Le règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain dans toute l’Union Européenne avec pour objectif de protéger les données des individus en leur donnant un certain contrôle.

L’un des principaux ingrédients de ce nouveau règlement consiste en la « pseudonymisation ». Cela signifie qu’une personne ayant accès à des données ne doit pas être en mesure de les relier à un utilisateur particulier. Pour y parvenir, les entreprises disposent de nombreux moyens qu’elles ont tout intérêt à mettre en place dès le début de la chaine de traitement afin d’assurer une protection maximale.

Si cette nouvelle réglementation peut être perçue comme un fardeau pour les organisations qui doivent notamment réviser le traitement des données utilisateurs, ce ne doit pas être la seule façon de l’aborder, et ce, pour plusieurs raisons.

Tout d’abord, le RGPD vient remplacer un ensemble disparate de réglementations nationales par un régime unique à l’échelle de l’Union Européenne. Cela rend la conformité beaucoup plus simple et moins coûteuse pour les sociétés multinationales.

Deuxièmement, son application peut être utilisée comme une occasion de rationaliser les processus internes et d’améliorer la sécurité. De telles dispositions permettront aux organisations concernées d’en tirer des avantages en termes de coûts à court et à long terme.

La pseudonymisation, le chiffrement ou tout autre moyen potentiellement utilisable pour se mettre en conformité avec le RGPD ne sont pas des défis technologiques. En effet, la technologie appropriée est largement disponible dans des produits prêts à l’emploi. Les vrais défis concernent davantage la façon de gérer des données.

Afin d’assurer la protection et la responsabilité des données personnelles des utilisateurs à toutes les étapes du traitement, des processus uniques devraient être établis pour l’acquisition, la manipulation, le traitement, le stockage et l’élimination de ces données au sein d’un flux de travail unique.

Les professionnels de l’informatique savent que l’intégration de données (combiner et rassembler des données provenant de sources multiples) est l’un des défis opérationnels les plus difficiles auxquels sont confrontées de nombreuses organisations. Souvent, il s’agit d’un processus manuel, à forte consommation de main d’œuvre. De nombreuses organisations pourraient avoir honte de révéler que la gestion et le traitement des données clés se font manuellement, via un simple tableur qui n’est ni automatisé, ni efficace, ni sécurisé…

Aujourd’hui, le caractère obligatoire du RGPD va permettre aux départements IT de forcer l’amélioration des processus de gestion des données.

À partir de mai prochain, les organisations devront mettre toutes les données utilisateurs dans un pool protégé et en surveiller scrupuleusement l’accès (ce qui a néanmoins toujours été l’objectif des équipes de sécurité). Mais il ne s’agira plus de débattre de la probabilité ou du coût d’une violation réelle. Le simple fait de ne pas protéger les données de manière adéquate sera désormais punissable et coûteux. Les entreprises qui ne respecteront pas le RGPD seront passibles de lourdes amendes pouvant aller jusqu’à 4 % de leur chiffre d’affaires annuel.

Un autre avantage à cette exigence est la réduction de l’informatique parallèle puisque les données stockées dans des entrepôts disparates ne sont pas facilement ni pseudonymisables ni auditables.

Une organisation intelligente profitera du RGPD pour ré-imaginer la façon dont elle traite les données, avec la sécurité comme principe de base. En définitive, elle en tirera de nombreux avantages :

Acquisition de données

Le RGPD impliquera de ne pas laisser les données utilisateurs aux points de collecte (terminaux de point de vente par exemple) plus longtemps que nécessaire et de les crypter dès que possible. Cela réduira les besoins de stockage distribué, améliorera la sécurité et accélérera le transfert des données. Côté business, cela présente l’avantage d’offrir une vision en temps quasi réel de l’activité.

Transfert de données

Aujourd’hui, la plupart des organisations ont déployé la technologie VPN. Mais pour celles qui trainent encore, leur départements IT auront de solides arguments pour forcer la mise à niveau !

Traitement et stockage des données

La pseudonymisation suppose que l’on ne puisse pas relier un utilisateur particulier à un ensemble de données. Autrement dit, des données peuvent indiquer que 180 clients se trouvaient un jour dans telle agence bancaire, mais pas qui ils étaient. Cela peut forcer à reconsidérer les données collectées, leur stockage et faire que les décisions majeures basées sur l’utilisateur (ciblage de publicités en fonction du comportement par exemple) soient prises le plus rapidement possible. Encore une fois, cela entrainerait des résultats commerciaux clairement bénéfiques. Et l’automatisation de ces traitements renforcerait la protection des données.

Stockage et disposition des données

Toute donnée utilisateur stockée comporte un certain risque de compromission. Une purge plus agressive des données des utilisateurs, en particulier celles détaillées et non pseudonymisées, réduira les coûts de stockage et dictera des contrôles plus stricts sur la façon de les gérer (comme la disposition des données de l’utilisateur).

Chacune de ces étapes devra être clairement documentée et régulièrement auditée, ce qui relève souvent de la compétence du délégué à la protection des données (DPO). La piste d’audit deviendra particulièrement importante si la pratique d’une organisation est contestée devant les tribunaux, car un journal d’audit clair et cohérent fournira une défense solide de la protection des données de l’organisation et de la conformité au RGPD.

Avec l’échéance qui approche à grands pas, les département IT doivent faire du RGPD une priorité absolue et communiquer autour de leurs initiatives pour faire réagir l’organisation.

Une approche efficace et productive de ce nouveau règlement ne serait pas de décomposer les processus existant en étapes distinctes pour y déployer des solutions de sécurité. Bien qu’améliorée, elle ne serait toujours pas coordonnée.

Il s’agit plutôt d’examiner les questions suivantes :

– Quelles sont les données que nous recueillons sur nos utilisateurs ?
– Comment les collecter ?
– En combien de temps pouvons-nous les transférer du point de collecte au data-center pour les traiter ?
– Quel traitement faisons-nous de ces données et pendant combien de temps les éléments doivent-ils être personnellement identifiables ?
– Quand pouvons-nous nous débarrasser de tout ou d’une partie de ce que nous avons collecté ?
– Comment protéger et pseudonymiser ces données, de manière holistique et facilement vérifiable ?

L’organisation qui envisage le RGPD comme un moyen de réinventer ses processus business plutôt que comme de nouvelles dépenses, constatera que les avantages à long terme vont bien au-delà du simple domaine de la sécurité.

____________
Scott Register est VP Cloud & Security Products chez Ixia, une société de Keysight.