Tag Archive for: GDPR

GDPR : Plus qu’un mois !

Il est temps de se préparer, dans exactement 1 mois, le GDPR, nouveau règlement européen sur la protection des données personnelles entrera en application.

 

Dans 60 jours le GDPR entrera en application!

Il est temps de se préparer, dans 60 jours le GDPR, nouveau règlement européen sur la protection des données personnelles entrera en application. Labgroup et UBCOM proposent CyberManager une solution d’analyse d’écart basée sur les plus grands référentiels tels que ISO, COBIT 5, Sarbannes-Oxley et UBcyber… permettant d’évaluer en 5 heures seulement la maturité et la résilience d’une organisation à travers un questionnaire de 360 questions.

Comme l’a expliqué Frans Imbert-Vier, CEO, Ubcom, dans l’article : Le GDPR via Cybermanager et, par-delà, une vue de la résilience, écrit par Alain de Fooz  « Avec CyberManager, nous proposons un outil d’assessment permettant aux responsables d’entreprise d’évaluer en cinq heures -pas plus- le niveau de maturité et la résilience de leur organisation et du systèmes d’information face aux cyber-risques et aux contraintes légales du GDPR. Pour nous, le GDPR n’est pas la finalité, mais une étape majeure pour renforcer la confiance digitale, laquelle est absolument nécessaire pour générer de la croissance. CyberManager permet de fournir un schéma directeur solide -pas un label de conformité. Nous engageons l’entreprise dans un processus pragmatique de progression permanente et immédiatement opérationnel. »

Labgroup est le premier prestataire indépendant à proposer un assessment via CyberManager. « Ce règlement est un momentum, une étape positive permettant d’améliorer l’équilibre de la confidentialité et la protection des données entre les particuliers et les entreprises, ainsi que les pratiques de gestion des données et la sécurité globale pour toutes les parties concernées », analyse Jean Racine, Chief Business Development Officer, Labgroup.

CyberManager est un véritable levier d’amélioration de la sécurité de l’entreprise qui permet de renforcer sa résistance, mais qui va également accroître la confiance des clients, des actionnaires mais aussi des collaborateurs.

La prestation de Labgroup est proposée à un prix forfaitaire -6.000 euros et comprend la préparation du workshop, la réalisation avec deux consultants seniors, le rapport de synthèse et un dernier rapport de restitution.

Le GDPR via Cybermanager et, par-delà, une vue de la résilience

LABGROUP PROPOSE CYBERMANAGER, SOLUTION D’UBCOM, POUR ÉVALUER EN CINQ HEURES LA MATURITÉ ET LA RÉSILIENCE D’UNE ORGANISATION. UN PLAN D’ACTION PRAGMATIQUE, À EFFETS IMMÉDIATS.

Le temps des réflexions est passé. Le 25 mai prochain, le GDPR, le nouveau règlement européen sur la protection des données personnelles entrera en application. Peu d’organisations seront prêtes. Concrètement, peu seront passées du ‘quoi’ au ‘comment’ du projet.

«Avec CyberManager, nous proposons un outil d’assessment permettant aux responsables d’entreprise d’évaluer en cinq heures -pas plus- le niveau de maturité et la résilience de leur organisation et du systèmes d’information face aux cyber-risques et aux contraintes légales du GDPR, explique Frans Imbert-Vier, CEO, Ubcom. Pour nous, le GDPR n’est pas la finalité, mais une étape majeure pour renforcer la confiance digitale, laquelle est absolument nécessaire pour générer de la croissance. CyberManager permet de fournir un schéma directeur solide -pas un label de conformité. Nous engageons l’entreprise dans un processus pragmatique de progression permanente et immédiatement opérationnel.»

Si le temps presse, il ne s’agit pas pour autant de dramatiser. Mais plutôt de s’engager sereinement dans un processus de longue haleine. Au ‘quoi’, qui a mobilisé beaucoup d’énergie -notamment à travers une surenchère de séminaires et de formations- Labgroup et Ubcom opposent donc le ‘comment’ du GDPR par la mise en place d’un système d’évaluation sincère, véritable outil d’analyse et de progression.

«Ce règlement est un momentum, une étape positive permettant d’améliorer l’équilibre de la confidentialité et la protection des données entre les particuliers et les entreprises, ainsi que les pratiques de gestion des données et la sécurité globale pour toutes les parties concernées», analyse Jean Racine, Chief Business Development Officer, Labgroup.

UN OUTIL SOUS FORME DE 360 QUESTIONS

Le GDPR, en tant que règlement, est d’application plus générale que les différents standards connus dans le monde de la sécurité et nécessite une approche multidimensionnelle. Préliminaire, un état des lieux. Une entreprise part rarement, si ce n’est jamais, de zéro, et peut généralement capitaliser sur ses réalisations passées et projets en cours.

A travers les 360 questions de CyberManager, le champ d’investigation dépasse le cadre du règlement. S’il est important -capital même- de s’y conformer, il s’agit de voir par-delà la résilience de l’entreprise. Pour les organisations qui l’ont mis en oeuvre, le schéma directeur qui en découle permet d’accéder à une visibilité jamais atteinte du système d’information.

«Pour tout dire, il est rare qu’on sorte indemne de cet exercice. Le comité de direction, qui est appelé à répondre au questionnaire, prend tout de suite conscience de l’état du système d’information et les conséquences sur la bonne conduite de l’entreprise, poursuit Laurent Grill, CEO, Ubcom Benelux. Les faiblesses mais aussi les forces -qu’ils soient légaux, opérationnels ou de réputation- apparaissent immédiatement. C’est donc aussi un incroyable incentive.»

Et de poursuivre : «Le fait d’impliquer le comité de direction dans ce parcours mobilise toute l’organisation. Chacun est appelé à répondre, à échanger, expliquer, voire comprendre. C’est plus engageant que confier une analyse de risque à un cabinet de conseil qui se contentera de remettre un rapport, lequel trouvera place sur une pile d’autres rapports !»

De même, ce n’est pas un projet «one-shot» avec une fin -mai 2018- mais une opportunité de se doter d’une vision durable tant stratégique qu’opérationnelle de la sécurité. Techniquement parlant, la conformité GDPR passe d’abord par la découverte et la classification de ses données sensibles. C’est le fondement de CyberManager, solution d’analyse d’écart basée sur les plus grands référentiels tels que ISO, COBIT 5, Sarbannes-Oxley et UBcyber… Pour Ubcom, d’ailleurs, le GDPR n’est rien d’autre qu’un marqueur de confiance pour les entreprises conformes, un marqueur de plus.

«Avec notre questionnaire d’évaluation, nous mesurons votre maturité relative au respect du cadre juridique, mais aussi de la gouvernance générale en rapport avec le règlement, du social engineering et, enfin, de la conformité technique et opérationnelle pour opérer une donnée relevant du nouveau règlement.» 

FAIRE PROGRESSER L’ORGANISATION

Labgroup est aujourd’hui le premier prestataire indépendant à proposer un assessment via CyberManager. Si le questionnaire est adapté à la conformité GDPR, la démarche doit être vue de façon plus globale : une évaluation du niveau réel de maturité de l’organisation en termes de gouvernance de l’information et de sa résilience.

«Et si ça peut parfois faire mal, conclut Jean Racine, dites-vous bien que nous ne sommes pas là pour casser l’organisation à travers un jugement, mais pour la faire progresser via un ensemble d’indicateurs appelés à créer de la valeur.»

La conformité GDPR nous entraîne à explorer la résilience de l’entreprise, et donc à considérer sa culture de la sécurité. En ce sens, CyberManager est un levier d’amélioration de la sécurité de l’entreprise; nous cherchons à renforcer sa résistance, ce qui va accroître la confiance des clients, mais aussi des actionnaires et, bien sûr, des collaborateurs. A la clé, aussi, une plus grande agilité et une plus grande flexibilité au profit de l’ADN de l’entreprise.

C’est la direction qui passe en revue la situation, qui répond; pas les consultants, lesquels se contentent de conduire l’entretien et piloter l’outil. L’objectif n’est pas de sanctionner, mais de responsabiliser. L’approche est très fine, les réponses pouvant être pondérées. L’outil, qui a déjà fait ses preuves dans différents environnements, tient compte du facteur humain. A la clé, une photographie au moment ‘t’. Et une liste d’actions -priorisée- à prendre.

La prestation de Labgroup est proposée à un prix forfaitaire -6.000 euros- particulièrement attractif, laquelle comprend la préparation du workshop, la réalisation avec deux consultants seniors, le rapport de synthèse et un dernier rapport de restitution.

@Copyright Soluxions Magazine

Auteur : Alain De Fooz

Article 41 : « de nouvelles possibilités aux acteurs financiers », IT Nation

Découvrez l’article Article 41 : « de nouvelles possibilités aux acteurs financiers », publié par IT Nation le 8 février 2018. 

Le projet de loi 7024, qui assouplit le secret professionnel fixé par l’article 41 de la loi du 5 avril 1993 relative au secteur financier dans le cadre d’un outsourcing, a été adopté ce mardi à la Chambre des députés. Ce changement législatif a fait couler beaucoup d’encre, depuis de nombreux mois. Entre les craintes de voir partir de nombreuses activités IT vers l’étranger et la possibilité de faciliter l’établissement de nouveaux acteurs financiers au Luxembourg, le débat fut animé.

Les opportunités pour les institutions financières luxembourgeoises liées à ces changements réglementaires (Article 41, Circulaire Cloud de la CSSF…) seront largement débattues lors de l’événement « Digital Borders », proposé par DXC Technologies fin mars. Vincent Wellens, associé du cabinet d’avocat NautaDutilh, responsable du département propriété intellectuelle ( PI), technologies de l’information et de la communication (TIC), y évoquera les enjeux juridiques liés à ces transformations réglementaires.

Maître Wellens, dans quelle mesure la loi adoptée ce mardi transforme-t-elle le cadre dans lequel peuvent être traitées les données des clients des institutions financières luxembourgeoises ?

Tout d’abord, la nouvelle loi élargit les possibilités d’externalisation, sans accord du client, au Luxembourg, au-delà des PSF de Support et établissements de crédits, aux autres acteurs sous supervision de la CSSF ou du Commissariat aux Assurances. Ensuite, elle permet aussi l’externalisation vers d’autres acteurs non-réglementés par la CSSF (y compris vers des acteurs à l’étranger), moyennant un accord du client de l’institution financière. La démarche du gouvernement vient s’inscrire dans des pratiques qui existaient déjà. Il était déjà communément accepté que des clients d’une institution financière puissent renoncer à l’obligation de secret professionnel de l’institution. Cette pratique fut confirmée par la CSSF dans ses circulaires relatives à l’outsourcing. Ainsi, le traitement des données de ces clients, par exemple, pouvait être externaliser au sein d’un même groupe, à condition notamment que l’outsourcing se fasse dans l’intérêt du client, que celui-ci y avait consenti et que l’institution puisse le justifier. Cette pratique ne trouvait toutefois pas d’ancrage dans la loi. Il y avait donc un flou juridique autour de ces aspects qui est aujourd’hui levé par la nouvelle loi. Celle-ci prévoit maintenant explicitement qu’un outsourcing basé sur l’accord du client constitue une exception au secret bancaire. 

La question du consentement à obtenir était au cœur des discussions autour de ce projet de loi. Qu’en est-il, aujourd’hui, maintenant que la loi a été adoptée ?

En effet, dans le débat, les PSF de Support demandaient à ce que l’accord à obtenir soit formel et explicite, comme la CSSF le requérait jusqu’à présent. Le Conseil d’Etat et la CNPD, invités à émettre un avis sur le projet de loi, penchaient également plus vers un consentement actif à obtenir, en phase avec celui à obtenir dans le cadre du Règlement Général  sur la Protection des Données Personnelles (RGPD). Le lobby des banques, pour sa part, souhaitait profiter d’un accord implicite. Au final, le législateur a choisi de ne pas préciser la nature de l’accord à obtenir. Il laisse de cette manière le soin aux tribunaux de trancher selon les cas. N’oublions que cette législation relève de la juridiction pénale. Chacun doit donc se poser les bonnes questions, et elles sont nombreuses, avant de procéder à une externalisation. Là où il n’y pas de doute, toutefois, c’est sur la nécessité  d’informer le client préalablement sur la nature de l’outsourcing, le type de renseignements transmis et le lieu d’établissement du prestataire de services. On peut aussi se demander si le lieu d’établissement du prestataire correspond au siège social de celui-ci ou aussi aux lieux où les données sont effectivement hébergées. Quelles informations doivent être communiquées dans ce dernier cas de figure ?

Ce consentement est-il facile à obtenir ?

Tout dépend, au final, de la forme du consentement. Le flou est encore présent, je vous l’accorde. Il n’est pas clairement précisé si l’accord doit être explicite ou s’il peut également être implicite. Mais il y a d’autres points problématiques. La question du statut des données des anciens clients, que les institutions sont tenues de conserver, est délicate. En effet, il ne sera pas toujours facile d’obtenir un accord auprès de ces clients. Il faut pouvoir gérer ces aspects. A défaut de ne pouvoir obtenir de consentement de tous les clients, l’une des pistes envisagées réside dans le maintien d’une infrastructure et des systèmes dédiés pour les données des clients existants au Luxembourg, et de profiter des nouvelles opportunités d’outsourcing pour les activités futures.

Au final, quels sont les nouvelles opportunités, pour les institutions bancaires au Luxembourg, avec ce nouveau cadre réglementaire ?

L’évolution de la réglementation en matière d’externalisation tient à l’adoption de ce texte de loi relative au secret professionnel, mais aussi à l’établissement de nouvelles circulaires par le CSSF visant à encadrer l’externalisation des services et le recours à des services cloud. Il faut bien avoir conscience que les circulaires et le texte de loi sont indépendants. Autrement dit, la circulaire cloud n’exempte pas les acteurs de l’obligation de respecter les obligations définies au niveau de la nouvelle loi

Plus généralement, les acteurs qui parviendront à obtenir l’accord du client bénéficieront d’une plus grande flexibilité, en ayant la possibilité de plus facilement consolider leur IT à l’échelle du groupe par exemple, en profitant de services plus accessibles. Il y a tout un nouveau champ de possibilités qui s’ouvre à eux.

L’autre enjeu réside dans l’accueil au Luxembourg de nouveaux acteurs…

Il y a deux volets derrière ce changement législatif. Le premier, déjà évoqué, est de pouvoir offrir plus de flexibilité à diverses institutions financières déjà établies au Luxembourg, sans quoi il devenait de moins en moins intéressant pour d’y maintenir leurs activités. Tout du moins, c’est le message qu’elles faisaient passer. L’autre volet a trait à la possibilité d’accueillir au Luxembourg de acteurs de la FinTech ou d’autres acteurs étrangers dans le domaine de la finance qui désirent accéder au marché unique, dans un contexte de Brexit par exemple, sans avoir à déplacer leur infrastructure ou leur back-office avec eux.

Peut-on s’attendre à des mouvements dans les mois à venir ?

Très certainement. Nous devrions effectivement voir la migration de services vers des prestataires IT étrangers. Des acteurs vont aussi pouvoir profiter de solutions auxquelles ils n’avaient pas accès jusqu’alors. Actuellement, en tant que conseillers juridiques, nous accompagnons des groupes technologiques comme des institutions financières face à ces nouveaux enjeux. Il y a de réelles nouvelles opportunités, pour les clients comme pour les acteurs IT. Rappelons que si la CSSF a facilité l’accès au cloud et, de manière générale à l’outsourcing, elle continue à accorder un rôle important aux PSF de support dans ce contexte. Ces acteurs particuliers ont un rôle clé à jouer dans la transformation des groupes financiers au Luxembourg, dans la mise en place de plateformes IT hétérogènes, répondant à aux nouveaux enjeux réglementaires. En effet, des institutions financières qui ont un recours à un PSF de support continueront à bénéficier d’un traitement réglementaire plus favorable .

Copyright@IT Nation

L’archivage a-t-il de l’avenir ?, Marie-Anne Chabin

Découvrez l’article “L’archivage a-t-il de l’avenir ?”, écrit par Marie-Anne Chabin.

Évidemment la réponse est OUI, l’archivage a de l’avenir parce qu’il n’a jamais été aussi important dans la société et dans les entreprises de veiller sur le devenir des données, de leur création à leur destruction. Et pourtant, l’archivage est loin d’être une évidence pour tous.

L’archivage est un geste fort

L’archivage est ce geste managérial qui conduit à mettre en sécurité les documents ou données qui engagent dans la durée, avec une règle de vie qui pilote leur qualité, leur stockage, leur pérennisation, leur accès et leur destruction un jour, au mieux des intérêts de tous. On disait autrefois « classer aux archives », c’est-à-dire transférer délibérément les documents importants dans un lieu sécurisé, pour s’y référer plus tard, à titre de preuve et de mémoire. Les anglo-saxons parlent de records (les documents enregistrés car dignes d’être enregistrés dans un centre de conservation), et de records management.

Précisions sur les exigences incluses dans la règle de vie :

La qualité des données semble une évidence mais il n’est pas inutile de le répéter : si on archive un document de mauvaise qualité, il ne deviendra jamais un document de bonne qualité. Si le document n’est pas authentique au moment de son archivage (c’est-à-dire dont l’auteur est identifié et sûr et dont la date est certaine), il sera très difficile d’établir a posteriori son authenticité. De même, si un document n’est pas fiable parce que sorti de son contexte, farci de sigles ou de formules inintelligibles, non validé, etc. il sera hasardeux de l’utiliser. Dès lors, pourquoi le conserver ?

Le stockage – qui n’est qu’une composante de l’archivage – renvoie au fait que tout document archivé est conservé physiquement quelque part, qu’il s’agisse d’un rayonnage pour les supports physiques ou d’un disque, un data center pour les fichiers numériques. Comment gérer un objet si on ne contrôle pas sa localisation ? La question est aussi celle de la territorialisation des données, ne serait-ce que par l’exigence du fisc français de conserver sur le territoire français les données qu’il peut être amené à contrôler.

La pérennisation est le corollaire de la durée de conservation : dès que la durée de conservation dépasse un certain nombre d’années, disons 10 ans en moyenne, les supports numériques requièrent des migrations de formats et/ou de supports pour continuer d’être lisibles et exploitables.

L’accès est la finalité même de l’archivage : à quoi bon archiver si ce n’est pas dans la perspective de consulter un jour les documents archivés ? À noter que l’accès à deux volets que sont, d’une part les droits d’accès, les habilitations (à gérer également dans la durée, ce qui est souvent mal fait), d’autre part, les outils qui permettent de retrouver le document précis ou l’information recherchée.

La destruction est le destin de la majorité des documents d’entreprise, au bout de 5, 10, 30 ans ou plus sauf si leur valeur patrimoniale suggère de les conserver parmi les archives historiques (voir sur ce sujet la théorie des quatre quarts des archives historiques).

Mais ce n’est pas tout : pour que ce geste soit toujours efficace, il faut que la démarche concerne l’exhaustivité des documents et données de l’entreprise qui portent une valeur de preuve ou de mémoire. Si des documents qui engagent la responsabilité de l’entreprise ne sont pas gérés (conservés, détruits conformément à l’environnement réglementaire et à ses intérêts), l’entreprise court un risque. Si, à l’inverse, des documents ou des données sont indûment conservés dans l’entreprise (les données personnelles notamment), elle court également le risque d’une utilisation malencontreuse ou tout simplement d’une sanction des autorités pour non-conformité à la loi ou au Règlement général pour la protection des données personnelles.

Donc l’archivage est tout sauf obsolète. Et pourtant, deux courants, pour ne pas dire deux « idéologies », observables actuellement dans la société semblent le menacer. La démarche d’archivage managérial est en effet prise en étau entre deux attitudes néfastes : celle de ceux qui veulent tout mettre dans le cloud et laisser les technologies capturer, diffuser, trier, déréférencer, etc. ; et ceux qui veulent tout collecter pour être trié après par des archivistes (des archives intermédiaires aux archives historiques). Ces deux attitudes extrêmes sont le ferment d’une déresponsabilisation dommageable des entreprises sur leurs écrits, les données qu’elles traitent et les documents qu’elles reçoivent.

Tout conserver, c’est ne rien archiver

Depuis près de trente ans, le développement des technologies numériques instille chez les utilisateurs cette idée que l’on peut tout conserver en informatique et qu’il est ringard de s’occuper d’autre chose que de produire des données selon ses envies et d’accéder à l’information selon ses désirs.

Cette invitation des outils à la paresse et à la négligence des utilisateurs est très séduisante : pourquoi s’embêter et se contraindre à des tâches fastidieuses puisque les technologies permettent aujourd’hui de tout stocker pour quelques euros de plus, de tout retrouver, de tout classer ?

Il y a là un amalgame fâcheux entre la capacité technologique à soulager l’humain dans des tâches fastidieuses ou minutieuses et la responsabilité humaine de constituer une mémoire fiable, cohérente et raisonnée de ses activités, mémoire contrôlée au sein de laquelle cette capacité technologique peut donner le meilleur d’elle-même.

Les outils seront d’autant plus efficaces que les écrits éphémères ou périmés seront éliminés au fur et à mesure de leur péremption. Tout conserver, c’est ne rien archiver. Tout conserver, c’est subir le stockage. Tout conserver, c’est laisser aux outils le soin de gérer – ou de ne pas gérer – les traces humaines.

Cette inféodation à la technologie conduit les individus et les entreprises à abdiquer la responsabilité de définir les règles de vie des documents et des données qui leur appartiennent. C’est un renoncement au droit de chacun à l’archivage conscient et délibéré de ce qui a du sens à être conservé, pour la preuve, pour la conformité ou pour la connaissance.

Et c’est sans compter avec :

  • les exigences légales de protection des données personnelles portées par le Règlement général pour la protection des données personnelles ;
  • les coûts énergétiques de la conservation du rien ou du nul ;
  • l’ambition légitime d’une mémoire (débarrassée de ses scories informationnelles) à transmettre à la génération suivante.

Si tout est archive, il n’y a rien à archiver

Une autre idée s’est incrustée dans les esprits depuis quarante ans, au moins dans le secteur public : « tous les documents naissent archives ».

Cette affirmation pose question. En effet, si les archives sont (au plan linguistique) le fruit de l’archivage de documents, autrement dit la conséquence du classement de ces documents aux archives, cette « génération spontanée » d’archives court-circuite la notion même d’archivage, en tant que geste volontaire et managérial de mise en archive. Si tout est archive, l’archivage n’existe plus.

Cette conception des archives s’appuie sur la définition légale française des archives, apparue en 1979 dans la loi sur les archives (3 janvier 1979) et inscrite depuis, légèrement modifiée, dans le code du patrimoine, art. L211-1. Le texte dit : « Les archives sont l’ensemble des documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité ».

La formulation laisse une place à l’interprétation. En effet, « dans l’exercice de leur activité » peut être vu comme restrictif et viser les documents officiellement produits au titre de l’activité ; l’expression peut aussi être considérée comme un simple périmètre géographique et temporel de production : tout brouillon produit au sein d’un organisme public ou par un des collaborateurs de cet organisme est un document d’archives publiques, même s’il n’a jamais été validé ni diffusé.

Les prises de positions du Service Interministériel des Archives de France (SIAF) de ces dernières années optent clairement pour la seconde acception. Et sur ce plan, le secteur public influence en partie de le secteur privé ou parapublic.

Dire que tout est archive, cependant, ne signifie pas qu’il faut tout conserver. Les archivistes sont les premiers à dire que toutes les archives ne doivent pas être conservées et leur mission consiste en bonne part en la mise en œuvre des circulaires de tri diffusées par l’administration des Archives ou élaborées dans leurs organismes respectifs. La nuance est que la sélection est faite par les archivistes et que les services producteurs et propriétaires des documents et données produits ou reçus sont en quelque sorte dépossédés de la responsabilité d’archiver qu’ils avaient autrefois, avant cette loi ou avant son interprétation si étroite.

Cette position exclusivement archivistique ignore l’archivage en tant que tel, en tant que sélection motivée des documents à conserver par le propriétaire, et ce au nom du droit de regard des archivistes sur toute production documentaire, au cas où il y aurait quelques traces modestes, non essentielles pour l’organisme producteur mais potentiellement éclairantes pour l’histoire de cet organisme ou l’histoire de l’époque.

L’holoarchivisme n’est pas le seul moyen de conjurer cette crainte de rater un document croquignolet ou symbolique dans la constitution du patrimoine archivistique d’une collectivité publique. Il est possible de préserver la collecte éclairée d’archives non essentielles à la vie du service tout en laissant à chaque entité juridique la responsabilité de gérer sa production documentaire en fonction de ses obligations et des risques externes et internes à conserver ou à détruire. Ce moyen est d’appliquer la collecte en suivant la théorie des quatre quarts des archives historiques qui dissocie la collecte des archives historiques provenant des documents archivés au nom de l’organisme (gestion du cycle de vie des documents engageants) et la collecte des archives historiques complémentaire via une prospection active de l’archiviste auprès des acteurs de la collectivité auprès de laquelle il exerce son métier, tout comme un bibliothécaire ou un conservateur de musée repère et acquiert les objets susceptibles d’enrichir ses collections. Cette distinction serait même vertueuse pour l’historien car la provenance serait plus explicite et mieux documentée.

Défense et illustration de l’archivage managérial

Entre la tendance « user centric » des nouveaux outils proposés aux entreprises (l’utilisateur est en relation directe avec le cloud comme si l’information n’appartenait qu’à celui qui la manipule) et la tendance archivistico-historique du tout archive, les dirigeants d’entreprise peuvent se sentir confortés dans leur ignorance de l’archivage et dans leur négligence du devenir des données.

Or, de déresponsabilisation à irresponsabilité, il n’y a qu’un pas.

Il y a donc lieu, encore et toujours, de les alerter sur les enjeux du non-archivage et sur la nécessité d’élaborer des règles de création-conservation-destruction des données dans leur entreprise car ces données sont des actifs informationnels dont l’entreprise est comptable (accountable) devant ses actionnaires et devant les autorités. Ces dirigeants doivent intégrer une démarche d’archivage managérial dans le cadre d’une politique globale de gouvernance de l’information, avec les concepts managériaux de proportionnalité et de raisonnabilité.

Espérons que le Règlement général pour la protection des données personnelles fera avancer les choses (voir la table ronde du CR2PA sur ce sujet).

En effet, l’exigence impérative de documentation des processus et de fixation de durées de conservation des données personnelles va s’imposer à tous dès le printemps prochain. Qu’elles se trouvent dans des bases de données ou dans des documents, les données personnelles devront être gérées de près, qualifiées en regard des activités réelles de l’entreprise, stockées dans des lieux contrôlés, accédées selon des droits justifiés, sorties ou maintenues dans l’entreprise en application de règles motivées.

Pourquoi les dirigeants n’en profiteraient-ils pas pour étendre la démarche à tout type de données au moyen d’une politique globale d’archivage managérial. Les entreprises y gagneront en investissement et en crédibilité.”

Copyright@Marie-Anne Chabin

“GDPR : CYBERMANAGER MESURE RÉSILIENCE ET MATURITÉ EN 360 QUESTIONS”, Soluxions Magazine

Découvrez l’article publié par Soluxions Magazine, sur l’événement GDPR d’UBCOM et Labgroup, le 25/01/2018

LABGROUP PROPOSE CYBERMANAGER, SOLUTION DU SUISSE UBCOM, POUR ÉVALUER EN CINQ HEURES LA MATURITÉ ET LA RÉSILIENCE D’UNE ORGANISATION ET SES SYSTÈMES D’INFORMATION FACE AUX CYBER-RISQUES ET AUX CONTRAINTES GDPR.

L’échéance approche. Le 25 mai prochain, le nouveau règlement européen sur la protection des données personnelles entrera en application. Si l’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique, on sait d’ores et déjà que peu d’organisations -en particulier les TPE et PME- seront prêtes. Un projet jugé souvent trop vaste, trop lourd. Quant aux organisations plus importantes, elles ne sont pas nécessairement logées à meilleure enseigne.

«Avec CyberManager, nous proposons un outil d’assessment permettant aux responsables d’entreprise d’évaluer en cinq heures le niveau de maturité et la résilience de leur organisation et ses systèmes d’information face aux cyber-risques et aux contraintes GDPR. Pour nous, la GDPR n’est pas la finalité. Mais un moyen de renforcer la confiance digitale, laquelle est désormais nécessaire pour générer de la croissance. Elle induit donc une politique de protection et, par conséquent, de gouvernance», explique Frans Imbert-Vier, CEO, Ubcom.

Il s’agit donc de transformer ce qui peut apparaitre comme une contrainte en opportunité. «Ce règlement est un momentum, une étape positive permettant d’améliorer l’équilibre de la confidentialité et la protection des données entre les particuliers et les entreprises, ainsi que les pratiques de gestion des données et la sécurité globale pour toutes les parties concernées», analyse Jean Racine, Chief Business Development Officer, Labgroup.

PAS UN PROJET «ONE-SHOT» AVEC UNE FIN -MAI 2018

La GDPR, en tant que règlement, est d’application plus générale que les différents standards connus dans le monde de la sécurité et nécessite une approche multidimensionnelle. Préliminaire, un état des lieux. Une entreprise part rarement, si ce n’est jamais, de zéro, et peut généralement capitaliser sur ses réalisations passées et projets en cours . De même, ce n’est pas un projet «one-shot» avec une fin -mai 2018- mais une opportunité de se doter d’une vision duale stratégique et opérationnelle de la sécurité. Techniquement parlant, la conformité GDPR passe d’abord par la découverte et la classification de ses données sensibles : Quelles sont mes données sensibles ? Où sont-elles ? Sont-elles protégées ? Comment sont-elles protégées ?  Qui y accède ? De là, la nécessité d’avoir une bonne vision du système d’information dans sa globalité, d’évaluer son niveau de maturité et sa résilience. C’est le fondement de CyberManager, solution d’analyse d’écart basée sur les plus grands référentiels tels que ISO, COBIT 5, ISACA, Sarbannes-Oxley et UBcyber… Pour Ubcom, la GDPR n’est rien d’autre qu’un marqueur de confiance pour les entreprises conformes, un marqueur de plus. CyberManager permet de l’évaluer en cinq heures à travers un questionnaire de 360 questions à parcourir avec -impérativement- tout le comité exécutif de l’organisation.

Trop souvent, regrette Frans Imbert-Vier, on présente la GDPR dans sa seule dimension légale, une vision à tout le moins réductrice. Pour nous, experts de la sécurité, il s’agit d’un projet pluridisciplinaire, dont la mise en œuvre doit revenir au CIO aidé du DPO (Data Protection Officer). «Le risque, sinon, serait de passer à côté de nombreuses dispositions techniques, ne serait-ce qu’au niveau des sauvegardes… Avec notre questionnaire d’évaluation, nous mesurons votre maturité relative au respect du cadre juridique, mais aussi de la gouvernance générale en rapport avec les règles de la GDPR, du social engineering et, enfin, de la conformité technique et opérationnelle pour opérer une donnée relevant du nouveau règlement.»

LA GDPR, UN PROJET DE RÉSILIENCE PUBLIQUE, UN ENJEU DÉMOCRATIQUE

Aujourd’hui, dans la perspective du 25 mai, il faut un cadre, un plan d’action. CyberManager y répond, au départ d’une photo de l’existant. «Mais dites-vous bien que la GDPR est un projet en devenir, que nous n’en sommes qu’au début, estime encore Frans Imbert-Vier. L’Europe, je pense, pourrait suivre l’exemple de la Suisse en matière de chiffrement des données… Ne perdez pas de vue que la GDPR est un projet de résilience publique, un enjeu démocratique. Ensuite, mais ensuite seulement, la GDPR constitue une opportunité pour les organisations de mieux analyser leur exposition aux risques et faire de la conformité au texte un avantage concurrentiel en augmentant le niveau de confiance de ses salariés, clients et partenaires.»

Labgroup est aujourd’hui le premier prestataire indépendant à proposer un assessment via CyberManager. Si le questionnaire est adapté à la conformité GDPR, la démarche doit être vue de façon plus globale : une évaluation du niveau réel de maturité de l’organisation en termes de gouvernance de l’information et de sa résilience. «Et si ça peut parfois faire mal, conclut Jean Racine, dites-vous bien que nous ne sommes pas là pour casser l’organisation à travers un jugement, mais pour la faire progresser via un ensemble d’indicateurs appelés à créer de la valeur.»

La prestation de Labgroup est proposée à un prix forfaitaire particulièrement attractif; celle-ci comprend la préparation du workshop, la réalisation avec deux consultants seniors, le rapport de synthèse et un dernier rapport de restitution.

Copyright @Soluxions Magazine

Auteur : Alain De Fooz

Evénement sur la protection des données – Labgroup et UBCOM présentent “Cybermanager”

Jean Racine, CBDO chez Labgroup

Labgroup a organisé, jeudi, le 25 janvier 2018, une conférence privée avec son partenaire UBCOM (www.ubcom.lu) dans les locaux de l’Hôtel Légère à Munsbach. Au programme de cette matinée était une présentation des deux partenaires stratégiques sur le thème :

« Comment évaluer sa conformité à la GDPR ».  

La complémentarité de la société luxembourgeoise Labgroup – expert de la gestion du cycle de vie de l’information depuis 40 ans – avec UBCOM, expert de la cybersécurité, a permis de développer une offre en très peu de temps, pour permettre à tout type d’organisation de connaître sa vraie situation en matière de protection des données et face à la GDPR.

Le règlement général sur la protection des données (RGPD, GDPR en anglais) entrera en application le 25 mai prochain.

Quatre mois avant son entrée en vigueur, Labgroup et UBCOM ont invité les participants à découvrir, au-delà de la simple théorie, un outil d’analyse.

La solution d’analyse d’écart, basée sur les plus grands référentiels tels que ISO, COBIT 5, ISACA, Sarbannes-Oxley et UBcyber, permet d’évaluer la maturité de l’organisation et des systèmes d’information au regard de la montée de la cybercriminalité et des contraintes GDPR, et ce, en cinq heures seulement !

Rapide, simple, efficace, l’outil « CyberManager » met fin à la complexification / mythification de la fameuse loi GDPR, qui n’est, selon UBCOM et Labgroup, que la « pointe de l’iceberg » quand on parle de la sécurité de l’information.

Frans Imbert-Vier, CEO, UBCOM

La finalité de cet outil est – au-delà de la conformité GDPR – d’accompagner les clients dans une politique de protection et de confiance digitale via l’implémentation (stratégique et opérationnelle) des bonnes pratiques de gestion des données et de la sécurité globale.

Les participants ont montré un grand intérêt envers ce sujet d’actualité et ont pu avoir une première impression de l’offre par le biais d’une présentation du questionnaire de 360 questions.

Un nouveau « challenge » pour les organisations, qui, si bien géré, peut être source de nouvelles opportunités.

Dans le cadre de ce nouveau partenariat, Labgroup et UBCOM proposent aux organisations une offre promotionnelle* incluant la préparation du workshop, sa réalisation en présence de deux consultants, le rapport de synthèse et une réunion de restitution.

 

 

*sous condition d’une conclusion d’un accord commercial formel avant le 28 février 2018.

Lëtzebuerger Journal – Un processus bien rodé – Labgroup est la première entreprise certifiée PSDC au Luxembourg

Article dans le Lëtzebuerger Journal sur Labgroup, première entreprise certifiée PSDC au Luxembourg avec Jean Racine, CBDO et Alain Bréant COO chez Labgroup. 

Location, Archives, Bureau: voilà l’acronyme déchiffré de Labgroup qui, dès ses débuts en 1977, a traité des archives. 40 ans plus tard, la société basée à Contern arbore fièrement son label Prestataire de Services de Dématérialisation ou de Conservation. “Le PSDC a une valeur ajoutée que les non-PSDC n’ont pas”, assure le “Chief business development officer”, Jean Racine. Et pour cause: la copie étant conforme à l’original, ce dernier n’a plus de raison d’être détruit, ce qui n’est pas le cas chez les prestataires dépourvus du label.

Pour consulter l’article complet, veuillez cliquer ici.

Copyright@Lëtzebuerger Journal 2017

Auteur : Catherine Kurzawa

 

CNPD: vidéos animées sur le futur règlement européen en matière de protection des données

Dans le cadre de la Journée de la protection des données, qui a eu lieu le 28 janvier 2017, la Commission Nationale pour la Protection des Données (CNPD) a publié trois vidéos animées sur le futur règlement européen en matière de protection des données.

Le 28 janvier était la « Journée de la protection des données ». Le but de cette journée est de sensibiliser les citoyens sur l’importance de la protection de leurs données personnelles et du respect de leurs libertés et droits fondamentaux, en particulier de leur vie privée. C’est la date de l’ouverture à la signature de la « Convention 108 » du Conseil de l’Europe (28 janvier 1981). Cette dernière a été le premier instrument international juridiquement contraignant en la matière. Depuis plus de 35 ans, la convention vise à protéger toute personne contre l’utilisation abusive des données qui la concernent et à assurer la transparence quant aux fichiers et traitements des données personnelles.

Tenir compte de la globalisation et de l’émergence de nouvelles technologies, qui ont repoussé les limites traditionnelles qui modéraient la disponibilité de données sur notre personnalité, notre entourage et nos habitudes de vie,  un nouveau règlement général sur la protection des données a été établi et sera, à partir du 25 mai 2018, applicable à tous les acteurs intervenant sur le territoire de l’Union européenne. Les nouvelles règles consistent à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises tout en réduisant leurs charges déclaratives et à renforcer le rôle des autorités de protection des données tel que la CNPD.

Veuillez découvrir les vidéos sur le site de la CNPD:

@Copyright CNPD 2017

Découvrez l’article de Alain De Fooz sur la General Data Protection Regulation (GDPR) :

Bonjour à tous!
Aujourd’hui Labgroup vous propose de découvrir l’article de Alain De Fooz sur le General Data Protection Regulation (GDPR).
Cet article publié par Soluxions Magazine vous guidera dans le monde des data.  ”N’attendez pas :vérifiez si vos politiques et règles de traitement et de protection de données sont conformes à la nouvelle loi. A la clé, d’importants changements. Mieux,donc, vaut anticiper.”
Bonne lecture !