Where Everything ConnectsALE

Livre Blanc

Privacy by Design

Février 2018

Privacy by DesignBâtir une collaboration d’entreprise conforme au règlement GDPR

2Livre Blanc Privacy by Design

Privacy by design : l’approche crée la confiance

pas pour délivrer des échanges évolutifs et conformes aux derniers règlements Européens GDPR (General Data Protection Regulation) et ePrivacy.

Le principe sous-jacent est simple : la personne concernée (data subject) est propriétaire de ses données personnelles et nul autre ne peut en disposer librement sans son aval. La GDPR organise les manières de faire en sorte que la personne concernée jouisse de ses droits pleins et que la collecte ou le traitement de ses données par des tiers soit donc soumis à son consentement préalable ou préempté par des dispositions légales de rang supérieur.

N’hésitez pas à faire circuler ce document. Il aidera vos équipes à partager une même culture au travers d’usages raisonnés des communications unifiées, à maintenir leurs partages à l’abri des yeux indiscrets et des mouchards électroniques du web, à éviter les attaques en déni de services, la fraude et la fuite de données sensibles.

Coopérer partout, grâce aux réseaux sociaux et aux échanges continus en temps réel, c’est déjà un réflexe quotidien pour de nombreux salariés, partenaires et clients. Mais tous les outils de communications n’offrent pas le cadre de confiance nécessaire, faute de disponibilité continue, de prise en compte de règles de sécurité, de confidentialité ou de conformité.

Il est temps de fournir à vos équipes une solution agile, robuste et résiliente, d’en finir avec la prolifération de services grand public qui livrent aux géants du web des données d’employés, de partenaires et de clients.

Comment transformer ces flux en temps réel en échanges profitables à votre organisation et à elle seule, tout en respectant la confidentialité des données à caractère personnel ?

Ce livre blanc fournit une méthodologie pour bâtir une plateforme de mise en relation entre personnes, services et objets connectés. C’est un guide pas à

3Livre Blanc Privacy by Design

Bâtir une infrastructure de collaboration de confianceSuivez quatre étapes simples. Faites de l’approche « Privacy by Design » un élément clé de la réussite de votre projet pour bâtir et maintenir des échanges numériques à la fois efficaces et conformes aux dernières règlementations sur les données à caractère personnel.

Le règlement européen GDPR entre en application le 28 mai 2018. Il concerne toute organisation recueillant ou hébergeant des données personnelles pouvant servir à identifier un résident de l’UE, directement ou via un tiers. Un système d’information bien maîtrisé, aux traitements et aux flux de données traçables permet de le respecter. Mais comment reprendre le contrôle des données, des terminaux mobiles et des services en ligne partagés au fil des ans ? Nous vous invitons à bâtir un socle d’échanges conformes, à vous approprier cette plateforme de collaboration en écartant les risques introduits par le BYOD (Bring your own Device) et le Shadow IT, ces solutions SaaS (Software as a Service) retenues sans l’aval de la DSI. « Respecter le règlement GDPR amène à devoir identifier et gérer les différents types de données dont les données à caractère personnel, à anticiper les crises et à prévoir les réactions adaptées en fonction de leur gravité », résume Louis-Philippe Ollier, Data Protection Officer d’Alcatel Lucent Enterprise.

Quatre étapes pour un projet réussi

1. Bâtir une infrastructure de collaboration de confiance.

A l’issue de cette phase, un prototype de solution et un premier groupe d’utilisateurs peuvent tester la solution retenue.

2. Etudier les impacts majeurs sur l’entreprise et son écosystème.

A l’issue de cette phase, la solution de collaboration peut s’élargir aux partenaires et/ou aux clients de l’entreprise.

3. Adopter les dernières normes de la confiance numérique.

A l’issue de cette phase, l’organisation de l’entreprise cartographie ses données, usages, et responsables de traitements, et trace ses échanges, limitant ainsi le risque de fuite d’informations sensibles.

4. Réunir les facteurs clés d’une implémentation réussie.

A l’issue de cette phase, la plateforme devient une solution personnalisée de travail collaboratif, améliorant l’accueil et la productivité des équipes.

3Livre Blanc Privacy by Design

4Livre Blanc Privacy by Design

Un socle d’infrastructure sécurisé

Le travail collaboratif exige, avant tout, un socle d’infrastructure fiable. Le réseau doit soutenir de fortes charges applicatives comme la visioconférence, le partage de bureaux et de documents professionnels. Cette infrastructure peut être fournie clé en main et supervisée par une équipe interne ou gérée par un prestataire pour le compte de l’entreprise.

Dans un projet de collaboration numérique, l’objectif initial varie souvent selon l’organisation. On distingue le besoin de planifier des réunions à distance, de partager et de synchroniser des fichiers, d’accélérer les échanges de savoir-faire et d’idées au travers d’un réseau social d’entreprise. Les communications en temps réel améliorent la productivité des équipes dispersées géographiquement, elles réduisent les frais de déplacement et fluidifient les procédures internes. Mais le périmètre du réseau s’étend vite ; il s’avère de plus en plus difficile à cerner. En effet, il englobe les hébergeurs et prestataires de services cloud, les connexions d’agences et les liaisons des salariés en télétravail ou en déplacement. La protection des accès et des données devient inévitable.

Un partenaire technique de proximité

Quel que soit le terminal employé, la solution de collaboration doit rester souple pour accueillir, stocker, traiter et protéger, dans les règles de l’art, les données à caractère personnel de chaque correspondant. « De nombreuses entreprises voient maintenant une réelle opportunité de valeur à s’abonner auprès d’un acteur local, Européen et soucieux du respect des principes et des engagements de la GDPR. Cela coïncide avec notre stratégie de créer des équipements connectés et d’opérer des plateformes à distance pour nos clients. Ce faisant, nous prenons davantage de responsabilités sur les données en devenant un prestataire de services cloud, et devons donc leur garantir les meilleures protections possibles », admet Georges Nogueira, Chief Technical Security Officer d’Alcatel-Lucent Enterprise. Cette dernière reste un partenaire privilégié des collectivités territoriales et des entreprises de toutes tailles, réparties sur plusieurs sites.

Outre l’adhésion des utilisateurs, celle des acteurs chargés d’intégrer la solution au sein de l’entreprise et aux applications en place est important. Grâce à l’adoption de standards et d’API ouvertes, ils s’écartent des voies sans issue. La plateforme de collaboration pourra contribuer à automatiser des tâches répétitives, sans grande valeur ajoutée pour les collaborateurs. Elle aidera à déployer de nouveaux services novateurs et participera ainsi à la transformation numérique de l’organisation.

5Livre Blanc Privacy by Design

Le Chatbot pour gagner du temps

Par exemple, le Chatbot prend la forme d’un agent conversationnel pour soulager un service après-vente ou un support technique. Cet assistant peut aiguiller l’internaute vers les bonnes ressources en ligne et répondre aux requêtes les plus fréquentes, sans intervention humaine. Les plateformes de communication s’emparent de tels automatismes. Encore faut-il pouvoir les personnaliser de façon simple. Des fonctions avancées de machine learning améliorent la compréhension des questions posées en langage naturel. Elles participent aussi à la génération automatique de questions/réponses. L’association des moteurs d’intelligence artificielle à l’offre de collaboration et de communications unifiées d’Alcatel-Lucent Enterprise permet de réaliser ces services performants de manière unique. La connaissance des métiers reste l’apanage des collaborateurs humains, auquel le chatbot fournit une assistance ponctuelle. Il fait gagner du temps. Les interactions en temps réel entre salariés, partenaires et clients apportent davantage de satisfaction à chacun. Par conséquent, la plateforme à bâtir ne doit pas chercher à les remplacer, mais plutôt à les seconder, en conservant l’intégrité des échanges. La création de chatbots procure des bénéfices mais aussi de nouveaux risques. La méthodologie décrite dans ce document permet de les anticiper. Elle s’applique chez Alcatel-Lucent Enterprise, dès la définition des intentions qui structurent les opérations du chatbot.

Se préparer à la réglementation

GDPR, c’est reconnaître et

accepter que les données

personnelles doivent être

traitées de façon sérieuse.

Une difficulté consiste à les

identifier dans les flux de

collaboration menés en temps

réel. Le dictionnaire de données

(le data model) de Rainbow

permet de savoir précisément

quels sont les champs et

procédures faisant appel aux

données personnelles. C’est un

élément clé de notre approche

Privacy by design.

– Louis-Philippe Ollier

«

»

5

6Livre Blanc Privacy by Design

Etudier les impacts sur l’entreprise et son écosystème Face aux risques d’atteinte à la confidentialité où à l’intégrité liés aux différents transferts de données, l’analyse d’impacts et la gestion de crises forment deux mesures à anticiper. Des réactions distinctes peuvent être retenues, en fonction de la criticité des informations.

Contrôle et reporting des données

Au-delà de l’état des lieux, plusieurs technologies de protection des données sont exploitables ponctuellement. Par exemple, l’usage du chiffrement des informations fait partie de l’arsenal couramment retenu lors des transferts via Internet. D’autres moyens de filtrage des données ou de protection des accès sont combinés, chacun se concentrant sur une couche du système d’information (infrastructures, virtualisation et applications). Parallèlement, de bonnes pratiques doivent se propager jusqu’au cœur des équipes de développements. « Nous répondons aux clients qui nous interrogent sur la conformité aux standards de sécurité de l’information comme ISO 27001 ou sur la GDPR que nos méthodes de conception et notre organisation intègrent très tôt les principes fondateurs de ces cadres normatifs et règlementaires. Cela va des équipes techniques pour le développement et les opérations de nos solutions, jusqu’aux équipes commerciales en charge de la définition des offres et de l’accompagnement de nos clients.

Tout individu dispose selon la réglementation GDPR de différents droits sur ses données à caractère personnel. Il peut demander à votre organisation ce qu’elle sait à son propos (droit d’accès). Il peut également réclamer l’effacement ou la modification de données le concernant, par exemple ses identifiants, coordonnées personnelles ou préférences sur vos services en ligne. Ce droit fondamental va jusqu’à l’objection à tout ou partie des finalités de traitement ou à leur limitation afin de protéger la vie privée des citoyens de l’Union Européenne. En pratique, la destruction des enregistrements n’est pas la seule option possible. On peut rendre anonymes certaines informations, ou bien remplacer les noms par des pseudonymes avant de réaliser des analyses comportementales, par exemple.

Mais le suivi des informations et des applications devient bel et bien nécessaire. La réglementation Européenne encourage ou contraint la tenue d’un registre des traitements et une cartographie des données à caractère personnel. Elle invite également à documenter la manière dont un utilisateur peut solliciter une modification ou une destruction de ses données personnelles.

Les gouvernements et d’autres secteurs sensibles trouvent des réponses à leurs questions de confidentialité dans les caractéristiques techniques de nos produits et logiciels, et dans nos procédures organisationnelles, que l’on est prêt à démontrer, et qui font de plus en plus partie des exigences de bases de nos partenaires et clients à l’approche du 25 mai 2018 », révèle Georges Nogueira.

Les acheteurs de services informatiques se doivent d’évaluer les engagements de sécurité et de confidentialité auxquels les prestataires cloud sont tenus par contrat. Ces garanties sont obligatoires pour l’entreprise aux applications partiellement externalisées, car elle reste responsable de toute la chaîne de traitements des informations. Elle doit être en mesure de préciser les moyens et procédures de protection portant sur les données à caractère personnel à l’aide d’un reporting actualisé. Pour freiner le shadow IT, elle gagne à aiguiller ses employés et sous-traitants vers un catalogue de services présélectionnés, après s’être assurée de leur sécurité et de leur conformité.

L’obligation d’alerte sous trois jours

En cas de cyber-attaque ayant provoqué une fuite d’informations privées, l’entreprise doit prévenir les autorités de protection des données personnelles (telle que la CNIL en France) sous trois jours une fois l’incident découvert. Si des informations à caractère personnel sont exploitables, les salariés ou les clients concernés doivent être prévenus également, quel qu’en soit le nombre. Des pénalités conséquentes sont prévues en cas de non conformité au règlement GDPR, ceci pour sensibiliser toutes les organisations, et les inciter à mettre en place des actions de contrôle ainsi que des compte-rendus précis et réguliers sur la protection des données privées. Les sanctions sont incitatives : elles peuvent déclencher une amende jusqu’à 20 millions d’Euros ou atteindre 4% du chiffre d’affaires annuel mondial si ce cumul s’avérait supérieur. Le risque financier devient considérable. Non seulement la réputation de l’entreprise sera ternie en cas de cyber-attaque réussie, mais le risque juridique peut déclencher un coût financier pouvant mettre en péril sa survie.

7Livre Blanc Privacy by Design

« Les services de collaboration de Rainbow sont opérés en France par des équipes locales, sensibles au règlement GDPR et exigeantes sur la conformité. Le niveau de confiance apporté par la réglementation européenne, l’une des plus soucieuses des droits individuels, procure une garantie supérieure, en terme de confidentialité, par rapport à un service cloud hébergé hors de ce territoire. L’Union Européenne devient de fait une référence mondiale en la matière. On sait que des acteurs d’autres régions seraient de façon inverse soumis à plus de largesse dans le traitement de leurs données à caractère personnel, voire même dans l’obligation de répondre à des ordres d’accès pour diverses raisons autorisées par des lois locales », souligne Georges Nogueira.

En ouvrant son système d’information aux partenaires ou aux grands clients, l’entreprise peut transformer ces acteurs, présents partout, en ambassadeurs de sa marque. Elle déploie des services en ligne personnalisés, offre des échanges directs et spontanés, qui peuvent contribuer à améliorer ses produits et ses services à l’échelle mondiale.

Rainbow a été développé en parallèle du

règlement GDPR ; il fait partie de son ADN.

Nous veillons à conserver la confidentialité

et l’anonymat des utilisateurs pour

ne pas laisser le champs libre aux

analyses non consenties et surtout non

respectueuse des droits à la confidentialité

de nos utilisateurs. D’un point de vue

organisationnel, nous avons établis très tôt

des ateliers internes pour incorporer cette

sensibilité dans le cycle de vie de nos

projets, avec des analyses d’impacts et

des points de contrôle clés dans lesquels

participent les représentants du DPO.– Georges Nogueira

Se préparer aux cyber-attaques

Les menaces dépassent le simple cadre du service informatique. Par conséquent, « les cadres en charge de résultats économiques devraient devenir comptables des risques associés à leurs activités, recommande le cabinet d’études PricewaterhouseCoopers, le comité de direction devant effectuer une surveillance significative avec l’objectif de bâtir une résilience face au risque numérique ». Dans une étude récente menée auprès de 9500 cadres de 122 pays, PwC révèle que l’entreprise est trop rarement prête à réagir correctement aux cyber-risques. Plus d’une fois sur deux (54%) elle ne prévoit pas la moindre procédure de réponse aux incidents, ni même de programme d’alertes des salariés (48%). En cas d’attaque ciblée sur les systèmes de production automatisés, 40% redoutent pourtant une interruption durable et 39% évoquent même la perte d’informations sensibles, potentiellement de données clients. La qualité de la production pourra en pâtir selon 32% des sondés et 22% s’inquiétant des nuisances éventuelles sur des vies humaines.1

1 https://www.pwc.com/id/en/media-centre/press-re-lease/2017/english/organisations-are-failing-to-pre-pare-effectively-for-cyberattack.html

«

»

7

8Livre Blanc Privacy by Design

Adopter les dernières normes de la confiance numériqueLa confiance numérique repose sur le contrôle, la traçabilité, l’audit des échanges. La classification des données permet de les stocker et de les protéger de façon adaptée, en fonction de leur valeur, à chaque instant.

Une étude d’impact a démontré que des informations à caractère personnel étaient stockées en plusieurs endroits, en interne, au domicile des travailleurs distants, ou chez l’hébergeur. Au-delà d’une sélection de partenaires de confiance, l’inventaire et la cartographie des données aident à placer les fichiers au bon endroit, au bon moment, en suivant des règles prédéfinies. De même que l’on ne saisit pas n’importe où ses coordonnées bancaires ni ses codes d’accès, en pratique, on fera correspondre, à chaque classe de données, différentes stratégies de stockage, de sauvegarde, de réplication et de transfert, avec ou sans chiffrement.

Confiance et responsabilités

Dorénavant, tout ce qui entre et sort de l’ordinateur ou du réseau d’entreprise génère des risques numériques - fraudes, attaques ou exfiltration d’informations notamment. Les communications sur

IP amplifient ce phénomène. « Les conversations professionnelles peuvent abriter des secrets. Nous devons donc nous organiser pour rester conforme », confirme Louis-Philippe Ollier.

Le champ des responsabilités évolue avec l’époque et les outils de communication retenus. Autrefois, un simple accord verbal sur l’honneur suffisait à engager deux personnes physiques. Deux entités morales, et souvent davantage, sont maintenant liées par des contrats de service signés en ligne. Ils sont parfois certifiés par un tiers de confiance, notaire ou avocat, mais plus souvent consentis d’un simple clic sur un formulaire web. D’ailleurs, qu’en est-il de la conservation de ces contrats ? En toute rigueur, un jeton d’horodatage, un condensé du fichier et une signature électronique devraient prouver l’authenticité de l’émetteur, l’intégrité, la date et l’heure d’élaboration du document. Et ce dernier devrait être stocké chez un tiers de confiance. A présent, il faudrait même élargir la confiance numérique à diverses

formes de surveillance et d’intelligence artificielle. Il en va de la responsabilité juridique, éthique et morale des dirigeants d’entreprise traitant des données privées.

Une double conformité dans le modèle Européen

Les règlements Européens GDPR et e-Privacy ne vont pas jusque là. Ils ont pour objectif d’apporter « plus de contrôle, plus de choix et de consentement de la part de l’utilisateur qui doit être mieux informé de ce que l’on fait réellement de ses données numériques », résume Nataliia Bielova, chercheuse à l’INRIA. Elle explique que ce préalable est indispensable pour pouvoir donner, ou pas, son autorisation pour un traitement informatique. En examinant les technologies de traçage et de surveillance du web, la chercheuse contribue à développer des outils respectueux de la vie privée des utilisateurs, destinés aux développeurs de services en ligne.

« Les sanctions prévues, en cas de non conformité, devraient inciter les entreprises à recruter des personnes conscientes de ces règles. Ces personnes devront être capables de rendre le système d’information de leur entreprise conforme aux deux règlements à la fois », prévient-elle. Avant la GDPR, chaque pays de l’Union Européenne traduisait, au plan national, les directives adoptées par le Parlement Européen, puis par la Commission Européenne, de sorte à créer un ensemble de règles qui pouvait s’avérer très hétérogènes. De plus, aux lois nationales et Européennes, venaient s’ajouter des règlements de branches professionnelles, cette conformité additionnelle imposant des difficultés d’implémenter des fonctionnalités ou des configurations spécifiques, par exemple dans les secteurs de la finance ou de la santé. En réponse, la GDPR est une règlementation unifiée qui s’applique à tous les états membres dans les termes qui ont été inscrits dans le texte.

9Livre Blanc Privacy by Design

Chiffrement et protection des flux de données

Au niveau des échanges numériques, les protocoles de sécurité et le chiffrement permettent d’ajouter des garanties de confidentialité, d’authentification et d’intégrité. On renforce la sécurité des communications grâce à des contrôles d’accès, par exemple via une authentification des utilisateurs au moyen de plusieurs facteurs, comme la biométrie.

Ces technologies se démocratisent au bon moment, les prestataires de contenus et de services restant les seuls à décider de leur mise en œuvre dans leur architecture. Le règlement GDPR suggère mais n’impose pas de solutions techniques, mais il engage la responsabilité de toutes les parties prenantes du système vis à vis du respect de la vie privée. Des mesures préventives garantissent l’intégrité et la protection des informations, avec en complément la transparence des traitements, le consentement de l’utilisateur et un suivi régulier des demandes de confidentialité.

« Idéalement, je souhaiterais des garanties sur chaque logiciel utilisé, des outils de vérification et des certificats proclamant le respect de la vie privée. Encore faudrait-il que toutes les règles pour obtenir ce label de confiance soient transparentes », pointe Nataliia Bielova.

La GDPR invite à pouvoir démontrer

que l’on a mis en place des moyens

de sécurité appropriés empêchant

toute fuite de données personnelles.

Dans Rainbow, nous savons

démontrer que notre hébergeur est

physiquement sécurisé et que les

accès logiques sont protégés. En

outre, nous apportons les preuves

que nous implémentons les mesures

de sécurité les plus avancées pour

protéger les données de nos clients.

Cela leur permet d’intégrer ces

mesures dans leur propre politique

de sécurité.– Louis-Philippe Ollier

Que va changer le règlement ePrivacy ?

« Le droit d’échapper à toute surveillance électronique est vital dans la perspective de la démocratie », estime Marju Lauristin, députée européenne, auteur et rapporteur du règlement ePrivacy, qui remplace la directive précédente (2002/58/EC). Le 19 octobre 2017, le texte a été voté par le parlement Européen, après plusieurs semaines d’intenses discussions. Sa mise en application va transformer les pratiques actuelles sur Internet. En particulier, l’approche « privacy by design » devrait s’imposer pour créer de nouveaux services, tandis que la traçabilité des internautes ne pourra s’effectuer sans leur consentement préalable, le chiffrement devenant la règle lors du transfert de données et de conversations privées via Internet. Sans disposition sur le consentement de l’utilisateur ni paramètres de confidentialité pour les cookies des fournisseurs de contenus ou de prestataires tiers, des sanctions équivalentes à celles de la GDPR pourront être prises, à savoir jusqu’à 4% du chiffre d’affaires global ou 20 millions d’Euros.

«

»

9

10Livre Blanc Privacy by Design

Réunir les facteurs clés d’une mise en œuvre réussieEn fonction des données traitées par l’entreprise, des règles particulières de stockage, d’analyse et d’archivage peuvent être définies. Revue des bonnes pratiques pour réussir l’implémentation d’une plateforme collaborative de confiance.

La plateforme de collaboration et de communications unifiées reste un outil structurant pour l’entreprise. Mais son retour sur investissement n’apparaît qu’avec l’adhésion de chaque groupe de travail. Du coup, les parties prenantes doivent être consultées, leurs inquiétudes prises en compte et dissipées. Bien préparer le projet suppose d’y associer tous les acteurs du travail d’équipe, de discuter avec chacun d’eux. Certains salariés sont moteurs car déjà habitués à coopérer en temps réel. D’autres doivent être accompagnés et rassurés notamment sur l’absence de surveillance continue. Une recherche de consensus doit présider, dès la définition des objectifs du projet et des bénéfices recherchés.

Une expérience utilisateur intuitive

Trop fréquemment, les mesures de sécurité freinent l’usage régulier de nouveaux services innovants. En matière

de travail collaboratif, l’expérience utilisateur doit rester intuitive. Par exemple, le démarrage d’un nouveau groupe de discussion (une bulle), d’une conférence audio-vidéo ou d’un partage d’écran sont simples et immédiatement efficaces sous Rainbow, sans exiger le moindre recours au support technique.

« Dans le cadre de l’entreprise, le salarié a déjà accepté, en signant son contrat de travail, d’utiliser les moyens de communication et de collaboration mis en place par son employeur. Il est donc inutile d’afficher un avis demandant son consentement à chaque session », précise Louis-Philippe Ollier. En revanche, pour un traitement automatique visant à dresser le profil des internautes, la question du consentement devrait être posée. Mieux, le recours aux données anonymes devient alors souhaitable.

Côté administration de la solution, un nombre croissant de paramètres deviennent accessibles par l’utilisateur final lui-même, la combinaison de

terminaux utilisés et de préférences créant de multiples combinaisons possibles. L’auto-apprentissage et l’auto-dépannage peuvent être encouragés, au travers de tutoriels et d’aides en ligne rappelant les bonnes pratiques du système d’information.

Dans les organisations réparties sur de nombreux sites, on s’attache à vérifier la compatibilité de la plateforme aux environnements agréés par la DSI, la présence d’apps mobiles pour les smartphones Android et tablettes IOS par exemple. La solution collaborative et l’autocommutateur (PBX) dialoguent au travers d’API pour faciliter le pilotage de services téléphoniques et d’échanges en temps réel. Cette évolution conduit les équipes de conception à contrôler plus en amont : « Auparavant, on développait un produit, puis on examinait comment il se comportait pour une validation de sécurité avant sa libération sur le marché. Les modèles DevOps obligent à placer les contrôles de sécurité dès les phases préliminaires du projet et à sensibiliser

tous les développeurs à ces exigences, le plus souvent possible, dans un cadre d’intégration continue. Nos industries sont tenues de développer une démarche qualifiée de DevSecOps en intégrant les équipes en charge de la sécurité pour une démarche plus globale », remarque Georges Nogueira.

Un modèle économique souple

La plateforme de collaboration doit être adaptable, souple, transparente et sûre à la fois. Son fournisseur doit disposer de l’assise financière, de la pérennité, de la réputation et d’un réseau de partenaires, proches des zones d’activités de l’entreprise, offrant les mêmes niveaux de services. Pour sa part, le client devient parfois sensible aux briques technologiques retenues dans la solution, et parfois aussi aux initiatives sociétales et environnementales du fournisseur, car elles traduisent une volonté d’amélioration continue, une démarche éthique et respectueuse de l’environnement.

11Livre Blanc Privacy by Design

Pouvoir choisir un mode de déploiement de type cloud privé ou suivre le modèle SaaS (Software as a Service) permet d’adopter la plateforme en fonction de sa stratégie informatique et financière du moment. En suivant le modèle SaaS, l’acheteur réduit le TCO et transforme un investissement classique en abonnement de services, assorti d’une facturation à l’acte. Finis les sur-investissements matériels en prévision de montées en charge hypothétiques. L’élasticité du cloud permet de ne dépenser qu’en fonction des usages réels des collaborateurs, le prestataire de services cloud se chargeant d’administrer la solution. En mode cloud privé ou hybride, les responsables financier et IT apprécient de pouvoir surveiller finement les usages et les ressources réellement consommées.

Grâce au respect des principaux standards de l’industrie et aux API proposées, la plateforme collaborative reste personnalisable. Son approche privacy by design facilite la composition de nouveaux services sécurisés, de leur conception jusqu’à leur mise en œuvre sur tous les sites. D’autres bénéfices résident dans l’automatisation de workflows, pour améliorer les procédures d’entreprise, et dans l’intégration rapide de services Web et d’applications métiers.

Nos clients attendent de nous un

accompagnement sur leur propre

capacité à réaliser leur mise en

conformité lorsqu’ils utilisent nos

produits et services, y compris sur

des solutions verticales pour des

secteurs tels que la santé, la finance

ou les marchés gouvernementaux

qui ajoutent leurs propres exigences

de sécurité. Les principes de la GDPR

invitent à considérer davantage l’usage

du chiffrement de données à caractère

personnel pour leur protection, et

l’utilisation de l’anonymisation ou de la

pseudonymisation dans la création des

modèles et architectures de données.– Georges Nogueira

«

»

11

Le DPO supervise la mise en protection

En désignant un délégué à la protection des données ou DPO (Data Protection Officer), l’entreprise signale sa volonté d’avoir un point de contact avec les autorités telle que la CNIL en France. Cette ressource interne est focalisée sur la mise en conformité et le maintien en conformité de la société. Le DPO doit s’assurer que : • le règlement est bien connu de et compris par les

parties prenantes internes et externes

• les données à caractère personnel sont identifiées et que les traitements y faisant appel sont identifiés et gérés dans le registre idoine

• l’entreprise conçoive, dès la définition des produits ou services, les fonctionnalités nécessaires au service des principes et droits de la personne concernée (data subject)

• tous les acteurs concernés puissent le joindre : les responsables de traitements, les sous-traitants et les autorités compétentes en la matière (la CNIL en France).

Conscient des enjeux économiques, juridiques et technologiques, il dialogue régulièrement avec la direction du système d’information, avec les responsables de la sécurité et de la production informatique afin qu’ils mettent en œuvre les bonnes mesures garantissant la confidentialité et l’intégrité de ces informations. Il veille au respect des règlements européens et propage les bonnes pratiques adoptées par la branche d’activités de son entreprise. Ce faisant, il contribue à anticiper et à gérer d’éventuels incidents, via l’approbation de nouvelles mesures de surveillance par exemple. Au quotidien, le DPO et ses interlocuteurs améliorent continuellement les niveaux de sécurité et de confidentialité du système d’informations.

12Livre Blanc Privacy by Design

Lexique

Accountability : Cette notion désigne la responsabilité et donc la redevabilité de l’entreprise auprès de l’autorité à mettre en œuvre la GDPR et à s’assurer que sa mise en œuvre est efficace et opposable : corollairement, elle désigne l’obligation pour l’entreprise de mettre en œuvre des mécanismes et des directives internes permettant de démontrer le respect des règles relatives à la protection des données ; gestion de crises et réactions aux fuites de données à caractère personnel en font partie.

API : Application Programming Interface ou interface de programmation applicative. Point d’entrée normalisé du logiciel offrant des services internes à d’autres programmes, soit au travers de web services soit via une bibliothèque de classes, de méthodes ou de fonctions documentées.

BYOD : Bring your own device. Pratique consistant à apporter

12

ses équipements personnels de communication (smartphone, tablette, ordinateur portable, objets connectés) dans l’environnement professionnel. Les risques associés, concernant la sécurité du réseau et la fuite de données sensibles, amènent l’entreprise à la délaisser au profit de l’approche COPE (lire plus bas).

Cloud computing : L’informatique en nuage est une forme de délocalisation de l’infrastructure, des plateformes et logiciels informatiques. Ce modèle technique et économique propose la location de services à la demande, de capacités de calcul et d’espaces de stockage répartis sur des serveurs reliés par Internet.

CNIL : Commission Nationale Informatique et Libertés entend être un régulateur complet et agile, moteur de l’inter-régulation du numérique en France et en Europe (https://www.cnil.fr/sites/default/files/atoms/files/plan_stategique.pdf). L’article 1er de la loi Informatique et Libertés stipule : « toute personne dispose du droit de décider et de contrôler les usages qui

sont faits des données à caractère personnel la concernant ».

COPE : Corporate owned, personally enabled. Cette pratique autorisant l’accès privé à un terminal appartenant à l’entreprise, est préférable au BYOD, car elle facilite le contrôle et le suivi des terminaux dans le respect des règles de sécurité de l’entreprise.

Cryptographie : La cryptographie est une discipline de la cryptologie destinée à assurer la confidentialité, l’authenticité et l’intégrité des messages via le recours à des secrets ou clés secrètes.

DPO : Data Privacy/Protection Officer. Délégué à la protection des données, il est chargé de la mise en œuvre et du maintien de la conformité aux règlements européens, en ce qui concerne le traitement des données personnelles. Cette fonction, parfois associée au département juridique, incombe souvent à l’ancien CIL, Correspondant Informatique et Libertés.

GDPR/RGPD : General Data Protection Regulation, ou Règlement Général sur la Protection des Données à caractère

personnel dans les communications électroniques. Ce texte de référence européen vise à protéger les données à caractère personnel des individus résidents de l’UE et définissant des principes et des droits opposables. Il encadre par exemple les transferts de données inter-entreprises. Plus d’informations: http://eur-lex.europa.eu/legal-content/EN-FR/TXT/?uri=CELEX:32016R0679&from=FR

ePrivacy : Directive « vie privée et communications électroniques » visant à mieux protéger les données relatives à la navigation des internautes avec un haut niveau de protection, partout en Europe. Plus d’informations : https://ec.europa.eu/digital-single-market/news/eprivacy-directive

Shadow IT : Service de traitement de l’information choisi, parfois pour tester un concept, sans l’accord de la direction des systèmes d’information. Sans garantie de disponibilité ni de sécurité, ils introduisent des risques d’incohérence, de pertes de données et de non-conformité.

Livre Blanc Privacy by Design

13Livre Blanc Privacy by Design

Les échanges continus et spontanés deviennent essentiels à la réactivité de l’organisation. Lorsque les collaborateurs restent joignables, en affichant leur disponibilité sur leur smartphone, sur l’ordinateur ou sur un téléphone IP, ils facilitent le partage de connaissances, améliorent la satisfaction des partenaires et l’accueil des clients. Le contexte réglementaire actuel (GDPR et ePrivacy) exige une gouvernance, une cartographie des données à caractère personnel et des traitements. L’entreprise gagne à définir sa propre grille d’analyse d’impact, à établir ses règles de sécurité et à prévoir des réactions adaptées à la protection des données à caractère personnel et sensibles. La confiance numérique ne se décrète pas. Elle s’instaure avec des partenaires locaux, capables d’accompagner leurs clients partout où ils interviennent et soucieux de respecter les règlements Européens.

Liens utiles

• Site web Alcatel-Lucent Enterprise Rainbow : https://www.openrainbow.com/

• Alcatel-Lucent Enterprise Rainbow data privacy: https://www.openrainbow.com/dataprivacy/

• ALE Corporate privacy policy : https://www.al-enterprise.com/fr-fr/documentation-juridique/politique-confidentialite

• Mobile App Alcatel-Lucent Enterprise Rainbow pour IOS : https://itunes.apple.com/us/app/ale-rainbow/id1053514112

• Mobile App Alcatel-Lucent Enterprise Rainbow pour Android : https://play.google.com/store/apps/details?id=com.ale.rainbow

Contacts Alcatel-Lucent Enterprise

Yacine MahfoufiALE International32, avenue Kléber 92700 Colombes, Paris Tel. +33 1 55 66 70 00 Fax. +33 1 55 66 43 38

Twitter: https://twitter.com/aluenterprise

LinkedIn: https://www.linkedin.com/company/alcatellucententerprise

13

www.al-enterprise.com/fr-fr Alcatel-Lucent et le logo Alcatel-Lucent Enterprise sont des marques d’Alcatel-Lucent. Pour en savoir plus sur les marques utilisées par les sociétés affiliées de la Holding ALE, veuillez consulter : https://www.al-enterprise.com/fr-fr/documentation-juridique/marques-copyright. Toutes les autres marques sont la propriété de leurs titulaires respectifs. Ni la Holding ALE ni ses sociétés affiliées ne peuvent être tenues responsables de l’éventuelle inexactitude des informations contenues dans ce document, qui sont sujettes à modification sans préavis. © 2018 ALE International. Tous les droits sont réservés. 00031439FR (Février 2018)

Livre Blanc Privacy by Design Février 2018

Where Everything ConnectsALE

A propos d’ALE

Nous sommes ALE. Notre mission consiste à tout connecter pour créer les expériences technologiques personnalisées dont les clients ont besoin. Dans vos locaux, sur le cloud ou selon un modèle mixte, nous fournissons des solutions de réseau et de communication efficaces pour votre personnel, vos processus et vos clients.

Fort de sa tradition d’innovation et de dévouement pour la réussite des clients, ALE est un important fournisseur de solutions et services de réseau et de communication qui compte plus de 830 000 clients dans le monde entier. Grâce à une présence mondiale et des implantations locales, plus de 2200 employés et plus de 2900 partenaires répartis dans 50 pays opèrent sous la marque Alcatel-Lucent Enterprise.

Le nom et logo Alcatel-Lucent sont des marques déposées de Nokia utilisées sous licence par ALE.