Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

DIPLÔME SUPÉRIEUR DE COMPTABILITÉ ET DE GESTION UE5 – MANAGEMENT DES SYSTÈMES D

DIPLÔME SUPÉRIEUR DE COMPTABILITÉ ET DE GESTION UE5 – MANAGEMENT DES SYSTÈMES D’INFORMATION SESSION 2020 Éléments indicatifs de corrigé DSCG 2020 UE5 - Management des systèmes d’information CORRIGÉ Page 1/7 MANAGEMENT DES SYSTÈMES D'INFORMATION Durée de l’épreuve : 3 heures - coefficient : 1 Les éléments de corrigés sont donnés à titre indicatif. Les réponses à ces questions sont proposées ici successivement en adoptant une posture simple et factuelle. Toutefois, face à la diversité, l’imbrication et à la transversalité même des concepts liés au management des systèmes d’information de gestion, les réponses peuvent adopter différents angles d’attaque, positionnements et argumentaires. 1. Pourquoi la nomination d’un « DPO » pour un cabinet d'expertise comptable est-elle obligatoire ? (1 point) Pour les experts comptables, la nomination d’un « DPO » est devenue obligatoire car ils sont amenés à manipuler un grand volume de données et souvent des données personnelles très sensibles (liées à la gestion des bulletins de paies par exemple ou aux évolutions de carrière). 2. Pourquoi le législateur donne-t-il la possibilité de mutualiser la fonction de « DPO » entre plusieurs entreprises ? (1 point) Le « DPO » peut être mutualisé afin de pouvoir mutualiser les coûts salariaux liées à cette fonction et obtenir des économies d’échelle en augmentant le nombre de dossiers à traiter lorsque l'entreprise est de taille modeste 3. Quel est le rôle du « DPO » vis-à-vis de la direction ? (1 point) Le « DPO » doit assurer le rôle de relais auprès du chef d’entreprise ou auprès du ou des responsable(s) de traitement des données pour les informer sur les obligations du RGPD et pour réduire les risques de non-conformité. Le « DPO » doit aussi les informer sur les éventuelles sanctions en cas de non-conformité. 4. Dans quelles situations le DPO peut-il procéder à une « Analyse d'Impact centrée sur la protection des données » (AIPD) ? (1 point) Le « DPO », lorsqu’il estime qu'un traitement ou un ensemble de traitements est susceptible d'engendrer des risques relativement élevés pour les droits et libertés des personnes concernées, peut se référer au RGPD qui préconise explicitement de procéder à une Analyse d'Impact centrée sur la Protection des Données. Les autorités européennes ont publié un ensemble de lignes directrices qui permettent de distinguer les cas de traitement des données qui nécessitent (ou pas) de déclencher une Analyse d'Impact et cette analyse sera exigée par la CNIL en cas de contrôle 5. Comment envisagez-vous de présenter et de renseigner ce registre ? (1 point) Il s’agit de noter systématiquement, sur format papier ou numérique, toutes les informations qui peuvent contribuer à détailler la nature, la finalité et les modalités de sécurisation du traitement des données personnelles. 6. Ce registre est-il obligatoire pour le cabinet « CECL20 » ? Vous justifierez votre réponse. (1 point) Ce registre n’est pas obligatoire pour le cabinet « CECL20 » car il compte moins de 250 employés, mais il parait fortement recommandé, surtout au regard des dysfonctionnements relevés. DSCG 2020 UE5 - Management des systèmes d’information CORRIGÉ Page 2/7 7. Quelles sont les informations à communiquer aux employés ? Quelles sont les modalités de recueil du consentement ? (1 point) Il est nécessaire de les informer de leurs droits concernant le stockage et l’utilisation de ces données personnelles. Le recueil du consentement explicite des employées est obligatoire avant de relever leur plaque d’immatriculation. 8. Comment mettre en conformité les contrats du cabinet avec ses prestataires et sous-traitants par rapport à la règlementation sur le traitement des données personnelles ? (1 point) Il s’agit de leur proposer une mise à jour de conformité de l'ensemble des contrats que le cabinet « CECL20 » en cours d’activité avec ses prestataires et ses sous-traitants. En effet, le RGPD indique clairement que le ou les sous-traitants sont coresponsables des traitements de données personnelles. Un contrat écrit et signé doit préciser l’ensemble des obligations de chaque partie. 9. Comment prévenir les risques « SI » ? Que faire si ces risques se réalisent ? (1 point) La prévention des risques « SI » suppose d’élaborer des scenarii puis de rédiger, ou de faire rédiger par un cabinet professionnel, un plan de continuité d’activité. En cas de problème sévère – attaque, fuite, destruction, intrusion, hameçonnage de télétravailleurs, rançonnage de dirigeants, etc. – il mettre à disposition du personnel la procédure de crise (plan de continuité d’activité). En cas de violation de données à caractère personnel, il faut prévenir la CNIL sous 72 h maximum. 10. Quelles sont les actions de formation des personnels qui pourraient être mises en place et selon quelles modalités ? (0,5 point) La sensibilisation du personnel à ces risques passe par des actions de formation. La formation de l’ensemble des collaborateurs sur les enjeux mais aussi sur les obligations et directives du RGPD – même en situation de crise sanitaire et de confinement - fait partie intégrante de la démarche globale de mise en conformité de l'entreprise. Ces formations peuvent se faire à l’aide de mises en situation à l’occasion de visites sur les différents sites ou en proposant des sessions de formations et de sensibilisations à distance pour ceux qui seraient en situation de télétravail. 11. En cas de mise en place de formation à distance, quelles sont les précautions à prendre ? (0,5 point) Il faudra faire attention à utiliser une plateforme de visioconférence sécurisée et certifiée – préférer une version payante avec un contrat de service qui propose des garanties sur le stockage des données, la souveraineté, la localisation des datacenters, le traitement des contenus et le chiffrement/cryptage des échanges – car ces formations peuvent être l’occasion de partager des informations sensibles liées à la sécurité du SI du cabinet. 12. Quels sont les obligations liées au RGPD au sein d’un cabinet d’expertise- comptable ? (1 point) Le cabinet d’experts comptables est responsable du traitement, data controller, car il exploite les données personnelles de ses salariés ou celles de ses clients. Sa mission consiste donc à analyser la façon dont toutes les données à caractère personnel manipulées par le cabinet sont collectées, DSCG 2020 UE5 - Management des systèmes d’information CORRIGÉ Page 3/7 traitées, stockées, protégées et donc sécurisées. Le cabinet doit ainsi s’assurer que tous les process et usages répondent bien aux critères du RGPD à savoir notamment : - « recueillir le consentement pour collecter et traiter la donnée » ; - « minimiser les données » ; - « habiliter l’accès selon les profils des collaborateurs » ; - « donner la possibilité de modifier, supprimer, récupérer les données » - et « satisfaire les conditions légales de stockage ». 13. Quelles sont les solutions informatiques possibles ? vous mettrez en évidence les avantages et les contraintes de chacune des solutions. (1 point) De nombreuses solutions logicielles dotées de fonctionnalités liées aux droits des personnes (par exemple liées au droit à la portabilité) facilitent le respect de ces exigences. Le choix de solutions logicielles et d’applications dédiées, posent la question pour les experts comptables de choisir ou non des solutions externalisées (en mode SaaS) et de bien comprendre ce que cela implique : 1. Pour les cabinets qui ont fait le choix de garder en local leurs infrastructures informatiques, le responsable du traitement ou data controller doit s’assurer de la sécurité physique des serveurs : lieux protégés, redondances des machines dans des lieux différents. Il doit également vérifier que toutes les infrastructures – serveurs, laptop, tablettes, smartphones, ordinateurs fixes, etc. – et tous les applicatifs sont équipés d’outils de sécurité type antivirus, anti-malware, pare-feu, etc. Enfin, il doit sensibiliser les collaborateurs aux bonnes pratiques liées à la sécurité des SI en leur présentant par exemple les éventuelles conséquences de laisser une clé USB ou un mot de passe accessible sur un bureau et/ou en les informant des menaces liées à un Internet mal appréhendé (ransomware, phishing, assistant vocal) 2. Pour les cabinets qui ont fait le choix du SaaS, la sécurité des serveurs et applicatifs hébergés doit être assurée par le prestataire infogérant ou par le CSP (cloud service provider) et de nombreux prestataires – notamment situés sur le territoire national – ont mis en place des infrastructures techniques fiables avec une sécurité 24 h/24 et 7 jours/7. 14. Comment mettre en œuvre les obligations liées au RGPD chez les clients d’un cabinet d’expertise-comptable ? Quelles sont les préconisations de l’Ordre des experts-comptables en la matière ? (1 point) Le cabinet est un sous-traitant, ou data processor, de ses clients. Aussi, le « DPO » du cabinet doit vérifier la façon dont les données de ses clients sont manipulées et traitées. L’Ordre des experts comptables souligne qu’il faut reconsidérer les contrats entre les cabinets comptables et leurs clients en incluant dans la lettre de mission de nouvelles clauses explicitement dédiées à leur responsabilité dans les traitements des données personnelles. 15. Quelles sont les règles à respecter lors d’une communication par newsletter utilisant une mailing-list ? (1 point) La mailing-list et la newsletter doivent respecter les quelques uploads/Management/ dscg-2020-ue5-corrige-2.pdf