L’EU-US Privacy Shield ou « bouclier vie privée UE-États-Unis », qui remplace l’accord sur la sphère sécurité (Safe Harbour) invalidé l’année dernière, a été officiellement adopté. En vertu du Privacy Shield et du règlement général de l’UE sur la protection des données (RGPD), les entreprises exerçant des activités outre-Atlantique sont tenues d’appliquer des normes de protection plus rigoureuses des données exportées depuis l’Europe vers les États-Unis. Et malgré le vote du Royaume-Uni pour sa sortie de l’Union européenne, l’ICO, organisme de régulation britannique chargé de la protection des données personnelles, a déclaré que ces réglementations seraient adoptées sans changements majeurs, indépendamment du statut du Royaume-Uni au sein de l’UE.

Toute nouvelle réglementation entraîne des risques de non-conformité pour les entreprises. C’est pourquoi elles doivent savoir exactement où sont stockées les données sensibles, ce qui est généralement beaucoup plus facile à dire qu’à faire. Face à la croissance exponentielle des volumes de données produits, de nombreuses entreprises peinent à répondre à une question aussi élémentaire que « comment les données sont-elles créées, stockées et gérées ? ». Ce manque de visibilité augmente considérablement le niveau de risque.

Il existe heureusement des mesures qui permettent aux entreprises de mieux gérer les données, de réduire les risques de non-conformité et d’atténuer les dommages potentiels en cas de cyberattaque. Première étape : se poser les bonnes questions.

Se poser les bonnes questions

Comprendre comment son entreprise traite, contrôle et conserve les données personnelles par-delà les frontières est un exercice ardu, pourtant essentiel. Lors de l’évaluation de sa stratégie de gestion des données vis-à-vis des nouvelles réglementations, il est important de revenir aux fondamentaux et de se demander quelles données sont gérées, par qui, où, quand et comment.

Qu’appelle-t-on « données sensibles » ?

La première question à se poser est : à quoi ressemble le paysage des données sensibles de son entreprise ? La nature des données sensibles varie selon l’entreprise. Les commerces de détail, par exemple, se préoccupent tout particulièrement des données financières des clients, tandis que les entreprises pharmaceutiques s’attachent davantage à protéger les secrets industriels et la propriété intellectuelle. Les solutions de gestion du risque doivent permettre aux utilisateurs de créer des définitions personnalisées des données sensibles. C’est la seule façon d’identifier et de protéger les données de grande valeur présentant un haut niveau de risque.

Où sont stockées les données (à quelle fin et pour combien de temps) ?

Autrefois, les équipes de sécurité géraient des données souvent réparties sur plusieurs sites géographiques. Avec la virtualisation, elles ont aujourd’hui affaire à un paysage multidimensionnel renfermant des volumes d’informations de plus en plus vastes, stockés dans des banques de données Cloud « sans frontières ». Les équipes de sécurité doivent faire la distinction entre les réseaux privés, les référentiels Cloud et les applications tierces, telles que les partages de fichiers, Office 365, etc., afin d’obtenir une cartographie complète des emplacements de stockage des données sensibles. Ces équipes ont une double mission : non seulement localiser les données dans un monde de plus en plus complexe, mais aussi respecter les nouvelles réglementations de l’UE qui imposent aux entreprises l’obligation de déterminer l’usage des données sauvegardées, ainsi que la durée de rétention des informations stockées ou archivées.

La cartographie du paysage des données peut aider les entreprises à éviter les problèmes courants en matière de prolifération et de rétention des données. Les fuites de données sensibles surviennent souvent par accident. Elles sont par exemple cachées dans les lignes masquées des feuilles de calcul, dans les notes des présentations des employés ou au sein de longs fils d’e-mails. De tels accidents ne sont pas une fatalité. Pour s’en préserver, les entreprises doivent comprendre où les données sensibles au repos sont stockées, puis les supprimer des emplacements non autorisés.

Qui a accès aux données sensibles ?

Une fois les questions de la nature des données sensibles et de leur emplacement de stockage réglées, il convient de définir des droits d’accès en fonction des rôles et responsabilités au sein des départements et fonctions métiers concernés. L’accès non autorisé aux données à caractère personnel représente une source de risques majeure et les entreprises sont souvent surprises de découvrir qui a accès à leurs informations. La formation des collaborateurs est également essentielle pour s’assurer que seul le personnel autorisé a accès aux données sensibles. Le service des ressources humaines doit être impliqué dans la sensibilisation de l’ensemble de l’entreprise à l’importance d’un traitement approprié des données. Prendre conscience de la valeur des données permet de les percevoir comme des ressources qu’il faut protéger, au même titre que des biens matériels.

Quand parle-t-on de « transfert de données » ?

Pour assurer la conformité, la question peut-être la plus importante est de savoir à quel moment les données personnelles sont transférées de l’Union européenne vers des pays situés en dehors de l’Espace économique européen (EEE). Ceci est impossible sans la mise en place de mesures de protection adéquates. Les nouvelles réglementations, comme le règlement général sur la protection des données (RGPD) et le Privacy Shield, imposent des obligations strictes en matière de protection transfrontière des données. Par exemple, la consultation d’un fichier stocké dans l’UE par un utilisateur situé aux États-Unis est considérée comme un transfert de données.

Pour finir, comment les données sont-elles gérées ?

Une entreprise peut s’appuyer sur les réponses aux questions précédentes pour commencer à bâtir une stratégie de confidentialité des données à même de limiter les risques numériques. Cela nécessite un investissement initial en termes de réflexion, d’efforts et de budget. Une étude réalisée par le Ponemon Institute en 2016 révèle que l’impact financier mondial de la violation des données s’élève à 4 millions de dollars et ne cesse d’augmenter. Ce chiffre n’inclut pas les coûts réglementaires, juridiques et réputationnels supplémentaires en hausse. S’il est impossible d’éliminer totalement les risques, une approche axée sur les données peut contribuer à les maîtriser.

Pour protéger les données et respecter les nouvelles réglementations, telles que le Privacy Shield, il convient de se poser des questions simples, mais néanmoins cruciales. Les entreprises s’évertuent chaque jour à gagner la confiance des clients. Une fois perdue, il est très difficile de la regagner. Alliées aux bonnes solutions technologiques, des stratégies de gestion des données proactive leur permettent de se conformer aux nouvelles réglementations avec nettement plus de facilité et de réduire les risques numériques.

__________
Fortunato Guarino est Solutions Consultant EMEA Cybercrime & Data Protection Advisor, au sein de la société Guidance Software