Bonjour,
 
je suis actuellement en licence et j'ai en projet informatique (réseaux et systèmes), de mettre l'entreprise aux normes RGPD (cette fameuse loi dont personne ne sait ce qu'il faut faire exactement).
 
Du coup ba moi non plus je sais pas exactement quoi faire.... J'ai vu et j'ai aussi l'impression, que la RGPD et surtout juridique et que niveau informatique (réseaux et systèmes), les actions à réaliser sont assez minimes...
J'aimerais avoir votre l'avis la dessus et aussi quelque éclaircissement.
 
Les seules actions informatique que j'entrevoie sont le chiffrement des stockages et la mise en place de stockage de mot de passe sécurisé + mot de passe fort. Éventuellement aussi un serveur syslog (avec évidemment backup etc...), mais à part ça je vois pas bien quoi faire.
 
Merci d'avance.

Ben t'es pas très au courant.
 
Commence par te renseigner sur le RGPD : http://www.svp.com/livreblanc/
 
Une fois que tu as lu, n'hésite pas à revenir.

 
Merci je vais lire ça

Bon j'ai effectivement lu le livre blanc.
 
Pour le coup c'est assez complexe de voir ce qui doit changer...
En matière purement informatique j'ai retenue ceci:
 
- Pseudonymisation et le chiffrement des données à caractère personnel  
- Moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement  
- Moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique  
- Procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
- Mettre en place un système d’information redondant, c’est-à- dire entièrement doublé  
- La formation de l’ensemble des utilisateurs
 
Mais il y a quelque truc que je ne comprend pas:
La redondance doit-elle se faire à tous les niveaux (routeur, etc...), seulement sur le système de stockage ou seulement les équipements destiné a l'utilisateurs: site web, bdd etc ... ?
Les données personnels sont ceux des clients, mais j'imagine qu'ils concernent également les employées et tout autre personne qui pourrais avoir des données personnel dans l'entreprise ?
Pour le DPO, il est signifié que c'est quelqu'un qui doit avoir des connaissances juridique... donc est-ce par exemple un juriste/avocat ?
 
J'avoue être un peu perdu dans cette masse d'info (qui je ne trouve n'est pas très claire), tant il y à l'air d'avoir de chose à faire... tant au niveau juridique qu'informatique.
 
 
Merci de votre aide !

Si quelqu'un peut m'aiguiller svp.

La RGPD, c'est un gros projet, et il y a du travail à faire sur le niveau fonctionnel. Il y a finalement peu de technique derrière.
Selon moi c'est plus un travail de consultant, qui va faire un audit et donner la marche à suivre. Et effectivement il y a du juridique qui rentre en jeu, avec un avocat ou un juriste qui est derrière tout ça.
Ce n'est pour moi pas le rôle de l'administrateur système et réseau, qui éventuellement, est présent pour mettre en application certains moyens technique (chiffrement, résilience etc...)
 
Il faut se renseigner sur le sujet (ce que tu as fait), et se faire assister (par un prestataire ou autre).
Ce n'est que mon avis, mais travaillant en SSII, on a des gens qui sont formés dessus chez nous, accompagné par un juriste. Et ils vont proposer des audit aux clients, et derrière je suppose (j'ai très peu de vision là dessus) qu'un technicien viendra mettre en application la partie purement technique.
Chez le gros client ou je travaille actuellement, pour la RGPD, il passe par un cabinet de conseil qui va faire un audit.  
 
Tu ne peux pas accomplir un tel projet tout seul dans ton coin, c'est une chose de sur.
 
Bon courage

Je vois merci beaucoup !
 
Donc si nous prenons l'aide d'un cabinet d'audit + avocat / juriste ou que sais-je, pense-tu que la mise en place des solutions informatique demandée pour la RGPD puisse correspondre à un projet d'Administrateur réseau ? ou alors est-ce trop simpliste/faible ou trop accès juridique/RH ?
 
Evidemment, je sais que ça dépend de l'infrastructure de chaque entreprise mais disons que mon entreprise est "correct". C'est à dire qu'elle est plutôt au "norme" par rapport à la sécurité même si quelque truc doivent être changé.
 
 
Sinon je me suis encore un peu plus renseigné et d'après ce que j'ai trouvé je pense que le fait d'installer un active directory ou un serveur syslog pourrais-rentrer dans l'application de la RGPD non ? ou est-ce que je fais totalement fausse route ?
 
 
Merci d'avance !

Salut
 
Concernant l'aspect technique, cela va dépendre de l'état actuel de ton infrastructure. Suivant les préconisations qui ressortent l'audit, oui cela peut tout à fait faire l'objet d'un projet. Après il est important de suivre la mise en place de bout en bout et pas seulement l'aspect technique, et d'aborder cela dans le rapport que tu vas présenter par exemple. On parle beaucoup de la RGPD, aborder cela comme projet de stage dans une licence informatique je pense que c'est pas déconnant.  
 
Au niveau de la technique, c'est beaucoup axé sécurité, donc mettre en place un Active Directory, est primordial. Si il y a un serveur de fichier, et que les accès ne sont pas réglementés par exemple, je pense que ça sent pas bon déjà.

il n'y a pas que la démarche "sécuriser le SI", il faut également cartographier tout l'existant et inventorier tout ce qui n'est pas conforme
y a pas mal d'infos sur le site de la CNIL a ce sujet

Ok merci beaucoup pour vos réponses.
Ok il faut donc inventorier... un Active Directory pourrais t-il remplir se rôle ?  
 
Sinon que faut-il inventorier et jusqu’à quel point ?  
 
Merci d'avance !

A mon avis ca reste du juridique et sujet à interprétation.

Première étape :  
Créer un registre de tous les traitements fait par tes divers logiciels qui traitent de la données personnelle.  
 
Ensuite, voir si ces traitements entrent dans le cadre de la réglementation (si ils ne sont pas superflues ou si il ne vont pas trop loin dans la collecte et l'utilisation des données).  
 
Ensuite tu auras certainement plein de sujet à couvrir qui te permettront de te mettre en conformité.  
 
Bon et c'est bien plus vaste que ça, je ne t’énonce que les prémices.

Si le sujet est toujours d'actualité.....
 
1/ C'est LE RGPD, pas "la".
2/ C'est un règlement européen, pas une loi. Il supplante les lois nationales et est d'application directe.
 
Sinon, je plussoie ce que dit schmosy. Le RGPD, ce n'est pas que de l'informatique.
 
Et encore moins que du juridique.
 
En fait, il faut passer infrastructure et les applis informatiques au crible du texte.
 
Exemple : l'ERP que vous utilisez respecte-t-il l'article 7§2 ?
C'est un juriste qui va vous décortiquer l'exigence en paramètres fonctionnels, le métier & la qualité qui vont juger de la meilleure façon de respecter cette exigence, et la DSI qui va adapter le code.
(je simplifie, mais c'est un peu l'idée).

L'ERP ?  
 
Le problème c'est qu'étant seul en tant que Admin réseau je n'arrive pas a bien voir la portée de "sécuriser les données personnels" ...
 
Mettre en place un Active directory rentrerait-il la dedans ?  
Mettre un place un serveur syslog aussi ?  
 
Sachant que les "vrais" données personnelles que nous traitons (en masse), sont en rapport avec notre site web (mais ce n'est pas moi qui le gère)
 
Cordialement.

   
 
On t'as mis en charge d'un projet gigantesque, sans t'expliquer ce que c'est, ce que ça implique, ni la théorie qui est derrière ....
 
   
 
Commence par aller lire ce que c'est une "donnée à caractère personnel", une "donnée indirectement identifiante", et une "donnée anonyme".
 
Quant au fait de "sécuriser les données"... Comment dire.
 
Laisses-le ouvertes aux quatre vents. Tes clients seront contents.
 
Bonne lecture.

 
 
Merci en fait, je suis effectivement en "charge" du projet et c'est en fait moi qui doit leur dire ce que l'on doit faire.
Pour ce qui est de l'Active directory et syslog pense-tu que ça rentrerais en compte dans la mise en conformité ? Ça m'aiderais de le savoir puisque il me faut un projet réalisable en 4-5 mois maximum et de plus en plus je lis des trucs sur la RGPD et plus je suis perdu....
 
La plupart de mes professeurs ne connaissent même pas l'existence de cette nouvelle "loi" ou alors ne me donne pas d'infos précisent ....

L'AD, le syslog, le chiffrement, les mots de passe à trente-douze caractères changés toutes les 2h, oui, ça rentre dans le process de mise en conformité.
 
Mais dans une ligne du process.
 
Perso, le planning macro présenté au DG (qui se contrefout des détails opérationnels) contient 30 lignes. La sécurité info, une ligne.
 
Donc je le répète, la conformité RGPD, c'est largement plus vaste que la sécurisation informatique.
 
Lis voir l'article 32 du lien que je t'ai filé dans on précédent message. Ca devrait t'occuper pas mal.

Non mais c'est surtout qu'un AD et un syslog, ça couvre d'autres besoins que le RGPD.
 
Si on attend le RGPD pour mettre en place un AD, on part de très loin et pas qu'au niveau sécu.

 
Je vois merci
Oui je vais essayer de le lire mais c'est un truc énorme et indigeste ^^'
 
En fait a la limite je m'en fiche un peu du "reste"... je m'occupe du service info et je n'ai que 5 mois environ pour mon projet
 

 
Oui je sais bien, on a pas d'AD et je pensais (en plus de l'utilité flagrante de celui-ci), que cela pourrait apporter un plus pour la RGPD !
Le problème étant que je dois faire un choix sur ce que je vais réaliser, comme je l'ai dit je n'ai qu'environ 5 mois pour faire un projet technique en rapport avec ma licence !
 
On ma donné le projet de la RGPD sans aucune autre aide qu'internet et mes maigres connaissances dans le domaine professionnel.

Tout ce qui amène de la sécurité est un plus. Tu va avoir du mal à historiser les actions des user sans AD, par exemple (vu que tu aura des incohérences entre les différents logins).
 
Sincèrement, penches-toi sur ce fameux article 32, il devrait te donner le cadre juridique de ce que tu va faire. Et si tu as le temps, l'article 33.
 
Aussi, va voir sur le site de la CNIL, ils ont une partie dédiée à la sécurité info. Tu y trouvera un guide avec les exigences minimales attendues.

L'article 32 est bien celui sur la "Sécurité du traitement"  ?
 
Le problème étant que les données personnel (de masse), traité par l'entreprise ne sont pas gérés par moi (même les serveurs), et tous ce qui est chiffrement et impact des clients sur le site web je n'agit pas non plus dessus (je peux juste faire des recommandations ou dire ce qu'il faudrait faire).
Ainsi il ne me "reste plus" que l'informatique interne à l'entreprise (tous ce qui est en rapport avec les employés etc...)
 
Oui je vais essayer de me pencher un peu plus dessus mais en vérité j'ai déjà lu des tonnes de truc sur la RGPD et j'ai tout de même du mal à voir ce que je pourrais faire qui à la fois: rentrerais dans le cadre de mon projet technique ET rentre dans l'intérêt de la mise en conformité de l'entreprise.
 
Je sais que je force un peu (^^) mais pour ce qui est de la sécurité informatique interne je sais déjà ce que je pourrais mettre en place (chiffrement, AD, syslog, supervision etc...), mais étant donné que les données utilisateurs de notre site ne se trouve pas sur le réseau interne de l'entreprise cela parait moins critique à mes yeux.
 
Cordialement
 

Les données concernant les employés sont des ..... ?
 
Indice pour vous, chez vous : c'est à l'article 4, paragraphe 1.
 
Autre possibilité, si tu veux mettre le nez dans le site web de ta COGIP : article 28 (mais là, c'est plus de l'audit que du technique).

 
Ok
 
Bon je reviendrais surement demain ou je ne sais quand, la je vais essayer de lire ces articles et voir
 
Merci en tout cas
 

Bon du coup outre la partie informatique devons-nous prendre un DPO ?  
Pareil devons-nous faire un PIA ?
 
(nous somme environ 40 salariés)

Juriste-style :  ça dépend.
 
Pour le DPO : il est obligatoire dans certains cas, et fortement conseillé pour les autres. Si vous avez beaucoup de projets autour de la data, ou si vous manipulez des données sensibles, il vaut mieu xen avoir un.
 
Pour le PIA : pareil, ça dépend du projet en question.
 
(j'envoie mon CV à quelle adresse ?   )

 
Envoie-le moi et j'étudierais ta candidature pour me remplacer