Publicité en cours de chargement...

Publicité en cours de chargement...

Un dernier cocktail RGPD avant la plage

16 juil. 2019 - 11:29,
Tribune - Cédric Carau
La canicule n’en refroidit pas certains apparemment, tout du moins si l’on se fie aux dernières breaking newssur le RGPD sous toutes ses formes, pendant cette dernière quinzaine. Que l’on en juge.

Il y a eu cette modeste PME de traduction, qui s’est pris une « petite » prune de quelques dizaines de milliers d’euros. La somme semble faible, mais le CA de la boîte en question l’était tout autant, et le fait que cette TPE ou PME soit dans le rouge n’a manifestement pas suffi à attendrir la Cnil. Il faut dire que l’on était en plein dans la zone d’humiliation, avec des caméras de vidéosurveillance pointées directement sur les postes de travail des salariés, une première injonction non suivie de mesures correctives et des excuses du dirigeant à classer dans la catégorie « bidon +++ ».

Il y a eu ensuite British Airways, qui s’est pris un petit papillon à plus de 200 millions d’euros, pour avoir traité un peu légèrement les coordonnées bancaires de ses clients. Le plus drôle est l’attitude du PDG, qui semble considérer qu’à partir du moment où aucune activité frauduleuse sur les comptes desdits clients n’a été constatée la sanction est « surprenante et décevante ». Un peu comme si mon plombier avait perdu les clés de ma maison par négligence, mais me rétorquait : « Et alors ? Personne ne vous a cambriolé. »

Il vient d’y avoir, enfin, le record de l’été 2019, à savoir les 5 milliards d’euros infligés par les autorités US à Facebook. OK, ce n’est pas le RGPD, mais le motif est le même, à savoir le défaut de protection des données personnelles de ses usagers. Le petit Marc a dû en avaler de travers sa petite cuillère du breakfast, ce qui fait toujours plaisir, avouons-le.

Bref, dans les trois cas, il semble que le temps des mondanités soit bel et bien révolu des deux côtés de l’Atlantique, et que la façon « par-dessus la jambe » dont certains traitent les données personnelles des quidams que nous sommes en irrite pas mal, de plus en plus et de plus en plus fort. Les amendes susnommées sont d’ailleurs dans les abaques des 2 % ou 4 % du CA pour celles qui relèvent du RGPD. Pour Facebook, le point le plus remarquable tient au fait que le gouvernement US n’a manifestement pas eu besoin du RGPD ou d’un équivalent yankee pour sortir le gros gourdin – à se demander pourquoi il nous aura fallu, à nous, le RGPD comme arme ; ne pouvait-on pas en utiliser une autre ?

Si la Cnil n’hésite pas à filer une amende à une entreprise déficitaire et si le gouvernement britannique n’hésite pas à ponctionner très largement un fleuron de son industrie nationale, penser que les hôpitaux français sont totalement à l’abri de ce genre de prunes me semble un tantinet présomptueux. L’adage selon lequel il faut taper au porte-monnaie se vérifie partout et pour tous. Et si j’ai appris un truc pendant mon service militaire, c’est que quand vous avez en face de vous un troupeau qui se fiche des règles (qu’il s’agisse de cirer ses bottes ou de respecter le règlement intérieur de la cantine), il suffit d’en prendre un (pas forcément le pire, juste le premier que vous attrapez) et de faire un exemple, en général le reste de ses collègues se tient à carreau pendant un bon moment.

On peut classer schématiquement le niveau de conformité RGPD selon six niveaux :

–     Niveau 0 : RGPD ? C’est quoi ?

–     Niveau 1 : Ah oui, c’est vrai, il faudrait que l’on s’en occupe ;

–     Niveau 2 : Bon, on a fait trois PIA, au pire si on a un contrôle, c’est ce qu’on leur donnera et ils n’y verront que du feu ;

–     Niveau 3 : On a un plan d’action, on n’est pas forcément dans les clous, mais on y travaille ;

–     Niveau 4 : On fait des audits réguliers de nos PIA et de nos mesures, le seul risque non couvert est l’aléa technique ;

–     Niveau 5 : On est carré de chez carré, aucun trou dans la raquette, une équipe de dix personnes s’en occupe à plein temps.

Je ne sais pas pour vous, mais le niveau 5 me semble légèrement inaccessible. Le minimum syndical est le niveau 3, mais la cible est très clairement le niveau 4.

Cela fait un an (pour être plus précis, un an et des grandes vacances en intermède) que le RGPD est entré en vigueur, et à la rentrée je m’attaque aux audits de ce qui a déjà été pondu. Avec enregistrement, cosigné par le responsable de traitement et le DPO bien entendu. Et je suis en train de voir pour un journal de bord des actions, histoire de faire plus sérieux.

Je crains – ou je me réjouis, selon que c’est le DPO ou le citoyen qui parle – que la seule situation que la Cnil acceptera dans les prochaines années sera un incident sur la donnée dont la cause est l’aléa technique, rien que l’aléa technique, avec des organisations et des techniques mises en œuvre irréprochables.

 

Avez-vous apprécié ce contenu ?

A lire également.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.