Dossier Sécurité Entretien Propos recueillis par Benoît Huet “LE RGPD, ÉTAPE N°1 VERS LA MUTATION DIGITALE” Kevin Polizzi Cofondateur et président de Jaguar Network Kevin Polizzi nous livre son point de vue sur le règlement européen sur la protection des données personnelles, son expérience en interne ainsi que les actions que Jaguar Network met en œuvre pour ses clients et ses partenaires revendeurs. Quel constat dressez-vous sur le RGPD Justement vos clients, comment réagissent-ils quelques mois après sa mise en place ? par rapport au règlement européen ? Le RGPD est encore vu par une majorité des entreprises Trois types de questions reviennent souvent : comme une contrainte supplémentaire. Et pour cause, suis-je conforme ? Quel effort dois-je déployer ? le message sur ce règlement a largement été brouillé par Quelle responsabilité le sous-traitant endosse-t-il ? des « apprentis juristes ». Alors que le RGPD représente, À nous de les informer, de faire beaucoup de pédagogie. Bio express de mon point de vue, une véritable opportunité car c’est la première étape vers la transformation digitale. Comment les aidez-vous, avec quels moyens ? Ingénieur Télécom en sortant L’objectif est de créer un marché de la donnée basé Jaguar Network a créé des fiches réflexes qui synthétisent de l’université Paul-Cézanne sur la confiance, cela force à intégrer le privacy by design les points significatifs du RGPD. Ces fiches ont été (Aix-Marseille III) et entrepreneur bien en amont. transmises à nos clients et à MedInSoft [NDLR : réseau à succès, Kevin Polizzi démarre pour fédérer l’industrie numérique dans la région Paca]. sa carrière en cocréant Jaguar Votre entreprise est-elle conforme au RGPD ? Nous travaillons aussi avec Facettes, une startup créatrice Network en 2001. L’opérateur Tous nos systèmes internes sont compliant RGPD. d’un outil de conformité RGPD que nous portons auprès et hébergeur affiche un C.A. Déjà, en tant qu’opérateur et hébergeur, nous devons de nos clients pour une première évaluation. de 43 M€ pour un effectif de 180 collaborateurs. En 2016, appliquer ce règlement à nous-mêmes. Pour cela, Kevin Polizzi reçoit le prix nous avons créé un poste de juriste au sein de notre Quel est l’impact du RGPD sur les relations d’entrepreneur de l’année EY équipe, qui agit non seulement en tant quedata protection avec vos partenaires de distribution ? pour la région Méditerranée. officer (DPO) interne mais qui accompagne aussi Déjà, Jaguar Network met sa pépite à leur disposition, nos clients pour les aider dans leur conformité RGPD. à savoir notre SI compliant avec le RGPD. En quelque sorte, De même, les certifications obtenues pour nos je conseille à nos revendeurs d’appliquer la méthode que data centers (ISO 27001, PCi DSS et hébergeur agréé nous avons mise en place pour transformer eux-mêmes de données de santé – HADS) nous ont indirectement leur organisation. Cela passe par de la formation aidés dans le respect de cette conformité. Ce règlement auprès des dirigeants, par la mise en place des bons génère un certain nombre de chantiers à mener comme interlocuteurs (DPO externe, par exemple) . Enfin la cartographie des données, la création d’un référentiel le troisième item est technique. En parlant des solutions commun à l’entreprise… Le RGPD nous apporte un cadre certifiées, nos revendeurs stockent aussi des données structurant et peut aussi aider à améliorer la relation personnelles, ils doivent ainsi les prendre en compte avec nos clients. il protège aussi le marché européen. par des moyens adaptés. ■ Et les sous-traitants, seraient-ils coresponsables? Depuis le 25 mai 2018, selon la Cnil, (leur client) dans leur démarche de chacun. À en croire Syntec le contrat entre le sous-traitant et le règlement européen consacre permanente de mise en conformité Numérique, l’entreprise cliente le responsable du traitement devait une logique de responsabilisation de leurs process. Cette notion (responsable du traitement) indiquer les obligations incombant de tous les acteurs impliqués dans entretient le flou des deux parties. tendrait à se décharger sur au sous-traitant pour protéger le traitement des données En effet, il est difficile de placer son sous-traitant d’une grande la sécurité et la confidentialité personnelles. Il impose notamment le curseur sur la responsabilité partie de ses obligations. La loi des données, et prévoir qu’il des obligations spécifiques aux Informatique et Libertés, avant ne peut agir que sur instruction sous-traitants qui doivent aider le 25 mai 2018, ne s’imposait qu’au du responsable du traitement les responsables de traitement responsable du traitement. Ainsi, en cas de recours à un sous-traitant. Suite du dossier p. 112 110 E.D.I N°83 | novembre 2018 ECALLAW MIJ