Enjeux
Le Conseil départemental de Vaucluse s'est doté d'un Délégué à la protection des données (DPO), conformément aux nouvelles obligations du Règlement général sur la protection des données (RGPD). Mais c'est le Responsable de la sécurité des systèmes d'information (RSSI) qui pilote les analyses d'impact sur la protection des données et coordonne les prestataires effectuant les audits de conformité. Ce dernier devait donc se former à un minimum de notions juridiques pour jauger les priorités, coordonner le travail des différents prestataires, et entamer une collaboration efficace avec le DPO.
Objectifs :
- Conduire les analyses de risques orientées données personnelles en vue de la mise en service imminente d'un nouveau téléservice contenant des données à caractère personnel
- Avoir une coordination efficace entre la DSI et le DPO
Olivier Gosselin, Directeur adjoint en charge de la sécurité des systèmes d'information, Conseil départemental de Vaucluse
Solutions
Le module de formation en petits groupes "L'Essentiel du RGPD" fournit des bases pour accompagner les organisations dans leur mise en conformité, à travers un décryptage pédagogique et synthétique de la réglementation, vulgarisé et adapté aux besoins concrets des stagiaires. La formation alterne définitions, exposé des principes, exemples choisis en fonction des profils des stagiaires, et récapitulation sous forme ludique des éléments vus au cours de la journée.
Orange Cyberdéfense a par ailleurs accompagné l'ensemble de la stratégie d'homologation du téléservice nommé Jobvaucluse.fr, pilotée par le RSSI.
Bénéfices
Une meilleure compréhension de tous les éléments de conformité
Faire le lien entre les aspects techniques et réglementaires afin de mener à bien les diverses analyses de vulnérabilité, dans le cadre de l'audit en vue de l'homologation du téléservice JobVaucluse.
Une mise en pratique dans la durée
Le Conseil départemental mène de nombreux projets comportant de lourds enjeux en termes de sécurité et de protection des données personnelles. C'est notamment le cas d'un système de vote électronique exclusif qui doit être déployé à l'occasion des prochaines élections professionnelles, et comporte des obligations d'analyse de risques pour lesquelles Orange interviendra en tant qu'expert indépendant.
Résultats
- Mise en ligne avec succès le 3 septembre 2018 du site Jobvaucluse.fr, qui met en relation les allocataires du RSA et les employeurs du département et inclut une CVthèque. La mise en service complète est prévue mi-novembre.
- Révision du questionnaire de sécurité utilisé pour les appels d'offres du Conseil départemental.
- Levée de plusieurs points de non-conformité.
- Lancement d'un plan de traitement des risques à l'issue de l'audit.