La gestion RH, première responsabilité du manager

C’est aux managers qu’appartient la responsabilité d’aider leurs équipes à s’inscrire dans la trajectoire globale de transformation de la DSI. Afin d’atteindre les objectifs fixés, la stratégie RH doit être individualisée en fonction des compétences et des aspirations de chacun. C’est le rôle des managers que de transformer la trajectoire en actions très opérationnelles et cohérentes, non seulement compréhensibles et acceptables, mais in fine, naturelles et à valeur ajoutée pour les collaborateurs.

Ils servent ainsi de guides pour les collaborateurs avec qui ils doivent construire les parcours les mieux adaptés pour les accompagner vers la cible, mais aussi de garde-fou pour la Direction, qu’ils doivent alerter sur la faisabilité et le réalisme des ambitions. En un mot, si la Direction doit penser et planifier la transformation, c’est bien le management intermédiaire qui réalise cette transformation. Le choix des managers sur des critères de compétence et d’appétence à la gestion des ressources humaines est ainsi particulièrement critique.

En ce sens, la valorisation des parcours d’expertise ou de gestion de projets par exemple, ou la valorisation de nouveaux rôles clés, se révèlent à nouveau être des atouts majeurs pour les DSI. Elle leur permet en effet de s’affranchir de l’obligation morale qu’ils se faisaient de confier des responsabilités d’encadrement à leurs meilleurs techniciens et non pas aux collaborateurs les plus aptes à endosser ce rôle à forte composante RH. La DSI a besoin de « vrais managers » comme elle a besoin de « vrais experts » sur des missions clés de la DSI.

Les managers, premiers clients des leviers de transformation RH

L’exercice, en soi, est déjà périlleux : pris en porte-à-faux entre les exigences stratégiques de la DSI et les contraintes de la réalité du terrain, ce sont en effet les managers qui auront le plus à pâtir des changements mal conduits. À cela s’ajoute une dimension de gestionnaire RH à laquelle tous ne sont pas a priori préparés.

Il s’agit donc d’appliquer prioritairement à ces managers, clés de voûte de la transformation, les leviers mêmes de la transformation ; ils doivent ainsi bénéficier d’actions de développement et de reconnaissance de leur rôle de gestionnaire des ressources humaines.

Le rôle majeur des équipes RH de proximité

Mais tous ces moyens, même efficacement mis en œuvre pour aider le manager à jouer son rôle de gestion RH, s’avèrent très rarement suffisants. Au quotidien, ces accompagnateurs doivent donc eux-mêmes être accompagnés par ceux dont la gestion RH est le métier. On l’oublie bien souvent : les équipes RH de proximité doivent ainsi en premier lieu soutenir et conseiller le management sur l’ensemble des questions liées à la gestion RH. Ils doivent le faire autant que de besoins mais également et surtout sur le long terme, à travers la construction et le partage de processus RH clairs et d’un outillage adapté : évaluation et suivi des collaborateurs, outils de gestion de la mobilité, etc.

Au sein des DSI, garantir cette bonne collaboration pérenne entre les managers opérationnels et les acteurs RH de proximité est un challenge essentiel à relever.

Cet article DSI : responsabilisez les managers en tant que relais RH est apparu en premier sur RiskInsight.

Autorisez les mobilités hors parcours cartographiés

Lorsque les DSI parlent de mobilité, ils pensent en premier lieu spontanément au type de mobilité le plus répandu, à savoir la mobilité intra DSI, entre domaines techniques ou entre parcours métiers (exemple du manager souhaitant se consacrer à la gestion de projet).

Il faut maintenant aller au-delà en tirant aussi parti des apports de la mobilité entre les Directions métiers et la DSI. Si ce type de mobilité est déjà mis en œuvre pour certains postes de management, les DSI gagneraient à l’étendre, notamment en poussant les DRH à valoriser les emplois de la DSI dans les parcours multi-métiers des cadres. Outre le prolongement naturel des démarches de développement et la réponse aux besoins de transformation de la DSI, ce type de mobilité a la vertu, in fine, de renforcer les relations Métier – DSI et de favoriser la diffusion d’une culture d’entreprise unique. La mobilité, opération jusqu’alors utilitaire, devient alors un atout majeur pour les DSI et un levier de fidélisation des talents.

Par ailleurs, dans un contexte de transformation profonde, il ne faut pas s’interdire de réfléchir aux stratégies de mobilité sortante, respectueuses des collaborateurs et en ligne avec les besoins de transformation de la DSI : outplacement, revitalisation de site, etc. La mobilité vers des sous-traitants peut par exemple offrir une solution pour transférer, dans un cadre légal strict, des collaborateurs vers un nouveau projet professionnel, plus en lien avec leurs compétences et leurs aspirations.

Un recrutement de potentiels à favoriser

Pendant de la mobilité, le recrutement doit également être abordé comme un processus durable, au service de la transformation. Au-delà de compétences et de savoir-faire précis, il s’agit de recruter des potentiels qui pourront évoluer au sein des parcours métier de la DSI et de l’entreprise. Concrètement, cela implique notamment de recruter sur profil et non sur mission. En s’appuyant sur un cadre d’évaluation décliné du référentiel de compétences de la DSI, il devient alors nécessaire de sécuriser les recrutements en explorant diverses méthodes de recrutement : entretiens, études de cas, assessment centers, etc.

Construisez le collectif managérial au service d’un optimum global

Multiplier les mobilités et les recrutements réussis de façon homogène et équilibrée dans tous les domaines de la DSI requiert une gestion collective de ces actions. Il s’agit donc, dans une logique d’intérêts partagés, de mettre les managers en mesure d’échanger sur les besoins en emploi et en mobilité afin de tirer le meilleur parti des compétences à disposition. 

C’est en particulier le rôle des comités de mobilité : dispositif auto-apprenant, ils permettent de construire progressivement un référentiel commun de pratiques, mais aussi d’éviter la rétention des talents par leurs managers, ce qui pénalise l’ensemble de la DSI en freinant le développement des collaborateurs.

Car il s’agit bien, in fine, d’atteindre un optimum global quitte à s’autoriser, de façon alors pleinement assumée, des déstabilisations ponctuelles de l’organisation.

Cet article DSI : professionnalisez votre recrutement et votre gestion de la mobilité est apparu en premier sur RiskInsight.

Les DSI souffrent généralement d’un manque de maturité sur les sujets RH. Elles pourraient pourtant capitaliser sur les retours d’expérience souvent disponibles au sein des fonctions cœur de métier de leur entreprise : les leviers à activer en matière de ressources humaines sont en effet similaires quel que soit le contexte. Similaires ne signifie pour autant pas identiques. La rapidité du changement, sa rémanence, sa survenance au cœur même des métiers historiques du SI, oblige à s’approprier et à adapter ces leviers au contexte spécifique des DSI, afin de cadrer la transformation, de la mettre en œuvre et de la sécuriser.

Cadrer et rythmer la transformation : la GPEC, un levier incontournable

La transformation RH des DSI doit au préalable être cadrée et planifiée : une cible doit être posée et une trajectoire définie en cohérence avec l’existant. Bien sûr, cette cible doit être réaliste. Posée à moyen terme, en phase avec les cycles technologiques, elle doit être revue régulièrement. La trajectoire est ainsi amenée à être constamment ajustée, afin de prendre au mieux en compte à la fois l’évolution des besoins et les retours d’expérience acquis en cours de route.

C’est là l’objectif de la Gestion Prévisionnelle des Emplois et Compétences (GPEC). Bien compris, c’est-à-dire au-delà de l’exercice imposé par la législation (cf. P.16), ce premier levier permet de poser un cadre agile et pragmatique permettant d’initier et de maintenir la dynamique de valorisation du capital humain.

Mettre en œuvre la transformation : deux leviers pour faire bouger les lignes

Dès lors, les deuxième et troisième leviers permettent de mettre en œuvre la transformation.

Le développement des collaborateurs, tout d’abord, afin de les mettre en capacité d’adapter leurs compétences aux nouveaux enjeux de leur emploi, voire de prendre en charge de nouvelles missions. Bien plus que de simplement former les collaborateurs sur l’instant, il s’agit de les accompagner dans la durée et de valoriser et rendre lisible la diversité des parcours, afin de leur permettre de se projeter sur le long terme.

Le recrutement et la mobilité, ensuite, qui permettent à la fois de faire bénéficier la DSI de compétences et de savoir-faire qu’elle n’aurait pas pu développer à partir de son effectif actuel et de créer des passerelles entre domaines de l’entreprise afin de catalyser les synergies.

Au-delà de son aspect purement utilitaire et régulateur, la mobilité permet la fidélisation des talents ; anticipée et proactive, elle rend lisible la promesse employeur en concrétisant les passerelles entre parcours et en désenclavant la DSI.

Sécuriser la transformation : deux leviers pour mettre en place un cercle vertueux

Au final, il s’agit bien de construire un cercle vertueux de la transformation RH. Celui-ci ne peut néanmoins s’inscrire sur le long terme qu’à la condition de sécuriser la transformation à chaque étape.

C’est le rôle du quatrième levier : l’évaluation et la reconnaissance. En tant qu’indicateurs des progrès déjà faits et des axes pour progresser davantage, elles sécurisent le chemin accompli et fiabilisent la trajectoire à venir en fidélisant les collaborateurs.

Cinquième et principal levier, la responsabilisation RH des managers, pourtant clé, est celui sur lequel les DSI pèchent malheureusement le plus. Milieu de techniciens, les DSI ont bien souvent privilégié l’expertise technique… Et l’expérience a montré que les meilleurs experts, aussi précieux soient-ils, constituent rarement les meilleurs managers. Or, c’est bien aux managers qu’incombe la responsabilité d’opérationnaliser la stratégie RH de la DSI en permettant l’alignement des aspirations et compétences des collaborateurs sur les besoins de transformation de la DSI. Ils doivent ainsi être choisis pour leurs compétences en matière de gestion RH.

C’est bien en activant de manière cohérente et adaptée ces cinq leviers RH que pourra se conduire la mutation de la DSI. À l’opposé d’un exercice théorique ou purement administratif, ces leviers permettent la mise en place du canevas indispensable à la construction d’une nouvelle DSI, plus agile, plus réactive, et plus à même de s’adapter constamment aux besoins de ses clients – à condition toutefois de s’inscrire sur le long terme. Nous les détaillerons dans de prochains articles.

Cet article Cinq leviers pour transformer le capital humain de votre DSI est apparu en premier sur RiskInsight.

La technologie n’est pas un enjeu

C’est un truisme : le titre-restaurant dématérialisé n’est rien sans la carte à puce et le système de traitement des transactions. Avec un repas sur six payé de cette façon, le nombre de transactions potentiel atteindrait tous les midis celui que les banques ont à traiter chaque année, lors du dernier samedi avant Noël. D’un SI vieillissant fonctionnant uniquement par batch, les émetteurs se voient contraints de passer à une infrastructure transactionnelle extrêmement performante.

Et pourtant : cette difficulté doit rapidement être écartée et ce serait une erreur que de jeter toutes ses forces dans cette bataille. Quel que soit le flux documentaire ou processus à dématérialiser, le marché regorge de solutions : ici solutions de paiement et réseaux VISA ou Mastercard, ailleurs autre SaaS ou acquisition de licence. Leur mise en place n’est certes pas triviale et il conviendra de prendre en particulier toutes les précautions nécessaires en maîtrise des interfaces et de gouvernance des données. Mais les véritables enjeux se situent sur un tout autre plan.

Un petit saut technologique, un grand bond pour la relation DSI – Métiers

L’expérience le montre : la transposition tel quel de l’existant dans un nouveau contexte technologique conduit à l’échec. Touchant au cœur même des processus, la dématérialisation n’offre en effet pas une opportunité d’optimisation ; elle en pose l’obligation. Dès lors, il s’agit d’un projet purement métier.

Or, la technologisation des processus rend caduque la distinction traditionnelle entre MOA et MOE : la technologie devenant le métier, les métiers devront s’approprier un nouveau vocabulaire et de nouveaux concepts de façon à exploiter au mieux les possibilités de cette technologie. Le rôle de la DSI est alors absolument central : à la fois aiguillon et en garde-fou, elle devra mettre sa culture innovation au service de l’optimisation du fonctionnement de l’entreprise. Ainsi, alors même que les métiers se rapprochent du SI, la DSI devra également évoluer, afin de passer de support technique à partenaire stratégique.

Du changement de forme à la révolution sur le fond

Car il s’agit bien ici de stratégie, au sens le plus plein du terme, tant la refonte des processus va in fine bien au-delà du périmètre traditionnel de l’excellence opérationnelle ; c’est le business model même de l’entité concernée qui devra en effet être repensé.

Revenons sur ce point à l’exemple du titre-restaurant

La gestion du titre devenant totalement automatisée, le prélèvement de frais devient difficile à justifier. Les émetteurs pâtissent de plus de l’analogie avec le modèle bancaire, dans lequel les taux de commission sont traditionnellement inférieurs. De plus, les cycles de remboursement des titres aux restaurateurs se raccourcissent, diminuant d’autant la trésorerie. En parallèle, afin de gérer leurs cartes, les émetteurs se trouvent contraints à prendre la relation directe avec les centaines de milliers de porteurs de cartes dont ils ignoraient jusqu’alors tout. C’est ainsi leur métier même qui s’en trouve bouleversé : propulsés du B2B au B2C, ils sont contraints de se transformer radicalement, tout en recherchant les leviers de croissance permettant de préserver leur marge.

Une réflexion amont sur l’ensemble des axes du business plan est ainsi le prérequis à la réussite d’un tel projet. Au-delà du titre restaurant, toute organisation se lançant dans un projet de dématérialisation doit prendre pleinement conscience de la nature réelle d’une telle entreprise. Celle-ci rend nécessaire la construction d’une vision holistique, centrée sur le business et canalisée par les opportunités techniques, pour cadrer puis conduire un véritable projet de transformation dont la technologie, à la fois élément déclencheur et ligne de fuite, n’est au final qu’un point de détail.

Cet article Dématérialisation : éviter le saut technologique dans le vide est apparu en premier sur RiskInsight.

Fin 2009, le ministère marocain de l’Industrie, du Commerce et des Nouvelles Technologies a lancé un vaste programme visant à développer l’usage de la technologie numérique au sein du royaume. Celui-ci a conduit notamment à une informatisation croissante des PME et de l’administration et à une meilleure accessibilité de la population à Internet.

En parallèle de cela, les dispositifs législatifs communautaires contraignent fortement l’échange de données entre l’Europe et ses voisins, complexifiant  le développement d’activités d’offshoring au Maroc.

Il devenait donc indispensable, d’une part, d’apporter au citoyen les garanties indispensables face à une hausse de l’informatisation et aux inquiétudes que cela peut générer (atteintes à la vie privée, spams commerciaux, etc.), et, d’autre part, de constituer un terrain favorable à l’afflux de capitaux internationaux.

C’est là tout l’objet de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, équivalent marocain de la Loi Informatique et Libertés française.

Pour les entreprises, outre le respect d’une nouvelle obligation légale, il s’agit dès lors de maintenir puis faciliter les échanges avec ses partenaires européens et de protéger son image, voire de faire de son souci de la protection de la vie privée un véritable atout concurrentiel.

Que dit cette loi ?

Afin de faciliter sa reconnaissance par l’Union Européenne, le législateur marocain s’est grandement inspiré des textes communautaires et en particulier français en la matière. On retrouve ainsi dans ce texte les mêmes principes que dans ses homologues européens :

• Un traitement de données à caractère personnel doit avoir une finalité précise, à laquelle il convient de se tenir, et une durée de mise en œuvre limitée, en fonction de la finalité. Un strict principe de proportionnalité doit ainsi être respecté : seules les données permettant l’atteinte de la finalité fixée doivent être manipulées.
• Les traitements doivent faire l’objet d’une déclaration ou d’une demande d’autorisation, en fonction de leur sensibilité.
• Ils doivent être sécurisés, en particulier pour éviter tout vol ou fuite de données.
• Ils doivent être mis en œuvre en toute transparence. Les personnes concernées doivent être informées et ont un droit de regard sur l’utilisation de leurs données.

Une commission dédiée, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est ainsi instaurée pour assurer le respect de cette loi.

Cette similarité des principes entraine bien sûr les mêmes difficultés pratiques, en particulier liées au champ d’application extrêmement étendu des définitions : la grande majorité des traitements mis en œuvre par les entreprises et administrations s’avèrent en effet être des traitements de données à caractère personnel.

Quelles conséquences concrètes pour les entreprises marocaines ?

Les entreprises marocaines ne disposent plus aujourd’hui que d’un lapse de temps réduit pour mettre en conformité l’ensemble de leurs pratiques. De manière concrète, elles ont un certain nombre d’actions à réaliser. Elles doivent ainsi inventorier l’ensemble des traitements, effectuer les évolutions nécessaires, notamment pour respecter le principe de proportionnalité, réaliser les déclarations, faire un bilan de sécurité et lancer les actions nécessaires, y compris auprès des sous-traitants, mettre en œuvre les modalités d’information des personnes, etc. Un terme devra de plus sans doute être mis à un certain nombre de pratiques de démarchage, celui n’étant plus autorisé que dans un cadre précis.

Au-delà de ce projet de mise en conformité, il conviendra sans doute de refondre un certain nombre de processus de l’entreprise, notamment les processus projet, et ainsi d’assurer un maintien dans le temps du niveau de conformité atteint.

D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître.

Par ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra demain de répondre à des impératifs bien plus grands et bien plus pressants.

Cet article Protection des données à caractère personnel : le Maroc renforce son arsenal juridique (avec la Loi 09-08) est apparu en premier sur RiskInsight.

Les chiffres donnent le vertige : lors de la préparation de son introduction en Bourse, Facebook a évalué ses 850 millions d’amis à 100 milliards de dollars.

De son côté, Google recentre de plus en plus ostensiblement son business model sur la collecte et la valorisation des données relatives à ses utilisateurs et du profilage qu’il en déduit.

Car ces données à caractère personnel constituent bien, des mots mêmes de Viviane Reding, la devise des marchés numériques d’aujourd’hui. Et la commissaire européenne à la Justice d’en déduire : et comme toute monnaie, celle-ci requiert stabilité et confiance. Ce n’est que lorsque les consommateurs pourront avoir pleinement confiance en la protection de leurs données qu’ils continueront à les confier aux entreprises et autorités, à acheter en ligne et à accepter de nouveaux services.

La vie privée à l’heure des nouvelles frontières du numérique

Jusqu’à présent, le droit européen en matière de protection des données à caractère personnel se fonde sur une Directive de 1995, écrite alors qu’Internet n’en était qu’à ses balbutiements.

Depuis, la part d’Internet dans les communications mondiales est passée de 1% à plus de 97%. Cette internationalisation des échanges de données, en parallèle de la monétisation croissante des données, met en évidence les limites et insuffisances de la législation actuelle.

En ce sens, le projet de refonte dévoilé le 25 janvier dernier est doublement intéressant.

Tout d’abord, là où l’on attendait une nouvelle Directive, la Communauté a publié un Règlement : bien loin d’une coquetterie de juriste, il s’agit d’affirmer une approche radicalement différente de celle qui était jusqu’alors en œuvre et fortement décriée. Un Règlement a ceci de spécifique qu’il s’applique directement aux membres, sans qu’ils aient à l’intégrer à leur droit national. En effet, alors que les frontières existent de moins en moins pour les flux de données, il a été estimé que les disparités dans les traductions nationales du droit communautaire en la matière coûtent à elles seules jusqu’à 2,3 milliards par an aux entreprises.

L’objectif, réaffirmé en introduction du document, est donc bien de s’adapter à un monde ouvert et d’harmoniser la protection des données au niveau européen.

Les enjeux, ensuite, ont très clairement évolué. En 1995, le législateur mettait le citoyen au cœur de ses préoccupations, puisqu’il entendait le protéger contre l’informatisation croissante des entreprises et des États. En 2012, maturité aidant, les enjeux économiques et commerciaux sont passés au premier plan : il ne s’agit plus uniquement de protéger la vie privée – ce droit à la vie privée est passé dans les mœurs – mais d’apporter confiance au citoyen (et consommateur) et sécurité juridique aux opérateurs privés et publics.

Les réseaux sociaux en ligne de mire

Un Règlement donc, pour la forme.

Sur le fond, cette proposition s’attaque sans surprise aux nouveaux enjeux liés au développement des réseaux sociaux.

Elle pose ainsi de nouvelles règles, spécifiques au traitement des données à caractère personnel relatives aux enfants de moins de 13 ans, qui sera désormais soumis à l’autorisation de leurs parents. Elle instaure également explicitement un droit à l’oubli numérique, y compris pour les données rendues publiques par la personne. Les pratiques de profilage, telles que celles mises en œuvre par Google, requerront quant à elles le consentement explicite des personnes concernées.

En réaction à la démocratisation d’Internet, elle rend de plus obligatoire la mise en place de canaux électroniques pour l’exercice des droits d’accès et de modification, tout en imposant un délai raisonnable du traitement des demandes.

Une amende à 500 millions de dollars

Si chaque État reste maître dans la définition des sanctions pénales en cas de non-respect des exigences du Règlement, les sanctions administratives sont, elles, considérablement augmentées puisqu’elles pourront atteindre 1 million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise. À titre d’illustration, la sanction maximale prononcée l’année dernière par la CNIL à l’encontre de Google s’élevait à 100 000 €. Demain, elle pourra s’élever à près de 500 millions de dollars…

Vers l’obligation d’un système de management de la protection des données à caractère personnel

Ultime raffinement de l’existant, directement inspiré des meilleures pratiques du marché, cette proposition de Règlement pourrait accélérer la mise en œuvre de systèmes de management de la protection des données à caractère personnel.

On connait les systèmes de management tels que définis dans les normes ISO : par exemple, la qualité, dans l’ISO 9001 (SMQ), la sécurité, dans l’ISO 27001 (SMSI), ou encore l’environnement, dans l’ISO 14001 (SME).

De manière analogue, figurent en effet explicitement dans le texte :

• A l’instar de l’analyse de risque, qui guide la mise en œuvre des mesures de sécurité dans un SMSI, l’obligation :

– De conduire des analyses d’impacts relatifs à la vie privée sur les traitements les plus sensibles.

– De prendre en compte la protection des données à caractère personnel dès la conception des systèmes (le privacy by design anglo-saxon), en fonction des coûts des mesures de sécurité et de l’état de l’art en la matière.

• A l’instar du contrôle, ensuite, qui fonde l’amélioration continue dans les différents systèmes de management cités, un devoir d’audit de l’efficacité des mesures par le responsable de traitement.

Argument complémentaire, si besoin en était, pour la mise en place de tels systèmes : si les formalités déclaratives disparaissent, en contrepartie de l’obligation de désigner officiellement un correspondant aux données à caractère personnel (le CIL français), l’obligation de notification des violations aux traitements de données à caractère personnel, actuellement valable pour les opérateurs télécoms, s’appliquera à l’ensemble des secteurs.

Les critiques de la CNIL

Ce projet de Règlement constitue ainsi une volonté de synthèse entre les meilleures pratiques du marché et des réponses pragmatiques aux difficultés des organismes, en particulier multinationaux, à répondre aux exigences actuelles.

Dans sa volonté d’harmonisation et de renforcement de la coopération européenne en la matière, la Commission propose ainsi un fonctionnement en mode guichet unique : si le justiciable peut s’adresser à l’autorité de contrôle (les CNIL européennes) de son choix, chaque entreprise est placée sous la responsabilité d’une autorité unique, en fonction de la localisation de son siège européen.

Et c’est là que le bât blesse.

Dans un communiqué publié début mars, la CNIL s’est ainsi fait la voix des nombreux détracteurs de cet aspect du Règlement. Intitulé La défense de la vie privée s’éloigne du citoyen, cet article fait état de l’opposition ferme de la commission à ce principe, qui constitue, selon ses termes, une véritable régression vis-à-vis des droits des citoyens.

Pour autant, la majorité des autres points du Règlement ont d’ores-et-déjà emporté l’adhésion de nombreux spécialistes du sujets, juristes et opérationnels. Les organismes seraient donc bien avisés dès maintenant de les intégrer à leur réflexion afin d’être à même de respecter les futures exigences légales.

Et Facebook ne s’y est pas trompé, qui a fait figurer en bonne position parmi les risques mentionnés dans son dossier d’introduction en bourse le durcissement de la législation en matière de données à caractère personnel.

Cet article La vie privée à 27 : encadrer la ruée vers l’or numérique est apparu en premier sur RiskInsight.

On l’a dit, ces jumelles ciblaient tout particulièrement les sites étrangers.

Bien plus, la version de travail en cours allait même jusqu’à exclure explicitement les sites gérés par des registres de niveau 1 (Top Level Domain – TLD) américains, c’est-à-dire tous les sites dont l’extension est .com, .org ou encore .net.

Et pour cause : l’arsenal juridique nord-américain permet déjà aux Etats-Unis d’avoir la main sur l’ensemble de ces sites, soit plus de la moitié de l’internet mondial.

En ce sens, la fermeture, le 20 janvier dernier, de Megaupload.com par le FBI est particulièrement instructive.

Megaupload, Méga-blackout J+1

Le sujet a déjà été longuement commenté. En particulier, il a été beaucoup rappelé que Megaupload, site de téléchargement direct, était géré par une société basée à Hong-Kong.

Il s’agit pourtant bien d’un site ciblant le marché américain : outre une interface rédigée en anglais et un nom de domaine en .com, c’est une grande partie de son business model qui apparait made in the USA : près d’un millier de serveurs hébergés aux États-Unis pour un coût de plusieurs millions de dollars US par an, des paiements reçus de résidents américains ou des primes versées par Megaupload vers ces mêmes citoyens, par l’intermédiaire d’une société américaine (PayPal), des revenus générés par des publicités gérées par des entreprises américaines (Google AdSense et AdBrite), etc.

S’applique alors un principe sur lequel converge aujourd’hui le droit mondial : puisque Megaupload générait des bénéfices sur une juridiction américaine, légitimement, Megaupload doit se conformer à sa législation et donc se soumettre à ses sanctions.

De plus, l’ICE – les douanes américaines (US Immigration and Custom Enforcement) – dispose déjà d’un arsenal juridique lui permettant de saisir les noms de domaines.

C’est ainsi sur la base du PRO-IP Act de 2008, que Verisign, l’entreprise qui gère la racine .com pour le compte de l’ICANN, déconnectait Megaupload, tandis que les serveurs de la société hébergés dans l’État de Virginie étaient saisis.

Vers la fin de l’internet ?

En France, l’entrée en application de la loi Hadopi a eu pour effet pervers la popularisation extrêmement rapide de technologies permettant de la contourner et le développement prodigieux d’autres modes de piratage.

D’ores et déjà, d’aucuns n’ont pas manqué de signaler qu’un blocage au niveau DNS peut être aisément contourné par un certain nombre d’outils, dont il est fort à parier qu’ils se diffuseront tout aussi rapidement en cas de vote des lois PIPA et SOPA, les rendant de facto obsolètes.

Par ailleurs, le risque d’assister au développement de DNS alternatifs est grand, échappant à toute tentative de régulation de la part des États. Les fondateurs de Piratebay, célèbre site de téléchargement majoritairement illégal, ont ainsi déjà annoncé travailler à un DNS décentralisé, en mode peer-to-peer.

Plus généralement, fleurissent de plus en plus des initiatives visant à empêcher tout contrôle, en contournant la semi-centralisation de l’internet mondial. En particulier, et de façon tout-à-fait ironique, citons les projets soutenus par le gouvernement américain pour soutenir les dissidents face à des régimes exerçant une censure sur le web.

Il est donc possible que ce type de législation, plus que réguler Internet, en précipite la transformation. Web social poussé dans ses ultimes retranchements, le web 3.0 pourrait être l’avènement du web maillé, en peer-to-peer.

Aujourd’hui, la lutte tout à fait légitime contre le piratage pourrait de fait totalement bouleverser l’architecture même d’internet.

L’enfer est, dit-on, pavé de bonnes intentions.

Lire l’épisode 1 : Mega-blackout

Cet article Captain America contre la ligue des gentlemen téléchargeurs returns – Épisode 2 : Megaupload est apparu en premier sur RiskInsight.

S’il s’agit bien évidemment de lutter contre la contrefaçon de biens, c’est bien le piratage et ses multiples avatars, du peer-to-peer au streaming via le téléchargement direct, qui sont en ligne de mire.

Les législateurs mondiaux en quête d’un modèle contre la violation de droits d’auteur en ligne

Contre ce téléchargement, les initiatives se sont multipliées, et elles voient de plus en plus grand.

En France, l’Hadopi, technologiquement dépassée avant même sa naissance , en 2009, car ne ciblant ni le streaming si le téléchargement direct, permettait de couper la ligne des personnes soupçonnées de téléchargement illégal.

En Europe, avant d’être contredite par la Cour de Justice en 2010, la Belgique ordonnait à un FAI le blocage de l’accès à des sites soupçonnés de mettre en ligne des contenus illégaux.

Aux États-Unis, deux projets de loi en cours de discussion, PIPA (Protect IP Act) et SOPA (Stop Online Piracy Act), visent la pure et simple suppression de ces sites.

PIPA / SOPA, armes de destruction massive 2.0 ?

Le projet PIPA s’inscrit dans la droite ligne du PRO-IP Act, loi fédérale signée par le président G.W. Bush en octobre 2008. celle-ci, qui doublait déjà les sanctions possibles en cas de contrefaçon, donnait  au Department of Justice la possibilité de lancer des poursuites au nom des ayant-droits.

Contrairement à la PRO IP Act, qui visait les sites américains, PIPA vise tout spécifiquement les sites étrangers. Elle définit ainsi une série de mesures radicales contre les atteintes à la propriété intellectuelle :

• Asphyxie financière, à travers la suspension de la publicité ou l’interdiction des transactions depuis les services de paiement américains (Paypal, etc.).

• Blocage d’accès, notamment à travers un déréférencement des moteurs de recherche voire un blocage par les principaux fournisseurs d’accès américains.

Bien plus, le tribunal peut exiger la mise en œuvre de toutes mesures techniques faisables et raisonnables pour empêcher l’accès à ces sites. Ainsi, il peut être ordonné à des prestataires de noms de domaine ou des gestionnaires de registres de bloquer ou supprimer les noms de domaine délictueux.

Déposé auprès de la Chambre des représentants, le projet SOPA, très proche du PIPA sénatorial, pousse la logique plus loin en mettant directement l’ayant-droit au cœur du dispositif. C’est en effet directement lui, et non plus un tribunal, qui peut s’adresser à ces intermédiaires techniques ou financiers pour mettre fin au préjudice dont il s’estime victime.

Les réactions ne se sont pas faites attendre. Le 18 janvier, certains des sites internet les plus visités au monde se faisaient l’écho de l’inquiétude des abonnés en organisant une des premières « grèves » du web, une journée de blackout durant laquelle Google, Wikipédia, Tumblr, Mozilla, Vimeo, Flickr, Craiglist et des centaines d’autres sites ont a minima affiché un message de protestation en lieu et place de leur page d’accueil habituelle.

De son côté, la Maison Blanche elle-même annonçait qu’elle userait de son droit de véto pour bloquer tout texte mettant en question l’architecture même d’Internet.

Un collectif d’éminents juristes, de son côté, publiait une tribune démontrant les limites et surtout l’inconstitutionnalité du projet.

Le 20 janvier, le Congrès, rassemblant la Chambre des Représentants et le Sénat, reportait sine die l’examen des projets SOPA et PIPA.

Mais l’affaire n’en reste pas là… Car même sans ces textes de lois, des actions sont possibles. (A suivre…)

Lire l’épisode 2 : Megaupload

Cet article Captain America contre la ligue des gentlemen téléchargeurs – Épisode 1 : Mega-blackout est apparu en premier sur RiskInsight.

Viviane Reding, juillet 2011

Été 2011 : alors que la presse bruissait des déboires sécuritaires de Sony, Sega ou autres FBI, la profession de foi de la commissaire européenne en charge de la justice est passée relativement inaperçue mais elle présage un réel changement dans les pratiques des entreprises quant à leur gestion des atteintes à la sécurité des données.

Ce changement est une réalité dès aujourd’hui pour les fournisseurs d’accès et les opérateurs télécoms depuis l’adoption du Paquet Télécom et sa déclinaison attendue en droit français.

L’obligation de notification bicéphale du Paquet Télécom : sécurité et données à caractère personnel

Noël 2009 : la Commission Européenne dépose au pied du sapin des législateurs nationaux un volumineux paquet d’exigences. Composé de deux directives, ce Paquet Télécom vient mettre à jour et modifier le précédent paquet de 2002, essentiellement retranscrit dans le droit français via le Code des Postes et des Communications Électroniques (CPCE). Parmi les nouveautés, figure la médiatique obligation de sécurité à travers notamment deux obligations de notification, s’appliquant respectivement à la sécurité des réseaux et à la protection des données à caractère personnel.

Sans doute frémissant encore de la cyberattaque ayant paralysé l’Estonie en 2007, le législateur européen fait en effet de la sécurité des réseaux de communication une obligation inconditionnelle du métier de fournisseur de réseau. Celui-ci est alors tenu de mettre en place un niveau de sécurité adapté au risque existant et de se soumettre à des audits indépendants. A ceci s’ajoute un strict devoir de transparence en la matière vis-à-vis de l’autorité concernée. Ainsi, tout incident de sécurité ayant un impact significatif sur le fonctionnement des réseaux et systèmes devra être porté à sa connaissance, le public n’étant informé que s’il est jugé d’utilité publique de le faire.  Cette obligation est très certainement une première étape vers la création d’un standard de sécurisation européen des réseaux.

La seconde obligation de notification vise quant à elle à inciter les fournisseurs et opérateurs à une vigilance accrue en matière de protection des données. Elle impose ainsi de notifier sans retard indu l’autorité compétente de toute violation de données à caractère personnel, c’est-à-dire de toute violation entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux données. Les impacts ne sont pas nuls. Ils deviennent même considérables lorsque l’on ajoute que les abonnés ou personnes concernées doivent également être informées dès lors que cette violation peut avoir un impact sur eux

Quid des opérateurs et FAI français ?

En France, une loi votée en mars 2011 autorise le gouvernement à transcrire ce Paquet Télécom dans le droit national via une ordonnance, ce qui devait intervenir avant fin septembre. C’est chose faite depuis hier, l’ARCEP ayant publié sur son site l’Ordonnance le transcrivant en droit français (cf. encadré en fin d’article).

Ainsi, si les modalités doivent encore en être précisées, les notifications de violation de traitement à caractère personnel devront être effectuées auprès de la CNIL, qui appréciera les efforts déployés par les opérateurs et FAI en réponse aux incidents. Elle pourra également les mettre en demeure d’informer leurs abonnés, et sanctionner les entreprises en cas de manquement.

D’ici là les acteurs concernés doivent sans attendre s’assurer que leur gestion de la sécurité leur permet :

• D’assurer un niveau adapté aux risques, y compris sur les périmètres sous-traités à des tiers.
• De détecter et de répondre rapidement aux incidents de sécurité.
• De répondre aux sollicitations de l’autorité compétente et d’être à même de lui démontrer du niveau de sécurité mis en place.
• De gérer une communication de crise efficace et adaptée aux violations de données.

Par ailleurs, il semble dès à présent que les fuites de données chiffrées, et donc rendue inutilisables directement,  n’auront pas à être notifiées aux abonnés. L’inventaire et la cartographie des données à caractère personnel sur le SI des opérateurs apparaissent donc être des chantiers indispensables, en tant que vecteurs de maitrise et donc de sécurité mais également comme première étape d’un programme plus vaste de protection. Celui-ci incluant notamment le chiffrement, mais pas uniquement, la Commission mentionnant très clairement l’utilisation des bonnes pratiques et normes internationalement reconnues et met en avant des principes proches de la norme ISO 27001.

Après les télécoms : à qui le tour ?

2012 ? Et ce qui est vrai pour les opérateurs et FAI le sera sans doute très prochainement également pour les autres secteurs, comme l’attestent les déclarations de la commissaire européenne en charge de la justice. Chez nos voisins américains, allemands, irlandais ou néerlandais notamment, les législations ont fleuri ces dernières années afin d’instaurer une telle transparence.

Le législateur européen n’est pas en reste. Il qui indique dans la longue introduction aux exigences du Paquet Télécom : L’intérêt des utilisateurs à être informés ne se limite pas, à l’évidence, au secteur des communications électroniques, et il convient dès lors d’introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs

Le sens de l’histoire est ainsi bien à la notification systématique de tout incident de sécurité. Le projet de loi dit Informatique et Libertés (LIL) 3, déjà adopté au Sénat, en France, le confirme.

Que dit l’ordonnance du 25/08/2011?

L’ARCEP publie aujourd’hui sur son site l’Ordonnance transcrivant le paquet Télécom en droit français. S’il est confirmé que les atteintes aux données à caractère personnel devront bien être notifiées à la CNIL, sous peine de 5 ans d’emprisonnement et de 300 000€ d’amende, la notification des failles portant sur la sécurité et l’intégrité des réseaux n’est quant à elle pas directement mentionnée.  En revanche, l’obligation pour les opérateurs de se soumettre la sécurité de leurs installations, services et réseaux à des contrôles imposés par l’État est à présent reprise dans l’article 6 du Code des Postes et Communications Électronique (CPCE). Un décret en Conseil d’État viendra en préciser les modalités d’application.

Cet article Notification des atteintes à la sécurité des données : étape 1, les opérateurs télécoms est apparu en premier sur RiskInsight.

Une nouvelle bataille juridique s’ouvre entre les États-Unis et l’Europe. En jeu cette fois-ci, le Cloud Computing. L’’affiche ? USA Patriot Act Vs. Directive Européenne de protection des données à caractère personnel.

D’un côté, l’USA Patriot Act. Véritable épouvantail de l’externalisation et fer de lance de la lutte antiterroriste US, il autorise les écoutes et la capture de données par les autorités américaines, avec un encadrement judiciaire permettant de le faire à l’insu de leur propriétaire… Il constitue l’argument le plus précieux des opposants de l’hébergement de données aux Etats-Unis.

De l’autre, la Directive européenne pour la protection des données à caractère personnel. Mère européenne de la Loi Informatique et Libertés française, elle encadre fortement le traitement de données en dehors de frontières de l’Union et, plus généralement, leur accès non légitime et non autorisé par le responsable de traitement. Bien plus, elle le rend pénalement responsable de tout accès tiers non signalé aux propriétaires des données.

Au centre, Microsoft. Le géant de Redmond consent des efforts importants pour être en conformité avec les réglementations sur les données à caractère personnel. En particulier, leur adhésion aux principes du Safe Harbor , qui, en dépit de certaines limites, constitue une garantie jugée suffisante par l’Europe pour que soit autorisé le transfert de données à caractère personnel vers une entreprise américaine. D’autre part la mise en place d’un Cloud européen, aux serveurs dédiés et localisés strictement au sein des frontières de l’Union ensuite, offre une solution simple pour la conformité.

A l’origine de la bataille, une conférence dédiée au lancement d’Office 365. Le directeur Royaume-Uni de Microsoft a alors reconnu tout haut ce que bon nombre de spécialistes du secteur murmuraient déjà : son siège social étant domicilié aux Etats-Unis, Microsoft est soumis au droit national… et doit donc appliquer l’USA Patriot Act y compris sur le sol européen.

Et ceci est vrai pour l’ensemble des fournisseurs américains de services de Cloud computing ! Ils pourraient ainsi être amenés à communiquer aux autorités américaines des données de leurs clients européens, en dehors de tout cadre légal national ou communautaire.

Cette transparence soudaine signe-t-elle le début de la fin du Cloud computing made in USA ? ou s’agit-il d’une opportunité de croissance inespérée pour les fournisseurs européens ? Doit-on s’attendre à une migration massive des premiers vers les seconds ?

Ce qui est vécu comme une ingérence américaine sur le terrain législatif communautaire est aujourd’hui examiné par la Commission Européenne, qui s’est saisie du sujet.

Sans préjuger en rien des conclusions des débats d’ores et déjà très animés sur le sujet, cette bataille mérite d’être suivie avec attention.  Et permet de rappeler l’importance d’une analyse de risques, y compris juridiques, avant tout recours à un fournisseur externe…

Cet article La guerre des réglementations aura-t-elle raison du cloud computing? est apparu en premier sur RiskInsight.