Même si plus de 85% des entreprises sont dotées de dispositifs de compliance, près de 60% d’entre elles ne sont que partiellement à jour dans leurs obligations (source : étude sur l’état des lieux en matière de compliance et d’anti-corruption dans les entreprises, Association Française des Juristes d’Entreprise (AFJE) et Ethicorp.com, 2020).

La sécurité en entreprise et la compliance sont des sujets encore peu ou mal maîtrisés au sein des entreprises. Pourtant, ils sont très importants !

Dans cet article, l’équipe d’Hyperlex vous explique pourquoi.

Sécurité et certification ISO/IEC 27001:2013

Depuis le début de l’histoire d’Hyperlex, la sécurité a été mise au premier plan. Alexandre Grux, CEO d’Hyperlex le dit lui-même :

Depuis sa création, Hyperlex a placé la sécurité au cœur de son ADN.

Chaque nouveau salarié qui commence l’aventure Hyperlex va recevoir à son accueil un (magnifique) sweat-shirt, mais surtout, une liste de consignes de sécurité qu’il s’engage à respecter en signant la charte SI.

Ce “guide du nouvel arrivant” explique tout sur l’importance du chiffrement des données des ordinateurs, sur la nécessité de choisir des mots de passe puissants, mais également le fait de devoir verrouiller en permanence les postes de travail dès lors qu’ils ne sont pas utilisés, ainsi que l’accueil des visiteurs avec une procédure particulière à respecter, etc.

Hyperlex a notamment procédé à :

  • La zonification de ses locaux avec accès par badge.
  • Une politique de responsabilisation du matériel est également en place : pas de matériel sensible laissé au bureau sans surveillance afin d’éviter le vol d’actifs.
  • Un chiffrement des ordinateurs contenant des informations sensibles.
  • Une étude de ses fournisseurs de logiciels pour qu’ils soient sécurisés.

Ainsi, l’équipe d’Hyperlex a pu déterminer les actifs de la société, identifier les paramètres à certifier et respecter les réglementations en vigueur afin d’identifier et répondre aux exigences légales et réglementaires applicables.

La certification ISO/IEC 27001:2013 est destinée aux entreprises qui ont mis en place une procédure de sécurité maximale sur tous les points qui ont été expliqués précédemment. Un véritable suivi de chaque procédure de sécurité est enregistré, analysé et est soumis à un contrôle régulier. Hyperlex a obtenu cette certification ! Lire notre communiqué de presse.

🤔 Le saviez-vous ? La certification ISO/IEC 27001:2013 est desservie à un nombre encore faible en France (392), mais tend à s’étendre de plus en plus avec le temps, car l’information va être de plus en plus numérisée.

 

👉 A lire aussi : Comment protéger ses données contractuelles à l’ère du cloud ? 

Compliance, définition

La compliance (qui vient de l’anglais et signifie “conformité”) regroupe l’ensemble des processus destinés à ce qu’une entreprise respecte des normes visant à la protection des données sous toutes leurs formes. Ces données peuvent être celles de personnes internes à l’entreprise, ou externes, traitées par vous-même ou par des sous-traitants.

 

Qui est chargé de porter le respect de la compliance ?

Chaque entreprise doit nommer un compliance officer qui doit s’assurer du bon déroulement des codes éthiques ou RSE (responsabilité sociétale des entreprises), de la lutte contre la fraude, etc. Le compliance officer devra faire appliquer les bons process internes par les collaborateurs.

 

👉 Webinar à voir ou revoir : Sécuriser les données juridiques de l’entreprise dans le cloud

 

La RGPD, un exemple parlant de compliance

La RGPD (Règlement Général sur la Protection des Données), applicable depuis le 25 mai 2018, (ou GDPR General Data Protection Regulation en anglais), est une loi qui vise à protéger les données des personnes et ce, qu’elles permettent de les identifier directement (prénom, nom…) ou indirectement (numéro de téléphone, identifiant…).

Ainsi, tous les organismes ou sociétés effectuant de la collecte de données sont soumis à cette loi et ce, indépendamment de leurs secteurs d’activité ou de leurs tailles. Le but étant ici d’aider à renforcer les droits des personnes, responsabiliser les organismes collectant et traitant des données, et faire coopérer ces organismes entre eux pour assurer le bon suivi des informations transitant en toute sécurité.

Ces collectes de données peuvent se faire au quotidien via des formulaires, des questionnaires ou autre. Il faut donc, comme le demande la CNIL, respecter les droits des personnes en matière de consultation ou de suppression de leurs données, les trier et surtout les sécuriser.

👉 A lire aussi : Comment sécuriser ses relations contractuelles ?

ISO/IEC 27701:2019

Depuis quelques années, le volume d’informations dématérialisées a augmenté considérablement et par conséquent les risques associés ont augmenté aussi. 

C’est pourquoi les TPE et PME souhaitent acquérir une preuve de la fiabilité de leur sécurité des données personnelles, l’extension de certification ISO/IEC 27701:2019.

Mais alors, c’est quoi cette fameuse certification ?

La certification ISO/IEC 27701:2019 est une extension de la certification ISO/IEC 27001:2013 qui permet d’englober en plus de la sécurité au sens large, la protection de l’information. Les besoins de sécurité de ces données sont de plus en plus importants depuis la numérisation des données et il devient indispensable de respecter les demandes des personnes dont les informations ont été prélevées. 

Cette certification témoigne aux clients et partenaires d’une société que l’entreprise a mis en place les moyens les plus optimaux pour protéger leurs données. Cela peut se traduire par un suivi de chaque donnée dans le cadre d’un traitement réalisé par l’entreprise (traitement des données personnelles d’une vidéo surveillance ou lors de la reprise de contrats par exemple), mais également lors du sous-traitement de ces informations. 

Il y a donc une procédure stricte qui est faite lors de la collaboration avec un nouveau sous-traitant pour savoir : 

  • Si lui-même est certifié ISO/IEC 27701:2019 ou SOC 1-2-3 (Service Organization Control).
  • S’il respecte bien les consignes de protection des informations personnelles depuis le début.
  • Si son stockage des données se fait bien dans l’Union Européenne (la loi ne s’applique pas de la même façon en dehors de la zone UE et n’est donc pas soumise aux mêmes réglementations).
  • Quels sont ses processus et méthodes de traitement des données personnelles.

Pour faire lien avec la RGPD, la certification ISO/IEC 27701:2019 va demander aux entreprises comme Hyperlex d’effectuer un suivi maximal de ces informations, en enregistrant chaque information et surtout chaque demande de consultation ou de suppression de ces dernières par notre organisme ou un sous-traitant.

Il est donc important, en cas de demande de suppression de données personnelles de la part d’un client, d’enregistrer la demande, en notifier le sous-traitant et informer le client. Toutes ces procédures permettent un contrôle et un suivi maximal du respect des informations personnelles.

Ainsi, nous avons une traçabilité complète dans un fichier qui montre bien que chaque étape a été réalisée avec la plus grande précision et rigueur possible.

 

Vous souhaitez contacter notre équipe ? 👇

 

Je contacte l’équipe

 

Lisez aussi :