IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Droit du travail Discussion :

RGPD, la mise en conformité non finalisée pour 1/3 des entreprises françaises d'après KPMG


Sujet :

Droit du travail

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 867
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 32
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 867
    Points : 139 287
    Points
    139 287
    Par défaut RGPD, la mise en conformité non finalisée pour 1/3 des entreprises françaises d'après KPMG
    Baromètre RGPD : la mise en conformité non finalisée pour 1/3 des entreprises françaises, trois ans après son entrée en application, d'après KPMG

    Trois années après l’entrée en application du Règlement européen sur la Protection des Données (RGPD), le baromètre KPMG France fait le point sur l’état d’avancement de ce chantier au sein des entreprises françaises.

    • Les entreprises ont saisi l’importance des enjeux liés au RGPD et ont mis en place des organisations dédiées ;
    • Même si des chantiers significatifs ont été lancés, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements ;
    • La pleine conformité au RGPD reste une cible à atteindre.


    KPMG France dévoile les résultats de son enquête nationale inédite sur l’évaluation de la maturité des entreprises en matière de conformité au RGPD et dresse un panorama des enjeux et opportunités associés.

    Portant sur un panel de grandes entreprises, d’ETI et de PME, cette étude donne une image claire de la façon dont les entreprises françaises ont intégré les enjeux du RGPD et permet de tirer un certain nombre d’enseignements.

    L’analyse des réponses apportées a ainsi permis de mettre en lumière les tendances sur les axes suivants des projets de mise en conformité des entreprises :

    • Vision de l’exposition aux risques et principaux facteurs de risque ;
    • Organisation de la gouvernance des données personnelles ;
    • Niveau d’avancement dans la mise en œuvre des exigences introduites par le Règlement ;
    • Bénéfices induits, difficultés rencontrées et principaux challenges liés à la mise en œuvre.


    Les entreprises ont saisi l’importance des enjeux liés au RGPD et ont mis en place des organisations dédiées

    L’entrée en application du RGPD en mai 2018 et les projets de mise en conformité associés ont constitué un véritable défi pour les entreprises. Aiguillées par la prise de conscience des enjeux de sanctions potentielles (pour 80% des répondants), mais aussi de réputation (66% des réponses), elles se sont lancées dans des chantiers de mise en conformité d’ampleur. Ces travaux ont concerné l’état des lieux des traitements, le cadre de la gouvernance, l’analyse des écarts et la mise en œuvre des actions de remédiation.

    Dans la majorité des cas, c’est la Direction Générale ou les fonctions de contrôle telles que la Conformité ou le Juridique qui ont été à l’initiative de ces travaux. Les entreprises ont dans leur grande majorité (80 %) nommé un DPO (Data Protection Officer), le plus souvent interne et non dédié à ses fonctions. Elles ont également, pour près de la moitié d’entre elles, mis en place une gouvernance relative à la protection des données personnelles. Le registre des traitements, les informations préalables et les consentements, ainsi que la Politique de Gestion des données personnelles sont les chantiers de mise en conformité les plus avancés.

    Même si des chantiers significatifs ont été lancés, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements

    Les AIPD (Analyses d’impact relatives à la protection des données) et la mise en place des durées de conservation constituent les deux thématiques les moins abouties (respectivement citées par 42 % et 30 % des répondants). Ces chantiers sont menés malgré des moyens globalement limités (budget comme ressources humaines).

    Bien que la mise en conformité ait permis des bénéfices certains, telles que la mise en place d’une meilleure gouvernance de la donnée ou l’amélioration de la cyber résilience, les entreprises rencontrent des difficultés liées à la charge de travail (66 %) et à la complexité du Règlement (39 %).

    Nom : kpmg.png
Affichages : 13410
Taille : 215,6 Ko

    La pleine conformité au RGPD reste une cible à atteindre

    Tous types d’entreprises confondus, des chantiers de long terme restent encore à mener, qu’il s’agisse d’actions de mise en conformité à finaliser ou d’améliorations à mettre en œuvre sur les dispositifs existants.

    En parallèle, un travail régulier est nécessaire pour maintenir la mobilisation de l’ensemble des acteurs et assurer la pérennité, l’efficacité et le contrôle périodique du dispositif de conformité.

    A quelle échéance estimez-vous avoir finalisé vos actions de mise en conformité ?

    Nom : kpmg.png
Affichages : 2381
Taille : 59,1 Ko

    Vincent Maret, Associé, Responsable du pôle Cybersécurité et Protection des données personnelles chez KPMG France, a déclaré : "Trois ans après l’entrée en application du Règlement européen, les entreprises françaises se sont massivement mobilisées et ont une vision claire de leur exposition au risque et des enjeux de conformité. L’avancement des chantiers de mise en conformité est en revanche inégal et souffre souvent d’un manque de moyens. Quelle que soit leur taille, les entreprises considèrent très majoritairement que l’atteinte de la pleine conformité constitue un chantier à long terme."

    Méthodologie

    L’enquête a pris la forme d’un questionnaire destiné aux professionnels de la protection des données personnelles d’un large panel d’entreprises de toutes tailles et secteurs d’activité basées en France. Les réponses ont été collectées au cours du premier trimestre 2021.

    Source : KPMG France

    Et vous ?

    Que pensez-vous de cette étude de KPMG sur l'état de la mise en conformité du RGPD ?
    Quelle est la situation dans votre entreprise ?
    Quels sont les principaux obstacles qui vous empêchent de finaliser cette mise en conformité ?

    Voir aussi :

    Trois ans après son lancement le RGPD est-il le nouveau modèle économique de la conformité ? Par Jean-Pierre Boushira, VP South, Benelux and Nordics chez Veritas Technologies

    Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées

    L'Irlande ouvre une enquête RGPD sur Facebook, suite à la fuite de données qui a exposé 533 millions de contacts, elle encourt une sanction financière allant jusqu'à 4 % de son chiffre d'affaires
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent sénior
    Avatar de Glutinus
    Homme Profil pro
    Freelance EURL / Business Intelligence ETL
    Inscrit en
    avril 2005
    Messages
    5 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance EURL / Business Intelligence ETL
    Secteur : Finance

    Informations forums :
    Inscription : avril 2005
    Messages : 5 736
    Points : 27 338
    Points
    27 338
    Billets dans le blog
    3
    Par défaut
    Quelle est la situation dans votre entreprise ?

    Chez mon client précédent, la RGPD c'est un peu comme l'Océanie dans Risk : un petit bonus caché au fond dans lequel tu peux avoir un renfort (en terme de budget et/ou personnel) si t'arrives à le choper.

    Un des collègues de mon équipe a voulu s'y mettre. Il me disait tout le temps : "De toute façon, ils ont pas le choix, c'est une règlementation européenne, etc. faut se mettre dedans, c'est le futur" mais je lui rétorquai que, tant qu'il n'y avait pas de première sanction, ils n'y mettraient pas la priorité.

    Et j'ai eu raison, à son grand dam : pour ce (gros) client, la RGPD, c'était secondaire, il avait mieux à faire, par exemple finaliser le projet avec une centaine de personnes qui avait pris deux ans de retard, avec des internes qui se font des croche-pattes dans les escaliers, des prestas qui se barrent épuisés, des jeunes consultats juniors qui occupent des poste-clés mais ne comprennent rien à ce qu'ils font, personne qui veut faire le boulot et passe son temps à tirer à boulets rouges sur l'équipe d'à côté...

    Donc croyez-moi qu'essayer de comprendre en quoi protéger les données des clients alors que c'est l'unique manière de tester correctement une appli c'est de mettre la base ouverte à tous, c'est un peu compliqué

    Quels sont les principaux obstacles qui vous empêchent de finaliser cette mise en conformité ?

    D'avoir surtout des technocrates qui ne comprennent rien à ce qu'ils font. SSII/ESN et autres cabinets de consultants ont profité de l'aubaine pour envoyer au mieux un senior placardisé tranquille dans son intercontrat, au pire un junior qui ne bittait rien à l'informatique mais qui voulait juste quelque chose pour monter des échelons.

    Au final l'équipe RGPD de ce client c'était un interne aux dents longues qui a recruté 5 gars de cabinet de conseil, qui passaient leur temps à pondre des PowerPoint de merde et quand mon collègue a réalisé un POC, des vraies doc, une véritable analyse de la règlementation etc. ils se les ont accaparés en mettant leur nom. Et comme notre manager ne voulait surtout pas faire de remous, ils étaient à 5 contre 1 pour dire que c'est eux qui avaient fait le boulot...

    Au final l'interne aux dents longues a viré la moitié de notre équipe - dont votre serviteur - et a phagocyté notre projet, puis il continue encore et toujours...

    Donc très clairement la RGPD c'est juste la porte ouverte pour les cabinets de conseil en costard noir qu'on connaît tous et qui jouent encore plus les parasites que les SSII...
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  3. #3
    Membre confirmé
    Homme Profil pro
    nope
    Inscrit en
    décembre 2012
    Messages
    119
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : nope

    Informations forums :
    Inscription : décembre 2012
    Messages : 119
    Points : 456
    Points
    456
    Par défaut
    Quelle est la situation dans votre entreprise ?

    Chez un client : Analyse de mise en conformité rendue. Devis proposé, au vu du prix on en a plus entendu parler

  4. #4
    Expert éminent sénior
    Avatar de Glutinus
    Homme Profil pro
    Freelance EURL / Business Intelligence ETL
    Inscrit en
    avril 2005
    Messages
    5 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance EURL / Business Intelligence ETL
    Secteur : Finance

    Informations forums :
    Inscription : avril 2005
    Messages : 5 736
    Points : 27 338
    Points
    27 338
    Billets dans le blog
    3
    Par défaut
    "Oui bon, vous nous faites une page web avec un bouton, vous appuyez dessus et ça supprime les données de plus de dix ans et ça anonymise le tout selon parametrage.txt, ça doit pas faire plus de 12.000 euros ? "
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  5. #5
    Membre éclairé
    Homme Profil pro
    retraité
    Inscrit en
    avril 2009
    Messages
    329
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 90
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : Associations - ONG

    Informations forums :
    Inscription : avril 2009
    Messages : 329
    Points : 652
    Points
    652
    Par défaut Encore des règles, toujours des règles, "européeenes" qui protègent qui ?
    Désolé d'être aussi franc mais les "législateurs" se créent eux mêmes leur job, et les esclaves suivent !
    Pas d'accord avec la plupart de ces "normes" ou "recommandations" ou réglementations" issus de gens spécialistes en embrouillaminis, qui ont parfois les brevets pour vous barrer le chemin ou vous extorquer la manne. J'en ai connu des réunions, des gens qui voulaient nous faire "avancer" vers l'abime où nous sommes presque.
    Et merci à ceux qui s'en préoccupent et qui nous aident moyennant finance.
    Par entreprise il faudra :
    un comptable (non responsable d'après le Conseil d'Etat et ce que j'en sais) ,un avocat, un spécialiste cybersécurité, un conseil pour appliquer les "règlements" européens, un autre conseil pour les normes de son domaine (souvent issues d'un pays étranger à la civilisation différente), un autre pour les "lois" françaises, un pour les droits du travail (et des vacances)j'en oublie probablement.
    Bien sur adhérer à plusieurs associations de "défense" et y passer du temps avec les collègues.
    Enfin être prêt à entrer en concurrence avec une monnaie quatre fois inférieure à la vôtre et des nations avec un SIMG (ou sans SMIG) 50 % inférieur à celui de vos lois !
    En résumé : être un génie (des affaires) !
    Comment débuter si l'on n'est pas pourvu en cash ou en prêt, si l'on est pas déjà une grosse affaire.
    En prenant des risques et en vendant à une grosse boîte dès que çà marche.
    La protection ? : elle est simple : abandonner, déposer le bilan, fermer et partir. Surtout pas de "sentimalisme" c'est mortel !

  6. #6
    Expert éminent sénior
    Avatar de Glutinus
    Homme Profil pro
    Freelance EURL / Business Intelligence ETL
    Inscrit en
    avril 2005
    Messages
    5 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance EURL / Business Intelligence ETL
    Secteur : Finance

    Informations forums :
    Inscription : avril 2005
    Messages : 5 736
    Points : 27 338
    Points
    27 338
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par byrautor
    Désolé d'être aussi franc mais les "législateurs" se créent eux mêmes leur job, et les esclaves suivent !
    Pas d'accord avec la plupart de ces "normes" ou "recommandations" ou réglementations" issus de gens spécialistes en embrouillaminis, qui ont parfois les brevets pour vous barrer le chemin ou vous extorquer la manne. J'en ai connu des réunions, des gens qui voulaient nous faire "avancer" vers l'abime où nous sommes presque.
    Je suis d'accord ave toi. Beaucoup de personnes réussissent par force de lobby à se créer du boulot. Non pas que la RGPD n'est pas importante en soi, mais quand le taux de chômage / intercontrat monte, l'imagination technocrate est sans limite pour trouver du bullshit à revendre.
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  7. #7
    Expert éminent sénior
    Avatar de Mat.M
    Profil pro
    Développeur informatique
    Inscrit en
    novembre 2006
    Messages
    8 176
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : novembre 2006
    Messages : 8 176
    Points : 19 870
    Points
    19 870
    Par défaut
    Citation Envoyé par byrautor Voir le message
    Désolé d'être aussi franc mais les "législateurs" se créent eux mêmes leur job, et les esclaves suivent !
    c'est comme ça que l'économie française crée du PIB...étant donné que les produits de consommation en France sont majoritairement importés et que le made In France à part l'agro-alimentaire est réduit à une portion congrue que fait l'Etat ?

    Eh bien il crée des normes absurdes auquelles les entreprises doivent se conformer.

    Donc résultat des courses vous créez une entreprise pour gérer un site web plateforme de vente eh bien ça fait un surcoût d'un point de vue technique pour faire appliquer la R.P.G.D.

    Ce qui fait que si la norme impose par exemple des interrupteurs électrique made In China de forme triangulaire au lieu de forme carré pour éteindre et allumer la lumière chez vous il y a des entreprises des consultants en France pour pondre les dites normes et vous faire payer l'interrupteur plus cher.
    C'est comme ça que ça crée du PIB dans l'économie française artificiellement.


    Remarquez c'est comme la transition énergétique ce truc-là
    Citation Envoyé par byrautor Voir le message
    Par entreprise il faudra :
    bien d'accord ; l'idée que les entreprises françaises soient constituées d'armées mexicaines c'est une idée qui revient souvent sur ce forum...

  8. #8
    Expert éminent sénior
    Avatar de Glutinus
    Homme Profil pro
    Freelance EURL / Business Intelligence ETL
    Inscrit en
    avril 2005
    Messages
    5 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance EURL / Business Intelligence ETL
    Secteur : Finance

    Informations forums :
    Inscription : avril 2005
    Messages : 5 736
    Points : 27 338
    Points
    27 338
    Billets dans le blog
    3
    Par défaut
    Je m'étais fait des réflexions curieuses il y a quelques temps (une dizaine d'années). Je bossais en SSII, chez un client bancaire qui n'est autre que la banque où j'ai mon compte à vue. A la fin du mois, la banque payait la facture de ma SSII ; ma SSII me payait ; et moi je remboursais mon emprunt à la banque. Cela faisait un triangle un peu débile.

    Le jour de leur diplôme, on voit beaucoup de mèmes : les jeunes actifs américains sont contents d'être diplômés, mais ont peur de ne pas trouver un emploi malgré leur master, pour rembourser l'emprunt contracté pour les diplômes. Au final, je suis à peu près sûr qu'on peut trouver plein de bullshit jobs dans les banques et entreprises de crédit, pour justifier une activité à une élite qui a payé pour une fac ou une école...
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  9. #9
    Membre éprouvé
    Homme Profil pro
    Chargé de projets
    Inscrit en
    décembre 2019
    Messages
    243
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Chargé de projets
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2019
    Messages : 243
    Points : 1 016
    Points
    1 016
    Par défaut Un beau projet
    Un lundi matin; après le café :
    - Alors, ça avance ce projet RGPD ?
    - Yes boss ! c'est un sacré morceau mais ça avance, c'est compliqué vous savez, les mecs la haut viennent d'inventer un métier ! Et tout nos process sont à revoir !
    - Comment ça ? On adopte pas juste une charte pour mettre un nouveau tampon label sur le site de la boite ?
    - Ha non c'est bien plus que ça, on audite, on change des trucs et à la fin il faut un data protection offici...
    -Laissez tombez retournez bossé je vous ai pas engagé pour que vous changiez de métier en cours de route !

    Voila mon expérience du RGPD.

  10. #10
    Membre éprouvé
    Homme Profil pro
    Chargé de projets
    Inscrit en
    décembre 2019
    Messages
    243
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Chargé de projets
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2019
    Messages : 243
    Points : 1 016
    Points
    1 016
    Par défaut
    Citation Envoyé par byrautor Voir le message
    Désolé d'être aussi franc mais les "législateurs" se créent eux mêmes leur job, et les esclaves suivent !
    Pas d'accord avec la plupart de ces "normes" ou "recommandations" ou réglementations" issus de gens spécialistes en embrouillaminis, qui ont parfois les brevets pour vous barrer le chemin ou vous extorquer la manne. J'en ai connu des réunions, des gens qui voulaient nous faire "avancer" vers l'abime où nous sommes presque.
    Et merci à ceux qui s'en préoccupent et qui nous aident moyennant finance.
    Par entreprise il faudra :
    un comptable (non responsable d'après le Conseil d'Etat et ce que j'en sais) ,un avocat, un spécialiste cybersécurité, un conseil pour appliquer les "règlements" européens, un autre conseil pour les normes de son domaine (souvent issues d'un pays étranger à la civilisation différente), un autre pour les "lois" françaises, un pour les droits du travail (et des vacances)j'en oublie probablement.
    Bien sur adhérer à plusieurs associations de "défense" et y passer du temps avec les collègues.
    Enfin être prêt à entrer en concurrence avec une monnaie quatre fois inférieure à la vôtre et des nations avec un SIMG (ou sans SMIG) 50 % inférieur à celui de vos lois !
    En résumé : être un génie (des affaires) !
    Comment débuter si l'on n'est pas pourvu en cash ou en prêt, si l'on est pas déjà une grosse affaire.
    En prenant des risques et en vendant à une grosse boîte dès que çà marche.
    La protection ? : elle est simple : abandonner, déposer le bilan, fermer et partir. Surtout pas de "sentimalisme" c'est mortel !
    Je plussoie ! Nous on a carrément laisser tomber, et on conseille pareil à nos clients TPE/PME. Pour le moment c'est juste un investissement en pure perte et inutile. Certaine de nos petite boîte se lance dedans sans savoir et finisse chez nous à demander comment faire et on leur dit ce que Madoff à du dire à tout ses associés : "vous savez pour le moment y'a pas le feu au lac"

  11. #11
    Expert éminent sénior
    Avatar de Mat.M
    Profil pro
    Développeur informatique
    Inscrit en
    novembre 2006
    Messages
    8 176
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : novembre 2006
    Messages : 8 176
    Points : 19 870
    Points
    19 870
    Par défaut
    @jules34 : faire attention à bien faire respecter le RGPD car la CNIL fait des visites dans les entreprises et ça fait mal elle colle des amendes

    Sanctions
    En cas de non-respect du RGPD, plusieurs sanctions peuvent être appliquées aux entreprises. L'article 5832 du RGPD donne à la CNIL le pouvoir de mettre en place des moyens dissuasifs afin de lutter contre les défauts de conformités se référant aux dispositions du RGPD.
    Source

    Excellent article en accès total des Echos

  12. #12
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    10 125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 10 125
    Points : 27 974
    Points
    27 974
    Par défaut
    Hello,
    Citation Envoyé par Jules34 Voir le message
    Je plussoie ! Nous on a carrément laisser tomber, et on conseille pareil à nos clients TPE/PME. Pour le moment c'est juste un investissement en pure perte et inutile. Certaine de nos petite boîte se lance dedans sans savoir et finisse chez nous à demander comment faire et on leur dit ce que Madoff à du dire à tout ses associés : "vous savez pour le moment y'a pas le feu au lac"
    Eh bien je suis bien désolé d'entendre de telles choses. À mes yeux, la protection des données est essentiel, et je ne comprends pas que entreprises entières n'en aient rien à secouer. Pour ceux qui croient que c'est uniquement un règlement européen, sachez que la Californie a également des lois similaires, ainsi que la Suisse et encore d'autres pays.

    Ça fait des années que le RGPD eiste, et que les PME auraient eu le temps de le mettre en place, mais encore faut-il de la volonté.

    On trouve d'ailleurs les mêmes inepties sur la sécurité informatique.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  13. #13
    Expert éminent sénior
    Avatar de Glutinus
    Homme Profil pro
    Freelance EURL / Business Intelligence ETL
    Inscrit en
    avril 2005
    Messages
    5 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance EURL / Business Intelligence ETL
    Secteur : Finance

    Informations forums :
    Inscription : avril 2005
    Messages : 5 736
    Points : 27 338
    Points
    27 338
    Billets dans le blog
    3
    Par défaut
    L'idéal est de faire monter un projet RGPD avec une campagne de KYC et je dirai même KYD (know your data), c'est hallucinant de voir que les bases sont montées sans dictionnaire de données, sans RG en rétro doc et qu'on ne sait même pas où chercher la donnée, ou si elle est présente en cible, et parfois dupliquées.

    C'est ce que j'ai essayé de faire, pour aider mon collègue à convaincre d'investir dedans. Au début il pensait que secouer le feuillet "attention, vous allez avoir des amendes suffiraient", mais les régulateurs sont aussi en cours de consolidation de leurs côtés. Quand on a commencé à dire "pour pouvoir anonymiser, on va pouvoir identifier les bons stockages, et vous pourrez enfin savoir où vous trouverez vos noms de clients", c'était déjà trop tard, on avait un pied dehors et un autre au cul (cf mon message ci-dessus).
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  14. #14
    Expert éminent sénior
    Avatar de Mat.M
    Profil pro
    Développeur informatique
    Inscrit en
    novembre 2006
    Messages
    8 176
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : novembre 2006
    Messages : 8 176
    Points : 19 870
    Points
    19 870
    Par défaut
    @Glutinus en même temps le dictionnaire de données ça s'obtient en ouvrant une table et en obtenant les colonnes.
    Je peux même faire ça avec l'API ODBC en quelques lignes de code
    cela se fait très bien sur un mode rétro-ingénierie..

    comme je l'ai écris auparavant la RGPD c'est l'exemple même d'enc.. les mouches institutionnalisé par l’État français

    Vous feriez mieux de candidater pour Facebook, il y a du boulot pour construire son Metaverse

  15. #15
    Expert éminent sénior
    Avatar de Glutinus
    Homme Profil pro
    Freelance EURL / Business Intelligence ETL
    Inscrit en
    avril 2005
    Messages
    5 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance EURL / Business Intelligence ETL
    Secteur : Finance

    Informations forums :
    Inscription : avril 2005
    Messages : 5 736
    Points : 27 338
    Points
    27 338
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Mat.M
    @Glutinus en même temps le dictionnaire de données ça s'obtient en ouvrant une table et en obtenant les colonnes.
    Je peux même faire ça avec l'API ODBC en quelques lignes de code
    cela se fait très bien sur un mode rétro-ingénierie..
    Je ne te parle pas de faire un "select * from all_tab_columns" (ou un "select * from sys.columns", ne soyons pas racistes ), je te parle de chercher où est stocké réellement une donnée précise. Sur des gros systèmes DB2 avec des noms des champs à 6 caractères, tant mieux si le nom du client est stocké dans NOMCLI. Bon courage s'il est stocké dans LCLD12 (cas véridique et vécu).

    Tu vas me dire : mais regarde dans ce cas les commentaires sur les colonnes... Haha, mais oui, je crois au père Noël, c'est le premier truc que je fais quand j'arrive chez un client... Haaaaa, mais il y a autant de commentaires que de spécifications fonctionnelles, c'est-à-dire... zéro ?

    Tant mieux s'il transite dans NOM_PERSONNE_PHYSIQUE. Bon courage après s'il transite derrière dans NOM_PERSSONE_PHISYQE (autre cas véridique et vécu). Et prie d'ailleurs pour qu'on ne fasse pas de jointure sur ces deux tables. Comment ça, faire une jointure entre des libellés et non des ID ? Mais ça n'arrive jamais !!! ...


    ... Mais non mwahahahaha.... ouiiiiiin

    Citation Envoyé par Mat.M
    comme je l'ai écris auparavant la RGPD c'est l'exemple même d'enc.. les mouches institutionnalisé par l’État français

    Vous feriez mieux de candidater pour Facebook, il y a du boulot pour construire son Metaverse
    Si tu penses que je défends la RGPD, peux-tu relire ce que j'ai écrit un peu plus haut, steup' ?

    Ce que je donne, c'est juste un conseil pour que les preux défenseurs de la RPGD (eg mon collègue ci-dessus) qui croient dur comme fer, tels des chevaliers blancs, que du jour au lendemain nos grands clients bancaires vont dire "ha oui, mais vous avez raison, on va arrêter d'ouvrir notre prod à tout le monde, et que Gustave le développeur voit le nom de nos clients... désolé, désolé, allez, venez nous donner une tape et donnons-nnous tous un bisou pour faire la paix", et les équipes court-termistes en bout de chaine puisse avoir un peu de souffle pour ne pas mettre 10 plombes pour savoir où chercher le nom du bénéficiaire d'un contrat...
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  16. #16
    Expert éminent sénior
    Avatar de Mat.M
    Profil pro
    Développeur informatique
    Inscrit en
    novembre 2006
    Messages
    8 176
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : novembre 2006
    Messages : 8 176
    Points : 19 870
    Points
    19 870
    Par défaut
    Citation Envoyé par Glutinus Voir le message
    je te parle de chercher où est stocké réellement une donnée précise. Sur des gros systèmes DB2 avec des noms des champs à 6 caractères, tant mieux si le nom du client est stocké dans NOMCLI. Bon courage s'il est stocké dans LCLD12 (cas véridique et vécu).
    ehhh rechercher une donnée précise c'est à ça que sert le SQL non ?
    Autrement pour ce qui est des bases de données non documentées c'est un autre problème et oui c'est certain que pour appliquer les règles de la RGPD s'il n'y pas un modèle conceptuel de données bien précis et bien bétonné là bonjour la galère.
    Des MCD sur des projets je n'en ai jamais vu et pourtant y'a un excellent produit c'est PowerAmc sans faire de pub.

  17. #17
    Membre expert
    Profil pro
    HFT/Quant
    Inscrit en
    juillet 2006
    Messages
    1 012
    Détails du profil
    Informations personnelles :
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : HFT/Quant

    Informations forums :
    Inscription : juillet 2006
    Messages : 1 012
    Points : 3 933
    Points
    3 933
    Par défaut
    Citation Envoyé par Glutinus Voir le message
    "ha oui, mais vous avez raison, on va arrêter d'ouvrir notre prod à tout le monde, et que Gustave le développeur voit le nom de nos clients... désolé, désolé, allez, venez nous donner une tape et donnons-nnous tous un bisou pour faire la paix", et les équipes court-termistes en bout de chaine puisse avoir un peu de souffle pour ne pas mettre 10 plombes pour savoir où chercher le nom du bénéficiaire d'un contrat...
    C'est pas necessairement un probleme que Gustave le developpeur puisse voir le nom de clients.
    C'est plutot normale en fait. Il y a forcement un troufion qui doit manager l'application et la base de donnees.

  18. #18
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    10 125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 10 125
    Points : 27 974
    Points
    27 974
    Par défaut
    Citation Envoyé par Glutinus Voir le message
    du jour au lendemain
    Le RGPD date de 2016, est applicable depuis 2018, tu vas me dire que tes "grands clients bancaires" n'ont pas déployé un projet en prod depuis ce temps là ? Qu'ils n'avaient pas la possibilité (je ne parle pas de l'envie, mais de la possibilité) d'intégrer un projet RGPD parmi tous ceux qu'ils ont fait ?
    Et comment se fait-il que certaines entreprises y arrivent, et d'autres pas ?

    C'est exactement la même chose que pour la sécurité informatique : tu as ceux qui disent "on n'a pas le temps, on peut pas, c'est vraiment horrible la sécurité, ça coute cher, c'est compliqué, et puis en plus il pleut", et d'autres qui essayent, et qui en plus arrivent à faire des choses...

    Aujourd'hui, une très grande majorité des sites sont accessibles en https. Pourtant, avant son déploiement massif, beaucoup d'entrerprises disaient que oulala mais c'est horrible, c'set compliqué, il va falloir embaucher des consultants, et puis pour la maintenance on va faire comment, vous vous rendez pas compte...
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  19. #19
    Expert éminent sénior
    Avatar de Glutinus
    Homme Profil pro
    Freelance EURL / Business Intelligence ETL
    Inscrit en
    avril 2005
    Messages
    5 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance EURL / Business Intelligence ETL
    Secteur : Finance

    Informations forums :
    Inscription : avril 2005
    Messages : 5 736
    Points : 27 338
    Points
    27 338
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par yento Voir le message
    C'est pas nécessairement un problème que Gustave le développeur puisse voir le nom de clients.
    C'est plutot normale en fait. Il y a forcement un troufion qui doit manager l'application et la base de données.
    Ce n'est pas anormal, non. Mais la politique majoritaire c'est du tout ou rien. Et comme aucun effort n'est fait pour nommer DPO et lui donner le rôle pour de vrai de définir les différents droits d'accès, alors on préfère passer le squelette sous le tapis ou bloquer l'accès en production.

    Depuis la nuit des temps j'ai toujours eu accès aux données de prod. Parfois avec des les user applicatifs et non user de lecture, donc bonjour les drop table qui arrivent par accident de temps à autre car exécuté sur le mauvais onglet.
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

  20. #20
    Expert éminent sénior
    Avatar de Glutinus
    Homme Profil pro
    Freelance EURL / Business Intelligence ETL
    Inscrit en
    avril 2005
    Messages
    5 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance EURL / Business Intelligence ETL
    Secteur : Finance

    Informations forums :
    Inscription : avril 2005
    Messages : 5 736
    Points : 27 338
    Points
    27 338
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Mat.M
    ehhh rechercher une donnée précise c'est à ça que sert le SQL non ?
    Autrement pour ce qui est des bases de données non documentées c'est un autre problème et oui c'est certain que pour appliquer les règles de la RGPD s'il n'y pas un modèle conceptuel de données bien précis et bien bétonné là bonjour la galère.
    On se mord la queue, là.

    Tiens, Mat.M, je te nomme responsable des devs pour la RGPD. On va anonymiser les champs NOM et PRENOM de toutes les bases.

    Tu vas faire quoi ? Demander des specs, j'imagine, pour qu'on te donne les colonnes NOM et PRENOM. Et là tu tombes sur 30 consultants MOA "Oui oui, attends, j'ai le comité Gudule qui arrivée après le comité Timothée, le vendredi en 8, après y a le freeze de pré-prod, on verra après la phase 3". Au final, dans deux semaines après, c'est "démerde-toi, Mat.M pour identifier, et arrête d'embêter les gentils MOA qui ont décidemment trop de boulot".

    Tu vas aller voir alors les personnes qui travaillent sur les applications, les entrepôts de données qui génèrent du reporting. Ces derniers sont en bout de chaîne, c'est quand même les plus légitimes pour avoir l'ensemble des données au travers des tables opérationnelles, des tables temporaires etc. Qui est la 3ème équipe en 3 ans (des départs de consultant pour mission de merde, différends salariaux, opportunité ailleurs, parce qu'on s'est rendus compte qu'il y a des erreurs de casting). Ils pourraient retrouver d'où vient la donnée "Nom du client" dans le reporting Qlikview, ils l'ont déjà fait 4 fois en un trimestre mais on ne leur a pas laissé le temps de noter dans une rétro-doc d'où vient la donnée, à peine corrigé le mardi on les refile sur une autre anomalie le mardi.

    Donc tu fais le travail (alors qu'on aurait pu merger le projet RGPD avec une sorte de reconsolidation de cette documentation), en tâtonnant et en faisant des SELECT sur tous les champs CHAR/VARCHAR de la base dans l'espoir de trouver un PAUL ou un DUPONT quelque part.

    Citation Envoyé par Mat.M
    Des MCD sur des projets je n'en ai jamais vu et pourtant y'a un excellent produit c'est PowerAmc sans faire de pub.
    Ha, mais tu peux faire la pub. Moi je me gausse, car PowerAMC a été déployé chez pas mal de clients, mais on n'a jamais voulu me refiler une licence car c'est trop cher. Du coup c'est bloqué par des chefs de projet, des MOA non spécialisés dans les projets de BDD, qui ne savent pas l'utiliser, mais qui veulent surtout pas refiler leur clé, apeuré qu'on découvre la supercherie.

    Tu vas rigoler. Véridique : chez un client chez qui j'ai fait 18 mois de mission, j'ai appris la semaine de mon départ que dans un bureau de mon couloir (pas le bureau voisin, mais celui d'après), que je pensais inoccupé car je n'ai jamais vu quelqu'un y rentrer ou en sortir, était en fait celui des concepteurs-modélisateurs de la majorité des BDD. Mon N+2, qui pensait me faire une punition en me virant de mission alors que je n'ai pas arrêté de me plaindre ouvertement de la nullité, du non-sens des actions, a dit sur un ton de reproche "tu sais, il suffit de demander" alors que depuis 18 mois j'ai cherché l'information.

    En vérité, je pense qu'il s'agit de gens placardisés : les concepteurs étaient déjà partis depuis longtemps.
    - So.... what exactly is preventing us from doing this?
    - Geometry.
    - Just ignore it !!
    ****
    "The longer he lived, the more he realized that nothing was simple and little was true" A clash of Kings, George R. R. Martin.
    ***
    Quand arrivera l'apocalypse, il restera deux types d'entreprise : les pompes funèbres et les cabinets d'audit. - zecreator, 21/05/2019

Discussions similaires

  1. Réponses: 15
    Dernier message: 11/07/2018, 20h18
  2. Réponses: 70
    Dernier message: 22/06/2017, 16h21
  3. Réponses: 3
    Dernier message: 02/08/2014, 11h39
  4. [MCD] MCD générique pour l'organisation des entreprises
    Par poseidon09 dans le forum Schéma
    Réponses: 1
    Dernier message: 22/06/2011, 10h57
  5. Réponses: 0
    Dernier message: 19/04/2011, 17h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo