RGPD : où en est le service web du diocèse de Nevers ?

Le 25 mai 2018 est entré en application un Règlement Général sur la Protection des Données des ressortissants de l’Union Européenne, dit RGPD. Ce règlement oblige, tout acteur traitant des données à caractère personnel de ressortissants de l’Union Européenne, de se soumettre aux directives de ce règlement.

Le diocèse de Nevers est donc concerné, et vous trouverez ci-après comment il fut intégré par le service et quelle est la feuille de route de celui-ci.

Un règlement anti-GAFA

Avant de partir dans des considérations opérationnelles, il faut comprendre l’esprit de ce règlement et son application qui en est faite par la CNIL en France. L’essentiel est de comprendre que ce texte a été fait pour contrer les appétits des GAFA en Europe. Les GAFA étant l’acronyme pour désigner GOOGLE, AMAZON, FACEBOOK et APPLE.

Deuxième considération : cette loi porte intelligemment l’accent sur la proportionnalité des mesures prises par les acteurs d’une collecte, leurs capacités à les mettre en oeuvre et enfin la transparence et la bonne volonté. Ces critères sont donc une obligation de moyens et non de résultat, le tout proportionné à l’acteur mis en cause : un Google ne sera pas jugé de la même manière qu’une association locale de joueurs de pétanque !

Troisième considération : les moyens mis en oeuvre sont essentiellement ceux déployés pour cartographier les données, et évaluer les risques, et surtout la capacité d’informer les utilisateurs de manière transparente sur l’utilisation de leurs données.

Pour conclure sur ces considérations, la CNIL édite des guides de mise en place de ces mesures que le service web du diocèse s’applique à mettre en oeuvre selon ses moyens humains (3 bénévoles à temps très partiel) et financiers (quelques centaines d’euros par an). Ce qui est tout à fait suffisant.

Voici donc les principales mesures prises depuis 2017 maintenant (on avait pris de l’avance !).

1. Cartographier les données

Dans le cadre du SI web du diocèse, seules les données du site web, des réseaux sociaux (Twitter et Facebook), de l’outil de Newsletter (Mailchimp), et l’outil de travail collaboratif (Office 365) sont actuellement cartographiés et sous maîtrise du service web.

D’autres SI ne sont donc pas sous contrôle, notamment et de manière non-exhaustive : les outils utilisés de leur propre chef par les services, mouvements, prêtres, religieux, paroisses et ou groupements de paroisses dans leur organisation propre.

Par exemple : si le diocèse de Nevers a un total contrôle sur les accès aux adresses mail en @nievre.catholique.fr (mais pas à leur contenu, inaccessible même pour un super-administrateur !), il n’est pas responsable de l’état des PC, ordinateurs utilisés par les uns et les autres. 

Il est donc de la responsabilité de chaque composante du diocèse de :

• soit se mettre en conformité par ses propres moyens ;
• soit confier ses données au SI du diocèse, notamment en utilisant un ordinateur du diocèse et les logiciels proposés par lui (voir https://www.nievre.catholique.fr/les-medias/site-internet-du-diocese/intranet/ ).

Passons en revue les données collectées par le SI du diocèse.

Site Internet

Le site web collecte essentiellement des informations au travers des “cookies”, ou fichiers témoins, utilisés pour permettre le bon fonctionnement du site sur votre navigateur, ou pour améliorer nos services grâce à des études statistiques. Vous retrouverez la liste de ces éléments en cliquant sur l’encart bleu “Paramètres de gestion de la confidentialité” en bas à droite de votre écran.

Les autres données sont les emails, noms et prénoms des contributeurs du diocèse.

Réseaux sociaux

Dans le cas des réseaux sociaux, nous faisons appel à deux prestataire de renoms : Facebook, Twitter et Google. conformément aux directives de la RGPD, le rôle du service web du diocèse est de s’assurer que ses prestataires respectent bien eux-même les directives de la RGPD.  C’est donc bien le cas pour ces trois là ! On notera donc les efforts déployés par eux pour se mettre en conformité :

• Google : https://www.google.com/intl/fr_ca/cloud/security/gdpr/
• Facebook : https://www.facebook.com/business/gdpr
• Twitter : https://gdpr.twitter.com/fr.html 

Notez que nous ne sommes heureusement pas les seuls à scruter les agissements de ces trois prestataires, puisque ce fameux règlement de la RGPD a été créé pour justement “réguler” leurs agissements.

Newsletter

Le service web du diocèse utilise les services de Mailchimp, un des leaders mondiaux sur le secteur, qui s’est également empressé de se mettre en conformité (voir https://mailchimp.com/fr/help/about-the-general-data-protection-regulation/).

A noter que dans la cadre des newsletter, le service web du diocèse de Nevers applique depuis longtemps les bonnes pratiques de gestion des emails, collectés au moyen de son formulaire en pied de site et soumis au principe de la double validation. De même, tous les destinataires de la lettre peuvent librement se désinscrire de la lettre sur simple clic en bas de chacune d’elles.

Intranet (Office 365)

Pour améliorer le travail collaboratif au sein du diocèse, a été mis en place un outil “intranet” très puissant : Office 365. Proposé par Microsoft, il offre une palette d’outils impressionnante, mais surtout une maitrise sur la donnée sans équivalent.

Actuellement, l’outil le plus utilisé reste les adresses emails en @nievre.catholique.fr via l’outil Outlook en ligne.

Ce travail de plusieurs années de déploiement, de formation, et de sensibilisation, a permis au diocèse de Nevers d’être en pleine capacité de maîtrise sur les données transitant par ce système. A la moindre demande, les accès à l’intranet, mais également l’intégralité des données peuvent être restituées ou détruites.

Pistes d’améliorations :

Le service à identifié deux axes principaux de progrès :

• diffuser au maximum l’utilisation du pack Office (Word, Excel, Powerpoint) proposé par le diocèse de Nevers, et l’étendre aux services, paroisses, groupements et religieux du diocèse. Les avantages sont : mises à jour de sécurité constamment appliquées, maîtrise les accès aux fichiers sensibles et permettre leur révocation en cas de fin de mission. Les données sont ainsi toujours précisément maîtrisées.
• sensibiliser à l’utilisation de matériel, de système d’exploitation et de logiciels de dernières générations et correctement mis à jour. 

2. Ne collecter et conserver que le strict minimum.

Sur les aspects de collecte, le SI web du diocèse ne doit en effet collecter que le strict minimum de données pour lui permettre d’accomplir ses missions. Sur ce point, il est notamment dans les bonnes pratiques de supprimer les comptes utilisateurs non utilisés.

Le service web du diocèse ayant peu de moyens de collecte et de sauvegarder de ces données, l’effort de tri est donc assez naturellement intégré à ses processus !

3. Informer et réagir

Dans le cadre du respect des directives de la RGPD, et notamment le moyen d’information, le service web du diocèse a donc mis à disposition trois mesures principales :

a. Communiquer aussi régulièrement que possible sur la feuille de route de ces travaux d’évaluation des risques, de sécurisation et de conformité. Cet article en fait partie.

b. Publier une politique de confidentialité centralisant ces efforts et informant de la manière la plus exhaustive possible des données et moyens mis en oeuvre pour les contrôler. Voir https://www.nievre.catholique.fr/politique-de-confidentialite/

c. Réagir à toute demande d’information ou de suppression de données, notamment grâce à le nomination d’un officier de la données personnelle (ou DPO) .

A noter sur ce dernier point que la nomination de l’officier en charge de la maitrise de la donnée (ou DPO)  fait l’objet de règles précises dernièrement mises à jour par la CNIL (voir https://www.cnil.fr/fr/designation-dpo). Les principales étant :

• DÉTIENT LES COMPÉTENCES REQUISES : notamment avoir la formation et les compétences juridiques et techniques suffisantes en matière de protection des données personnelles ;
• DISPOSE DE MOYENS SUFFISANTS : notamment pouvoir accéder aux informations utiles ;
• A LA CAPACITÉ D’AGIR EN TOUTE INDÉPENDANCE : ne pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction hiérarchique.

4. Sécuriser et surveiller

Enfin, un des derniers points, des mesures à mettre en oeuvre pour se conformer aux directives de la RGPD est de pratiquer une politique de sécurisation des éléments du SI.

Dans ce domaine, le service web du diocèse de Nevers fut un des pilotes de la mise en oeuvre de solutions à très haut standard de sécurité.

Ainsi, tous les prestataires sélectionnés par le service web du diocèse sont certifiés ISO 27007:2017, soit la plus haute norme dans le domaine par exemple, Office 365 : https://products.office.com/fr-fr/business/office-365-trust-center-compliance-certifications C’est également le cas pour OVH, le prestataire d’hébergement de site du diocèse (voir https://www.ovh.com/fr/apropos/certifications.xml).

Enfin dans le cas du système de gestion du site du Diocèse, WordPress, système leader du marché mais donc exposé aux attaques, il fut l’objet d’une prestation de sécurisation de la part d’un professionnel de la solution en 2017 : Studio Nowed.

Conclusion

Si la RGPD s’impose à tous, il est de la responsabilité de chacun de s’informer et de mettre en oeuvre les directives. Le service web du diocèse reste donc à votre disposition et vous informer sur la manière d’identifier les risques liées à vos traitement des données, à leur sécurisation et à la publication des moyens mis en oeuvre.

Pour l’équipe web,

Jean Boyancé, responsable du SI du diocèse de Nevers