Un cas concret au sein du Groupe Déploiement de la Politique Informatique & Liberté

CLUSIF / CLUSIR Rha

Conférence Juridique – Club SSI du Clusir RhA, Réunion du 19-03-08

Page 1

29%

Un cas concret au sein du Groupe

Déploiement de la Politique

Informatique & Liberté

CLUSIF / CLUSIR Rha


Page 2

• Le Groupe ses ACTIVITES :

29%

Systèmes et Matériaux Avancés

Des solutions de haute technologie pour des environnements industriels exigeants

Protection Électrique Applications Électriques

39%

32%Des solutions fiables indispensables à l’alimentation sécurisée des moteurs électriques

Le spécialiste mondial de la protection électrique et thermique des équipements électriques industriels

CLUSIF / CLUSIR Rha


Page 3

• Le Groupe en CHIFFRES :

– 85 % de l’activité à l’international

– Plus de 40 implantations sur les cinq continents

dont 6 filiales en France, pour un effectif de ~ 1 800 p

et 2 entités transversales DSI + Dir. Achats

– Premier ou deuxième acteur mondial dans ses métiers

– Un chiffre d’affaires de 694 M€ en 2007

– 6 400 collaborateurs au total

Politique Informatique & Liberté au sein de

CLUSIF / CLUSIR Rha


Page 4

• Temps 1 : L’approche

– Présidence du Groupe :

• Sensibilisation au risque pénal + sanction financière + atteinte de l’image, en cas de dérive

• « Recommandation » forte de mise en place d’un Correspondant I & L (CIL)

• Résultat = incompréhension + perplexité …. + … agacement !

– Phase de réflexion interne :

• État des lieux sur l’état de la conformité des processus déclaratifs …• Analyse sur la faisabilité CIL • Les facteurs pris en compte pour la désignation d’un CIL mutualisé :

se mettre en conformité au regard des textes

valoriser l’image

Lettre de Mission


CLUSIF / CLUSIR Rha


Page 5

• Temps 2 : La sensibilisation interne

Priorité = les RH Présentation et sensibilisation du Comité RH France

– Les mots clés :• Les données personnelles ?• Responsable du Traitement ?

– Les traitements sensibles :• Contrôler la nav. Internet !

– Les condamnations :• Tyco Healthcare en 2007 !


Données traitées par

Données confidentielles : coûts, R&D, …

Données Perso. Internes Salariés

sur nos SI

Données Personnelles Externes Clients, fournisseurs, candidats, …

CLUSIF / CLUSIR Rha


Page 6

• Temps 2 : La sensibilisation interne


Et autres sociétés françaises …

• Conseil & pédagogie• Évaluation des risques• Formation • Validation nouveaux traitements• Contrôle & audit• Médiation

Mission Indépendante

• Déclare les traitements – Gère les autorisations• Rend compte à la CNIL une fois / an des actions menées

CLUSIF / CLUSIR Rha


Page 7

• Temps 3 : La mise en œuvre

– Un réseau de Correspondants Relais I & L : objectif = 1 p. dans chaque entité • Rédaction d’une « Définition de Mission Repère »

– Une intégration des règles dans la Politique de SSI (adossée à ISO 17799)

• Rédaction d’un nouvelle Procédure « Protection des données perso. »

– Mise à jour et déclaration internes des nouveaux traitements de DP par les sites

– Mise en œuvre et contrôle de la protection des DP– Information des salariés (droit d’accès, …)



CLUSIF / CLUSIR Rha


Page 8

• Temps 3 : La mise en œuvre

– Un Répertoire dédié I & L sur l’Intranet

– Une liste étendue des types de Données Personnelles traitées dans l’entreprise et des Risques associés en cas de protection insuffisante ou traitement illicite :

• Usurpation• Vol• Exclusion / discrimination … à l’emploi• Etc

– Des Listes Générales des Traitements adossées sur les Normes Simplifiées de la CNIL :

• NS42 Contrôle d’Accès• NS46 RH• Etc



CLUSIF / CLUSIR Rha


Page 9

• Temps 4 : Premier bilan

– Un exercice très structurant

– Une clarification des Rôles … et des Responsabilités …

– Un nouveau « Driver » pour auditer et mettre à jour les mesures de sécurité

– Un lien fort entre la mission CIL et la fonction RSSI

– Et pas mal de travail …


Documents

Un cas concret au sein du Groupe Déploiement de la Politique Informatique & Liberté