Témoignage EDF

Mise en conformité RGPD

Conscient de l’importance croissante que les citoyens accordent à leurs droits et libertés et au respect de leur vie privée, le Groupe EDF s’est engagé très tôt dans une démarche de protection des données personnelles et a nommé son premier correspondant Informatique et Libertés dès 2006.

Les nouvelles exigences de la règlementation, avec l’adoption du RGPD, associées à la porosité grandissante des systèmes d’information des organisations, qu’il s’agisse de la réduction de la frontière entre l’espace privé et professionnel ou du développement de l’externalisation dans le domaine IT, imposent aux entreprises de pouvoir piloter en temps réel et de façon continue leur conformité, y compris vis-à-vis de leurs sous-traitants.

EDF panneaux solaires

En anticipant la responsabilisation des entreprises, leur devoir de protection des données personnelles et de documentation de leurs pratiques, EDF a nommé une vingtaine de DPO au sein du Groupe et pris la décision d’outiller ses relais RGPD dans les entités afin de faciliter l’optimisation des processus et la sécurité des données.

Dès 2017 et suite à un important travail collaboratif réalisé pour finaliser son cahier des charges, le Groupe EDF a lancé une consultation pour se doter d’un outil de registre lui permettant de répondre notamment à l’exigence d’accountability posée par le RGPD. Digitemis, initialement identifié sur de l’expertise cybersécurité, a répondu à l’appel d’offres piloté par le Délégué à la Protection des Données d’EDF.

Malgré son jeune âge, Make IT Safe a été sélectionné pour sa couverture des critères fonctionnels, techniques et sécurité définis par EDF SA. L’un des points majeurs de cette sélection aura été la capacité de Digitemis à co-construire avec son client un référentiel commun, en alliant sa capacité d’innovation et de réactivité à l’expérience accumulée par EDF.

Aujourd’hui, plus de 50 utilisateurs se connectent à Make IT Safe pour participer à la conformité du Groupe et à son maintien. L’inscription des traitements au registre est du ressort des relais RGPD désignés dans les entités, majoritairement issus des métiers informatiques et de la sécurité et formés au RGPD. Ils s’assurent que les nombreux traitements d’EDF sont conformes et bien à jour vis-à-vis du registre, en s’appuyant pour cela sur le DPO et son équipe ainsi que sur un réseau interne de juristes. Petit à petit, grâce aux possibilités de collaboration et au paramétrage de différents rôles et habilitations, Make IT Safe s’ouvre à des collaborateurs non-experts du RGPD mais sensibilisés.

Les objectifs de l’outillage :

• permettre l’établissement d’un registre consolidé facilitant le pilotage de la conformité

• préparer l’arrivée des nouvelles exigences, comme l’analyse d’impact pour la protection des données

• pouvoir réagir efficacement face à d’éventuelles violations de données à caractère personnel

• s’assurer de la bonne appropriation de la règlementation au sein du groupe et mieux harmoniser les pratiques

Voiture électrique

Les avantages de l’approche Digitemis
selon EDF

Une dynamique de co-construction

• paramétrage évolutif et ergonomie de la solution
• qualité de la sécurité de la solution (porteuse des Labels CNIL et qualification PASSI par l’ANSSI)
• expertise métier cybersécurité et juridique
• transparence sur la roadmap et les modalités de collaboration
• audibilité de la solution et excellent résultat du diagnostic de sécurité

 

Digitemis a su s’inscrire dans cette dynamique de co-construction : l’agilité et la proximité de Digitemis ont permis de faire vivre des échanges continus avec EDF, de faire ainsi évoluer le produit pour l’adapter aux exigences d’un grand groupe.

Depuis le 1er janvier 2019, Make IT Safe est l’outil officiel de pilotage de la conformité du Groupe EDF.

« L’un des plus gros enjeux, somme toute, est humain : si les relais RGPD sont impliqués et actifs, il s’agit de sensibiliser l’organisation toute entière pour s’assurer que chacun des métiers a bien identifié les projets informatiques manipulant des données à caractère personnel, afin de les inscrire au registre et d’en valider la conformité ».

 

Depuis fin 2018, Make IT Safe s’est très largement enrichi grâce aux échanges continus entre Digitemis et le Groupe EDF, qui souligne la bonne maturité du produit et l’excellente relation de confiance.

Make IT Safe, une fois complètement déployé, permettra un gain de temps (et de sérénité) majeur pour le pilotage de la conformité dans la durée : en bref, s’outiller a permis à EDF de maximiser la transparence, la traçabilité et l’« accountability », soit l’« obligation de rendre compte » de sa conformité et de ses processus associés.

Le Groupe EDF est « satisfait de la solution adoptée et de l’engagement au quotidien de Digitemis ».

TÉMOIGNAGE SUIVANT (La Mie Câline)