (Sopra Steria PSF Luxembourg ),  Soren Fihl (Brown Brothers Harriman Luxembourg S.C.A.) ,  Eric Metz (Tech-IT PSF SA) ,  Romain Sabel (Datagest s.à r.l. – BDO),  Laureline Senequier (Deloitte Luxembourg),  Philippe Simon (RBC Investor Services) ,  Pierre Van Wambeke (Seezam S.A.)

Pour aller plus loin

  • Site de l’APDL www.apdl.lu
  • Document de la Commission Technique : accessible aux membres dans la zone réservée du site de l’APDL. Les non membres peuvent en faire la demande par mail auprès de technique@apdl.lu