Transformation digitale

Archives:Transformation digitale

Data Protection Officer

DPO, Responsable de traitement, Responsable légal : ne vous trompez pas de cible

Le RGPD a introduit des nouvelles responsabilités quant aux données personnelles des clients et des citoyens.

 

Ces nouvelles règles du jeu ont fait apparaître de nouvelles missions dans vos organisations. Les organismes officiels ont donc inventé les nouveaux métiers en charge de ces missions et réparti les responsabilités de chacun.

 

Jusque-là rien à dire, c’est un progrès, mais ces nouveaux métiers n’existaient pas jusqu’à présent et leurs responsabilités respectives méritent d’être éclaircies. Quand bien même cela ne serait que pour évaluer les compétences requises pour chacun.

 

 

Le responsable de traitement 

 

 

Il est le référent d’un traitement particulier, que cela soit pour les données que celui-ci héberge, ou les actions dont il est le sujet.

 

Le choix de l’acteur concerné se portera donc naturellement vers le responsable applicatif, le chef de projet, un responsable d’exploitation, et quand aucun de ces rôles n’existe, on se rabattra vers le référent métier ou un utilisateur clé.

 

Évidemment, tout cela sous-entend que notre responsable de traitement maîtrise le contenu technique de son application et dispose d’une vision globale des activités que celle-ci subit.

 

Est-il au courant des processus de sauvegarde et de la destination de celles-ci ?

 

Que connait il de la sécurité des comptes d’administration ? Quel contrôle a t’il sur la politique de saisie des informations personnelles dans des champs libres ? Maîtrise t’il le niveau de chiffrement des mots de passe ?

 

Et si l’application est ouverte aux utilisateurs finaux, sait-il précisément quel est le contenu des cookies ou quelle exploitation est faite des données de localisation, et avec quelle durée de conservation des informations ?

 

On pourrait citer encore de nombreux sujets qui sont du ressort du responsable de traitement , et pour lesquels force est de constater que souvent, les potentiels responsables ne connaissent pas la réponse, voire souvent ne savent même pas que la question se pose.

 

Alors est-ce au DPO de répondre à ces questions ?

 

 

Le DPO

 

 

On a déjà tout dit et son contraire au sujet du DPO.

 

Il doit cumuler des compétences juridiques et techniques. Il doit assurer la liaison entre les responsables de traitement et leur management.

 

Il doit être directif avec les premiers, en restant indépendant des seconds, le tout évidemment avec toute la diplomatie requise dès que des responsabilités financières et pénales sont en jeu.

 

Il doit recenser les traitements mais en être indépendant.

 

Et donc voilà qu’il devrait aussi gérer la répartition des tâches ?

 

Pas étonnant dans ces conditions que nombre d’organisations hésitent d’un côté entre un DPO choisi en externe, certes au-dessus de tout soupçon, mais ignorant de leur métier et du fonctionnement de leur structure, et de l’autre leur CIL actuel (pour les rares qui en dispose) ou un informaticien interne, d’emblée suspect d’être impliqué dans les traitements et risquant d’être sous la coupe de sa hiérarchie.

 

Alors externe et indépendant ou interne et opérationnel, pour ceux qui n’ont pas encore traité le sujet, l’échéance est dans à peine plus d’un mois, l’urgence à l’opérationnel.

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

Numérisation dématérialisation, digitalisation

Numérisation, Dématérialisation, Digitalisation ?

 

C’est la même chose non ?

 

Eh bien non.

 

La numérisation est une action qui consiste à transférer sur un support immatériel un élément matériel (souvent un support papier). Concrètement, on utilise très souvent le terme « scanner » pour numérisation, qui décrit l’utilisation d’un scanner pour stocker numériquement un document papier (facture, document officiel, etc.). La numérisation est un procédé utilisé depuis les années 80, et a tendance à disparaître, au profit de la dématérialisation, qui consiste, entre autres, à produire des documents nativement numériques.

 

C’est justement là que se trouve la première confusion des sens. À force d’utiliser à tout va la dématérialisation (surtout dans la presse), comme décrivant à la fois la démarche de numériser les flots de documents papiers mais aussi l’opération de production de documents nativement numériques, cela a généré une ambiguïté.

 

La dématérialisation n’est pas un synonyme de numérisation, c’est une démarche tout à fait différente. C’est un processus complet qui est pensé dès le départ comme tel, et qui surtout se pense « numérique », et non « papier ». Le cercle vertueux de la dématérialisation est donc l’objectif « Zéro papier », impliquant des signatures numériques, et un Workflow de traitement informatisé.

 

Lorsque l’on parle de dématérialisation, nous identifions des processus et non des supports. Une organisation qui met en place ce type de démarche s’oriente vers une dimension digitale.

 

La digitalisation est un terme, là encore, souvent utilisé comme synonyme. Mais synonyme de plusieurs sens, en fonction de la nature de l’objet concerné, ce qui rajoute de la confusion. Digitaliser un document signifie le scanner, alors que digitaliser une entreprise consiste à la faire entrer dans l’ère du tout numérique.

 

Donc digitaliser voudrait dire « rendre tout numérique » ? En quelques sorte oui, mais cela serait trop simple de s’en restreindre à cela. En effet, voyez ce renvoi de votre imaginaire lorsque l’on dit « digitaliser une entreprise » vs « numériser une entreprise ».

 

Dans une industrie, on parlera plus volontiers d’une machine numérique que d’une machine digitale.
La digitalisation c’est surtout repenser toute l’organisation d’une société, aussi bien au niveau des échanges humains (travail collaboratif), qu’au niveau des outils.

 

 

Thierry Schmitt, Directeur du Consulting chez Apsynet

 

 

Je laisse mon avis ici :

Double écran

Pourquoi opter pour le double écran ?

Depuis la fin de MS-DOS et l’arrivée des systèmes à base de multi-fenêtres, les applications sont capables de cohabiter sur un même écran et partager l’espace de travail.

 

Mais tant les habitudes des utilisateurs que la conception des applications ou des systèmes d’exploitation eux-mêmes, rendent l’utilisation simultanée de plusieurs applications assez peu évidente. Ajoutez à cela la simple difficulté mathématique pour partager ce rectangle qu’est l’écran entre deux ou plus, autres rectangles pour chacune des applications.

 

Et pourtant il y tant à gagner…

 

 

Il faut inventer le besoin 

 

 

Travailler sur un ordinateur relève quasi systématiquement du même schéma : collecter et analyser une information pour la transformer. On est donc face au minimum à 2 éléments distincts, à traiter en parallèle.

 

La mauvaise habitude de mettre les applications en plein écran oblige à basculer en permanence d’une application à une autre, et entraîne tout autant une perte de productivité qu’un risque d’erreur important.

 

Alors d’accord, on dit souvent que seuls 5 % des êtres humains sont capables de réelles multitâches, mais rassurez-vous, les ordinateurs ne font pas mieux. Et de toute façon, on ne parle pas ici de multitâches, mais du besoin de commuter d’une tâche à une autre, suffisamment rapidement et sans perte de données. C’est une capacité innée chez l’ordinateur mais plus délicate pour l’humain, qui lui, est beaucoup plus à l’aise en visualisant les deux informations simultanément.

 

 

La meilleure réponse : 2 écrans

 

 

En pratique, que ce soit un PC de bureau ou un portable, la grande majorité des ordinateurs permet l’utilisation simultanée de deux écrans (voire plus).

 

L’idéal est donc de disposer de deux écrans de résolution et de diagonale physique identiques :

 

Une même résolution pour éviter l’effet d’accroche lors du passage de l’un à l’autre et une même diagonale pour les disposer côte à côte.

 

Deux écrans HD (1920* 1080) sont suffisants. En effet, les écrans plus larges sont délicats à gérer (et notoirement plus chers) et les écrans 4K, même en 28 ou 30 pouces sont difficiles à lire pour qui n’a pas des yeux d’aigle, et de prix et d’encombrement prohibitifs dans les tailles supérieures.

 

Pour un confort correct (et éviter la tendinite), il ne faut pas négliger d’utiliser une souris suffisamment rapide et précise pour parcourir les 2 écrans, sans nécessiter un mètre carré de bureau et surtout sans devoir la soulever à mi-chemin.

 

 

Répartir les applications

 

 

Une bonne astuce est de désactiver l’effet « aero snap » qui maximise automatiquement les fenêtres afin de conserver la maîtrise de leur taille et de leur position.

 

Vous disposez alors d’un écran qui permet de conserver simplement deux applications visibles et toutes les possibilités d’échanges entre celles-ci.

 

 

Changer les habitudes

 

 

Il vous reste à convaincre vos collaborateurs que le second écran ne sert pas à afficher ses photos de vacances ou son flux Facebook.

 

Et je vous garantis qu’ils ne pourront plus se passer de leur second écran, alors n’attendez plus, l’investissement vaut le coup.

 

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

EIPV étude d'impact sur la vie privée

RGPD : qu’est-ce que le PIA ?

Il est une notion dont on entend beaucoup parler avec l’arrivée du RGPD, une notion qui reste floue et qui fait peur, c’est le PIA (Privacy Impact Assessment), en français l’EIVP (Etude d’Impact sur la Vie Privée).

 

De quoi s’agit-il ? Quand s’applique cette étude ?

 

 

Quand réaliser un PIA ?

 

 

C’est l’article 35 de la nouvelle réglementation européenne sur la protection des données qui stipule qu’une étude d’impact doit être réalisée lorsqu’un traitement sur des données personnelles ou sensibles (par traitement, il faut comprendre « activité », « action », « manipulation », etc.) peut entraîner un risque élevé d’atteinte à la vie privée des personnes concernées.

 

On considère qu’il y a un risque lorsqu’une personne extérieure peut s’introduire dans un système d’information pour subtiliser, modifier ou détruire des données.

 

A titre d’exemple, un risque peut survenir lors d’un export ou d’une communication quelconque de données.

 

Dans la notion de « risque », il existe 4 niveaux de critères dont l’appréciation appartient au DPO, qui constate de manière objective le degré de gravité des conséquences sur la vie privée.

 

Il juge ensuite s’il est nécessaire de procéder à des actions correctrices permettant de maintenir une conformité optimale des activités liées aux traitements.

 

Quoi qu’il en soit, la loi fait état de plusieurs cas pour lesquels une étude d’impact est obligatoire :

 

  • Traitement à grand échelle de données sensibles (département / région / pays)
  • Surveillance systématique à grande échelle d’une zone accessible au public (ex : bornage des opérateurs)
  • Évaluation systématique et approfondie d’aspects personnels, y compris le profilage
  • Activité automatisée dont le but est d’évaluer systématiquement et de manière approfondie, les aspects personnels de personnes sur lesquelles des décisions sont prises en entraînant des effets juridiques

 

En gros, l’analyse d’impact intervient quand il y a un risque ÉLEVÉ pour les droits et libertés des personnes physiques. Autant vous dire qu’on ne rencontre pas ces cas précis tous les jours, donc pas de panique !

 

Comment mener l’étude d’impact sur la vie privée ?

 

 

Si vous avez déjà eu l’occasion de jeter un oeil aux études de cas proposées par la CNIL pour réaliser un PIA, vous aurez sans doute noté leur aspect… imbuvable !

 

C’est pourquoi nous allons parler d’une méthode qui accompagne la réalisation de l’étude d’impact, plus légère, mais de laquelle la CNIL s’est également inspirée. Il s’agit de la procédure de gestion des risque développée par l’ANSSI, de concert avec le Club EBIOS : la méthodologie… EBIOS (littéralement l’Expression des Besoins et Identification des Objectifs de Sécurité).

 

EBIOS vous amène à vous poser 10 questions essentielles classées en 4 catégories :

 

Contexte :

  • Pourquoi et comment va-t-on gérer les risques ?
  • Quel est le sujet de l’étude ?

 

Événements redoutés :

  • Quels sont tous les éléments craints ?
  • Quels seraient les plus graves ?

 

Scénarios de menaces :

  • Quels sont tous les scénarios possibles ?
  • Quels sont les plus vraisemblables ?

 

Risques :

  • Quelle est la cartographie des risques ?
  • Comment choisit-on de les traiter ?

 

Mesures de sécurité :

  • Quelles mesures devrait-on appliquer ?
  • Les risques résiduels sont-ils acceptables ?

 

Ces 10 questions doivent être posées de manière générale pour tous les traitements qui nécessitent une étude d’impact. Certains traitement sont soumis à des normes CNIL particulières, il est donc necessaire de se poser les questions qui leurs sont spécifiques.

 

On ne va pas vous mentir, il y aura (beaucoup) d’autres questions, mais celles-ci permettent de poser un cadre et de savoir où on va.

 

Et si vous vous demandez “qui est chargé de réaliser l’étude d’impact ?”, sachez que c’est au DPO de désigner les personnes habilitées pour le faire.

 

Concrètement, si vous devez réaliser une étude d’impact, n’hésitez pas à vous aider des outils mis à votre disposition, comme ceux de la CNIL, dont nous avons déjà parlé, ou des outils structurés (et tout à fait conformes) tel que celui que nous avons su développer et intégrer dans notre solution de mise en conformité RGPD Data Extract, vous verrez, cela vous simplifiera la vie !

 

Anne, Responsable Marketing chez Apsynet

 

 

Je laisse mon avis ici :

Data Protection Officer

DPO : qui est-il ? Que fait-il ?

La création d’un poste de DPO (Data Protection Officer) est rendue obligatoire par la réglementation de le RGPD au sein des organismes publics et des entreprises dont l’activité de base est alimentée par le traitement de données sensibles à grande échelle. Ainsi, ce sont plus de 25 000 nouveaux postes qui pourraient voir le jour en France. Explications.

 

Les entreprises concernées par l’embauche d’un DPO

 

Il est d’abord nécessaire de préciser les notions de « données sensibles », d’« activité de base » et de « grande échelle » :

 

  • Les données sensibles sont, par exemple, celles traitées par le corps médical, les banques, les assurances, les opérateurs téléphoniques ou encore les enseignes proposant des programmes de fidélité.
  • L’activité de base d’une entreprise est celle qui lui permet de réaliser ses objectifs.
  • Le traitement à grande échelle évalue le nombre de personnes concernées, le volume de données, la durée du traitement de ces données ou a fortiori son caractère permanent, ainsi que l’étendue géographique.

 

Pour mettre tout le monde d’accord, les CNIL européennes ont rendu une recommandation selon laquelle les entreprises concernées sont donc celles « dont le cœur d’activité et les traitements portent sur un grand nombre de personnes ou celles qui procèdent au suivi régulier de personnes dans l’espace et le temps ».

 

Les missions du DPO

 

En coopération avec les autorités de protection des données, le DPO a pour mission principale de démontrer la conformité d’une entreprise à la réglementation imposée par le RGPD. Pour cela, il contrôle la bonne mise en œuvre des directives, des formations, des audits effectués, ainsi que de l’étude d’impact, dans le cas où elle est obligatoire.

 

Le DPO est associé à tous les sujets liés à la protection des données personnelles de son entreprise, des collaborateurs de celle-ci, de ses clients et partenaires. Il a un rôle de conseiller auprès de ces différentes entités.

 

Dans les faits, on peut considérer le DPO comme étant la passerelle entre l’entreprise et la CNIL, c’est pourquoi il doit agir en toute indépendance, sans conflit d’intérêt.

 

Comment choisir son DPO ?

 

Concrètement, il n’y a pas de « profil type DPO » : aujourd’hui, on constate que 40 % d’entre eux sont des juristes, 30 % ont des profils techniques et les 30 % restants sont issus de l’administration. À défaut de devoir justifier de formations et d’expériences figées, le DPO doit présenter certaines compétences et qualités :

 

Tout d’abord, le DPO doit avoir une parfaite connaissance du contenu du RGPD. Il doit aussi avoir des compétences en informatique et connaître le cœur de métier de l’entreprise pour le compte de qui il agit.

 

Lors de ses missions quotidiennes, le DPO doit :

 

  • S’informer sur les nouvelles obligations à mettre en œuvre
  • Piloter la mise en conformité au RGPD
  • Assister les décideurs sur les conséquences des traitements de données
  • Inventorier ces données
  • Mettre en place des actions de sensibilisation
  • Conseiller, informer les différents niveaux stratégiques et hiérarchiques de l’entreprise, du COMEX à l’ensemble des salariés.

 

Pour ce faire, le DPO doit faire preuve d’un certain savoir-être. Il est une personne :

 

  • Organisée
  • Pragmatique (proche du terrain et des opérationnels)
  • Communicante
  • Avec un bon relationnel
  • Pédagogue
  • Réactive

 

Si aujourd’hui la réglementation du RGPD ne vous oblige pas à nommer un DPO, sachez que vous avez toujours la possibilité d’en désigner un malgré tout. En effet, avoir un DPO dans son entreprise devrait, avec le temps, devenir un gage de confiance de l’entreprise envers ses collaborateurs, ses clients et partenaires.

 

Dans les faits, beaucoup de personnes ce sont vues confier ce poste sans avoir jusqu’alors anticipé l’envergure du travail de mise en conformité à effectuer en amont. Les nombreux formulaires proposés par la CNIL sont certes exhaustifs, mais ont pour résultat un « éparpillement » des informations et des responsabilités de chacun. De ce constat, nous avons eu l’idée de développer un outil mutualisé, qui se veut collaboratif et qui a pour vocation de centraliser l’intégralité des éléments demandés par le RGPD dans une seule et même solution : RGPD Data Extract.

 

 

Anne, Responsable Marketing chez Apsynet

 

 

Je laisse mon commentaire ici :

25 mai 2018

Le RGPD en 5 questions

 

Le RGPD (Règlement Général sur la Protection des Données) c’est le sujet du moment en entreprise, car la date de son application commence très franchement à pointer le bout de son nez. Dans cet article, nous avons souhaité apporter les réponses à des questions que nous nous posons tous.

 

1) Qui est concerné par le RGPD ?

 

Tout résidant de l’UE peut faire valoir ses droits relatifs au RGPD.

 

Une organisation (collectivité, entreprise et association) dans l’UE ou hors UE, qui détient des données personnelles au sujet de résidants de l’UE est soumise au RGPD.

 

2) Que faut-il mettre en place pour être conforme au RGPD ?

 

5 principes sont à mettre en œuvre :

 

  • L’Accountability (Responsabilisation) : c’est à vous, organisation, de prendre toutes les mesures pour garantir la conformité au RGPD. Vous devez aussi être capable de démontrer que vous avez bien rempli vos obligations en termes de protection des données.

 

  • Le Privacy by Design : la protection des données doit être prise en compte dès la conception du produit ou du service dans le SI, au sein d’une base de données, ou lors de la conception d’une application.

 

  • Security by Default : la sécurité dans le SI est renforcée et doit être sécurisé à ses différents niveaux, avec des contrôles d’accès ou un système de prévention contre les failles de sécurité. Votre organisation doit être en mesure de déceler si l’intégrité de son SI a été compromise et pouvoir y remédier le cas échéant.

 

  • Nommer un DPO (obligatoire pour toute structure publique) : le Délégué à la Protection des Données est associé aux différentes questions et problématiques des données à caractère personnel de l’organisation. Il veille à la conformité au RGPD. Il est aussi le point de contact avec les autorités de contrôle.

 

  • L’étude d’impact : il est important de réaliser cette étude de l’impact sur la protection des données personnelle avant la mise en œuvre de nouveaux traitements de données qui pourraient potentiellement présenter des risques d’atteinte aux droits et aux libertés individuelles. L’étude devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles.

 

Concrètement, des actions sont à mettre en place pour devenir conforme RGPD :

 

Les actions à court terme :

 

  • Informer vos clients / utilisateurs / prospects de la finalité de la collecte de données (auteur de la collecte, durée de la conservation, finalité, information sur les droits).

 

  • Mettre en place un formulaire de contact pour que ceux qui le souhaitent puissent accéder à l’ensemble des données les concernant.

 

  • Demander l’accord des personnes et leur donner la possibilité de le retirer.

 

  • Mettre en place des mesures de sécurité (mesures adaptées à la sensibilité des données).

 

Les actions sur le long terme :

 

  • Analyser vos Système d’Information / fichiers / documents qui contiennent des données personnelles.

 

  • Élaborer un registre des traitements (développé ci-dessous).

 

  • Revoir les clauses de confidentialité dans les contrats avec vos sous-traitants.

 

  • Notifier la CNIL des violations de données dont vous êtes victime.

 

  • Réaliser une étude d’impact pour certains cas spécifiques (traitement de données sensibles). Elle permet d’anticiper et de traiter des risques pour les droits et libertés des personnes.

 

Qu’est-ce que le registre ?

 

Chaque responsable de traitement doit constituer, regrouper, actualiser régulièrement un certain nombre de documents.

 

Dans ce dossier documentaire figurent la description des procédures et des moyens adoptés pour la sécurité des traitements, les procédures internes en cas de violation des données, les informations sur le DPO, les mentions d’information aux personnes concernées, le modèle de recueil du consentement et les procédures mises en place pour l’exercice des droits.

 

Le registre doit mentionner les objectifs des traitements, l’inventaire des traitements, la durée de conservation, les obligations légales.

 

Quid de la collecte des données

 

Des informations sont à fournir lorsque vous collectez des données :

 

  • L’identité et coordonnées du responsable du traitement

 

  • S’il y a, les coordonnées du DPO

 

  • La finalité du traitement auquel sont destinées les données

 

  • Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers

 

  • Les destinataires des données, s’ils existent

 

  • Le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers ou une organisation internationale

 

  • Durée de conservation des données

 

  • L’existence du droit de demander au responsable du traitement l’accès aux données, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité

 

  • L’existence du droit de retirer son consentement à tout moment

 

  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle

 

3) Que peut demander un individu ?

 

Un individu a le droit de demander l’accès à ses données, leur rectification ou effacement, une limitation ou opposition à leur traitement, il peut aussi faire valoir le droit à la portabilité et droit à l’oubli.

 

Il a également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

 

4) Que doit fournir un organisme à qui on a formulé une demande liée aux données personnelles ?

 

Vous avez le devoir de transmettre les données dans un format structuré, couramment utilisé et lisible par machine. Le RGPD impose que les données soient communiquées sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

 

L’information doit être fournie gratuitement mais vous avez le droit de facturer un prix raisonnable, en cas de demande infondée, excessive ou répétitive.

 

Il est également possible de ne pas se conformer si la demande est infondée, excessive ou répétitive. Dans ce cas, il faut le justifier auprès de la personne concernée et l’informer de son droit de faire appel auprès de l’autorité de contrôle.

 

En cas de rectification ou d’effacement de données ou de limitation de traitement, la notification est obligatoire. Vous devez notifier chaque destinataire auquel les données ont été communiquées et devez fournir à la personne concernée les informations sur ces destinataires si elle en fait la demande.

 

Dans le cas du droit à l’oubli, vous devez fournir la preuve que cela a été fait.

 

5) Quels sont les délais à respecter ?

 

La demande doit être honorée dans un délai d’un mois maximum à compter de la réception de la demande.

 

Lors de demandes compliquées et nombreuses, il est possible de prolonger le délai à 3 mois. Cependant, il vous faut d’abord répondre sous un mois et expliquer le délai supplémentaire.

 

 

L’application du RGPD peut paraître subjectives dans ses actions, on ne sait pas par quoi commencer, comment concrétiser dans la réalité ce que nous demandent les textes de lois. Avec les réponses apportées à ces questions, vous devriez maintenant voir se dessiner une ligne directrice.

 

 

Anne, Responsable Marketing chez Apsynet

 

 

Je laisse mon avis ici :

mairie administration collectivité territoriale locale service public

Le digital gagne les Collectivités

 

Notre vision des Collectivités Territoriales rime souvent avec lenteur de l’administration, défaut de communication, fonctionnement « à l’ancienne »… pourtant, en pleine révolution numérique, force est de constater qu’elles ne sont pas en reste et que certaines sont mêmes présentées comme des modèles de digitalisation. C’est le cas par exemple des villes de Paris et de Mulhouse, toutes deux dotées d’un CDO (Chief Digital Officer). Ainsi, contrairement à ce qu’on pourrait penser, les Collectivités sont engagées dans la démarche de digitalisation, notamment en matière de dématérialisation, de mobilité et d’Internet des objets.

Malgré des freins certains, les Collectivités savent prendre le train de la révolution numérique en marche. Voyons pourquoi et comment.

 

 

Le digital est devenu une nécessité

 

 

Tout comme pour le secteur privé, les territoires sont devenus des marques qui doivent se vendre pour attirer les entreprises, les investisseurs, les touristes et les nouveaux habitants. Pour ce faire, les Collectivités Territoriales ont tout intérêt à opter pour le digital pour rendre leur ville attractive.

 

En effet, s’il y a bien une chose que l’on doit accorder au digital, c’est qu’il est d’un réel soutien dans l’ouverture à la communauté et qu’il facilite grandement les relations entre les individus, la communication, ainsi que l’accès à une information de qualité (points de discorde souvent reprochés aux services publics, il faut le reconnaître !)

 

Avec le digital, les Collectivités mettent un point d’honneur à améliorer la relation avec les citoyens, à jouer la transparence, à faciliter les échanges avec l’administration ainsi que la mise en œuvre des procédures, tout cela couplé avec, évidemment, une bien meilleure maîtrise des coûts.

 

Tous les secteurs peuvent tirer partie de la digitalisation : voirie, mobilité et transports, collecte des déchets, distribution des énergies, enseignement, etc. C’est grâce à cette révolution numérique au sein des services publics qu’on assiste à l’émergence des « Smart Cities ».

 

 

Collectivités et numérique : pas toujours une évidence

 

 

Cependant, et vous vous en doutez, ce n’était pas gagné d’avance ! Le premier frein étant que les Collectivités traitent de données sensibles, par exemple celles de l’État Civil, et qu’elles émettent une grande réticence à utiliser le Cloud public, par peur de ne pas pouvoir garder le contrôle sur ces données.

 

Les Collectivités rencontrent également des restrictions budgétaires. Il est à noter tout de même que les investissements dans le numérique sont en progression malgré une baisse des budgets globale dans le secteur public.

 

Enfin, c’est le fonctionnement même de la gestion des municipalités qui fait parfois blocage : les résultats des changements entrepris lors d'un mandat ne sont visibles que lors du suivant, ce qui empêche les élus de savourer leur investissement.

 

 

Des résultats encourageants pour la vie citoyenne

 

 

Quoiqu’il en soit, les faits sont là et nombre de Collectivités sont dans le mouvement. Grâce à leur présence sur les réseaux sociaux (96 % des régions ont un compte Facebook, 85 % sont sur Twitter) et donc à une communication plus ouverte et accessible, les citoyens peuvent prendre part à la vie de leur ville, région, etc. De cette manière, les Collectivités facilitent l’implication citoyenne, elles permettent à leurs administrés d’interagir pour le bien-être de tous, ce qui a pour résultat de fédérer une communauté autour de projets.

Conscients de ce tournant important qu'empruntent les Collectivités, nous avons développé de nombreux outils qui leurs sont destinés. C'est le cas de notre nouvelle solution pour l'inventaire et le rapprochement comptable, LIRAO, que vous pouvez découvrir par ici !

 

 

Anne, Responsable Marketing chez Apsynet

 

 

Je laisse mon avis ici :

Data Protection Officer

Le DPO : qui est-il, que fait-il ?

 

La création d’un poste de DPO (Data Protection Officer) est rendue obligatoire par la réglementation de le RGPD au sein des organismes publics et des entreprises dont l’activité de base est alimentée par le traitement de données sensibles à grande échelle. Ainsi, ce sont plus de 25 000 nouveaux postes qui pourraient voir le jour en France. Explications.

 

Les entreprises concernées par l’embauche d’un DPO

 

Il est d’abord nécessaire de préciser les notions de « données sensibles », d’« activité de base » et de « grande échelle » :

 

  • Les données sensibles sont, par exemple, celles traitées par le corps médical, les banques, les assurances, les opérateurs téléphoniques ou encore les enseignes proposant des programmes de fidélité.
  • L’activité de base d’une entreprise est celle qui lui permet de réaliser ses objectifs.
  • Le traitement à grande échelle évalue le nombre de personnes concernées, le volume de données, la durée du traitement de ces données ou a fortiori son caractère permanent, ainsi que l’étendue géographique.

 

Pour mettre tout le monde d’accord, les CNIL européennes ont rendu une recommandation selon laquelle les entreprises concernées sont donc celles « dont le cœur d’activité et les traitements portent sur un grand nombre de personnes ou celles qui procèdent au suivi régulier de personnes dans l’espace et le temps ».

 

Les missions du DPO

 

En coopération avec les autorités de protection des données, le DPO a pour mission principale de démontrer la conformité d’une entreprise à la réglementation imposée par le RGPD. Pour cela, il contrôle la bonne mise en œuvre des directives, des formations, des audits effectués, ainsi que de l’étude d’impact, dans le cas où elle est obligatoire.

 

Le DPO est associé à tous les sujets liés à la protection des données personnelles de son entreprise, des collaborateurs de celle-ci, de ses clients et partenaires. Il a un rôle de conseiller auprès de ces différentes entités.

 

Dans les faits, on peut considérer le DPO comme étant la passerelle entre l’entreprise et la CNIL, c’est pourquoi il doit agir en toute indépendance, sans conflit d’intérêt.

 

Comment choisir son DPO ?

 

Concrètement, il n’y a pas de « profil type DPO » : aujourd’hui, on constate que 40 % d’entre eux sont des juristes, 30 % ont des profils techniques et les 30 % restants sont issus de l’administration. À défaut de devoir justifier de formations et d’expériences figées, le DPO doit présenter certaines compétences et qualités :

 

Tout d’abord, le DPO doit avoir une parfaite connaissance du contenu du RGPD. Il doit aussi avoir des compétences en informatique et connaître le cœur de métier de l’entreprise pour le compte de qui il agit.

 

Lors de ses missions quotidiennes, le DPO doit :

 

  • S’informer sur les nouvelles obligations à mettre en œuvre
  • Piloter la mise en conformité au RGPD
  • Assister les décideurs sur les conséquences des traitements de données
  • Inventorier ces données
  • Mettre en place des actions de sensibilisation
  • Conseiller, informer les différents niveaux stratégiques et hiérarchiques de l’entreprise, du COMEX à l’ensemble des salariés.

 

Pour ce faire, le DPO doit faire preuve d’un certain savoir-être. Il est une personne :

 

  • Organisée
  • Pragmatique (proche du terrain et des opérationnels)
  • Communicante
  • Avec un bon relationnel
  • Pédagogue
  • Réactive

 

Si aujourd’hui la réglementation du RGPD ne vous oblige pas à nommer un DPO, sachez que vous avez toujours la possibilité d’en désigner un malgré tout. En effet, avoir un DPO dans son entreprise devrait, avec le temps, devenir un gage de confiance de l’entreprise envers ses collaborateurs, ses clients et partenaires.

 

Dans les faits, beaucoup de personnes ce sont vues confier ce poste sans avoir jusqu’alors anticipé l’envergure du travail de mise en conformité à effectuer en amont. Les nombreux formulaires proposés par la CNIL sont certes exhaustifs, mais ont pour résultat un « éparpillement » des informations et des responsabilités de chacun. De ce constat, nous avons eu l’idée de développer un outil mutualisé, qui se veut collaboratif et qui a pour vocation de centraliser l’intégralité des éléments demandés par le RGPD dans une seule et même solution : RGPD Data Extract.

 

 

Anne, Responsable Marketing chez Apsynet

 

 

Je laisse mon commentaire ici :

Générations en entreprise

Générations X, Y et Z : juste une histoire d’âge ?

 

La toute dernière génération – la Z – commence à entrer dans le monde du travail. Avec son arrivée et l’allongement de la durée du travail des seniors, 3 groupes d’âges cohabitent en entreprise, ce qui peut parfois être source de désaccords. C’est ce qu’on appelle communément les conflits intergénérationnels. Les premières réflexions sur le sujet sont apparues au début des années 2000 avec l’utilisation généralisée d’Internet en entreprise et de l’impact des « Digital Natives », ces personnes qui sont nées et ont grandi avec les nouvelles technologies.

 

Mais peut-on réellement prétendre que la cause de ces conflits est uniquement liée à l’âge? Autrement dit, les générations X, Y et Z, telles qu’on se les représente, avec leurs attentes et leurs comportements, sont-elles uniquement déterminées par une année de naissance ?

 

 

Les générations dans l'imaginaire collectif

 

 

C’est l’écrivain Canadien Douglas Coupland qui a popularisé l’expression « Génération X » dans son ouvrage « Génération X : Tales for an accelerated culture ». Les « Génération Y » et « Génération Z » en sont les déclinaisons.

 

Génération X : elle est née entre 1960 et 1979. C’est une génération qui a vu le taux d’employabilité se dégrader et la difficulté à trouver un poste stable s’accentuer. C’est ce contexte qui l’a amenée à trouver une place dans une entreprise et à s’y maintenir « à vie » pour y gravir les échelons.

 

Génération Y : née entre 1980 et 1995, elle a grandi avec la télévision et a vu le jeu vidéo, l’ordinateur ainsi qu’Internet devenir accessibles à tous. Contrairement à son aînée, la génération Y ne craint pas de passer d’une entreprise à l’autre. Elle ne place pas le travail au premier plan des priorités. La vie sociale, la santé mentale et physique, la qualité de vie sont des préoccupations d’autant plus importantes.

 

Génération Z : cette génération est née à partir de 1996. Elle a grandi avec les réseaux sociaux et est connectée en permanence. Elle maîtrise parfaitement l’outil informatique, l’a toujours connu et ne conçoit pas de vivre sans. Le partage, la communication, l’échange social régissent son quotidien.

 

Mais faisons fi des années de naissances pour faire ressortir de ces définitions ce qui s’apparente à des tendances sociétales dont le cercle s’élargit bien au-delà de l’âge.

 

 

Une génération ce n’est pas qu’une année de naissance

 

 

En effet, force est de constater qu’une nouvelle génération n’est pas en rupture totale avec celle qui la précède et vice versa : les générations antérieures ne sont pas complètement hermétiques aux évolutions et aux tendances, notamment en matière de technologies.

 

On ne peut effectivement pas prétendre qu’une année de naissance définit des attentes et des comportements similaires dans ce domaine en excluant les autres générations, qui peuvent elles aussi présenter les mêmes affinités, voire plus.

 

Car c’est le BON usage de la technologie qui doit être considéré, et cela, ce sont la curiosité et la formation qui le rendent possible. Le simple fait d’avoir toujours connu et vécu avec Internet, l’informatique et les réseaux n’implique pas forcément une utilisation productive de la technologie.

 

Ainsi ce sont les technologies qui transforment les mentalités de tous les individus qu’elles touchent au quotidien, au même titre que les guerres, le terrorisme, le chômage ou au contraire le quasi plein-emploi modèlent les tendances sociétales, les attentes, les besoins et les affinités.

 

On peut donc considérer que les dénominations X, Y et Z correspondent finalement à un taux de pénétration de diverses évolutions sociétales et technologiques au cœur de différentes tranches d’âges.

 

 

L'impact des générations en entreprise 

 

 

Dans les entreprises, le brassage intergénérationnel, couplé avec d’autres facteurs diversifiant tels que la mixité culturelle et la parité hommes-femmes, inspirent un management axé sur le « travailler ensemble », des alliances associatives ou encore des communautés d’intérêts, le tout calqué sur des usages issus des réseaux sociaux.

 

On privilégie alors les valeurs et la culture d’entreprise.

 

L’âge ne trouve pas son importance, ce sont les affinités et les centres d’intérêts qui deviennent le fil conducteur des collaborations.

 

 

Anne, Responsable Marketing chez Apsynet

 

 

Je laisse mon avis ici :

DSI stratégie

DSI : un rôle stratégique

 

À l’origine en charge du matériel et des logiciels qui composent le parc informatique de l’entreprise, la DSI (Direction des Systèmes d’Information) a longtemps vu son rôle se limiter à apporter à l’entreprise une infrastructure informatique en cohérence avec ses besoins.

 

Cette époque est révolue !

 

La DSI n’est plus uniquement reconnue pour son savoir-faire technique. Elle a vu son rôle prendre un tournant beaucoup plus stratégique, dans le but de répondre aux besoins liés à la digitalisation mais également dans un contexte où la sécurité informatique est mise à rude épreuve ; en cause, les cyberattaques qui se font de plus en plus nombreuses et de plus en plus virulentes.

 

 

DSI : une dimension nouvelle

 

 

Auparavant, la DSI se contentait de fournir des services IT aux différents métiers de l’entreprise car pendant longtemps, elle ne voyait en ces services IT aucune dimension stratégique. Elle les considérait uniquement comme un centre de coût.

 

Pourtant, on comprend aujourd’hui que c’est bel et bien la DSI qui peut apporter des solutions en matière de centralisation de la gestion du système informatique et de sécurisation des données. Pour y parvenir, elle doit mettre en place une veille stratégique efficace qui doit lui permettre de connaître les évolutions du marché en la matière et de s’y adapter.

 

En procédant ainsi, elle est capable de proposer à sa Direction des solutions innovantes, permettant d’optimiser la maîtrise des ressources et de la sécurité, la gestion des tâches, tout en étant réductrices de coût ou mieux encore, génératrices de cash, pour un meilleur résultat général de l’entreprise.

 

Proactive, la DSI a pour grand défi de porter l’entreprise toute entière vers une organisation agile, dans un contexte où les délais sont réduits et où l’on se doit d’agir vite. De facto, elle se positionne ainsi comme l’accélérateur du développement de la culture numérique qui favorise cette agilité.

 

 

Les nouvelles missions de la DSI

 

 

Il est attendu de la DSI qu’elle participe activement à l’élaboration de la stratégie et de la politique informatique, en collaboration avec la Direction Générale et le Comité de Direction.

 

Cette action est développée à travers plusieurs missions, dont voici quelques exemples :

 

  • Définir les orientations stratégiques en matière d’informatique
  • Définir la politique en matière de sécurité
  • Anticiper, évaluer et préconiser des solutions informatiques en cohérence avec les besoins de l’entreprise
  • Assurer une veille technologique sur les évolutions en matière de systèmes d’information

 

Concluons avec ce chiffre, 57 % : selon une étude KPMG, plus de la moitié des DSI siège au Comité de Direction. C’est deux fois plus qu’il y a dix ans. C’est bien, c’est en progrès, mais il est possible de faire beaucoup mieux !

 

 

Anne, Responsable Marketing chez Apsynet

 

 

Je laisse mon avis ici :