« Chez Huawei, on ne monétise pas la donnée »

Décryptage du RGPD avec Gwénaël Rouillec,
Directeur de la cybersécurité de Huawei France

« Chez Huawei, on ne monétise pas la donnée »
Décryptage du RGPD avec Gwénaël Rouillec,
Directeur de la cybersécurité de Huawei France

Chamboulement dans le milieu du numérique : le 25 mai dernier entrait en vigueur le Règlement Général de Protection des Données (RGPD), un texte européen voté en 2016. Son principe ? Il s’agit d’un cadre législatif commun à toute l’Union Européenne, visant à protéger les données à caractère personnel des individus physiques. Pour s’adapter au mieux à la réalité du terrain, ce texte prend en compte l’évolution de ce qui constitue une donnée personnelle : il peut s’agir d’une donnée directe, comme un nom ou un prénom, ou indirecte – le genre de donnée qui est produite par le recoupement de plusieurs fichiers (plaques minéralogiques, numéro de sécurité sociale, etc.) et qui permet d’identifier un individu. Gwénaël Rouillec, Directeur de la cybersécurité de Huawei France, résume la situation : « le RGPD, c’est l’uniformisation des moyens techniques – chiffrement, traçabilité, disponibilité – pour répondre à des exigences juridiques ». Détaillons avec lui ce que cela implique pour Huawei, et pour ses partenaires.

Quelle est la position de Huawei sur le RGPD ?
Depuis le lancement des réflexions autour du RGPD, Huawei a travaillé sur le sujet. Il ne s’est pas tant agi de réflexions techniques, dans la mesure où le matériel des collaborateurs, les connexions distantes étaient déjà chiffrés, et le cloisonnement applicatif ainsi que le suivi de versions, étaient déjà pratiqués. En interne comme pour nos clients, Huawei avait déjà mis en place le security-by-design, un ensemble de pratiques nécessaires au respect du RGPD. En termes d’organisation, en revanche, Huawei a dû adapter les processus de ses clients aux exigences du RGPD, notre priorité étant la protection de leurs données. A cet égard, nous avons une volonté de transparence, mais également d’exemplarité. Pour ce faire, nous avons mis en place un groupe de travail, afin d’intégrer les exigences du RGPD dans les procédures mondiales de Huawei. Nous procédons à un cumul par le haut des normes afin que les règles les plus sûres qui existent soient intégrées. Le RGPD est positif puisqu’il permet de poser les choses et d’amener les moyens dans les sociétés françaises. Il s’agit de faire prendre conscience à tout le monde de l’importance de la cybersécurité, et de s’améliorer dans la compréhension de cette sécurité. Toutes les entreprises n’ont pas la même maturité face à la sécurité des données, et nous venons leur apporter cette vision, collectivités locales comme entreprises du CAC40. La colonne vertébrale de la transformation numérique, des entreprises à la smart-city en passant par les objets connectés, ce sont les réseaux. C’est pour cela que Huawei joue un rôle important sur le sujet. Nous parlons beaucoup de 5G, un standard qui exige entre-autre une latence maximale d’une milliseconde, sécurité incluse. Pour y parvenir, il faut une colonne vertébrale solide !

Et chez Huawei, en interne, comment vous donnez-vous les moyens de cette colonne vertébrale ?
Nous en avions parlé dans nos derniers échanges (« Stratégie cybersécurité de Huawei France : entretien avec Gwénaël Rouillec »), cela commence chez Huawei par la formation de nos collaborateurs et collaboratrices. Nous les accompagnons en termes de sensibilisation, avec deux séances de formation dédiée par mois comprenant des éléments sur le RGPD, qui viennent s’ajouter à la formation continue que nous appliquons depuis des années. Cela passe aussi, par exemple, par des rappels réguliers sur les bonnes pratiques quant aux données des clients et la façon de les communiquer. Sur son badge, chacun de nos employés ayant une interface client a d’ailleurs les 10 règles d’or de la cybersécurité. Cependant, si c’est une question de culture, c’est également une question de process. La cybersécurité étant au cœur de notre ADN, c’est quelque chose qui est depuis longtemps dans nos habitudes. Nous n’avons pas l’impression que quelque chose a véritablement changé, nous avons juste remis les choses dans les bonnes cases. Pour ma part, j’ai un devoir d’audit, j’ai nommé un « Privacy Officer » pour la France, qui travaille directement avec le D.P.D. Europe et suis à ce titre co-responsable du traitement des données – nous devons nous assurer que nos fournisseurs et sous-traitants soient eux aussi conformes. De notre côté, aucune donnée personnelle ne sort d’Europe sans être anonymisée par nos clients, après avoir conclu un accord écrit.

Justement, comment accompagnez-vous vos clients face à cette évolution réglementaire ?
Nous proposons à nos clients et partenaires un appui sur-mesure. Concernant les PME, par exemple : lorsque ces entreprises n’ont pas les ressources suffisantes pour embaucher un Délégué à la Protection des Données (poste créé avec le RGPD), nous sommes force de proposition. Nous pouvons mener un audit pour savoir où l’entreprise se situe, nous signons un partenariat, et lui confions la charge de s’assurer que le traitement sera fait dans les règles. Nous avons besoin de nous mettre d’accord très précisément avec un interlocuteur interne sur la façon de protéger la structure, quelqu’un qui connaisse bien les métiers et la façon dont l’entreprise fonctionne. Si ensuite le fournisseur n’est pas conforme avec le RGPD, il ne sera pas fournisseur, et sera aussitôt déréférencé – on ne déroge pas au règlement. On ne joue pas avec les données personnelles des gens. De notre côté, les procédures ont été créées ou mises à jour bien avant le 25 mai 2018, c’est un facteur de confiance. Cependant, le 25 mai n’était qu’un début : de nouveaux traitements de données apparaissent, et il faut donner des cadres à ces nouveaux traitements. A cet égard, je participe par exemple au Syntec Numérique : nous organisons et participons à de nombreux colloques, avec le Centre recherche de la gendarmerie nationale, les Assises de la sécurité, le Cybercercle, ou encore le FIC. Chez Huawei, nous pensons qu’au-delà de la sensibilisation des professionnels, nous avons besoin de former les consommateurs : ce sont les premiers concernés. Tout le chiffrement du monde n’y remédiera pas : il faut informer très tôt aux bons usages de la communication des données personnelles, au-delà de la simple sécurité informatique. On ne peut pas lutter contre des données qui ont été publiées publiquement et volontairement…