Alors que le Forum International de la Cybersécurité ouvre ses portes le 22 janvier 2019 pour deux jours, c’est l’occasion idéale pour revenir sur le Règlement Général sur la Protection des Données (RGPD) et la mise en conformité des entreprises françaises. Ainsi, selon la CNIL, les règles et détails concernant les évaluations de l’impact sur la vie privée (ou PIA, Privacy Impact Assessment) ont été téléchargés 130 000 fois depuis janvier 2018. Cependant, certaines organisations n’ont pas encore terminé la mise à jour de leurs politiques de sécurité pour s’y conformer.

Les entreprises qui s’empressent de se conformer au RGPD commettent souvent des erreurs qui entravent leurs efforts de sécurité des données.

L’un des défis majeurs des organisations est de respecter le règlement sans mettre à mal la protection de leurs données pendant le processus. En effet, si la recherche de conformité est trop rapide, elle peut entraîner des modifications fragmentées de la sécurité, et par conséquent des vulnérabilités et de potentielles pénalités élevées. Pourtant, certaines erreurs peuvent être facilement évitées.

Erreur #1 – Absence de visibilité sur l’emplacement des données sensibles
La moitié des entreprises françaises ne savent pas où les données sensibles de leurs clients sont stockées, et 70 % d’entre elles n’analysent pas efficacement leurs données clients, d’après une étude de Gemalto. Or, il est impossible de protéger ce que l’on ne voit pas. Pour respecter le RGPD, il est impératif d’avoir une visibilité totale sur les données en effectuant une procédure de découverte et de classification ; cela permet de repérer des informations « surexposées », de migrer les plus sensibles vers un emplacement sûr, et de se débarrasser des data superflues.

Erreur #2 – Aucune règle basée sur les risques pour la protection des données
Une étude Netwrix indique qu’une entreprise française sur cinq n’a jamais procédé à une évaluation des risques informatiques, et que 11 % le font seulement une fois par trimestre. Une entreprise doit cependant procéder à des évaluations régulières des risques informatiques qu’elle encourt. Non pas par respect du règlement, mais parce qu’il s’agit d’un outil essentiel pour évaluer les menaces et élaborer des stratégies de sécurité en conséquence. De plus, cette évaluation est particulièrement importante en cas de risque de profilage automatisé d’informations sensibles, telles que l’appartenance ethnique, les convictions politiques ou religieuses, les informations sur la santé, génétiques ou biométriques.

Erreur #3 – Ignorer l’objectif du traitement des données
Le RGPD implique que les employés, selon leurs fonctions, aient différents niveaux d’accès aux informations. Plutôt que d’accorder un accès total à tous les employés utilisant une partie de ces informations pour leurs tâches, l’entreprise doit se baser sur le « besoin de savoir ». Les analystes travaillant sur des schémas comportementaux peuvent par exemple tout à fait œuvrer avec des données anonymisées, tandis que le service client informant l’utilisateur des tentatives de connexion suspectes n’a besoin que des coordonnées de contact.

Erreur #4 – Utilisation de données personnelles hors consentement
Les points du RGPD concernant la protection de la vie privée dès la conception et par défaut (privacy by design and by default) suppose que les entreprises utilisent les données à caractère personnel uniquement pour les besoins indiqués lors de la collecte. Concrètement, un site de location de voitures qui a obtenu l’autorisation de partager des offres de location de véhicules par emails, enfreindra ce principe s’il propose des réservations d’hôtels. Il est donc important de bien déterminer les besoins commerciaux en amont, puis d’intégrer les critères et consentements émis par les clients dans les opérations marketing.

Erreur #5 – Sous-estimer la gestion de l’intégrité du système
Certains dirigeants pensent que la formation de leurs équipes au RGPD et la mise en place de contrôles de sécurité suffisent à assurer la conformité sur le long terme. Cependant, les processus métier et les flux de données évoluent chaque jour, ce qui pose constamment de nouveaux défis de sécurité. Ainsi, lorsque l’organisation met en œuvre de nouvelles technologies pour un projet, de nombreux managers prennent leurs décisions en fonction des coûts, des conditions de mise sur le marché, ou du retour sur investissement, sans se soucier des problèmes de sécurité. Il en résulte donc de nouvelles vulnérabilités qui, si elles ne sont pas adressées rapidement, pourraient être exploitées par des acteurs malveillants.

Avec l’augmentation du nombre de violations de données en 2018, les normes de conformité existantes devraient être renforcées dans les années à venir. Il est donc primordial d’adopter une stratégie de sécurité basée sur la protection des données des clients. Pour éviter de commettre des erreurs lors des mises en conformité, il serait judicieux de rendre obligatoire la nomination d’un délégué à la protection des données (ou DPO, Data Protection Officer) – à temps plein ou partiel –, afin de maintenir à la fois l’efficacité de l’entreprise et les principes de protection des données ; tout en sensibilisant les employés et en réalisant régulièrement des audits sur les pratiques et technologies en place.

___________
Pierre-Louis Lussan, Country manager France, chez Netwrix