Soluxions Magazine : Labgroup, premier PSDC certifié, à l’heure du bilan

Dix-huit mois plus tard, quel bilan dresser du statut de PSDC ? Avant la conférence de Labgroup le 4 octobre prochain sur ce thème, Jean Racine avance quelques pistes de réflexion.

«Notre statut de PSDC attire, c’est évident. Jusqu’ici, analyse Jean Racine, Chief Business Development Officer, Labgroup, les entreprises étrangères ont été plus promptes à saisir les opportunités du cadre légal luxembourgeois sur l’archivage électronique. C’est un marché encore en devenir, dont l’essor est lié au support de la signature électronique. La numérisation est un tout !»

L’heure est au bilan. Dix-huit mois après la mise en application du statut PSDC (Prestataire de Services de Dématérialisation et de Conservation), Labgroup, première société certifiée PSDC, et Numen, ayant obtenu ce même statut quelques mois plus tard, organisent un petit-déjeuner suivi d’une conférence interactive dédiée au statut PSDC. Ce sera le 4 octobre prochain, à l’Hôtel Olivier à Strassen. La présentation du statut et son cadre réglementaire sera suivie d’une démonstration concrète et pratique d’un processus «zéro papier», de la dématérialisation à valeur probante jusqu’à l’archivage sécurisé des documents et données sensibles.

Aujourd’hui, six organisations ont accédé au statut de PSDC. Outre Labgroup et Numen, relevons Victor Buck Services, le SIGI et, tout récemment, le CTIE et KPMG. Pour certains, le statut leur permettra de développer des activités en cours pour leurs propres clients; pour d’autres, de promouvoir de nouveaux services pour une clientèle internationale. À profils différents, attentes différentes. Le SIGI, par exemple, était intéressé par le seul volet «C» du statut -la conservation.

«D’emblée, chez Labgroup, nous avons enregistré une forte demande d’information, au point d’être débordés, poursuit Jean Racine. En 2017, nous avons passé le plus clair de notre temps à expliquer… Par ailleurs, nous nous sommes rendu compte que si le temps jouait en notre faveur, étant les premiers certifiés, le cycle de décision est très lent. Autant la question de l’archivage intéresse, autant la décision peut être postposée. En termes d’investissements, elle n’est tout simplement pas prioritaire.»

Bref, il faudra encore du temps. Et certains, d’ailleurs, de s’interroger si le cadre légal introduit en 2015 est encore d’actualité en 2020, autrement dit si le Luxembourg pourra encore profiter de son avance… «Personnellement, je pense que l’essor viendra de la conjonction de l’archivage et de la signature électronique, observe Jean Racine. Et donc la complémentarité entre le cadre légal luxembourgeois permettant d’accélérer et d’élargir la transformation digitale et l’eIDAS, qui confère une valeur légale européenne aux services de confiance numérique, tels que la signature électronique et l’horodatage. Les deux se renforcent !»

Bref, le marché balbutie. Si intérêt il y a, les contrats se comptent sur les doigts des deux mains. En cause, aussi, le coût. À entendre Jean Racine, peu d’organisations ont une idée de leurs coûts réels en dématérialisation et conservation. Combien, déjà, coûte le stockage ? Les ordres de grandeur avancés sont souvent approximatifs. Combien, par ailleurs, coûte la recherche d’informations ? Et, in fine, combien coûte un litige ?

«Une meilleure visibilité permettra d’obtenir un ROI solide. Et donc une base nouvelle de discussion. Ce travail, nécessaire, nous le faisons pour nos clients et prospects», complète Jean Racine. Ce qui signifie aussi que le travail d’évangélisation n’est pas terminé. Et si Labgroup peut mettre en avant dix-huit mois d’expérience, il n’est plus question de parler d’avance.

@Copyright: Soluxions Magazine 

Auteur: Alain de Fooz

«Nous avions du retard en termes d’archivage»

M. Bauler, pouvez-vous nous rappeler le principe général de cette nouvelle loi?

«Il s’agit tout simplement du premier cadre légal complet en matière d’archivage. Auparavant, nous nous basions sur un arrêté royal grand-ducal de 1878, un règlement grand-ducal de 2001 et la loi sur le notariat de 1976. Alors que les missions des Archives nationales étaient définies dans la loi sur les instituts culturels de 2004.

Bref, il s’agissait d’un environnement légal très fragmenté et très lacunaire. Maintenant, nous avons un cadre complet. Et il faut dire que nous avons du retard par rapport à nos voisins. La France se base sur une loi qui date de la révolution, les Allemands se sont dotés d’un cadre en 1988 et les Autrichiens en 1999.

«Les communes ont toutefois fait valoir leur autonomie et ne tombent pas sous cette loi.»

André Bauler, rapporteur de la loi

La nouvelle loi change en ce sens qu’elle règle toutes les questions relatives à la collecte, la conservation et la gestion du patrimoine public écrit que sont les Archives nationales. Elle introduit par ailleurs des amendes de 500 à 45.000 euros en cas de destruction consciente d’archives, et de 500 à 15.000 euros en cas de négligence, comme la perte de documents.

Les communes ont toutefois fait valoir leur autonomie et ne tombent pas sous cette loi, bien qu’elles gèrent elles aussi des archives publiques. Mais elles peuvent conclure des contrats de coopération avec les Archives nationales pour bénéficier de conseils ou d’aides logistiques.

Cet encadrement de l’archivage va nécessiter plus de professionnels dans ce domaine. S’agit-il d’une nouvelle filière, selon vous?

«Oui, cette nouvelle loi va entraîner un besoin croissant d’archivistes. Mais nous allons certainement faire face à un petit problème de profils disponibles. Il faut former dès maintenant des archivistes et dire aux jeunes qu’il existe des débouchés dans ce secteur. Car la gestion des archives nécessite des connaissances spécifiques.

«À l’heure actuelle, les Archives nationales sont réparties sur cinq sites différents.»

André Bauler, rapporteur de la loi.

En parallèle, il faut pouvoir offrir un environnement moderne pour répondre à ce nouveau cadre législatif. Nous avons présenté en mai un avant-projet de loi sommaire sur le nouveau bâtiment des Archives nationales sur le site d’Esch-Belval. Ce devra être une priorité de la prochaine mandature. À l’heure actuelle, les Archives nationales sont réparties sur cinq sites différents.

La nouvelle loi prévoit que les archives fiscales pourront être consultées après 100 ans. N’est-ce pas un délai un peu trop long?

«Le premier texte prévoyait que les documents soumis au secret fiscal ne seraient pas inclus, et donc ne seraient pas archivés. C’est un sujet très sensible au Luxembourg. La Chambre a fait appel au gouvernement, qui a fait évoluer sa position. Les documents fiscaux seront donc archivés, mais consultables seulement après ce délai de 100 ans.

Selon moi, c’est un changement important, car cela veut dire que les archives fiscales ne peuvent être détruites. Je pense globalement que cette nouvelle loi est un bon départ. Maintenant, il s’agit de collecter les expériences et nous procéderons très probablement à des ajustements dans les années à venir.»

«La nouvelle loi introduit des amendes de 500 à 45.000 euros en cas de destruction consciente d’archives, et de 500 à 15.000 euros en cas de négligence, comme la perte de documents», rappelle André Bauler.

(Photo: Maison Moderne/archives)

@Copyright: Paperjam

June 9th – International Archives Day

Issues finding your documents? Keep calm – the 9th June is International Archives Day! 

International Archives Day aims to raise awareness amongst organisations regarding the importance of archiving media, classifying different types of documents, and managing retention periods.

This day is also an opportunity to thank all the people who are committed to easing our research and information exchanges like Mister Archive and Miss Digital.

What does “archives” mean?

Archives/records include information of different types, age or support that are produced by organisations as part of their activity. Archives must be maintained by organisations but also by people as evidence and trace in case of control or dispute. They may also contribute to the future decisions of an entity through data analytics. Therefore, proper preservation of records is required.

Labgroup can help organisations with the implementation of an archiving policy that will lead to creating retention rules; to better manage information lifecycle but also to protecting personal data.

You don’t know how to implement an archiving policy?

Don’t worry, Labgroup assists organisations in the development of an adapted archiving policy by providing advisory services. As being members of the Labgroup team, Mister Archive and Miss Digital are willing to help your organisation thanks to their magical expertise and deep experience in the field of document and data management.

With the help of Mister Archive, your organisation will achieve to create and implement an archiving policy, while new content and records management tools will optimise and centralise information management, thanks to Miss Digital.

Labgroup offers, according to the needs of its customers, archival consulting services that result in various missions regarding:

  • Training  -> implement user awareness and change management
  • Organisation and governance -> organise the searching and display of procedures
  • Document workflow management -> manage the access and authenticity -> optimise the information’s circulation
  • Hybrid records management, paper and electronic -> secure archiving, management and destruction processes
  • Indexation and archival description  -> describe archives and funds according to archival   standards
  • Valorisation and preservation -> assure long-term preservation both paper and electronic -> ensure the transparency and confidentiality

Labgroup has the power to simplify and strengthen information governance thanks to the Arcateg™ Records Categorisation Method that accelerates information management rules development and their implementation.

Organisations can take advantage of the Arcateg™ methodology according to several specific objectives such as quality and completeness of the retention rules, mapping of personal data, and/or compliance with GDPR (General Data Protection Regulation (GDPR), in force from May 25th, 2018).  (https://www.labgroup.com/partenariat-entre-labgroup-et-archive-17-pour-la-diffusion-de-la-methode-arcateg-archivage-par-categorie/)

Need help with your documents/data management? Contact us now and benefit from a special consultancy offer to celebrate this special day

1 day/consultant to implement an existing assessment report!

Send an e-mail to marketing@labgroup.com to schedule your appointment

 

Links:

Communication en français: Journée Internationale des Archives

Article Paperjam – « Transformation digitale et artisanat »

La numérisation engendre l’émergence de nouveaux modèles d’affaires, mais a également des implications profondes au niveau de l’organisation du travail et de la manière de travailler. L’artisanat se positionne pour saisir les opportunités qui découlent de ces évolutions.

La Cour de justice de l’UE a statué dans un arrêt1 récent que la plateforme électronique Uber, qui développe et exploite des applications mobiles de mise en contact d’utilisateurs avec des chauffeurs non professionnels, doit être considérée comme un prestataire de services dans le domaine des transports et non comme un simple intermédiaire ICT. Concrètement, dans l’UE, Uber doit donc être soumis aux mêmes réglementations que celles imposées aux taxis, qui représentent au Luxembourg une activité réglementée selon le droit d’établissement en vigueur.

Cette décision de la CJUE, bien que favorable pour le secteur des taxis, ne pourra cependant pas défaire la soi-disant «ubérisation» graduelle des marchés traditionnels: la transformation via des outils numériques (plateformes, applications, etc.) va gagner en importance et les acteurs économiques non issus de secteurs traditionnels qui gèrent ces outils risquent de devenir de nouveaux intermédiaires entre consommateurs et prestataires artisanaux de service. Chaque secteur devra désormais se positionner face à ces développements, et l’artisanat demande à ce que les mêmes standards s’appliquent tant aux activités réelles qu’aux activités virtuelles (sécurité sociale, droit du travail, droit d’établissement, sécurité & santé, fiscalité, etc.).

Par ailleurs, il est un fait que les besoins des clients ont également évolué avec l’émergence de nouvelles plateformes: ils s’attendent désormais à des services très personnalisés et interactifs, disponibles à tout moment et à coûts réduits. Cette tendance va à l’encontre du désir souvent exprimé des mêmes clients souhaitant acheter localement, notamment en vue d’éviter des chemins de transport excessifs des produits. Face à ces évolutions, les entreprises artisanales sont bien placées pour répondre aux nouvelles demandes, à condition d’adapter leurs modèles d’affaires: elles devront davantage se concentrer sur la prestation d’un service sur mesure, tout en satisfaisant un besoin d’information et de conseil à haute valeur ajoutée auprès des clients.

La numérisation n’engendre cependant pas seulement l’émergence de nouveaux modèles d’affaires. Elle a des implications profondes aussi bien au niveau de l’organisation du travail (p. ex. applications d’enregistrement des données sur chantier, géolocalisation, vente en ligne), des modes de communication (p. ex. réseaux sociaux), que de la manière de travailler (p. ex. connexion aux données professionnelles sans présence physique). Les opportunités en découlant seront considérables, que ce soit au niveau de la communication externe, de la création de nouveaux produits, de la personnalisation des services ou de l’interconnexion des données.

Pour les entreprises artisanales, il sera donc primordial de défendre à l’avenir leur position concurrentielle face à des entrants «technologiques» du marché, ayant intégré le digital dès leur création et provenant d’horizons n’ayant aucun rapport avec les activités traditionnelles. L’artisanat devra évoluer en proposant des produits et services de haute qualité sur la base de processus digitaux de production et d’organisation gagnant en souplesse et en réactivité. Sachant que l’artisanat a dans le passé toujours bien intégré les innovations technologiques, en adoptant une nouvelle «façon de penser», il a tout intérêt à augmenter sa performance et à rester compétitif par l’adoption de nouvelles stratégies, de nouveaux outils, tout en restant orienté vers l’avenir.

Pour accompagner les entreprises artisanales dans leur transformation digitale, la Chambre des métiers a mis en place le service «eHandwierk», qui vise essentiellement à offrir une guidance et une orientation concrète aux entreprises vis-à-vis des évolutions du numérique. Il ambitionne de les sensibiliser aux enjeux de la digitalisation et de les mettre en relation avec les acteurs spécialisés dans ce domaine. Le nouveau brevet de maîtrise de la Chambre des métiers2 intègre systématiquement les opportunités et les notions d’e-business, de digitalisation des processus de production et de sensibilisation générale quant aux outils et applications digitales.

Le 6 juin 2018, la Chambre des métiers organise la nouvelle édition de sa «Journée eHandwierk», l’événement phare de l’artisanat numérique au Luxembourg. À ne pas manquer!

[1] Affaire C-434/15 du 20 décembre 2017

[2] Premier nouveau brevet de maîtrise «Artisan en alimentation» en automne 2017

Pour consulter l’article complet, veuillez suivre le lien: http://paperjam.lu/news/transformation-digitale-et-artisanat?

@Copyright: Paperjam 

 

Towards a paperless office: Nothing to fear, but fear itself!

The first company in Luxembourg to achieve ILNAS certification for digital archiving services talks about helping customers plan for the death of paper.

On 1 February 2017, Labgroup became the first company in Luxembourg to achieve PSDC (Provider of Digitalisation and Conservation Services) certification from ILNAS (the Luxembourg Institute for Normalisation, Accreditation, Security and Quality of products and services).  Just over one year later, Jean Racine, Labgroup’s chief business development officer, talks about the importance of the certification and how it has impacted Labgroup’s service offering to clients. He also calms the fears of those who hesitate to go digital.

Margaret Ferns: Why was it important to get PSDC certification?

Jean Racine: Archiving has been Labgroup’s core business for 40 years and, over this time, we have invested heavily in information technology in order to help our customers plan for the (very) slow death of paper. Qualifying for PSDC certification was the logical next step. It was also essential to boost digital trust at a time when businesses are likely to outsource non-core activities (such as data archiving) in a context of a heavy regulatory burden, especially with regards personal data protection– GDPR  regulation.

MF: In what ways has it altered Labgroup’s service offering to clients?

JR: Although information security is always a major priority for us (for example, we have been an ISO 27001 certified company since 2014), there is always room for improvement. Under the act establishing the PSDC status (the Law of 25 July 2015 relating to electronic archiving), we are required to implement increased security measures. For example, traffic on internal corporate networks must now be encrypted. PSDCs are also obliged to submit complete and detailed information on infrastructure and technical installations, safety systems and procedures, applicable standards and workflow management, etc.

Labgroup has taken its role as advisor seriously by developing a specific archiving project methodology based on best management practices. As a result, interaction between parties and exchanges among persons are structured, scheduled, and accordingly more constructive, building a trusting relationship.

MF: With regards to PSDC, which sectors of activity do your clients come from?

JR: It should be noted that PSDC services (paper documents digitisation and electronic records preservation), are available not just to companies in Luxembourg but worldwide. Indeed, among our first customers, we counted several significant foreign insurance companies, which tend to be the most prolific in terms of producing records.

Locally, the first organisation to trust Labgroup as a PSDC was not a business, but the University of Luxembourg. One year after the formalisation of Labgroup’s PSDC status, however, most demand comes from the financial sector. Surprisingly, we have also seen demand from the construction sector for the digitisation and archiving of supplier invoices.

MF: Have you observed any hesitation in moving forward with digitalisation in any sectors?

JR: The current situation is rather paradoxical. Indeed, despite the fact that we are subject to the same obligations of professional secrecy as a PSF, companies managing highly confidential information have always rejected the idea of digitising their files, since that meant that the documents would leave their premises.

Today, however, we find that it is these same companies that are the first to initiate the most projects of native digitisation (without passing through the paper stage), in order be able to offer their customers all over the world the opportunity to subscribe and operate online. The fact that contracts and transaction notices are processed by a third party such as Labgroup significantly limits the risk of disclosure. Don’t forget that data encryption is very difficult to implement on paper, not so digitally.

MF: Does increasing digitalisation mean less control of data for your clients?

JR: In fact, it is just the opposite. Where a physical item can only be stored in a single place and classified according to a single criterion (e.g. name of author, title…), an electronic record may be searched and retrieved in many ways, each one corresponding to the specific needs of the user. In a similar vein, where access to paper documents requires physical movements and complicated key-based security management, the confidentiality of an electronic record can be managed through indexes/metadata, subject to instant amendment.

In general terms, thanks to digitalisation, information holders have the ability to have total control of their data with regards to its readability, intelligibility, integrity, confidentiality and availability.

@Copyright: Delano

Le GDPR via Cybermanager et, par-delà, une vue de la résilience

LABGROUP PROPOSE CYBERMANAGER, SOLUTION D’UBCOM, POUR ÉVALUER EN CINQ HEURES LA MATURITÉ ET LA RÉSILIENCE D’UNE ORGANISATION. UN PLAN D’ACTION PRAGMATIQUE, À EFFETS IMMÉDIATS.

Le temps des réflexions est passé. Le 25 mai prochain, le GDPR, le nouveau règlement européen sur la protection des données personnelles entrera en application. Peu d’organisations seront prêtes. Concrètement, peu seront passées du ‘quoi’ au ‘comment’ du projet.

«Avec CyberManager, nous proposons un outil d’assessment permettant aux responsables d’entreprise d’évaluer en cinq heures -pas plus- le niveau de maturité et la résilience de leur organisation et du systèmes d’information face aux cyber-risques et aux contraintes légales du GDPR, explique Frans Imbert-Vier, CEO, Ubcom. Pour nous, le GDPR n’est pas la finalité, mais une étape majeure pour renforcer la confiance digitale, laquelle est absolument nécessaire pour générer de la croissance. CyberManager permet de fournir un schéma directeur solide -pas un label de conformité. Nous engageons l’entreprise dans un processus pragmatique de progression permanente et immédiatement opérationnel.»

Si le temps presse, il ne s’agit pas pour autant de dramatiser. Mais plutôt de s’engager sereinement dans un processus de longue haleine. Au ‘quoi’, qui a mobilisé beaucoup d’énergie -notamment à travers une surenchère de séminaires et de formations- Labgroup et Ubcom opposent donc le ‘comment’ du GDPR par la mise en place d’un système d’évaluation sincère, véritable outil d’analyse et de progression.

«Ce règlement est un momentum, une étape positive permettant d’améliorer l’équilibre de la confidentialité et la protection des données entre les particuliers et les entreprises, ainsi que les pratiques de gestion des données et la sécurité globale pour toutes les parties concernées», analyse Jean Racine, Chief Business Development Officer, Labgroup.

UN OUTIL SOUS FORME DE 360 QUESTIONS

Le GDPR, en tant que règlement, est d’application plus générale que les différents standards connus dans le monde de la sécurité et nécessite une approche multidimensionnelle. Préliminaire, un état des lieux. Une entreprise part rarement, si ce n’est jamais, de zéro, et peut généralement capitaliser sur ses réalisations passées et projets en cours.

A travers les 360 questions de CyberManager, le champ d’investigation dépasse le cadre du règlement. S’il est important -capital même- de s’y conformer, il s’agit de voir par-delà la résilience de l’entreprise. Pour les organisations qui l’ont mis en oeuvre, le schéma directeur qui en découle permet d’accéder à une visibilité jamais atteinte du système d’information.

«Pour tout dire, il est rare qu’on sorte indemne de cet exercice. Le comité de direction, qui est appelé à répondre au questionnaire, prend tout de suite conscience de l’état du système d’information et les conséquences sur la bonne conduite de l’entreprise, poursuit Laurent Grill, CEO, Ubcom Benelux. Les faiblesses mais aussi les forces -qu’ils soient légaux, opérationnels ou de réputation- apparaissent immédiatement. C’est donc aussi un incroyable incentive.»

Et de poursuivre : «Le fait d’impliquer le comité de direction dans ce parcours mobilise toute l’organisation. Chacun est appelé à répondre, à échanger, expliquer, voire comprendre. C’est plus engageant que confier une analyse de risque à un cabinet de conseil qui se contentera de remettre un rapport, lequel trouvera place sur une pile d’autres rapports !»

De même, ce n’est pas un projet «one-shot» avec une fin -mai 2018- mais une opportunité de se doter d’une vision durable tant stratégique qu’opérationnelle de la sécurité. Techniquement parlant, la conformité GDPR passe d’abord par la découverte et la classification de ses données sensibles. C’est le fondement de CyberManager, solution d’analyse d’écart basée sur les plus grands référentiels tels que ISO, COBIT 5, Sarbannes-Oxley et UBcyber… Pour Ubcom, d’ailleurs, le GDPR n’est rien d’autre qu’un marqueur de confiance pour les entreprises conformes, un marqueur de plus.

«Avec notre questionnaire d’évaluation, nous mesurons votre maturité relative au respect du cadre juridique, mais aussi de la gouvernance générale en rapport avec le règlement, du social engineering et, enfin, de la conformité technique et opérationnelle pour opérer une donnée relevant du nouveau règlement.» 

FAIRE PROGRESSER L’ORGANISATION

Labgroup est aujourd’hui le premier prestataire indépendant à proposer un assessment via CyberManager. Si le questionnaire est adapté à la conformité GDPR, la démarche doit être vue de façon plus globale : une évaluation du niveau réel de maturité de l’organisation en termes de gouvernance de l’information et de sa résilience.

«Et si ça peut parfois faire mal, conclut Jean Racine, dites-vous bien que nous ne sommes pas là pour casser l’organisation à travers un jugement, mais pour la faire progresser via un ensemble d’indicateurs appelés à créer de la valeur.»

La conformité GDPR nous entraîne à explorer la résilience de l’entreprise, et donc à considérer sa culture de la sécurité. En ce sens, CyberManager est un levier d’amélioration de la sécurité de l’entreprise; nous cherchons à renforcer sa résistance, ce qui va accroître la confiance des clients, mais aussi des actionnaires et, bien sûr, des collaborateurs. A la clé, aussi, une plus grande agilité et une plus grande flexibilité au profit de l’ADN de l’entreprise.

C’est la direction qui passe en revue la situation, qui répond; pas les consultants, lesquels se contentent de conduire l’entretien et piloter l’outil. L’objectif n’est pas de sanctionner, mais de responsabiliser. L’approche est très fine, les réponses pouvant être pondérées. L’outil, qui a déjà fait ses preuves dans différents environnements, tient compte du facteur humain. A la clé, une photographie au moment ‘t’. Et une liste d’actions -priorisée- à prendre.

La prestation de Labgroup est proposée à un prix forfaitaire -6.000 euros- particulièrement attractif, laquelle comprend la préparation du workshop, la réalisation avec deux consultants seniors, le rapport de synthèse et un dernier rapport de restitution.

@Copyright Soluxions Magazine

Auteur : Alain De Fooz

Information Governance Day 2018

Today is the Global Information Governance Day!

Read communication in French. 

#GIGD occurs on the third Thursday in February and was established to raise awareness on information governance.

WHAT IS INFORMATION GOVERNANCE (IG)?

IG includes activities and technologies that organisations employ to maximise the value of their information while minimising associated risks and costs.
IG is based on a holistic approach to managing corporate information by implementing processes, roles, controls and metrics that treat information as a valuable business asset:

  • make information assets available to those who need it,
  • provide employees with data they can trust and easily access while making business decisions,
  • reduce legal risks associated with the unmanaged or inconsistently managed information.

The information governance, after a preliminary analysis, results in a classification of the information according to its nature or its value. This classification enables the identification of your information with engaging/probative/legal value, (for instance business contracts, policies…).

NEWS ON INFORMATION GOVERNANCE IN EUROPE!

Information governance has never been as important as in 2018. The European Union pursues its objective of restoring trust and imposing transparency on businesses. All companies as of 2018 “must watch over the outcome of their data, from their creation to their destruction.”
In this way, Europe is focusing on strengthening digital trust through a policy of protection and regulation, as reflected in:

  • General Data Protection Regulation (GDPR), in force in May 2018.
    • Three objectives :
      • strengthen the rights of people + creation of a right to the portability of personal data,
      • empower stakeholders dealing with data,
      • increase awareness of the regulation thanks to reinforced cooperation between the authorities
  • European regulation eIDAS (Electronic Identification and Trust Services) n°910/2014, which has been fully implemented since the 1st of July 2016, has demonstrated the willingness of member states to democratise digitisation by:
    • enhancing the security of electronic exchanges;
    • recognising the universal value of the electronic signature;
    • granting of legal value to a digital document. (In Luxembourg the legal framework anticipates and supports this democratisation of the digitisation. The law of 25th of July 2015 on electronic archiving recognises the probative value of electronic copies of paper documents produced by a PSDC (Provider of Digitisation and Conservation Services) certified company to respect all the conditions of strict fidelity to the original and, moreover, the presumption of conformity with the original.)

HOW TO RESPOND TO THESE NEW REQUIREMENTS/OBLIGATIONS?

1. SIMPLIFY & STRENGTHEN INFORMATION GOVERNANCE WITH ARCATEG™

Being a trusted partner of Marie-Anne Chabin, an internationally recognised expert in the archiving and digital information management field, as well as the creator of the Arcateg™ method, Labgroup integrates this method into its service offering.  Arcateg™ is an original and effective methodology that accelerates and consolidates information management rules and their implementation.

The 100 universal categories of the Arcateg™ ranking framework cover all possible values ​​of information on all media and thus facilitate the audit and qualification of risk information in the enterprise. These conservation categories make it possible to structure the lifecycle of documents and data rigorously and sustainably.

With Arcateg ™, you can both simplify and strengthen information governance across the organisation (lifecycle management of files and folders, data security, content access). You can also decline to use the Arcateg ™ repository according to various specific projects: improvement of physical archiving, quality and completeness of the retention rules, identification of personal data and compliance with GDPR.

2. …AND WHAT ABOUT MY LEGAL DOCUMENTS? CALL FOR A PSDC-DC!

First PSDC-DC company in Luxembourg, Labgroup is certified as:

  • Provider of Digitisation Services, in other words Labgroup is empowered to create legal electronic copies of paper documents;
  • Provider of Conservation Services, which guarantees the integrity, confidentiality and persistence of electronic archives throughout their retention period.

3. GO DIGITAL ! LET’S GO FOR A PAPERLESS OFFICE!

Labgroup provides electronic document signing services, in collaboration with its partner Nowina, enabling companies to:

  • Facilitate the “workflow” (process) of contract signing, at national and international level (Europe),
  • Ensure transparency and trust between the signatory parties.

4. ASSESS YOUR GDPR AND CYBER RISK COMPLIANCE!

Today, Labgroup is the first independent provider to offer Cybermanager, a solution developed by its partner UBCOM, which is an assessment tool that allows business managers to evaluate in less than five hours their level of maturity and resilience of their organisations as well as their information systems facing cyber risks and GDPR regulation.
If the questionnaire is adapted to GDPR compliance, the approach should be viewed more holistically: an assessment of the organisation’s actual level of maturity regarding information governance Information governance and resilience.
An opportunity for organisations to better analyse their exposure to risks and make text compliance a competitive advantage by increasing the level of trust of its employees, customers and partners.

Still not ready for 2018?
Labgroup consultants are available to help you optimise your management and archiving of your information assets.

Send an e-mail to servicedesk@labgroup.com to schedule your appointment without

Article 41 : « de nouvelles possibilités aux acteurs financiers », IT Nation

Découvrez l’article Article 41 : « de nouvelles possibilités aux acteurs financiers », publié par IT Nation le 8 février 2018. 

Le projet de loi 7024, qui assouplit le secret professionnel fixé par l’article 41 de la loi du 5 avril 1993 relative au secteur financier dans le cadre d’un outsourcing, a été adopté ce mardi à la Chambre des députés. Ce changement législatif a fait couler beaucoup d’encre, depuis de nombreux mois. Entre les craintes de voir partir de nombreuses activités IT vers l’étranger et la possibilité de faciliter l’établissement de nouveaux acteurs financiers au Luxembourg, le débat fut animé.

Les opportunités pour les institutions financières luxembourgeoises liées à ces changements réglementaires (Article 41, Circulaire Cloud de la CSSF…) seront largement débattues lors de l’événement « Digital Borders », proposé par DXC Technologies fin mars. Vincent Wellens, associé du cabinet d’avocat NautaDutilh, responsable du département propriété intellectuelle ( PI), technologies de l’information et de la communication (TIC), y évoquera les enjeux juridiques liés à ces transformations réglementaires.

Maître Wellens, dans quelle mesure la loi adoptée ce mardi transforme-t-elle le cadre dans lequel peuvent être traitées les données des clients des institutions financières luxembourgeoises ?

Tout d’abord, la nouvelle loi élargit les possibilités d’externalisation, sans accord du client, au Luxembourg, au-delà des PSF de Support et établissements de crédits, aux autres acteurs sous supervision de la CSSF ou du Commissariat aux Assurances. Ensuite, elle permet aussi l’externalisation vers d’autres acteurs non-réglementés par la CSSF (y compris vers des acteurs à l’étranger), moyennant un accord du client de l’institution financière. La démarche du gouvernement vient s’inscrire dans des pratiques qui existaient déjà. Il était déjà communément accepté que des clients d’une institution financière puissent renoncer à l’obligation de secret professionnel de l’institution. Cette pratique fut confirmée par la CSSF dans ses circulaires relatives à l’outsourcing. Ainsi, le traitement des données de ces clients, par exemple, pouvait être externaliser au sein d’un même groupe, à condition notamment que l’outsourcing se fasse dans l’intérêt du client, que celui-ci y avait consenti et que l’institution puisse le justifier. Cette pratique ne trouvait toutefois pas d’ancrage dans la loi. Il y avait donc un flou juridique autour de ces aspects qui est aujourd’hui levé par la nouvelle loi. Celle-ci prévoit maintenant explicitement qu’un outsourcing basé sur l’accord du client constitue une exception au secret bancaire. 

La question du consentement à obtenir était au cœur des discussions autour de ce projet de loi. Qu’en est-il, aujourd’hui, maintenant que la loi a été adoptée ?

En effet, dans le débat, les PSF de Support demandaient à ce que l’accord à obtenir soit formel et explicite, comme la CSSF le requérait jusqu’à présent. Le Conseil d’Etat et la CNPD, invités à émettre un avis sur le projet de loi, penchaient également plus vers un consentement actif à obtenir, en phase avec celui à obtenir dans le cadre du Règlement Général  sur la Protection des Données Personnelles (RGPD). Le lobby des banques, pour sa part, souhaitait profiter d’un accord implicite. Au final, le législateur a choisi de ne pas préciser la nature de l’accord à obtenir. Il laisse de cette manière le soin aux tribunaux de trancher selon les cas. N’oublions que cette législation relève de la juridiction pénale. Chacun doit donc se poser les bonnes questions, et elles sont nombreuses, avant de procéder à une externalisation. Là où il n’y pas de doute, toutefois, c’est sur la nécessité  d’informer le client préalablement sur la nature de l’outsourcing, le type de renseignements transmis et le lieu d’établissement du prestataire de services. On peut aussi se demander si le lieu d’établissement du prestataire correspond au siège social de celui-ci ou aussi aux lieux où les données sont effectivement hébergées. Quelles informations doivent être communiquées dans ce dernier cas de figure ?

Ce consentement est-il facile à obtenir ?

Tout dépend, au final, de la forme du consentement. Le flou est encore présent, je vous l’accorde. Il n’est pas clairement précisé si l’accord doit être explicite ou s’il peut également être implicite. Mais il y a d’autres points problématiques. La question du statut des données des anciens clients, que les institutions sont tenues de conserver, est délicate. En effet, il ne sera pas toujours facile d’obtenir un accord auprès de ces clients. Il faut pouvoir gérer ces aspects. A défaut de ne pouvoir obtenir de consentement de tous les clients, l’une des pistes envisagées réside dans le maintien d’une infrastructure et des systèmes dédiés pour les données des clients existants au Luxembourg, et de profiter des nouvelles opportunités d’outsourcing pour les activités futures.

Au final, quels sont les nouvelles opportunités, pour les institutions bancaires au Luxembourg, avec ce nouveau cadre réglementaire ?

L’évolution de la réglementation en matière d’externalisation tient à l’adoption de ce texte de loi relative au secret professionnel, mais aussi à l’établissement de nouvelles circulaires par le CSSF visant à encadrer l’externalisation des services et le recours à des services cloud. Il faut bien avoir conscience que les circulaires et le texte de loi sont indépendants. Autrement dit, la circulaire cloud n’exempte pas les acteurs de l’obligation de respecter les obligations définies au niveau de la nouvelle loi

Plus généralement, les acteurs qui parviendront à obtenir l’accord du client bénéficieront d’une plus grande flexibilité, en ayant la possibilité de plus facilement consolider leur IT à l’échelle du groupe par exemple, en profitant de services plus accessibles. Il y a tout un nouveau champ de possibilités qui s’ouvre à eux.

L’autre enjeu réside dans l’accueil au Luxembourg de nouveaux acteurs…

Il y a deux volets derrière ce changement législatif. Le premier, déjà évoqué, est de pouvoir offrir plus de flexibilité à diverses institutions financières déjà établies au Luxembourg, sans quoi il devenait de moins en moins intéressant pour d’y maintenir leurs activités. Tout du moins, c’est le message qu’elles faisaient passer. L’autre volet a trait à la possibilité d’accueillir au Luxembourg de acteurs de la FinTech ou d’autres acteurs étrangers dans le domaine de la finance qui désirent accéder au marché unique, dans un contexte de Brexit par exemple, sans avoir à déplacer leur infrastructure ou leur back-office avec eux.

Peut-on s’attendre à des mouvements dans les mois à venir ?

Très certainement. Nous devrions effectivement voir la migration de services vers des prestataires IT étrangers. Des acteurs vont aussi pouvoir profiter de solutions auxquelles ils n’avaient pas accès jusqu’alors. Actuellement, en tant que conseillers juridiques, nous accompagnons des groupes technologiques comme des institutions financières face à ces nouveaux enjeux. Il y a de réelles nouvelles opportunités, pour les clients comme pour les acteurs IT. Rappelons que si la CSSF a facilité l’accès au cloud et, de manière générale à l’outsourcing, elle continue à accorder un rôle important aux PSF de support dans ce contexte. Ces acteurs particuliers ont un rôle clé à jouer dans la transformation des groupes financiers au Luxembourg, dans la mise en place de plateformes IT hétérogènes, répondant à aux nouveaux enjeux réglementaires. En effet, des institutions financières qui ont un recours à un PSF de support continueront à bénéficier d’un traitement réglementaire plus favorable .

Copyright@IT Nation

L’archivage a-t-il de l’avenir ?, Marie-Anne Chabin

Découvrez l’article “L’archivage a-t-il de l’avenir ?”, écrit par Marie-Anne Chabin.

Évidemment la réponse est OUI, l’archivage a de l’avenir parce qu’il n’a jamais été aussi important dans la société et dans les entreprises de veiller sur le devenir des données, de leur création à leur destruction. Et pourtant, l’archivage est loin d’être une évidence pour tous.

L’archivage est un geste fort

L’archivage est ce geste managérial qui conduit à mettre en sécurité les documents ou données qui engagent dans la durée, avec une règle de vie qui pilote leur qualité, leur stockage, leur pérennisation, leur accès et leur destruction un jour, au mieux des intérêts de tous. On disait autrefois « classer aux archives », c’est-à-dire transférer délibérément les documents importants dans un lieu sécurisé, pour s’y référer plus tard, à titre de preuve et de mémoire. Les anglo-saxons parlent de records (les documents enregistrés car dignes d’être enregistrés dans un centre de conservation), et de records management.

Précisions sur les exigences incluses dans la règle de vie :

La qualité des données semble une évidence mais il n’est pas inutile de le répéter : si on archive un document de mauvaise qualité, il ne deviendra jamais un document de bonne qualité. Si le document n’est pas authentique au moment de son archivage (c’est-à-dire dont l’auteur est identifié et sûr et dont la date est certaine), il sera très difficile d’établir a posteriori son authenticité. De même, si un document n’est pas fiable parce que sorti de son contexte, farci de sigles ou de formules inintelligibles, non validé, etc. il sera hasardeux de l’utiliser. Dès lors, pourquoi le conserver ?

Le stockage – qui n’est qu’une composante de l’archivage – renvoie au fait que tout document archivé est conservé physiquement quelque part, qu’il s’agisse d’un rayonnage pour les supports physiques ou d’un disque, un data center pour les fichiers numériques. Comment gérer un objet si on ne contrôle pas sa localisation ? La question est aussi celle de la territorialisation des données, ne serait-ce que par l’exigence du fisc français de conserver sur le territoire français les données qu’il peut être amené à contrôler.

La pérennisation est le corollaire de la durée de conservation : dès que la durée de conservation dépasse un certain nombre d’années, disons 10 ans en moyenne, les supports numériques requièrent des migrations de formats et/ou de supports pour continuer d’être lisibles et exploitables.

L’accès est la finalité même de l’archivage : à quoi bon archiver si ce n’est pas dans la perspective de consulter un jour les documents archivés ? À noter que l’accès à deux volets que sont, d’une part les droits d’accès, les habilitations (à gérer également dans la durée, ce qui est souvent mal fait), d’autre part, les outils qui permettent de retrouver le document précis ou l’information recherchée.

La destruction est le destin de la majorité des documents d’entreprise, au bout de 5, 10, 30 ans ou plus sauf si leur valeur patrimoniale suggère de les conserver parmi les archives historiques (voir sur ce sujet la théorie des quatre quarts des archives historiques).

Mais ce n’est pas tout : pour que ce geste soit toujours efficace, il faut que la démarche concerne l’exhaustivité des documents et données de l’entreprise qui portent une valeur de preuve ou de mémoire. Si des documents qui engagent la responsabilité de l’entreprise ne sont pas gérés (conservés, détruits conformément à l’environnement réglementaire et à ses intérêts), l’entreprise court un risque. Si, à l’inverse, des documents ou des données sont indûment conservés dans l’entreprise (les données personnelles notamment), elle court également le risque d’une utilisation malencontreuse ou tout simplement d’une sanction des autorités pour non-conformité à la loi ou au Règlement général pour la protection des données personnelles.

Donc l’archivage est tout sauf obsolète. Et pourtant, deux courants, pour ne pas dire deux « idéologies », observables actuellement dans la société semblent le menacer. La démarche d’archivage managérial est en effet prise en étau entre deux attitudes néfastes : celle de ceux qui veulent tout mettre dans le cloud et laisser les technologies capturer, diffuser, trier, déréférencer, etc. ; et ceux qui veulent tout collecter pour être trié après par des archivistes (des archives intermédiaires aux archives historiques). Ces deux attitudes extrêmes sont le ferment d’une déresponsabilisation dommageable des entreprises sur leurs écrits, les données qu’elles traitent et les documents qu’elles reçoivent.

Tout conserver, c’est ne rien archiver

Depuis près de trente ans, le développement des technologies numériques instille chez les utilisateurs cette idée que l’on peut tout conserver en informatique et qu’il est ringard de s’occuper d’autre chose que de produire des données selon ses envies et d’accéder à l’information selon ses désirs.

Cette invitation des outils à la paresse et à la négligence des utilisateurs est très séduisante : pourquoi s’embêter et se contraindre à des tâches fastidieuses puisque les technologies permettent aujourd’hui de tout stocker pour quelques euros de plus, de tout retrouver, de tout classer ?

Il y a là un amalgame fâcheux entre la capacité technologique à soulager l’humain dans des tâches fastidieuses ou minutieuses et la responsabilité humaine de constituer une mémoire fiable, cohérente et raisonnée de ses activités, mémoire contrôlée au sein de laquelle cette capacité technologique peut donner le meilleur d’elle-même.

Les outils seront d’autant plus efficaces que les écrits éphémères ou périmés seront éliminés au fur et à mesure de leur péremption. Tout conserver, c’est ne rien archiver. Tout conserver, c’est subir le stockage. Tout conserver, c’est laisser aux outils le soin de gérer – ou de ne pas gérer – les traces humaines.

Cette inféodation à la technologie conduit les individus et les entreprises à abdiquer la responsabilité de définir les règles de vie des documents et des données qui leur appartiennent. C’est un renoncement au droit de chacun à l’archivage conscient et délibéré de ce qui a du sens à être conservé, pour la preuve, pour la conformité ou pour la connaissance.

Et c’est sans compter avec :

  • les exigences légales de protection des données personnelles portées par le Règlement général pour la protection des données personnelles ;
  • les coûts énergétiques de la conservation du rien ou du nul ;
  • l’ambition légitime d’une mémoire (débarrassée de ses scories informationnelles) à transmettre à la génération suivante.

Si tout est archive, il n’y a rien à archiver

Une autre idée s’est incrustée dans les esprits depuis quarante ans, au moins dans le secteur public : « tous les documents naissent archives ».

Cette affirmation pose question. En effet, si les archives sont (au plan linguistique) le fruit de l’archivage de documents, autrement dit la conséquence du classement de ces documents aux archives, cette « génération spontanée » d’archives court-circuite la notion même d’archivage, en tant que geste volontaire et managérial de mise en archive. Si tout est archive, l’archivage n’existe plus.

Cette conception des archives s’appuie sur la définition légale française des archives, apparue en 1979 dans la loi sur les archives (3 janvier 1979) et inscrite depuis, légèrement modifiée, dans le code du patrimoine, art. L211-1. Le texte dit : « Les archives sont l’ensemble des documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité ».

La formulation laisse une place à l’interprétation. En effet, « dans l’exercice de leur activité » peut être vu comme restrictif et viser les documents officiellement produits au titre de l’activité ; l’expression peut aussi être considérée comme un simple périmètre géographique et temporel de production : tout brouillon produit au sein d’un organisme public ou par un des collaborateurs de cet organisme est un document d’archives publiques, même s’il n’a jamais été validé ni diffusé.

Les prises de positions du Service Interministériel des Archives de France (SIAF) de ces dernières années optent clairement pour la seconde acception. Et sur ce plan, le secteur public influence en partie de le secteur privé ou parapublic.

Dire que tout est archive, cependant, ne signifie pas qu’il faut tout conserver. Les archivistes sont les premiers à dire que toutes les archives ne doivent pas être conservées et leur mission consiste en bonne part en la mise en œuvre des circulaires de tri diffusées par l’administration des Archives ou élaborées dans leurs organismes respectifs. La nuance est que la sélection est faite par les archivistes et que les services producteurs et propriétaires des documents et données produits ou reçus sont en quelque sorte dépossédés de la responsabilité d’archiver qu’ils avaient autrefois, avant cette loi ou avant son interprétation si étroite.

Cette position exclusivement archivistique ignore l’archivage en tant que tel, en tant que sélection motivée des documents à conserver par le propriétaire, et ce au nom du droit de regard des archivistes sur toute production documentaire, au cas où il y aurait quelques traces modestes, non essentielles pour l’organisme producteur mais potentiellement éclairantes pour l’histoire de cet organisme ou l’histoire de l’époque.

L’holoarchivisme n’est pas le seul moyen de conjurer cette crainte de rater un document croquignolet ou symbolique dans la constitution du patrimoine archivistique d’une collectivité publique. Il est possible de préserver la collecte éclairée d’archives non essentielles à la vie du service tout en laissant à chaque entité juridique la responsabilité de gérer sa production documentaire en fonction de ses obligations et des risques externes et internes à conserver ou à détruire. Ce moyen est d’appliquer la collecte en suivant la théorie des quatre quarts des archives historiques qui dissocie la collecte des archives historiques provenant des documents archivés au nom de l’organisme (gestion du cycle de vie des documents engageants) et la collecte des archives historiques complémentaire via une prospection active de l’archiviste auprès des acteurs de la collectivité auprès de laquelle il exerce son métier, tout comme un bibliothécaire ou un conservateur de musée repère et acquiert les objets susceptibles d’enrichir ses collections. Cette distinction serait même vertueuse pour l’historien car la provenance serait plus explicite et mieux documentée.

Défense et illustration de l’archivage managérial

Entre la tendance « user centric » des nouveaux outils proposés aux entreprises (l’utilisateur est en relation directe avec le cloud comme si l’information n’appartenait qu’à celui qui la manipule) et la tendance archivistico-historique du tout archive, les dirigeants d’entreprise peuvent se sentir confortés dans leur ignorance de l’archivage et dans leur négligence du devenir des données.

Or, de déresponsabilisation à irresponsabilité, il n’y a qu’un pas.

Il y a donc lieu, encore et toujours, de les alerter sur les enjeux du non-archivage et sur la nécessité d’élaborer des règles de création-conservation-destruction des données dans leur entreprise car ces données sont des actifs informationnels dont l’entreprise est comptable (accountable) devant ses actionnaires et devant les autorités. Ces dirigeants doivent intégrer une démarche d’archivage managérial dans le cadre d’une politique globale de gouvernance de l’information, avec les concepts managériaux de proportionnalité et de raisonnabilité.

Espérons que le Règlement général pour la protection des données personnelles fera avancer les choses (voir la table ronde du CR2PA sur ce sujet).

En effet, l’exigence impérative de documentation des processus et de fixation de durées de conservation des données personnelles va s’imposer à tous dès le printemps prochain. Qu’elles se trouvent dans des bases de données ou dans des documents, les données personnelles devront être gérées de près, qualifiées en regard des activités réelles de l’entreprise, stockées dans des lieux contrôlés, accédées selon des droits justifiés, sorties ou maintenues dans l’entreprise en application de règles motivées.

Pourquoi les dirigeants n’en profiteraient-ils pas pour étendre la démarche à tout type de données au moyen d’une politique globale d’archivage managérial. Les entreprises y gagneront en investissement et en crédibilité.”

Copyright@Marie-Anne Chabin

“GDPR : CYBERMANAGER MESURE RÉSILIENCE ET MATURITÉ EN 360 QUESTIONS”, Soluxions Magazine

Découvrez l’article publié par Soluxions Magazine, sur l’événement GDPR d’UBCOM et Labgroup, le 25/01/2018

LABGROUP PROPOSE CYBERMANAGER, SOLUTION DU SUISSE UBCOM, POUR ÉVALUER EN CINQ HEURES LA MATURITÉ ET LA RÉSILIENCE D’UNE ORGANISATION ET SES SYSTÈMES D’INFORMATION FACE AUX CYBER-RISQUES ET AUX CONTRAINTES GDPR.

L’échéance approche. Le 25 mai prochain, le nouveau règlement européen sur la protection des données personnelles entrera en application. Si l’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique, on sait d’ores et déjà que peu d’organisations -en particulier les TPE et PME- seront prêtes. Un projet jugé souvent trop vaste, trop lourd. Quant aux organisations plus importantes, elles ne sont pas nécessairement logées à meilleure enseigne.

«Avec CyberManager, nous proposons un outil d’assessment permettant aux responsables d’entreprise d’évaluer en cinq heures le niveau de maturité et la résilience de leur organisation et ses systèmes d’information face aux cyber-risques et aux contraintes GDPR. Pour nous, la GDPR n’est pas la finalité. Mais un moyen de renforcer la confiance digitale, laquelle est désormais nécessaire pour générer de la croissance. Elle induit donc une politique de protection et, par conséquent, de gouvernance», explique Frans Imbert-Vier, CEO, Ubcom.

Il s’agit donc de transformer ce qui peut apparaitre comme une contrainte en opportunité. «Ce règlement est un momentum, une étape positive permettant d’améliorer l’équilibre de la confidentialité et la protection des données entre les particuliers et les entreprises, ainsi que les pratiques de gestion des données et la sécurité globale pour toutes les parties concernées», analyse Jean Racine, Chief Business Development Officer, Labgroup.

PAS UN PROJET «ONE-SHOT» AVEC UNE FIN -MAI 2018

La GDPR, en tant que règlement, est d’application plus générale que les différents standards connus dans le monde de la sécurité et nécessite une approche multidimensionnelle. Préliminaire, un état des lieux. Une entreprise part rarement, si ce n’est jamais, de zéro, et peut généralement capitaliser sur ses réalisations passées et projets en cours . De même, ce n’est pas un projet «one-shot» avec une fin -mai 2018- mais une opportunité de se doter d’une vision duale stratégique et opérationnelle de la sécurité. Techniquement parlant, la conformité GDPR passe d’abord par la découverte et la classification de ses données sensibles : Quelles sont mes données sensibles ? Où sont-elles ? Sont-elles protégées ? Comment sont-elles protégées ?  Qui y accède ? De là, la nécessité d’avoir une bonne vision du système d’information dans sa globalité, d’évaluer son niveau de maturité et sa résilience. C’est le fondement de CyberManager, solution d’analyse d’écart basée sur les plus grands référentiels tels que ISO, COBIT 5, ISACA, Sarbannes-Oxley et UBcyber… Pour Ubcom, la GDPR n’est rien d’autre qu’un marqueur de confiance pour les entreprises conformes, un marqueur de plus. CyberManager permet de l’évaluer en cinq heures à travers un questionnaire de 360 questions à parcourir avec -impérativement- tout le comité exécutif de l’organisation.

Trop souvent, regrette Frans Imbert-Vier, on présente la GDPR dans sa seule dimension légale, une vision à tout le moins réductrice. Pour nous, experts de la sécurité, il s’agit d’un projet pluridisciplinaire, dont la mise en œuvre doit revenir au CIO aidé du DPO (Data Protection Officer). «Le risque, sinon, serait de passer à côté de nombreuses dispositions techniques, ne serait-ce qu’au niveau des sauvegardes… Avec notre questionnaire d’évaluation, nous mesurons votre maturité relative au respect du cadre juridique, mais aussi de la gouvernance générale en rapport avec les règles de la GDPR, du social engineering et, enfin, de la conformité technique et opérationnelle pour opérer une donnée relevant du nouveau règlement.»

LA GDPR, UN PROJET DE RÉSILIENCE PUBLIQUE, UN ENJEU DÉMOCRATIQUE

Aujourd’hui, dans la perspective du 25 mai, il faut un cadre, un plan d’action. CyberManager y répond, au départ d’une photo de l’existant. «Mais dites-vous bien que la GDPR est un projet en devenir, que nous n’en sommes qu’au début, estime encore Frans Imbert-Vier. L’Europe, je pense, pourrait suivre l’exemple de la Suisse en matière de chiffrement des données… Ne perdez pas de vue que la GDPR est un projet de résilience publique, un enjeu démocratique. Ensuite, mais ensuite seulement, la GDPR constitue une opportunité pour les organisations de mieux analyser leur exposition aux risques et faire de la conformité au texte un avantage concurrentiel en augmentant le niveau de confiance de ses salariés, clients et partenaires.»

Labgroup est aujourd’hui le premier prestataire indépendant à proposer un assessment via CyberManager. Si le questionnaire est adapté à la conformité GDPR, la démarche doit être vue de façon plus globale : une évaluation du niveau réel de maturité de l’organisation en termes de gouvernance de l’information et de sa résilience. «Et si ça peut parfois faire mal, conclut Jean Racine, dites-vous bien que nous ne sommes pas là pour casser l’organisation à travers un jugement, mais pour la faire progresser via un ensemble d’indicateurs appelés à créer de la valeur.»

La prestation de Labgroup est proposée à un prix forfaitaire particulièrement attractif; celle-ci comprend la préparation du workshop, la réalisation avec deux consultants seniors, le rapport de synthèse et un dernier rapport de restitution.

Copyright @Soluxions Magazine

Auteur : Alain De Fooz