28 Janvier 2023 - Guides

Aqua Ray protège vos données

La protection des données est un sujet majeur guidé par le Règlement Général de la Protection des Données (RGPD). En cette journée européenne de la protection des données, il nous a paru nécessaire de revenir sur les fondements de base de cette réglementation. Nous avons sollicité notre DPO : Jonathan KOGAN afin de répondre à quelques questions sur le sujet.

La protection des données est un sujet majeur guidé par le Règlement Général de la Protection des Données (RGPD). En cette journée européenne de la protection des données, il nous a paru nécessaire de revenir sur les fondements de base de cette réglementation. Nous avons sollicité notre DPO : Jonathan KOGAN afin de répondre à quelques questions sur le sujet.

Jonathan est un ancien directeur juridique et DRH ainsi que le fondateur d’Ad&Juris Innov, une société spécialisée dans l’externalisation des enjeux juridiques (tels que la gestion des contrats, les ressources humaines, les recouvrements et la conformité RGPD pour les entreprises). Il est spécialisé dans le RGPD en tant que DPO (Data Protection Officer) certifié auprès de Bureau Veritas. Aqua Ray fait appel à ses services depuis le début de l'année.

Jonathan est un ancien directeur juridique et DRH ainsi que le fondateur d’Ad&Juris Innov, une société spécialisée dans l’externalisation des enjeux juridiques (tels que la gestion des contrats, les ressources humaines, les recouvrements et la conformité RGPD pour les entreprises). Il est spécialisé dans le RGPD en tant que DPO (Data Protection Officer) certifié auprès de Bureau Veritas. Aqua Ray fait appel à ses services depuis le début de l'année.

Interview

Quel est le rôle d’un DPO ?

« Dans le texte, un DPO est la personne qui va s’assurer de la mise en conformité d’une entreprise publique ou privée. C’est la personne qui va être l’interlocuteur de la CNIL en cas de contrôle et qui va être le point de contact pour les demandes externes. Si je prends le cas d’Aqua Ray lorsqu’un collaborateur, utilisateur final, client, prospect fait une demande d’exercice de droit, le DPO répondra à cette demande.

« Dans le texte, un DPO est la personne qui va s’assurer de la mise en conformité d’une entreprise publique ou privée. C’est la personne qui va être l’interlocuteur de la CNIL en cas de contrôle et qui va être le point de contact pour les demandes externes. Si je prends le cas d’Aqua Ray lorsqu’un collaborateur, utilisateur final, client, prospect fait une demande d’exercice de droit, le DPO répondra à cette demande.

En tant que DPO externe, mon rôle principal est d'expliquer aux entreprises ce qu'est le RGPD, leurs obligations en vertu de celui-ci et son fonctionnement. Je suis également là pour rassurer les entreprises qui peuvent se sentir dépassées ou incertaines face à la nouvelle législation, les guider et les soutenir tout au long du processus. L'objectif final du RGPD est de protéger les droits à la vie privée des individus.

En tant que DPO externe, mon rôle principal est d'expliquer aux entreprises ce qu'est le RGPD, leurs obligations en vertu de celui-ci et son fonctionnement. Je suis également là pour rassurer les entreprises qui peuvent se sentir dépassées ou incertaines face à la nouvelle législation, les guider et les soutenir tout au long du processus. L'objectif final du RGPD est de protéger les droits à la vie privée des individus.

Les missions d’un DPO au quotidien vont être :

Les missions d’un DPO au quotidien vont être :

  • les audits ;
  • la rédaction de la documentation obligatoire de conformité ;
  • la mise en place de processus, procédures et politiques pour la sécurisation des données ;
  • la sensibilisation et formation des équipes ;
  • répondre à la CNIL en cas de contrôle. »

Dans quel cas une entreprise doit se doter d’un DPO ?

« Il existe trois cas différents :

« Il existe trois cas différents :

  • S’il s’agit d’une entreprise ou un établissement public (un DPO est obligatoire).

S’il s’agit d’une entreprise privée, il y a deux cas de figure :

S’il s’agit d’une entreprise privée, il y a deux cas de figure :

  • Si les activités principales de l'organisation impliquent un suivi régulier et systématique des personnes à grande échelle.
  • Si le responsable de traitement qui est souvent la personne morale et donc l’entreprise collecte et traite à grande échelle des catégories particulières de données personnelles, telles que des données sensibles. »

À quoi correspondent les données à caractère personnel et pourquoi il est important de les protéger ?

« Une donnée à caractère personnelle, c’est toute information directe ou indirecte qui permet d’identifier une personne :

« Une donnée à caractère personnelle, c’est toute information directe ou indirecte qui permet d’identifier une personne :

  • Les données d’identifications (nom, prénom, adresse, numéro de téléphone).
  • Les données économiques et financières (RIB, le bulletin de paie).
  • Le numéro de sécurité social (qui est un peu à part).
  • Les données de connexion, de localisation et les données sensibles (santé, orientation sexuelle, conviction religieuse, opinion politique, etc.).

La liste est vraiment exhaustive. Une donnée seule ne va pas parfois permettre d’identifier une personne. Par exemple un prénom (plusieurs personnes peuvent avoir le même), mais si on le croise avec un nom de famille ça devient plus précis et un individu devient identifiable.

La liste est vraiment exhaustive. Une donnée seule ne va pas parfois permettre d’identifier une personne. Par exemple un prénom (plusieurs personnes peuvent avoir le même), mais si on le croise avec un nom de famille ça devient plus précis et un individu devient identifiable.

Il y a déjà eu plusieurs scandales liés à l’utilisation des données, comme la vente ou la collecte de données illégales. Le RGPD est important, c’est une réglementation qui est compliquée, mais qui permet de protéger la vie privée et avoir du consentement quand on va sur un site, pour ne pas être suivi à la trace si on n’en a pas envie. »

Il y a déjà eu plusieurs scandales liés à l’utilisation des données, comme la vente ou la collecte de données illégales. Le RGPD est important, c’est une réglementation qui est compliquée, mais qui permet de protéger la vie privée et avoir du consentement quand on va sur un site, pour ne pas être suivi à la trace si on n’en a pas envie. »

En pratique, comment s’exerce la protection des données ?

« Il existe une documentation obligatoire requise en vertu du RGPD qui comprend :

« Il existe une documentation obligatoire requise en vertu du RGPD qui comprend :

  • des registres qui fournissent des informations sur toutes les activités de traitement de données au sein d'une entreprise ;
  • les procédures et les politiques qui sont obligatoires ou fortement recommandées.

Cette documentation, ces procédures et ces politiques, ainsi que les mesures de sécurité et la formation des employés sont importantes pour démontrer la conformité au RGPD en cas de contrôle par la CNIL.

Cette documentation, ces procédures et ces politiques, ainsi que les mesures de sécurité et la formation des employés sont importantes pour démontrer la conformité au RGPD en cas de contrôle par la CNIL.

Par exemple, en cas de violation de données ou défaillance de sécurité, que se passe-t-il ? Qui fait quoi dans l’entreprise ? Sachant que s’il y a une faille de sécurité dans l’entreprise, elle a 72 heures pour la déclarer à la CNIL. Il y a aussi l’importance capitale d’avoir beaucoup de mesures de sécurité. Que ce soit le contrôle des accès, ou qui a connaissance des informations sensibles ? Il y a aussi une partie formation et sensibilisation, on accompagne les clients dans la pratique. Parfois je fais juste des missions de formation et dans d’autres cas, j’interviens sur un sujet problématique en particulier. »

Par exemple, en cas de violation de données ou défaillance de sécurité, que se passe-t-il ? Qui fait quoi dans l’entreprise ? Sachant que s’il y a une faille de sécurité dans l’entreprise, elle a 72 heures pour la déclarer à la CNIL. Il y a aussi l’importance capitale d’avoir beaucoup de mesures de sécurité. Que ce soit le contrôle des accès, ou qui a connaissance des informations sensibles ? Il y a aussi une partie formation et sensibilisation, on accompagne les clients dans la pratique. Parfois je fais juste des missions de formation et dans d’autres cas, j’interviens sur un sujet problématique en particulier. »

Quelles sont les obligations encore mal connues des entreprises en ce qui concerne la gestion des données collectées ?

« Je pense que les entreprises ont du mal à comprendre comment sécuriser correctement les données ou manquent simplement de ressources ou de connaissances pour le faire. L'exigence de documentation n'est souvent pas comprise par les entreprises, et beaucoup ne savent pas quoi faire des données qu'elles collectent. Les entreprises ont également tendance à conserver les données plus longtemps que nécessaire, alors qu’il y a un principe fondateur du RGPD qui est la limitation de la conservation.

« Je pense que les entreprises ont du mal à comprendre comment sécuriser correctement les données ou manquent simplement de ressources ou de connaissances pour le faire. L'exigence de documentation n'est souvent pas comprise par les entreprises, et beaucoup ne savent pas quoi faire des données qu'elles collectent. Les entreprises ont également tendance à conserver les données plus longtemps que nécessaire, alors qu’il y a un principe fondateur du RGPD qui est la limitation de la conservation.

Ce manque de compréhension et de connaissance du RGPD, même 5 ans après sa mise en œuvre, est un problème. Chez Ad&Juris Innov, nous essayons de rendre le RGPD plus accessible aux entreprises et de réduire les coûts associés à la conformité. »

Ce manque de compréhension et de connaissance du RGPD, même 5 ans après sa mise en œuvre, est un problème. Chez Ad&Juris Innov, nous essayons de rendre le RGPD plus accessible aux entreprises et de réduire les coûts associés à la conformité. »

Quelles peuvent être les sanctions envers les entreprises qui ne respectent pas les obligations RGPD ?

« Il existe deux types de sanctions pécuniaires imposées par la CNIL en cas de non-conformité au RGPD :

« Il existe deux types de sanctions pécuniaires imposées par la CNIL en cas de non-conformité au RGPD :

  • 2 % du chiffre d'affaires annuel mondial du groupe ou 10 millions d'euros,
  • 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros.

Le choix entre les deux varie selon le manquement. La différence entre le pourcentage et le chiffre se fait en fonction de ce qui sera le plus lourd pour le fautif. J’insiste sur le fait que pour l’instant, la CNIL a pour objectif principal d'aider, d'éduquer et de familiariser les entreprises au RGPD plutôt que de les contrôler et de les sanctionner. Lorsqu'il y a des manquements, il y a des mises en demeure et des injonctions qui sont faites avant de passer à des sanctions.

Le choix entre les deux varie selon le manquement. La différence entre le pourcentage et le chiffre se fait en fonction de ce qui sera le plus lourd pour le fautif. J’insiste sur le fait que pour l’instant, la CNIL a pour objectif principal d'aider, d'éduquer et de familiariser les entreprises au RGPD plutôt que de les contrôler et de les sanctionner. Lorsqu'il y a des manquements, il y a des mises en demeure et des injonctions qui sont faites avant de passer à des sanctions.

Les GAFAM se font beaucoup sanctionner en ce moment. Cela s’explique parce que les enjeux de la conformité ne sont pas les mêmes.

Les GAFAM se font beaucoup sanctionner en ce moment. Cela s’explique parce que les enjeux de la conformité ne sont pas les mêmes.

En plus de ces deux sanctions, il y en a pour moi une troisième : la réputation. La CNIL s’est beaucoup développée sur les réseaux ces dernières années. Certaines mises en demeure et sanctions peuvent être rendues publiques ce qui a un impact conséquent sur la réputation du responsable de traitement visé par la publication. Pour information, la CNIL a plus de 183 000 abonnés sur LinkedIn. »

En plus de ces deux sanctions, il y en a pour moi une troisième : la réputation. La CNIL s’est beaucoup développée sur les réseaux ces dernières années. Certaines mises en demeure et sanctions peuvent être rendues publiques ce qui a un impact conséquent sur la réputation du responsable de traitement visé par la publication. Pour information, la CNIL a plus de 183 000 abonnés sur LinkedIn. »

Quels sont les devoirs d’un hébergeur comme Aqua Ray qui agit en tant que sous-traitant sur des données personnelles collectées par ses clients ?

« En tant que sous-traitant, Aqua Ray a des obligations vis-à-vis de ce qu’on appelle le responsable de traitement (l’entreprise qui va donner l’ordre). Le RGPD demande à ce que les relations soient contractualisées. Dans les contrats, il doit être défini les obligations du sous-traitant et du responsable de traitement. Dans le cadre de cette question les devoirs d’un hébergeur, ce sont surtout les mesures de sécurité, répondre à la question “comment est sécurisé l’hébergement ?”. La sécurisation des données est devenue un vrai enjeu ces derniers temps notamment avec l’augmentation des cyberattaques. C’est pour ça qu’on voit de plus en plus de profils de DPO qui viennent de métiers en rapport avec les systèmes d’information. Alors qu’avant on était majoritairement des profils juridiques.

« En tant que sous-traitant, Aqua Ray a des obligations vis-à-vis de ce qu’on appelle le responsable de traitement (l’entreprise qui va donner l’ordre). Le RGPD demande à ce que les relations soient contractualisées. Dans les contrats, il doit être défini les obligations du sous-traitant et du responsable de traitement. Dans le cadre de cette question les devoirs d’un hébergeur, ce sont surtout les mesures de sécurité, répondre à la question “comment est sécurisé l’hébergement ?”. La sécurisation des données est devenue un vrai enjeu ces derniers temps notamment avec l’augmentation des cyberattaques. C’est pour ça qu’on voit de plus en plus de profils de DPO qui viennent de métiers en rapport avec les systèmes d’information. Alors qu’avant on était majoritairement des profils juridiques.

Ensuite, il y a la question d’où sont hébergées les données. Il y a un vrai sujet dans les négociations de contrat notamment les contrats SaaS qui est de savoir où sont hébergées les données. Si on prend l’exemple des États-Unis, jusqu’en 2020, le Privacy Shield était en vigueur. Il permettait de faire héberger des données européennes aux États-Unis sans aucun problème. Finalement, selon la Cour européenne, ce Privacy Shield n’était pas conforme au RGPD donc l’accord a été cassé. Ça pose des problèmes par exemple avec Google analytics et Microsoft, car ce sont des outils utilisés par une majorité de personnes. L’accord a été repris, mais la question c’est : est-ce qu’il va durer ? D’autant plus qu’aux États-Unis, il y a le Cloud Act de 2018 qui autorise le gouvernement américain à vérifier les centres de données situés sur le sol américain ou les centres de données d’hébergeur de nationalité américaine et basés dans n'importe quel autre pays.

Ensuite, il y a la question d’où sont hébergées les données. Il y a un vrai sujet dans les négociations de contrat notamment les contrats SaaS qui est de savoir où sont hébergées les données. Si on prend l’exemple des États-Unis, jusqu’en 2020, le Privacy Shield était en vigueur. Il permettait de faire héberger des données européennes aux États-Unis sans aucun problème. Finalement, selon la Cour européenne, ce Privacy Shield n’était pas conforme au RGPD donc l’accord a été cassé. Ça pose des problèmes par exemple avec Google analytics et Microsoft, car ce sont des outils utilisés par une majorité de personnes. L’accord a été repris, mais la question c’est : est-ce qu’il va durer ? D’autant plus qu’aux États-Unis, il y a le Cloud Act de 2018 qui autorise le gouvernement américain à vérifier les centres de données situés sur le sol américain ou les centres de données d’hébergeur de nationalité américaine et basés dans n'importe quel autre pays.

Il y a encore pas longtemps cette question est passée inaperçue, ce n’est que maintenant que les entreprises commencent à se demander où sont hébergées leurs données. Pour Aqua Ray, pouvoir dire que l’hébergement qu’elle propose est français, c’est un vrai plus. »

Il y a encore pas longtemps cette question est passée inaperçue, ce n’est que maintenant que les entreprises commencent à se demander où sont hébergées leurs données. Pour Aqua Ray, pouvoir dire que l’hébergement qu’elle propose est français, c’est un vrai plus. »

D’après ton expérience quels sont les enjeux les plus complexes ? Est-ce qu’il y a des directives au sein du RGPD qui se heurtent à la réalité du terrain ?

« Il y a la partie sécurité qui est un vrai enjeu. Avec l’arrivée du télétravail, les cyberattaques ont énormément augmenté. Environ 54 % des entreprises ont déjà subi une cyberattaque, donc une entreprise sur deux. Si un site sur lequel vous faites des achats se fait pirater, les attaquants peuvent récupérer vos références bancaires et ça va très vite. La sécurité, pour moi, c’est l’enjeu qui est le plus d’actualité.

« Il y a la partie sécurité qui est un vrai enjeu. Avec l’arrivée du télétravail, les cyberattaques ont énormément augmenté. Environ 54 % des entreprises ont déjà subi une cyberattaque, donc une entreprise sur deux. Si un site sur lequel vous faites des achats se fait pirater, les attaquants peuvent récupérer vos références bancaires et ça va très vite. La sécurité, pour moi, c’est l’enjeu qui est le plus d’actualité.

Après oui, il y a une réalité du terrain. Le RGPD a été rédigé par le G29 (29 pays membres de l’Europe). Il est très important, car il nous permet d’avoir un poids vis-à-vis des États-Unis, de la Chine ou autre. Par contre le texte est le même pour tout type d’entreprise et ça pose un déséquilibre. Entre une entreprise du CAC 40 et une PME qui représente 95 % du tissu des entreprises en France, je trouve que l’enjeu de la mise en conformité n’est pas le même. La CNIL ne va pas les sanctionner de la même manière, mais l’enjeu ou les délais ne devraient pas être les mêmes.

Après oui, il y a une réalité du terrain. Le RGPD a été rédigé par le G29 (29 pays membres de l’Europe). Il est très important, car il nous permet d’avoir un poids vis-à-vis des États-Unis, de la Chine ou autre. Par contre le texte est le même pour tout type d’entreprise et ça pose un déséquilibre. Entre une entreprise du CAC 40 et une PME qui représente 95 % du tissu des entreprises en France, je trouve que l’enjeu de la mise en conformité n’est pas le même. La CNIL ne va pas les sanctionner de la même manière, mais l’enjeu ou les délais ne devraient pas être les mêmes.

En plus, les entreprises qui n’ont pas les ressources financières prendront énormément de temps à devenir conforme voire ne le seront jamais. Pour l’instant, 50 % des entreprises ont commencé à prendre le sujet au sérieux et ça fait presque 5 ans depuis la mise en place du RGPD. Pour les 50 % restantes, on ne sait même pas si elles ont l'intention de commencer la démarche. »

En plus, les entreprises qui n’ont pas les ressources financières prendront énormément de temps à devenir conforme voire ne le seront jamais. Pour l’instant, 50 % des entreprises ont commencé à prendre le sujet au sérieux et ça fait presque 5 ans depuis la mise en place du RGPD. Pour les 50 % restantes, on ne sait même pas si elles ont l'intention de commencer la démarche. »

Aqua Ray se positionne comme un acteur de référence en matière d’hébergement sécurisé et de protection des données sensibles. Nos infrastructures reposent sur un data center dont le design a été certifié Tier IV, c'est-à-dire conçu dans le respect du cahier des charges le plus exigeant en matière de fiabilité et de tolérance à la panne.

Aqua Ray se positionne comme un acteur de référence en matière d’hébergement sécurisé et de protection des données sensibles. Nos infrastructures reposent sur un data center dont le design a été certifié Tier IV, c'est-à-dire conçu dans le respect du cahier des charges le plus exigeant en matière de fiabilité et de tolérance à la panne.

Notre politique interne de sécurité repose sur des principes ambitieux tels que l’application de la norme ISO27001, le recours au zéro papier, l’intégration verticale de toute notre chaîne de production et le recours quasi-exclusif aux logiciels libres maintenus au sein de l’Union européenne.

Notre politique interne de sécurité repose sur des principes ambitieux tels que l’application de la norme ISO27001, le recours au zéro papier, l’intégration verticale de toute notre chaîne de production et le recours quasi-exclusif aux logiciels libres maintenus au sein de l’Union européenne.

Choisir une solution Aqua Ray comme notre offre de Cloud Privé Sécurisé certifié pour l’Hébergement de Données de Santé, c’est donc non seulement la garantie d’un socle d’infrastructure compatible avec les exigences du RGPD, mais c’est également le meilleur moyen de protéger ses usagers contre la menace cyber.

Choisir une solution Aqua Ray comme notre offre de Cloud Privé Sécurisé certifié pour l’Hébergement de Données de Santé, c’est donc non seulement la garantie d’un socle d’infrastructure compatible avec les exigences du RGPD, mais c’est également le meilleur moyen de protéger ses usagers contre la menace cyber.

Contactez-nous

Contactez-nous

Vous avez une question ? Un doute ? Une demande particulière ? N'hésitez pas à nous contacter en cliquant sur le bouton ci-dessus, nous vous répondrons dans les meilleurs délais.

Vous avez une question ? Un doute ? Une demande particulière ? N'hésitez pas à nous contacter en cliquant sur le bouton ci-dessus, nous vous répondrons dans les meilleurs délais.

Vous aimez cet article ? Vous pourriez aimer

27
Mars

Pourquoi choisir Aqua Ray pour l’hébergement des données de santé (HDS) ?

Guides

Aqua Ray propose des solutions d'hébergement Web sécurisées et performantes, offrant aux entreprises du secteur de la santé une alternative fiable pour la gestion de leurs données sensibles. Grâce à ses infrastructures localisées en France et ses certifications ISO 27001 et HDS, Aqua Ray garantit la conformité aux normes les plus strictes en matière de sécurité des données de santé.

Lire la suite
11
Mars

Hébergement des données de santé : optez pour le Cloud Privé Sécurisé

Guides

Certifiée HDS et disposant de plus de 20 ans d’expérience, Aqua Ray vous propose de mettre en place une solution de cloud privé pour l’hébergement sécurisé de vos données de santé.

Lire la suite
27
Mars

Pourquoi choisir Aqua Ray pour l’hébergement des données de santé (HDS) ?

Guides

Aqua Ray propose des solutions d'hébergement Web sécurisées et performantes, offrant aux entreprises du secteur de la santé une alternative fiable pour la gestion de leurs données sensibles. Grâce à ses infrastructures localisées en France et ses certifications ISO 27001 et HDS, Aqua Ray garantit la conformité aux normes les plus strictes en matière de sécurité des données de santé.

Lire la suite
11
Mars

Hébergement des données de santé : optez pour le Cloud Privé Sécurisé

Guides

Certifiée HDS et disposant de plus de 20 ans d’expérience, Aqua Ray vous propose de mettre en place une solution de cloud privé pour l’hébergement sécurisé de vos données de santé.

Lire la suite
27
Mars

Pourquoi choisir Aqua Ray pour l’hébergement des données de santé (HDS) ?

Guides

Aqua Ray propose des solutions d'hébergement Web sécurisées et performantes, offrant aux entreprises du secteur de la santé une alternative fiable pour la gestion de leurs données sensibles. Grâce à ses infrastructures localisées en France et ses certifications ISO 27001 et HDS, Aqua Ray garantit la conformité aux normes les plus strictes en matière de sécurité des données de santé.

Lire la suite
11
Mars

Hébergement des données de santé : optez pour le Cloud Privé Sécurisé

Guides

Certifiée HDS et disposant de plus de 20 ans d’expérience, Aqua Ray vous propose de mettre en place une solution de cloud privé pour l’hébergement sécurisé de vos données de santé.

Lire la suite
Besoin d'aide ? Appelez-nous maintenant !
Appelez-nous maintenant ! 01 84 04 04 05
Appelez-nous maintenant ! 01 84 04 04 05
DC Tier IV
AFNOR Certification ISO27001
AFNOR Certification HDS