CFAST est désormais conforme au RGPD, petit tour d'horizon :

Tic, tac, tic, tac … ce 25 mai 2018 le règlement du Parlement européen et du Conseil du 27 avril relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données entrera en vigueur. Cette dénomination renvoie à un acronyme beaucoup plus effrayant, impactant les TPE comme les GAFA : le RGPD (règlement général sur la protection des données personnelles)

L’ objectif de ce règlement est d’harmoniser la protection des données personnelles en Europe.

rgpd et opérateurs de service

Mais qu'est-ce qu'une donnée personnelle et quelle sanction encourent les entreprises ?

Par définition, c’est une information qui permet d’identifier une personne physique directement ou indirectement. Par exemple une photo, une adresse email, une adresse postale, une adresse IP, un numéro de téléphone, de sécurité sociale… A partir du moment où une entreprise doit traiter des données personnelles, elle est soumise au RGPD. Soyons clair, elles sont toutes concernées. Il serait difficile de faire vivre sa TPE sans un fichier client, n’est-ce pas ?

Il faut faire extrêmement attention et être rigoureux sur le sujet car le non-respect du règlement peut entrainer une condamnation à hauteur de 20 millions d’euros ou de 4% du chiffre d’affaires mondial annuel. A retenir que ce sera le montant le plus élevé qui sera bien entendu retenu.

Le RGPD et les opérateurs télécoms alternatifs

Même si les opérateurs de services alternatifs s’adressent généralement aux entreprises qui sont des personnes morales, et donc hors du scope du RGPD, leurs clients ont des salariés et dirigeants qui sont dans le périmètre de la nouvelle règlementation.

A la lumière de la définition d’une donnée personnelle, les opérateurs télécoms avancent clairement en terrain miné puisque chaque donnée collectée peut être considérée comme personnelle :

Toutes les informations liées à la personne détentrice du numéro de téléphone (nom, prénom, adresse...)
Traitement des appels de ce numéro (détail, destination, activité...)
Adresse IP


Afin de ne pas marcher dans la mauvaise direction, il faut identifier les différentes menaces :

Quelles sont les différentes menaces et pièges à éviter sur le traitement des données à caractère personnel?

Il y a deux éléments à distinguer. Tout d’abord, comment le risque se caractérise-t-il ?

Accès ou manipulation prohibée par une personne non-autorisée
Traitement prohibé ou illicite de données
Vol, perte fortuite, dommage ou destruction
Divulgation prohibée


Ensuite, il y a le côté de la sécurité informatique, celui-ci ne se mesure que par sa résistance à une menace suscitée ou à une faille dans son système de traitement. Les différentes atteintes sont :

Atteinte à la disponibilité : les services et traitements ne sont plus accessibles au moment prévu
Atteinte à la confidentialité : des utilisateurs non habilités à consulter des données y ont accès
Atteinte à l’intégrité : des utilisateurs ou personnes non habilitées peuvent modifier des données ou traitement et ces changements ne sont pas détectés
Atteinte à la traçabilité : le responsable de traitement n’est plus capable de savoir quelles actions ont été réalisées au sein du SI et par qui. Cette atteinte regroupe les trois autres vues précédemment…


Il est évident que l’opérateur, mal équipé, mal accompagné avancera les yeux bandés dans les méandres du RGPD.

CFAST et le RGPD, qu'avons nous mis en place ?

L’ANSSI définit la sécurité des S.I. comme « l’ensemble des mesures techniques et non techniques de protection permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ce système offre et accessible ».

CFAST traite des millions de données générées par des opérateurs télécoms. Dans le cadre de notre politique de sécurité nous avions déjà énormément de systèmes présents pour répondre aux attentes et exigences. Cependant, afin d'être 100% conforme au RGPD, nous avons dédié notre équipe juridique ainsi qu'un ingénieur à ce sujet. Voici de manière synthétique ce qui est en place sur votre logiciel :

Cryptage des données sensibles
Gestion précise des droits utilisateurs
Outils de surpervision
Pseudonymisation ou anonymisation de certaines données au besoin
Mise en place de moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constante des services
Des moyens permetttant de rétablir la disponibilité des données à caractère personnel et l'accès à celle-ci dans les délais appropriés en cas d'incident
Une procédure stricte visant à tester et évaluer régulièrement l'efficacité de ces mesures


Le mot de Valérian, ingénieur chez CFAST

"Nous permettons désormais aux users de faire des actions RGPD compatibles sur CFAST. C’est-à-dire d’anonymiser des éléments. Nous avons également mis en place des règles strictes sur la gestion des login, des mots de passe, des mails, téléphones etc… avec par exemple le principe du hashing. C’est une fonction qui calcule l’empreinte d’une donnée qui lui est passée. Cette empreinte est une sorte d’identifiant unique de la donnée générée. Cela se traduit par une non réversibilité du processus, ce qui garanti la meilleur protection contre l'exploitation de données volées.

Les données qui sont stockées dans CFAST sont uniquement utilisées à des fins de traitement pour leur facturation ou les processus de commandes. Ces données ne sont pas revendues ou exportées."

ingénieur CFAST


Publié le 09/05/2018

Inscription newsletter