Le défi de se conformer à la RGPD

Le Parlement européen a apporté des changements significatifs à l’écosystème du traitement des données par le biais du règlement général sur la protection des données (RGPD) en 2016. Trois ans plus tard, les organisations ont encore des difficultés à comprendre pleinement ses répercussions sur leurs activités et, par conséquent elles voient les coûts de conformité s’accumuler.

Le RGPD exige que les organisations jouent un rôle plus proactif en ce qui concerne leurs pratiques de protection des données. Au lieu de définir leurs pratiques en réponse à des incidents antérieurs, elles doivent être active dans l’identification des vulnérabilités et des améliorations relatives à leurs activités de traitement des données, et ce durant la conception et le déploiement de produits et services axés sur les données. Dans la pratique, les organisations doivent examiner les techniques de pointe en matière de protection de la vie privée et des données et comprendre comment celles-ci peuvent être appliquées à leurs systèmes existants. Il s’agit d’un effort extraordinaire pour les organisations qui n’ont ni l’expertise, ni les ressources nécessaires pour surveiller le vaste écosystème en évolution de la cybersécurité et plus particulièrement la protection des données.

Le risque de ne pas être à la pointe des techniques de protection de la vie privée pourrait entraîner une perte de confiance des clients et, dans certains cas extrêmes, des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires global.

Élaborer des méthodes et outils pour l’ingénierie de la protection de la vie privée

En réponse au défi décrit ci-dessus, PDP4E (Privacy and Data Protection 4 Engineering) est un projet innovant qui vise à doter les ingénieurs de méthodes et d’outils logiciels leur permettant d’appliquer systématiquement les principes de confidentialité et de protection des données dans leurs projets. Cela facilitera la mise en pratique de la protection de la vie privée et de la protection des données dès la conception et, ainsi, la création de produits conformes au règlement général sur la protection des données.

Le projet rassemble 8 partenaires de 4 Etats membres de l’UE. Il dispose d’un budget global de 3,3 M€, dont 2,9 M€ de contribution de la Commission européenne dans le cadre du programme Horizon 2020 Recherche et Innovation.

Réduire de façon significative les coûts de mise en conformité

Dans le cadre du projet PDP4E, un ensemble d’outils et de connaissances innovants sont générés, tels que :

  • La conception de nouveaux développements selon une approche fondée sur un modèle qui considère la protection de la vie privée comme un principe fondamental ;
  • Un processus d’obtention d’exigences qui opérationnalise les contraintes et les objectifs dérivés des normes et règlements juridiques abstraits en matière de protection des données ;
  • Un outil de gestion des risques qui guide les équipes de développement et les conseils de gestion des produits dans la définition de stratégies visant à atténuer les risques liés à la protection de la vie privée et des données ;
  • Une solution de gestion de l’assurance liée aux innovations ci-dessus, afin de réduire le fardeau de la conformité ;
  • Et un ensemble extensible de connaissances comprenant les stratégies de conception, les exigences et les menaces en matière de protection de la vie privée et des données.

Le principal impact de PDP4E sera d’améliorer les pratiques européennes en matière de protection de la vie privée et des données personnelles et, par conséquent, de réduire considérablement les dépenses d’exploitation liées aux efforts de conformité.

La nécessité d’une collaboration avec les praticiens de la protection de la vie privée

Pour survivre dans un écosystème de cybersécurité en évolution, l’ensemble des connaissances générées dans PDP4E doivent être mises à jour avec de nouvelles stratégies de conception, des exigences découlant de nouvelles normes et de nouvelles vulnérabilités ou menaces découvertes par les praticiens de la protection de la vie privée.

Dans ce but, PDP4E cherchera à établir des relations durables avec les praticiens de la protection de la vie privée, les décideurs et les fournisseurs de services de protection de la vie privée afin de créer en collaboration un ensemble de connaissances que les organisations de traitement des données pourront facilement utiliser. Les outils développés par PDP4E présenteront un mécanisme pour intégrer ces connaissances dans les pratiques d’ingénierie.

TRIALOG, comme partenaire du projet PDP4E, cherche à impliquer des parties prenantes externes par la participation à l’Atelier de l’Internet Privacy Engineering Network (IPEN) et au Forum Annuel sur la vie privée(APF19). La contribution des praticiens de la protection de la vie privée et des responsables des politiques sera essentielle pour façonner la collaboration et faire en sorte que l’ensemble des connaissances continu d’être utile même après PDP4E.

TRIALOG apporte son expertise en matière de cybersécurité, de Smart Grid et d’E-Mobilité

Outre la coordination du consortium et du projet PDP4E, TRIALOG participe également à la définition, au développement et à la validation des outils et des connaissances du projet PDP4E. Les principales contributions de TRIALOG sont :

  • La définition et validation des outils sur deux cas d’utilisation liés aux véhicules connectés et aux scénarios smart grid.
  • L’intégration des activités de gestion des risques dans les activités de conformité du GDPR, telles que l’évaluation de l’impact de la protection des données.
  • L’alignement des résultats sur les attentes du marché et élaboration des futurs efforts de normalisation afin d’inclure les connaissances générées par le consortium PDP4E.

Cette contribution s’appuie sur le solide savoir-faire et l’expérience de TRIALOG en matière de:

Grâce à ce projet, TRIALOG sera en mesure d’aider les organisations à construire, développer et tester des technologies et solutions innovantes pour répondre aux défis informatiques de demain.

Antonio Kung
Antonio Kung
Estibaliz Arzoz Fernandez
Estibaliz Arzoz Fernandez