Deux conférences aOS (Communautés d'experts internationaux sur les technologies Microsoft azure, Office365 et SharePoint - cliquez ici) se sont tenues les 24 et 26 Octobre 2017 aux îles Maurice et La Réunion.
J'ai eu la chance d'intégrer l'équipe de speakers internationaux qui sont intervenus au cours de ces deux journées sur les technologies Microsoft. Parmi eux, Sébastien Paulet, MVP Microsoft est intervenu sur deux sujets : une exploration poussée de la gestion documentaire dans Sharepoint et la réponse de Microsoft à la nouvelle réglementation RGPD pour les entreprises utilisant O365.
Ce dernier sujet va devenir particulièrement sensible pour toutes les entreprises, et rares sont encore ceux qui en comprennent le principe. Et plus rares encore sont ceux qui ont conscience des réponses fonctionnelles proposées par Microsoft pour être conforme à cette réglementation.
Sébastien a accepté de partager avec nous dans Digital Inside le fruit de ses recherches sur le sujet, à la fois dans les textes et dans les solutions Office 365.
A lire également son blog :
Sébastien, peux-tu te présenter en quelques mots ?
J’œuvre depuis plus de 10 ans dans la mise en place des technologies de gestion documentaire, avec une forte spécialisation sur SharePoint et la gamme O365.
Je viens de la technique et la programmation, j’ai développé et orchestré une équipe de plus de 30 consultants spécialisés sur cette technologie et j’interviens aujourd’hui en expertise sur des projets internationaux, axés sur les documents et présentant des challenges soit sur l’architecture de l’information, les hautes volumétries et les contraintes réglementaires (records management, archivage à valeur probante), soit sur les démarrages en Lean Startup, mise en place de Scrum et optimisation du ROI.
Peux-tu nous expliquer de manière synthétique ce qu'est la RGPD ?
A partir de mai 2018, une nouvelle réglementation européenne entre en vigueur afin de défendre la vie privée des citoyens européens. Des lois de ce type commençaient à apparaitre déjà ces derniers temps en Inde, en Chine ou encore dans certains états américains.
La RGPD (GDPR en anglais) va plus loin que ces dernières car :
Elle adresse toutes les entreprises gérant des données de citoyens européens, ce qui inclue donc aussi les entreprises étrangères agissant en Europe
Elle tape très fort au portefeuille (jusqu’à 4% du CA mondial pour les GAFAM, 20 millions pour le commun des mortelles)
Dans les faits, à partir de mai 2018, toute entreprise gérant des données personnelles (tels que nom, adresse, détails physiques, mails, numéro de comptes bancaires, IP, cookies, données médicales, etc.) de citoyens européens, c’est-à-dire celles :
des utilisateurs pour les applis, les sites Internet, l’IoT
des clients dans le cas du B2C
mais aussi des employés des sociétés partenaires
des employés aux sociétés fournisseurs
et surtout employés de la société elle même
devront :
être transparentes sur ce qu’elles font de ces données et obtenir en accord explicite pour les traitements qu’elles souhaitent en faire (ca devrait donner de la lecture dans le cas de Facebook)
ne garder que les données nécessaires durant la durée nécessaire (avec possibilité de passer par la pseudomisation des données)
pouvoir répondre très rapidement aux demandes de mise à jour, d’export ou de suppression des données de la part d’un citoyen
sécuriser les données suivant les « règles de l’art » en vigueur
prévenir rapidement leur autorité nationale (en France, la CNIL) en cas de piratage et donner l’étendue de ce dernier.
Dans le cas des entreprises de plus de 250 employés, il faudra avoir un correspondant identifié au sein de l’entreprise et tenir un registre des traitements, c’est-à-dire documenter les sources de données personnelles et les traitements faits dessus.
Cette nouvelle réglementation représente-t-elle un enjeu pour les entreprises?
Il y a l’enjeu financier bien sûr, le niveau des amendes force tout un chacun à prendre cette réglementation au sérieux. Ensuite, pour les acteurs d’Internet en général, et dans une moindre mesure le reste des entreprises, cette réglementation vise à établir de la transparence, et donc instaurer de la confiance face aux abus actuels des collecteurs de données qui sont apparus ces dernières années. C’est donc un enjeu d’avenir pour l’économie numérique.
Pour les sociétés qui monétisaient les données personnelles, telles que Facebook, Google, ce sera une vraie contrainte. Pour les autres, c’est l’occasion de mettre au propre et contrôler les données et documents au sein de l’entreprise. C’est une bonne pratique et tout le monde au sein de l’entreprise (DSI, juridique, finance) devrait s’en féliciter. Toutes celles qui avaient déjà engagé des démarches de Records Management verront simplement le critère « donnée personnelle » s’ajouter.
Comment faire pour se mettre en conformité ?
Il y a plusieurs cas :
Pour les entreprises éditrices de site/application contenant des données personnelles, il va être impératif de rattraper les retards sur la sécurité. Imaginez en cas de piratage, désormais obligatoire à déclarer, qu’on découvre que les mots de passe étaient stockés en clair ou simplement passés au MD5, la CNIL ne devrait pas laisser pas passer
Pour les hébergeurs sous-traitants (IAAS, PAAS, SAAS), ils ont un rôle clairement défini par la réglementation et prennent de facto une part de responsabilité. Il va falloir mettre à jour tous les contrats afin prendre en compte cette évolution
Enfin, de manière générale, pour ceux qui partent de zéro, le chantier sera volumineux et une approche itérative s’impose :
Identifier « grosse maille » les sources de données personnelles au sein de l’entreprise.
Classez les sur 2 critères : la facilité à mettre en conformité / le risque face à la réglementation. Les sources à haut risque et facile à traiter seront la priorité
Ensuite, démarrez les audits sur les données, leur finalité, leur durée de conservation, les mécanismes d’export, mise à jour, suppression et leur sécurité
Engagez les actions correctives si besoin et documentez les procédures pour répondre aux exigences de la réglementation
Et surtout, faire de la sensibilisation auprés des utilisateurs afin que ces derniers ne fassent pas courir de risque à l’entreprise.
Il est évident que personne ne sera prêt à 100% le 25 mai 2018, la CNIL le sait et en cas d’audit, de litige ou de piratage, il faudra surtout montrer sa bonne foi et pouvoir démontrer que les démarches ont été engagées.
Pour réduire les risques faut-il fermer tous les outils d'office 365 risquant potentiellement de générer des données à caractère personnel ?
D’expérience, c’est une mauvaise solution car les utilisateurs sont difficilement contrôlables (le terme « Shadow IT » est à la mode ces temps-ci et ce type de pratique ne fait que l’encourager) et qu’il y a des processus dans l’entreprise qui ont besoin pour leur travail de données personnelles.
La réglementation ne vous dit pas qu’il ne faut plus collecter de données personnelles, elle dit qu’il faut pouvoir répondre aux critères énoncés précédemment (finalité, durée de conservation, mise à jour, suppression, etc.). C’est surtout une question d’organisation.
De manière générale, s’il y a des outils susceptibles de recueillir des données personnelles (Forms, Yammer par exemple) structurées, il faut au contraire les privilégier car ils seront surveillés en priorité.
Si on ne fait pas ça, c’est le meilleur moyen de voir apparaitre l’utilisation de solutions extérieures au SI ou l’utilisation de fichiers Excel qui seront noyés dans la masse.
Par contre, cela implique qu’il va falloir mettre en place de la gouvernance sur ces outils avec l'utilisation, par exemple, de formulaires à remplir pour indiquer la finalités et les traitement des données et définir des durées de rétentions sur ces données. A vrai dire, ça devrait rendre service au DSI en servant d’argument incontestable lorsqu’ils sont confrontés aux métiers qui ont tendance à conserver plus que nécessaire.
Comment Microsoft aide-t-il les entreprises à être conforme ?
Microsoft a été dans les premiers, à chercher à se mettre en conformité. Il s’est tout de suite engagé à être conforme en interne et sur les solutions qu’il propose dans le Cloud dans le calendrier imposé par l’Europe.
En tant qu’éditeur de la plupart des logiciels sur lesquels reposent l’informatique mondiale, il va faire aussi évoluer ses outils pour permettre aux créateurs de solutions de se mettre en conformité.
Pour ce qui est d’O365, qui gère les données non structurées des entreprises (mails, documents), il disposait déjà de solutions très utiles telles que les types de contenus, les durées de rétention, l’eDiscovery, les labels, les DLP qui vont pouvoir être utilisées en l’état.
Lors des conférences du mois dernier, Microsoft a aussi annoncé de nouvelles fonctionnalités telles que l’affichage de disclaimer pour les utilisateurs externes et surtout la possibilité de segmenter ses données sur différents data centers, ce qui intéressera particulièrement les multinationales.
Pour se mettre en conformité, il conviendra donc surtout de documenter comment, dans le contexte de l’entreprise, elle utilise ses fonctionnalités.
Mais Microsoft va plus loin, il va fournir un « Centre de conformité » qui liste pour pour les principales normes et réglementations, ainsi que les actions que l’entreprise doit entreprendre pour se mettre en conformité à partir de ses solutions. Microsoft « prémâche » le travail de mise en conformité pour ses clients.
On parlait d’opportunité, pour l’occasion Redmond en a vu une dans cette nouvelle réglementation pour offrir des services supplémentaires à ses clients et se différencier de ses concurrents.
Mais l’offre Microsoft ne se limite pas à O365, pour toute sa gamme Cloud, il a fait évoluer ses outils de sécurité afin de pouvoir prévenir, détecter les piratages et auditer les données impactées dans ce cas.
Même les solutions telles qu’SQL serveur, pour les données structurées, devraient avoir droit à leurs évolutions afin de pouvoir plus facilement inventorier les colonnes des tables contenant des données personnelles, leur appliquer des durées de rétention, encrypter ou pseudomiser.
Quelle aide apporte de son côté Google, le concurrent d'office 365 avec l'offre Google docs par exemple, pour être conforme avec la RGPD ?
On sent moins d’enthousiasme. Microsoft a fait valider ses conditions contractuelles par le G29 (la CNIL en France et ses équivalents dans tous les pays membres de l’UE) en avril 2014, Google a décroché la validation en février 2017. Au-delà des contrats, il y a d’autres facteurs différentiant :
Google ne propose que du Cloud (donc de la sous-traitance), là où Microsoft continue de fournir des solutions OnPremise et Hybride
Je connais moins l’offre Google que Microsoft mais je ne retrouve pas les fonctionnalités aussi poussées que O365 pour créer des GED d’envergure, faire du eDiscovery ou détecter automatiquement certains types de données personnelles ou bancaires
Enfin, et la notion est de taille, Google ne fournit aucune restriction sur l’emplacement des données. Leur Cloud est vraiment planétaire. Les données peuvent migrer au grés des algorithmes d’optimisation et donc transiter sur le sol américain soumis au Patriot Act. Sur le papier, le Privacy Shield, qui encadre la protection des données personnelles entre les USA et l’Europe vient de passer sa première revue et a été validé par le G29 du bout des lèvres, mais de nombreuses critiques demeurent et son avenir n’est pas certain. A contrario, Microsoft donne lui une vision claire sur l’emplacement des données.
Pour aller plus loin, on sait que les données stockées chez Google sont susceptibles d’atterrir sur le bureau du juge américain. Microsoft s’y refuse depuis plusieurs années et a gagné en appel face au département de justice américain. L’affaire va prochainement passer devant la cours suprême et la décision qui en découlera pourrait, au même titre que la RGPD, impacter fortement l’avenir du Cloud mondial.