Pour protéger les données personnelles, il faut tout prévoir dès la conception

Comment est organisée la fonction de sécurité du système d’information chez Sodexo ?

Alain Rogulski : En tant que CISO du groupe Sodexo, je suis rattaché à la CIO Groupe, Agnès Mauffrey. Le cadre global de la cybersécurité est défini au niveau groupe (politique, feuilles de route, processus, solutions de sécurité…) avec une déclinaison locale ou régionale. Chaque RSSI est rattaché fonctionnellement au CISO Groupe, et hiérarchiquement au CIO de son entité. Le SOC est global et possède des extensions dans chaque entité. Les équipes centrales assurent aussi un support des solutions communes auprès des équipes locales.

L’unité des solutions de sécurité nous permet de garantir l’interopérabilité entre eux, notamment avec ceux du SOC. La fonction sécurité des systèmes d’information regroupe environ 140 personnes dans le groupe, dont 40 en central.

Et quelle est l’organisation de la fonction protection des données personnelles ?

Anne-Cécile Colas : Pour ma part, je suis rattachée au Directeur Juridique Groupe Sodexo. Nous avons un modèle de gouvernance hybride. En central, nous avons une équipe de cinq juristes spécialisés pour impulser une politique harmonisée. Au niveau local, nous avons des correspondants dédiés à la protection des données dans chacune de la centaine d’entités du groupe. Ces correspondants sont fonctionnellement rattachés à la DPO Groupe et hiérarchiquement à la direction juridique ou à la direction financière locale. Ils adaptent localement les principes globaux.

Comment gérez-vous la présence internationale du groupe avec des règles locales différentes ?

Anne-Cécile Colas : Comme nous sommes un groupe français, la CNIL est notre autorité de contrôle de référence.

Avant même le RGPD, nous avions conçu un plan commun. Bien entendu, chaque pays a ses spécificités et ses lois locales, ce qui implique que le plan commun doit être adapté lorsque c’est nécessaire. Mais le respect de ce plan commun est nécessaire car nous échangeons beaucoup de données au sein du groupe. Nous avons édicté un code de conduite ayant le statut de règles contraignantes d’entreprises au sens du RGPD, qui reste notre référence. Le respect de ces règles nous permet de gérer les transferts intra-groupe de données personnelles en offrant un niveau de protection adéquat, toujours au sens du RGPD, partout dans le monde.

Même si chaque pays édicte ses règles, on retrouve aux Etats-Unis, en Asie ou ailleurs des principes communs avec le RGPD : obligations de sécurité, minimisation des données collectées en fonction de la finalité, durée de conservation…

Pour gérer les traitements et les mesures prises, tout est documenté dans un seul outil groupe : OneTrust.

Alain Rogulski : Au niveau de la cybersécurité aussi il peut y avoir des obligations locales particulières. Parfois, nous avons des obligations liées au contrat conclu avec des clients, notamment si ces clients sont des administrations telles qu’un établissement pénitentiaire ou une base militaire. Pour servir le Ministère des Armées, nous avons eu l’obligation d’être certifiés, pour les services concernés, ISO 27001. En France, pour la restauration de certaines populations commercialement captives (hôpitaux, écoles, prisons…), nous sommes un opérateur de service essentiel.

D’une manière générale, beaucoup de nos obligations sont liées à nos clients.

Quand on parle de données personnelles chez Sodexo, de quoi s’agit-il ?

Anne-Cécile Colas : Bien sûr, côté employeur/employés, nous opérons en tant que responsable de traitement des  données de nos 422 000 collaborateurs. Côté business, nous sommes essentiellement sous-traitant de nos clients et nous avons donc surtout des données simples peu sensibles (données liées à l’identification et aux demandes portant sur la délivrance de services…). Nous gérons aussi en tant que responsable de traitement des données liées à la relation directe avec certains bénéficiaires de nos services  d’avantages aux salariés. Nous avons des relations avec des prestataires de paiements tiers mais nous ne sommes pas nous-mêmes prestataire de paiement.

Pourtant, un consommateur demandant un repas halal ou casher vous fournit indirectement une donnée sensible, sa religion. Et certains contrôles d’accès peuvent être biométriques. Comment gérez-vous ces données ?

Anne-Cécile Colas : En fait, nous ne collectons pas, dans la grande majorité des cas, des données de ce genre. A ce jour, nous ne collecterons que des informations sur les allergies avec le consentement préalable de  nos consommateurs et ce afin de leur donner toute information utile sur les menus proposés. Il peut arriver aussi, sur la demande expresse de clients gouvernementaux aux Etats-Unis, que nous collections des données biométriques. Parfois, nous sommes amenés à refuser des demandes de clients en matière de biométrie parce que leurs demandes ne sont pas légales. Par exemple, en Europe, il n’est pas légal d’identifier les consommateurs mineurs d’une cantine scolaire par reconnaissance faciale.

Pour garantir la sécurité des données personnelles, quels sont vos rôles respectifs ?

Alain Rogulski : Côté CISO, il va d’abord falloir mettre en place des mesures techniques et organisationnelles pour éviter les atteintes à la sécurité des données. Cela passe d’abord par l’analyse des risques et ensuite par la mise en œuvre des mesures de sécurité nécessaires pour couvrir les risques identifiés. Il n’est pas possible de gérer autrement cette sécurité qu’en fonction des risques car le périmètre à couvrir est beaucoup trop large.

Si les données concernées sont à caractère personnel, les équipes de protection des données vont intervenir dans le même processus. S’il est nécessaire qu’il y ait un accès 24/7 à ces données, les mesures nécessaires doivent être prises. L’exemple typique est celui des cartes Pass qui doivent permettre un paiement 24/7. A chaque fois, la sécurité est définie le plus en amont du projet.

Pour répondre à notre stratégie Cloud initiée depuis plusieurs années, nous avons mis en place un cadre général de sécurité de nos usages du cloud. Et les spécificités du cloud IaaS/PaaS sont également à prendre en compte dès le début du projet. Pour les SaaS, nous réalisons une étude de risque des données qui vont être traitées par l’éditeur et nous contrôlons ses mesures de sécurité pour en vérifier la pertinence et la complétude.

Anne-Cécile Colas : Les équipes de protection des données sont intégrées aux procédures de cybersécurité pré-définies. Nous effectuons donc une revue d’un point de vue protection des données personnelles dès la conception et nous créons des directives de sécurité communes.

Tout projet digital ou informatique fait l’objet d’une revue de cybersécurité et, s’il y a une dimension données personnelles, cette dimension est intégrée à la revue de sécurité.

Nous effectuons donc une sécurisation juridique et technique selon une analyse de risque dès la conception. Selon l’ampleur du projet, la procédure est strictement locale ou avec une supervision groupe mais, dans les deux cas, nous utilisons les mêmes outils et les mêmes procédures. Cette approche commune se poursuit jusqu’à la contractualisation avec les fournisseurs en vérifiant la couverture financière du risque. La démarche peut donc aussi intégrer les achats, le responsable assurances, etc.

Au quotidien, sur le terrain, cela se passe comment ?

Alain Rogulski : Comme nous prenons les projets assez tôt, tout est prévu en amont et donc nous n’avons normalement pas à intervenir sur les sites sur lesquels les solutions sont déployées, sauf à mettre en place des audits de conformité. Avec 35 000 sites dans le monde, il est obligatoire de tout cadrer en amont.

L’analyse de risque doit toujours être faite lors du projet même si les métiers ont besoin d’aller au plus vite. Parler des risques facilite grandement les choses : « risque », c’est quelque chose que tout le monde comprend.

Comment validez-vous les fournisseurs ?

Alain Rogulski : La validation d’un fournisseur s’inscrit généralement dans le cadre d’un projet. Selon le niveau de risque, nous allons inclure des clauses adaptées dans le contrat. L’examen de cybersécurité et de protection des données personnelles est commun : nous n’allons pas poser deux fois les mêmes questions, et intégrer nos analyses.

Anne-Cécile Colas : Le premier niveau d’analyse va concerner la maturité du fournisseur en regard de sa propre gestion de la conformité. Le second niveau va concerner l’analyse des risques associés aux conditions de traitement par le fournisseur, par exemple la nécessité d’un transfert de données international, un hébergement dans un pays tiers, etc.

Alain Rogulski : Faute de certification, nous allons négocier de pouvoir auditer nous-mêmes en menant des actions pertinentes en fonction des risques encourus. Notre principal enjeu est de conserver ce même niveau d’exigence avec la sous-sous-traitance

Anne-Cécile Colas : Effectivement, il n’est pas toujours très simple d’avoir une bonne visibilité sur la chaîne de sous-traitance. Par exemple, un fournisseur européen peut utiliser un fournisseur extra-européen soumis à une législation à effet extra-territorial…nous restons très exigeants.

Alain Rogulski : C’est d’autant plus important pour nous de contrôler cela que nous sommes nous-mêmes fournisseurs et que nos clients nous imposent leurs propres contraintes.

Comment collaborez-vous sur un incident de cybersécurité, par exemple un ransomware ?

Alain Rogulski : En général, les incidents sont détectés par le SOC et nous avons ainsi une vision globale des incidents. Notre SOC est hybride : nous recourons à Orange Cyberdéfense pour le niveau 1 et nous avons une équipe interne qui connaît bien notre organisation et nos systèmes pour les niveaux 2 et 3. En cas de besoin, l’équipe interne va prendre toutes les mesures de confinement nécessaires de systèmes potentiellement infectés et transmettre si nécessaire aux équipes locales concernées les instructions à suivre. Les équipes locales vont mettre en œuvre les mesures décidées et ensuite transmettre leur reporting au niveau groupe. Nous allons ainsi acquérir une expérience partagée et tous continuer à nous améliorer. L’existence d’un SOC global facilite les retours d’expérience et la prise en compte des leçons apprises pour améliorer nos procédures jusque dans nos préconisations d’architecture dans les projets.

Anne-Cécile Colas : Les équipes du DPO interviennent s’il y a une suspicion d’impact sur les données personnelles. DPO et SOC utilisent le même outil pour gérer l’incident, l’intervention du DPO fait partie intégrante du process. Nous tenons un registre global des incidents et de leurs traitements. Le cas échéant, nous notifions aux autorités, en général à la CNIL. La procédure a été co-construite entre CISO et DPO et nous gérons conjointement les incidents. Il est obligatoire de travailler à quatre mains : cybersécurité et gestion des données personnelles sont nécessairement associées.

Alain Rogulski : Ces incidents cyber concernent les différents métiers. Prenons l’exemple récent de notre prestataire SaaS de gestion des temps aux Etats-Unis, Kronos. Celui-ci a connu un arrêt de service de plusieurs semaines dû à un ransomware en décembre 2021. Ce n’était pas une crise de cybersécurité pour nous car il n’y avait pas de lien permettant une contamination chez nous, mais il y a eu un impact métier important de continuité d’activité et il a donc fallu adapter rapidement les procédures.

En matière de protection des données personnelles, quels sont vos principaux défis ?

Anne-Cécile Colas : Tout d’abord évidemment, de gérer et de contrôler la conformité réglementaire au quotidien ! L’un de nos défis principaux est sans doute le foisonnement législatif dans le monde. Les recommandations et les exigences des différents législateurs sont parfois en décalage avec les réalités du terrain ou avec les véritables risques. De plus, l’arrêt Schrems II a entraîné un gros flou juridique. Et puis il va falloir prendre en compte les nouvelles obligations liées aux évolutions réglementaires européennes (Data Act…).

La course contre la montre de la mise en conformité RGPD est devenue un marathon car il faut que chacun comprenne l’importance de l’analyse des risques affectant les données personnelles.

Un autre défi est de réduire le nombre de négligences. C’est de l’information et une pédagogie continuelles en interne pour suivre les bonnes pratiques.

Enfin, un défi particulièrement complexe à relever est la cascade d’obligations liées aux obligations de nos clients.

Et côté cybersécurité ?

Alain Rogulski : Je ne vais pas être très original : le premier défi est bien sûr la forte évolution des cybermenaces et l’augmentation de leur sophistication. Nous avons un jeu du chat et de la souris avec les pirates entre les menaces et les contre-menaces.

Un défi plus spécifique est lié à la grande hétérogénéité de nos structures. Même s’il y a un socle minimal, on ne peut pas mettre en place partout les mêmes procédures : il faut les adapter.

Cette évolution de la menace doit être prise en compte alors même que nos services sont de plus en plus digitaux (apps consommateurs, réfrigérateurs connectés, robots pour la livraison…). La nécessité d’agilité doit donc s’accompagner d’une bonne maîtrise des cyber-risques

Enfin, comme pour beaucoup d’organisations, attirer et conserver les talents cyber demeurent un vrai défi.