Vous êtes dans : Accueil > Tribunes libres >

Le père Noël est en avance à la CNIL

Cédric Cartau, LUNDI 04 DéCEMBRE 2017

Le 29 novembre dernier s’est tenu au Ministère de la santé le traditionnel colloque SSI, organisé par la DGOS et avec une forte implication de Frédérique Pothier, qui « commet » encore un sans faute dans l’organisation. Ceux qui ont assisté à cette édition ainsi qu’aux précédentes savent que le temps fort est à chaque fois la séquence « Cela n’arrive pas qu’aux autres », avec des récits tantôt désopilants tantôt effrayants d’incidents IT en tout genre.

Mais cette année, une séquence mérite quelques lignes, car en effet la CNIL – en la personne de Thomas Dautieu – est intervenue sur le RGPD (what else?) et le moins que l’on puisse dire est que l’intervention en question a réussi le tour de force de passer par un trou de souris, s’entend trouvé l’exact forme (et fond) entre l’exhaustivité du propos, et la synthèse de ce domaine. Je vous la fait courte : avec le RGPD, on ne peut plus triturer des données nominatives sans s’être posé un minimum de questions et autant que faire se peut avec un brin de bonne foi. Le reste n’est que littérature, TJM et quincaillerie.

Mais la CNIL a aussi apporté les chocolats en avance de phase, puisque dès le 23 novembre nous avons tous reçu cette annonce de la mise en ligne (ici[1]) d’un outil d’aide à l’appréciation des risques (PIA ou EIVP), que votre serviteur a pris sur lui de tester.

Commençons par ce qui ne va pas, ça va être court. D’abord, la version MAC n’est pas signée, ce qui oblige à ouvrir les Préférences pour valider l’exception signalée par MacOS. Ensuite et surtout, le progiciel est basé sur la notion d’étapes avec validation, et ce n’est pas forcément clair mais une fois que l’on a validé une étape impossible, absolument impossible (ou alors j’ai raté l’option) de corriger une erreur. Je ne vois donc pas trop comment on va faire vivre une appréciation des risques. N’oublions cependant pas que le progiciel est toujours en version bêta.

Mais le gros point positif du progiciel (outre qu’il existe à la fois sur MAC et PC) est qu’il a le mérite de clarifier les étapes à suivre, il faudrait vraiment avoir le quotient intellectuel d’une vache laitière pour ne pas y arriver, même si cela réclamer tout de même un peu de temps pour arriver au bout des étapes (un peu d’aide en ligne ne ferait pas de mal du reste). Et le noyau dur de l’appréciation des risques est absolument limpide, une version allégée d’EBIOS qui ravira les plus sceptiques. 

Bref à part la cartographie des traitements (que personne ne fera à votre place) et éventuellement un diagramme des étapes englobant le PIA (j’ai fait le mien sous forme de mind mapping implémentant la roue de Deming PDCA), je ne vois pas trop ce qu’il faut de plus.

Un peu de temps peut être, mais il reste quasiment 6 mois, alors...

[1]   https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil 

#progiciel#dgos#ssi#cnil#RGPD#logiciel#


Les plus lus