Interview Cap Compliance - Communautés DII

Dans le cadre de la communauté Cap Compliance, DII vous propose une interview sur les enjeux d’extraterritorialité et de souveraineté liés à la protection des données.

Afin de répondre à nos questions Nathalie Rolland, Directeur Juridique Branche Fascicules Monde et Jeux mobiles UK et Arnaud Laudwein, Directeur Sécurité de l’Information et DPO d’ HACHETTE LIVRE SA dressent un panorama du nouveau contexte réglementaire et partagent leurs bonnes pratiques, notamment en ce qui concerne les synergies Juridique / Sécurité Informatique.

Nathalie Rolland
Directeur Juridique – Branche Fascicules Monde et Jeux mobiles UK
HACHETTE LIVRE SA

Arnaud Laudwein
Directeur Sécurité de l’Information et DPO
HACHETTE LIVRE SA

CAP COMPLIANCE

Pensée comme une boussole pour vous aider à tenir la barre de la conformité, la communauté Cap Compliance accompagne les Directeurs Conformité, Risques et Juridiques des secteurs financiers, banques, assurances et regtech.

L’objectif ? Vous rassembler tout au long de l’année pour échanger entre homologues, décrypter votre actualité réglementaire, et anticiper vos nouvelles obligations.

Conférences, webinars, dîners confidentiels, formations, études et contenus ciblés… Rejoignez Cap Compliance pour vous inspirer de retours d’expérience concrets, développer votre réseau et vos compétences.

DII : Quels sont les sujets de l’année en ce qui concerne la protection et le transfert des données en Europe et hors Europe ?

NR : La question de la protection et de la sécurité des données personnelles est un sujet « day to day » depuis 2018. Nous ne sommes plus en mode audit ou projet, c’est un sujet qui est devenu un composant de tous nos autres enjeux quotidiens. Evidemment, il nous reste des ajustements à faire dans le prolongement de l’audit RGPD commencé dès 2016. Et en même temps, nous devons faire face aux nouvelles décisions qui nous obligent à poursuivre la montée des marches…

Notamment la décision Schrems II sur l’invalidation du Privacy shield et le transfert des données hors Europe. Nous allons aussi avoir inévitablement cette année les effets du Brexit sur la gestion des données des résidents anglais et/ou des données stockées aux UK eu regard de la loi anglaise uniquement.

Et si on parle de lois nationales à l’étranger, il y a aussi tout un mouvement de nouvelles lois : la Californie, avec le CCPA qui a été repoussé de janvier à juillet 2020, ou encore la Chine, qui travaille actuellement sur une nouvelle loi.
Nous sommes entrés dans une nouvelle phase, post-RGPD.

Si nous devions faire un parallèle avec l’apprentissage de la marche… Avant 2018 nous étions en train d’apprendre à marcher. Puis nous avons amélioré notre pratique de la marche. Aujourd’hui, nous savons tous marcher et même courir. Nous sommes passés en phase 2, marcher longtemps, de manière plus assurée, en mode treck !

Conférence

DATA PROTECTION OFFICER 2020

Le 28 janvier | Hybride

Décryptage de vos enjeux et défis pour 2021 : reprise post-crise, guerre économique UE-Chine, Innovations, Big Data…

Face au ralentissement de l’activité, les Directions de la Propriété Intellectuelle vont plus que jamais devoir se positionner comme centres de profit incontournables pour sortir de la crise et préparer le monde de demain. Dès lors, il vous faut revoir votre feuille de route pour, avant tout, vous inspirer, vous protéger et exploiter vos droits à l’international.

DII : Comment se matérialise l’extraterritorialité du RGPD dans le contexte du Cloud Act ? Quelles sont les problématiques de souveraineté économique qui découlent de ces réglementations ?

AL : Pour les aspects plutôt réglementaires, du côté américain, le Cloud Act fait que les fournisseurs de service doivent mettre à disposition des autorités américaines les données qui sont stockées (mêmes celles qui sont stockées hors sol américain) si les autorités en font la demande. Dans ce contexte, une société américaine ne peut pas garantir un niveau de protection adéquat des données personnelles dans le cadre du RGPD, comme l’a indiqué la CJUE.

En Chine, on a des mesures similaires qui ont donné lieu à la mise à l’écart de Huawei et ZTE au Royaume-Uni, en France, plus récemment en Suède et plus généralement en Europe. Leur participation au marché européen devient difficile.

« La question de la protection et de la sécurité des données personnelles est un sujet « day to day » depuis 2018. Nous ne sommes plus en mode audit ou projet, c’est un sujet qui est devenu un composant de tous nos autres enjeux quotidiens. »

Parallèlement, les sociétés multinationales, et les entreprises américaines en particulier, ont davantage de ressources pour se protéger des attaques en termes de taille d’équipes cyber, de certifications obtenues, de budgets…

Microsoft indiquait en 2017 qu’ils employaient 3500 personnes en cybersécurité. Huawei en Chine indiquait prévoir 400 millions d’euros par an d’investissement sur les sujets cyber et protection des données pendant les 5 prochaines années. Ces niveaux restent difficilement atteignables pour des acteurs européens. Donc les choix que vous avez en tant que société européenne sont les 4 suivants :

Le premier consiste à partir on-premise : vos données sont stockées chez vous, dans votre data center. On a l’impression que c’est plus sécurisé mais ça ne l’est pas forcément parce qu’on n’a pas une organisation identique à celle des géants.
Le cloud américain: vous avez un niveau de sécurité qui est adéquat mais un niveau de protection des données qui est à analyser précisément.
La 3^e option consiste à utiliser un cloud européen. On parle ici d’une société européenne qui gère le cloud. On a encore aujourd’hui trop peu d’acteurs sur ce marché donc ceux qui sont sur ce marché sont moins matures.
Le 4^e point c’est ce qui s’appelle le « bring your own key» : vous allez sur un cloud américain mais l’acteur américain n’a pas accès à vos données car la clé qui protège vos données est votre propriété. Les différentes solutions évoluent pas mal actuellement. Ça pourrait être l’une des solutions technologiques à ces problématiques d’extraterritorialité aujourd’hui.

NR : Nous constatons que les grandes lignes d’un point de vue régulation ont déjà été posées. Maintenant, les solutions vont venir des entreprises. L’Europe annonce qu’elle va aider les prestataires européens à monter un cloud européen. Dans cette optique, il faut que nous aussi, entreprises européennes, accompagnions ces acteurs en leur faisant confiance. Comme le souligne, Arnaud, l’idéal serait que les prestataires européens arrivent à proposer des solutions plus pérennes pour que l’on parvienne à basculer sur leurs systèmes.

Enfin si nous apprenons à travailler en commun avec le régulateur, nous serons d’autant plus forts pour face à la concurrence internationale. Nous savons tous que derrière la question des data il y a tous les enjeux d’intelligence économique, de guerre économique. Nous devons travailler en bonne intelligence avec le régulateur pour faire face aux enjeux de souveraineté nationale et européenne.

DII : Comment parvenez-vous à jongler entre les attentes des régulateurs et les contraintes techniques ? Quelles sont les bonnes pratiques pour co-piloter ces sujets et embarquer l’ensemble de vos collaborateurs autour des enjeux de cybersécurité et de protection des données ?

AL : Nous devons avoir une approche conjointe entre les sujets de sécurité, de protection juridique des données, c’est-à-dire une approche transversale qui adresse tous les métiers, à tous les niveaux de l’entreprise, au siège, en filiale, qui nous permette de comprendre les enjeux en commun avec les équipes. On ne peut pas se contenter d’une formation théorique, qui est importante mais qui n’est pas suffisante, et qui ne doit pas être purement descendante. L’important est d’être embarqué dès le début des projets, de comprendre le besoin.

Avec Nathalie, on travaille en direct avec les prestataires pour que nos équipes métier n’aient pas besoin d’avoir une connaissance complète de l’ensemble de ces sujets. On les accompagne sur la sécurité, le juridique, la protection des données, de la pré-contractualisation jusqu’à la fin du contrat. Nous les aidons à bien structurer leurs besoins et leurs discussions avec leurs prestataires.

NR : L’idée est en effet d’accompagner (au sens marcher à côté) et non de former. Il n’y a pas une communauté de sachants et une communauté de faiseurs (les opérationnels et les fonctions supports). C’est d’ailleurs toute la richesse de l’entreprise. Ça semble banal mais ça n’a pas toujours été évident. Ces sujets de données personnelles ont ancré ce travail en équipe.

« Les obligations issues du RGPD nous ont permis de discuter avec beaucoup plus de métiers et de rentrer dans des sujets dans lesquels traditionnellement la sécurité n’est pas sollicitée. »

AL : Les obligations issues du RGPD nous ont permis de discuter avec beaucoup plus de métiers et de rentrer dans des sujets dans lesquels traditionnellement la sécurité n’est pas sollicitée. Il faut donner envie aux opérationnels de nous solliciter, même quand ce n’est pas un sujet strictement RGPD.

NR : En effet, nous avons pu démontrer que nous sommes plus solides vis-à-vis de nos clients, si nous proposons des solutions pérennes et stables, grâce à la maîtrise de toute la chaîne de la donnée. Sur ce sujet, le régulateur en France nous a laissé le temps de faire de la pédagogie. Dans la mise en œuvre des règles par la CNIL et le déploiement des sanctions, jusqu’à aujourd’hui, notre expérience nous montre que le régulateur nous a laissé le temps de nous former nous-même et de former les équipes.

AL : La CNIL a travaillé beaucoup avec les équipes techniques pour comprendre. Ces échanges ont contribué à permettre aux équipes de la CNIL de proposer des solutions pertinentes.

Il est donc très important de travailler en commun : non seulement dans les équipes en entreprise, mais également à travers une approche conjointe entre les entreprises et le régulateur.