fbpx

Skip links

RGPD et (re)conception logicielle

Dissertation autour du texte nommé « RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) »

Je suis parfaitement conscient que vous n’avez pas un quart d’heure devant vous, juste pour le plaisir de lire ma prose. Mais si vous êtes sur cet article, c’est certainement parce qu’il y a un truc qui vous démange, et que ce truc a un nom : « Le RGPD ». Tout le monde en parle, ça part dans tous les sens, mais personne n’est foutu de vous expliquer ce que ça change (ou non) pour vous. Et vous l’expliquer, ça va prendre du temps. C’est pour ça qu’on est là.

Si c’est la première fois que vous entendez le terme RGPD, et que vous êtes chef d’entreprise, je vous invite en toute priorité à consulter le site de la CNIL sur le sujet.

Il en ressort essentiellement 6 étapes recommandées, sans pour autant que l’esprit ou la lettre y soient particulièrement documentés.

J’ai pour ma part lu ce texte –dans ses grandes lignes– en tant que concepteur informatique et, plus spécifiquement, concepteur de systèmes manipulant des données médicales, que le RGPD classe dans les données sensibles. À ce titre, j’ai une grande affinité avec la privacy, c’est-à-dire le respect de l’intimité des personnes. Donc le respect des données que des personnes physiques confient aux systèmes que je conçois.

Cet article n’a d’autre ambition que d’être un commentaire de plus sur le sujet, que j’aborde sous l’angle de la (re)conception logicielle dans les petites et moyennes entreprises. Dans cette catégorie d’entreprises, je place les sociétés qui n’ont pas les moyens ou pas l’envie de posséder un service informatique en interne et qui, au mieux, s’appuient sur des prestataires externes voire, au pire, ne possèdent aucune compétence dans le domaine numérique.

Sans généraliser ni schématiser à outrance, mon constat est que ces entreprises ont souvent un Système d’Informations qui s’est construit au fil du temps, autour de solutions de générations variées et parfois obsolètes, à la maintenance au mieux hésitante et sans suivi ni contrôle particulier.

Que représente concrètement le RGPD pour ces entreprises ?

Quelques préliminaires

Disclaimer

Je commente ce règlement européen dans le seul objectif de faire comprendre l’importance de la privacy aux chefs d’entreprise. J’en fournis une lecture et une interprétation qui me sont personnelles, probablement erronées par endroits : ma responsabilité s’arrête aux avis et opinions que j’exprime dans cet article.

Je dégage en particulier toute responsabilité dans la mise en œuvre des opérations nécessaire à la mise en conformité, qui relèvent de la gouvernance de l’entreprise (et non des informaticiens) et qui doivent s’inscrire dans le cadre d’un projet de mise en place d’une Politique de Protection des Données.

Le principe

CHAPITRE II – Principes

Article 5 – Principes relatifs au traitement des données à caractère personnel

Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89,paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées(minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ourectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pascelle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuventêtre conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivis­tiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformémentà l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnellesappropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée(limitation de la conservation);

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide demesures techniques ou organisationnelles appropriées (intégrité et confidentialité);Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

En fait, l’essentiel est dit ici. Et si vous savez déjà montrer que vous collectez et traitez des données personnelles dans cet esprit, alors vous êtes déjà quasiment en conformité avec le règlement. Dans le cas contraire, par où commencer pour démontrer votre conformité, voire pour vous mettre en conformité ? Nous allons explorer quelques pistes.

Données et Données numériques

Il est important de vous souvenir que votre Système d’Informations (SI), qui est au coeur du RGPD, inclut non seulement ces données numériques, mais également toute autre forme de données, notamment papier, que votre entreprise manipule : listings, copies d’archives, photocopies de documents personnels sont par exemple concernés par le règlement sur la protection des données.

Quels gains attendre ?

Clairement, la mise en conformité de votre entreprise avec le RGPD représentera un coût. Plus encore, cette mise en conformité aura des répercussions récurrentes, donc des coûts récurrents.

Toutefois, à quelque chose malheur est bon : à la sortie de votre mise en conformité, votre entreprise sera en possession d’un nouveau trésor :

  • d’une part le catalogue de vos données “vivantes” et des règles selon lesquelles vous les exploitez : votre entreprise est mieux valorisable, et ces données peuvent faire l’objet de nouvelles exploitations ( sous réserve d’en informer les personnes physiques)
  • d’autre part des données “propres”, épurées de leurs archives obsolètes, de leurs doublons et donc d’une meilleure qualité.

Avec un tout petit effort supplémentaire, le travail que vous allez réaliser dans le cadre du RGPD pourra vous servir à mettre en place des plans de reprise après sinistre (vol, incendie, rançongiciel, …). En effet, en même temps que vous cataloguerez vos données, vous pourrez analyser quand et comment elles doivent être sauvegardées pour permettre la continuité ou la reprise de votre activité dans différentes hypothèses de sinistres.

Il est également une évidence : plus vous avez de données à stocker, plus votre coût de stockage augmente. Par conséquent, contrôler le volume de vos données induit un contrôle de vos coûts de stockage, de sauvegarde, …

Il ne s’agit bien sûr pas de gains immédiats, mais personne ne saurait nier qu’un Système d’Informations bien structuré et contrôlé ne peut que mieux servir les objectifs de votre entreprise !

Par quel bout prendre le sujet ?

Deux options s’offrent à moi. Je peux commencer par poser des définitions, puis broder et creuser pour enfin vous expliquer les conséquences potentielles de vos choix.

L’autre option est celle que je choisis. Ce n’est pas de gaité de cœur, parce que vous allez penser que je joue sur la peur pour vous proposer du contenu. Tel n’est pas mon objectif, mais je vais pourtant partir de la sanction avant de la démonter en morceaux qui seront moins complexes à expliquer.

La sanction est donc de 4% de votre CA mondial ou 20 M€. OK, mais qu’est-ce qui vous vaudrait cette sanction ? Je schématise deux grands cas de figure :

  • une personne physique a porté plainte contre vous parce que vous n’avez pas respecté ses droits
  • vous vous êtes fait “trouer”, comme on dit dans le métier (vol ou atteinte à vos données) et vous n’êtes pas à même de démontrer que vous aviez au minimum étudié les risques sur vos données et défini une politique de protection. L’une de vos obligations sera, à compter de l’entrée en vigueur du règlement, de :
    • déclarer à la CNIL toute atteinte à vos données
    • informer chaque personne physique de l’incident et des conséquences sur ses Données Personnelles

On a déjà là un sacré paquet de vocabulaire à éclairer : personne physique, droit, vol ou atteinte, risques, politique de protection.

Personne physique et Donnée Personnelle

Les deux concepts sont liés dans la définition du règlement :

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Il est important de bien ramener le sujet à la personne physique, qui se nommera M. Toutlemonde dans cet article. Pour ma part, je considère que votre mail et votre numéro de mobile, que vous m’avez communiqué sur votre carte de visite, ne sont pas des données personnelles mais professionnelles, que vous avez rendues publiques. Même si votre 06, dans l’absolu, est identifiant…

Les droits de la personne

En fait, c’est là qu’est le cœur du RGPD : il définit des droits pour M. Toutlemonde. Au début, on se dit que ça existait déjà, que la CNIL le faisait, que c’est juste un remix européen technocratique. Et puis en fait, on se rend compte progressivement qu’il y a vraiment du nouveau (hérité, d’une certaine façon, des réglementations existantes dans le domaine des données médicales). Voici quelques points d’évolution :

  • il n’y a plus de déclaration à la CNIL de vos traitements. Vous devez simplement être à même de prouver que vous avez “fait le job”, qui est le sujet de cet article.
  • vous deviez garantir l’accès, la modification et la restitution des données personnelles. Vous y êtes toujours obligé(e), sans oublier leur effacement (c’est le droit à l’oubli).
  • vous devez désormais recueillir et prouver le consentement éclairé. On va y revenir car c’est là, à mon humble avis, que se tient la révolution.
  • vous devez garantir la sécurité de toutes les données collectées, stockées et traitées.

Risque, vol, atteinte

Si j’étais spécialiste en cybersécurité, je viendrais vous faire peur ici en vous énumérant toutes les menaces qui pèsent sur votre SI. Je me contenterai de quelques exemples qui vous parleront : rançongiciel, malware, portes dérobées, failles de sécurité du Wifi, …

Définir le risque

Pour la suite, on va résumer tout ça en “accès à une donnée par une personne non habilitée”. Est habilitée, toute personne dont l’accès a été consenti de façon éclairée par M. Toutlemonde. On y revient, au consentement éclairé. N’est pas habilitée, toute autre personne. Parmi lesquels les hackers, mais parmi lesquels également les mécaniciens, les assureurs, les vendeurs d’aspirateurs… Ce que j’essaye d’illustrer ici, c’est que le risque n’est pas exclusivement le fait de geeks malfaisants ; ou plus exactement, que ces hackers ont pour objectif de revendre ces données à… des entreprises comme la votre, comme vos concurrents. Qui n’a jamais acheté une liste d’entreprises ciblées ? D’où viennent ces listes ? Je ne souhaite pas m’éloigner trop de mon article, mais le risque est bel et bien, par exemple, qu’un assureur(*) ait accès à la donnée médicale de ses prospects : n’adapterait-il pas ses tarifs en fonction ?

Et vous, votre mission, c’est que les données (médicales, dans l’exemple) qu’on vous confie ne puissent pas parvenir à l’assureur(*).

(*) que tous les assureurs me pardonnent, il me fallait un exemple et c’est tombé sur vous

Conséquences d’une compromission de données

Je distingue deux atteintes aux données :

  • perte de données ; par exemple, après un incendie. La question qui se pose ici est “comment cette perte de données impactera-t-elle le service que vous fournissez à M. Toutlemonde ?”. Donc, naturellement, la réponse que vous devez apporter est “comment je me prémunis contre les conséquences d’une perte de données”. Notez que l’une de ces conséquences peut être la survie de votre entreprise !
  • vol ; là, on risque la divulgation (publique ou non, par exemple sous forme de fichiers ciblés) et l’usurpation d’identité (la vôtre ou celle de M. Toutlemonde). Qu’allez-vous mettre en place pour éviter le vol de données (informatiques ou non) ?

Vous profiterez avantageusement de cette réflexion pour mettre en place un plan de reprise ou de continuité d’activité, et ce sera déjà un gain énorme pour votre entreprise.

Résumons le but du jeu

Pour s’assurer que vous allez mettre en œuvre ce qui doit l’être dans votre entreprise afin de garantir la Protection des Données Personnelles, la CNIL vous impose d’être à même, à compter du 25/5/2018, de présenter les preuves :

  • du consentement éclairé des personnes physiques
  • de votre processus garantissant l’accès, la mise à jour, la restitution et l’effacement des DP
  • de votre processus de mise en sécurité de toutes les données collectées, stockées et traitées.

C’est pas mal pour un début, et ce sont les trois points que nous allons survoler désormais.

1/3 Le consentement éclairé

Paradoxalement, c’est le consentement éclairé qui va le plus nous faire bosser. Jusque là, “recueillir le consentement” consistait souvent à poser une vague case à cocher au bas d’un texte long comme le bras. Ce pourra peut-être rester le cas, mais il faudra bien faire attention au contenu du texte, car il conditionne l’ensemble de votre démarche.

Le consentement à quoi ?

Pour résumer, c’est ici que vous décrivez très exactement quelles sont les données qui vont être manipulées, par qui et dans quelle finalité. Je vous rassure, le texte suivant est parfaitement acceptable : “votre date de naissance et votre adresse électronique seront utilisées par un système automatisé pour vous envoyer un message le jour de votre anniversaire”. C’est tout, et selon moi ça suffit –au moins pour un début.

Par contre, vous ne pouvez pas écrire “votre date de naissance et votre e-mail, je les prends au cas où, on sait jamais”.

En quoi est-ce le consentement éclairé qui va nous donner le plus de boulot ? En ceci que nous devons respecter un principe de minimisation (ne conserver que la donnée strictement nécessaire) et un principe de limitation des finalités (une liste exhaustive et limitée de fonctionnalités).

Le principe de minimisation nous amène à ne collecter que les données strictement nécessaires aux finalités. Durant l’audit de l’existant que vous ne manquerez pas de réaliser, vous devrez définir quelles sont les données réellement exploitées (et, dans l’absolu, faire une croix sur les autres !).

Juste pour faire signer avec une case à cocher, vous allez donc :

  • cataloguer les données personnelles que vous manipulez (RH, CRM, supply chain, juridique, marketing, …)
  • cataloguer les traitements et leurs finalités
  • rédiger tout ça sous une forme compréhensible par M. Toutlemonde et le lui faire “case à cocher”.

Typiquement, vous porterez l’ensemble de ces informations dans vos CGU ou CGV.

Prouver le consentement

À l’heure actuelle, la case à cocher est considérée par mes pairs comme suffisante (penser à enregistrer la date et l’heure du consentement). Je trouve pour ma part que c’est un peu court, et un envoi des CGU par mail me paraît être un minimum en complément.

Opt-in

Dans le cas particulier de ces fameuses cases à cocher, rappelez-vous que vous devez respecter le principe dit opt-in, c’est-à-dire que la case doit être présentée décochée et que M. Toutlemonde doit réaliser l’acte de la cocher. C’est à prendre en compte notamment si vous proposez une liste d’options, telles que des newsletters : elles ne doivent pas être cochées par défaut, et c’est l’utilisateur qui doit les cocher à l’inscription.

Licite et loyal

Tout est dans le titre, vous démontrerez que votre collecte de données personnelles est licite et loyale.

2/3 Accès, restitution, modification, effacement des DP

Vous devez être capable de démontrer votre processus garantissant ces quatre droits à M. Toutlemonde.

Accès, restitution, modification

Comme cela était déjà imposé par la CNIL, rien de changé : une adresse postale de demande de rectification et le tour est joué. Par contre, vous devez définir dans l’entreprise qui fait quoi pour répondre à chacune de ces trois demandes.

Effacement

Le droit à l’effacement fait à mon avis partie du consentement éclairé. En effet, vous devez garantir l’effacement des données (en décrivant le processus qui s’en charge) :

  • sur demande
  • après un certain âge, qui dépend de vos traitements et de vos finalités, mais qui doit être raisonnable.

L’information sur les délais de conservation et le processus de retrait font partie des CGU.

3/3 Garantir la sécurité des données (et analyse de risques)

Là, on revient sur un terrain que vous connaissez mieux, celui de la sécurité de vos données : c’est ce vaste panaché d’antivirus, de pare-feux, de codes d’accès que vous avez certainement déjà collé sur votre informatique.

Rappelons que notre objectif est d’empêcher et de détecter tout accès à une donnée par une personne non habilitée. Et ça va un peu plus loin que l’application des patches de sécurité. J’aime beaucoup l’anecdote suivante : alors que je discutais du RGPD avec une consultante, elle a dû quitter la salle de réunion quelques instants pour se rendre dans son bureau. Elle m’a regardé, a regardé son PC ouvert devant elle, m’a regardé de nouveau… puis a fermé le PC et l’a pris sous le bras. Elle venait de mettre en place sa politique de sécurité quant aux données que contient son PC, elle avait bien compris le message : je ne suis pas habilité, et le risque existe que j’accède à ses données. Dans ce contexte (et si vous n’êtes pas en face de hackers patentés), une simple fermeture de session peut être suffisante… à condition que votre ordinateur ait un mot de passe différent de 0000 ou 1234 ! (au fait, quelle est votre politique de mots de passe ?).

4/3 Textes particuliers

En fait j’ai menti, il y a plus de 3 points à survoler : le règlement définit un certain nombre de cas particuliers auxquels s’appliquent des exigences spécifiques. Je n’en cite que quelques uns ici.

Transfert vers des pays tiers

Je n’amène ce sujet qu’ici, parce que je ne voulais pas perturber un défrichage déjà bien acrobatique et aussi parce que j’ai un peu décroché. Si j’ai bien suivi, vos données peuvent être traitées en Europe sans problème, puisque votre sous-traitant respectera le RGPD. Par contre, hors d’Europe, ça devient un peu compliqué.

Et si j’ai bien compris l’analyse de mes pairs, stocker des données sur Dropbox ou Google Drive (donc aux US) nécessite d’aller lire un peu le truc compliqué…

Données sensibles

Je ne vais pas entrer dans le détail, mais le règlement définit un certain nombre de catégories de données dites sensibles (données ethniques, raciales, de santé, …). Si vous manipulez de telles données (ce qui est le cas de mes projets dans l’e-santé), vous allez devoir aller beaucoup plus loin dans votre analyse et dans votre documentation : analyse de risques, étude d’impact, … Là, j’ose espérer que vous avez d’ores et déjà fait appel à des professionnels pour vous border !

Prise de décision automatisée

En gros, si ce sont des IA qui profilent vos clients, relisez attentivement la section vous concernant.

Délégué à la Protection des Données

Il est tout à fait possible que vous soyez amené(e) à désigner un Délégué à la Protection des Données, chargé de contrôler le respect du présent règlement et de collaborer avec la CNIL. Votre CIL, si vous en avez un, est tout désigné, mais ce n’est pas obligatoirement lui.

Mise en œuvre

En pratique

Jusque-là, tout le sujet ressemble à de la théorie, peut-être un peu moins fumeuse désormais. Voici quelques informations bien concrètes pour vous mettre le pied à l’étrier.

Pour certains, la mise en pratique pourra être rapide : “je ne manipule pas de données personnelles”. Pour être de bonne foi, vérifiez tout de même les quelques pièges que j’évoque plus bas, notamment les zones de commentaires et votre messagerie électronique.

Pour les autres, il faut démarrer à un bout (par exemple suivre M. Toutlemonde depuis son adhésion à votre service jusqu’à son retrait, suivre un salarié depuis son entrée dans l’entreprise jusqu’à la fin de son contrat) et analyser tous les échanges de données et les traitements associés.

Support

  • le RGPD n’impose pas de support particulier à vos œuvres. Jusqu’à une certaine échelle, Excel peut être suffisant pour :
    • lister les données par nature et par emplacement (et matérialiser les DP, voire les données sensibles)
    • lister les traitements, leurs finalités par rapport à M. Toutlemonde et les données qu’ils exploitent
  • au-delà d’un certain volume, il existe des logiciels (audit, qualité) mais également des agences de conseil spécifiques du sujet qui exploitent leurs propres outils pour vous fournir la documentation nécessaire

Pièges à connaître

Il y a quelques nids de données personnelles à ne pas oublier dans votre audit de l’existant.

  • N’oubliez pas les données qu’exploitent vos sous-traitants, comme par exemple votre serveur de newsletters ou votre expert-comptable, ni celles qui sont exploitées à des endroits improbables (votre serveur web, …)
  • les backups :
    • dans ce dossier “Sauvegardes 1990-1994” que vous ne voulez pas jeter “au cas où”, n’y aurait-il pas des données personnelles (salariés, …) qui n’ont plus de raison d’exister dans votre SI ?
    • vos bandes (ou disques durs) de sauvegardes ne contiendraient-ils pas des données personnelles ? Où se promènent ces supports de sauvegardes ? Par exemple, si toutes les semaines vous emportez une bande à la maison (c’est bien), vous devez analyser le risque que vous faites courir aux données durant le trajet et chez vous.
  • les zones de commentaires (zones de notes) : c’est un vrai régal. Les commerciaux, en particulier, stockent là toutes les informations qui leur permettent de personnaliser leur relation client : “et le bébé se porte bien ?”, “Alors, ces vacances au Kenya ?”… Données personnelles, vous l’aurez bien compris.
    • le risque d’y voir des données sensibles est énorme (“Hospitalisé pour sa jambe”)
    • il n’y a pas de moyen élégant de s’en sortir honorablement par rapport au RGPD :
      • mettre en place une charte d’entreprise sur la protection des données, décrivant entre autres ce qui peut et ne peut (doit) pas se trouver dans les commentaires (à annexer aux contrats de travail)
      • purger tous les commentaires existants (tous les vider, ou les expurger un par un)
    • les dossiers des utilisateurs, dont le contenu est difficilement contrôlable, et dans lesquels des DP pourraient être stockés. Là encore, une charte d’entreprise pourrait engager les salariés à assainir leurs usages.
    • la messagerie électronique ! C’est à l’évidence le vecteur parfait pour des informations personnelles. Un vecteur qui conserve des traces (dossiers des messages envoyés, des messages reçus, archives, …)
      • toujours chiffrer des informations personnelles que vous envoyez (il suffit de “zipper” avec un mot de passe)
        • et envoyer le mot de passe par mail séparé !
    • les sous-traitants :
      • à qui fournissez-vous quelles données ? Commencez par votre expert-comptable…
      • n’oubliez pas vos serveurs de newsletters (surtout s’ils sont hors UE), vos outils collaboratifs (Trello, Dropbox, …)

    Y’a plus qu’à

    À ce stade, vous avez réuni :

    • un catalogue des données (personnelles) que vous exploitez.
      • Listez notamment toutes les données en votre possession que vous n’exploitez pas et mettez-les en conformité avec votre politique d’effacement (sous-entendu : effacez-les)
      • Assurez-vous qu’il s’agit du minimum de données nécessaire à l’exécution de vos traitements
      • Définissez la durée de rétention de chaque donnée (délais et procédure d’effacement)
    • un catalogue des traitements
      • assurez-vous qu’ils sont tous nécessaires au service fourni
    • un début de réflexion sur la sécurité
    • un début de “politique d’habilitation” (qui appartient à quel service et quel service peut faire quoi), qui peut être très simple (“tous les salariés de l’entreprise ont accès à toutes les DP”)
    • et, surtout, une liste d’actions correctives issues de votre audit.

    Eh bien vous savez quoi ? Il n’y a plus qu’à appliquer les actions correctives, à documenter les actions réalisées et… c’est bon !

    Mises à jour

    C’est seulement presque bon, en vérité, parce que désormais vous devrez documenter tout changement dans vos traitements et dans les données traitées. C’est-à-dire documenter les évolutions de votre SI. Et franchement, ce n’est pas la plus mauvaise idée qu’on puisse avoir…

    Conclusion

    Quelle que soit la taille de votre entreprise, vous pouvez être concerné(e) par le RGPD en fonction de votre activité. Vous pouvez choisir de ne pas vous mettre en conformité et beaucoup vous diront que le risque est faible. Toutefois, j’aspire à ce que tous les M. Toutlemonde du monde, eux, soient en mesure d’appliquer leur droit au respect des données personnelles. Alors je ne peux que vous recommander de rassembler un consultant réglementaire, un informaticien et la Direction pour mettre en place rapidement votre Projet PPDP (Politique de Protection des Données Personnelles), voire votre PSSI (Politique de Sécurité du Système d’Informations).

    Courage.

Partager cet article :
Return to top of page