Un cas concret au sein du Groupe Déploiement de la Politique Informatique & Liberté

1. Un cas concret au sein du GroupeDéploiement de la PolitiqueInformatique & Liberté 29%

2. Le Groupe  ses ACTIVITES: • Systèmes et Matériaux Avancés Des solutions de haute technologiepour des environnements industriels exigeants 39% • Protection Électrique • Applications Électriques Des solutions fiables indispensables à l’alimentation sécurisée des moteurs électriques Le spécialiste mondial de la protection électriqueet thermique des équipements électriques industriels 32% 29%

3. Le Groupe  en CHIFFRES : 85 % de l’activité à l’international Plus de 40 implantations sur les cinq continents dont 6 filiales en France, pour un effectif de ~ 1 800 p et 2 entités transversales  DSI + Dir. Achats Premier ou deuxième acteur mondial dans ses métiers Un chiffre d’affaires de 694 M€ en 2007 6 400 collaborateurs au total Politique Informatique & Liberté au sein de

4. Temps 1 : L’approche  Présidence du Groupe : Sensibilisation au risque pénal + sanction financière + atteinte de l’image, en cas de dérive « Recommandation » forte de mise en place d’un Correspondant I & L (CIL) Résultat = incompréhension + perplexité …. + … agacement ! Phase de réflexion interne : État des lieux sur l’état de la conformité des processus déclaratifs … Analyse sur la faisabilité CIL Les facteurs pris en compte pour la désignation d’un CIL mutualisé :  se mettre en conformité au regard des textes  valoriser l’image Lettre de Mission Politique Informatique & Liberté au sein de

5. Temps 2 : La sensibilisation interne Priorité = les RH  Présentation et sensibilisation du Comité RH France Les mots clés : Les données personnelles ? Responsable du Traitement ? Les traitements sensibles : Contrôler la nav. Internet ! Les condamnations : Tyco Healthcare en 2007 ! Politique Informatique & Liberté au sein de Données traitées par sur nos SI Données confidentielles : coûts, R&D, … Données Personnelles Externes  Clients, fournisseurs, candidats, … Données Perso. Internes  Salariés

6. Temps 2 : La sensibilisation interne Politique Informatique & Liberté au sein de • Conseil & pédagogie • Évaluation des risques • Formation • Validation nouveaux traitements • Contrôle & audit • Médiation • Mission Indépendante • Déclare les traitements – Gère les autorisations • Rend compte à la CNIL une fois / an des actions menées Et autres sociétés françaises …

7. Temps 3 : La mise en œuvre Un réseau de Correspondants Relais I & L : objectif = 1 p. dans chaque entité Rédaction d’une « Définition de Mission Repère » Une intégration des règles dans la Politique de SSI (adossée à ISO 17799) Rédaction d’un nouvelle Procédure  «  Protection des données perso. » Mise à jour et déclaration internes des nouveaux traitements de DP par les sites Mise en œuvre et contrôle de la protection des DP Information des salariés (droit d’accès, …) Politique Informatique & Liberté au sein de Données confidentielles : coûts, R&D, …

8. Temps 3 : La mise en œuvre Un Répertoire dédié I &L sur l’Intranet Une liste étendue des types de Données Personnellestraitées dans l’entreprise et des Risques associés en cas de protection insuffisante ou traitement illicite : Usurpation Vol Exclusion / discrimination … à l’emploi Etc Des Listes Générales des Traitements adossées sur les Normes Simplifiées de la CNIL : NS42  Contrôle d’Accès NS46  RH Etc Politique Informatique & Liberté au sein de Données confidentielles : coûts, R&D, …

9. Temps 4 : Premier bilan Un exercice très structurant Une clarification des Rôles … et des Responsabilités … Un nouveau « Driver » pour auditer et mettre à jour les mesures de sécurité Un lien fort entre la mission CIL et la fonction RSSI Et pas mal de travail … Politique Informatique & Liberté au sein de