Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur. À l’heure qu’il est, la majeure partie du monde IT connait les principes de base de ce règlement, mais il semblerait qu’un grand nombre d’entreprises en Europe, ne sache toujours pas vraiment quelles mesures adopter pour être en conformité le jour venu.

Qu’est-ce que le RGPD ?

Depuis quelques années déjà, les données personnelles et la sécurité de ces données font l’objet d’un intérêt médiatique et sociale certain. Nous avons pu le voir très récemment, au sujet de l’affaire Facebook et Cambridge Analytica, avec le scandale de la brèche des données des utilisateurs du réseau social et de laquelle le fondateur de Facebook, Mark Zuckerberg a dû répondre devant le sénat Américain.

L’objectif principal du RGPD vise à harmoniser les lois sur la confidentialité à travers l’Europe, et à renforcer la protection et les droits des personnes. Le but de ces lois consiste à améliorer et à uniformiser la protection des données pour toutes les personnes au sein de l’UE. Le RGPD aborde également l’exportation des données personnelles en-dehors de l’UE, ce qui veut pour ainsi dire, qu’il affectera à sa mise en œuvre, de nombreuses entreprises et ce, aux quatre coins du monde.

Cette règlementation européenne, se penche tout particulièrement sur la ‘violation des données personnelles’ des citoyens et résidents de l’Union Européenne. Elle concerne par exemple, une brèche dans la sécurité qui mène à la destruction, à la perte, à l’altération, à la divulgation, ou à l’accès, non autorisé de données personnelles transmises, stockées ou traitées.

Sous le RGPD et dans le cadre de telles violations de données, les faits doivent immédiatement être signalés, aussi bien aux autorités qu’aux individus concernés. Le principe de base est clair : les individus, et en l’occurrence, les citoyens Européens, sont propriétaires de leurs données personnelles et en théorie, devraient avoir tout contrôle sur ces données.

Le règlement définit les ‘données personnelles’ comme étant tout type d’information portant sur une personne physique identifiée ou identifiable (‘la personne concernée’). Ceci englobe les informations pouvant être utilisées directement ou indirectement pour identifier une personne : un nom, une photo, une adresse électronique, des coordonnées bancaires, des messages publiés sur des réseaux sociaux, des informations médicales, ou l’adresse IP d’un ordinateur.

Pour prévenir l’identification involontaire d’une personne, le RGPD recommande d’appliquer des méthodes de « pseudonymisation » des données. En d’autres termes, traiter les données personnelles de telle sorte à ce qu’elles ne puissent être reliées à une personne spécifique Le ‘traitement’ des données est pour sa part défini comme tout type d’opération effectué sur les données personnelles : collecte, enregistrement, classification, structuration, stockage, récupération, effacement ou destruction.

À qui s’applique le RGPD ?

Le RGPD s’applique à toute entreprise ou entité détenant ou traitant les données personnelles de personnes au sein de l’UE. Les ‘données personnelles’ sont définies comme étant tout type d’information permettant d’identifier un individu, directement ou indirectement. Le RGPD utilise une définition très large du terme ‘données personnelles’ et inclut les informations d’ordre génétique, biométrique, culturel, politique, économique, social, mental et religieux.

Les entreprises qui ne satisferont pas aux exigences stipulées dans le GDPR s’exposent à des amendes substantielles : jusqu’à 20 millions d’euros ou 4% de leurs revenus annuels pour les infractions les plus graves.

Le RGPD fait la distinction entre deux types d’entités : le responsable des données et le sous-traitant. Le responsable des données (ou « controller ») est une personne, une autorité publique, une agence ou tout autre organisme qui détermine les finalités et les moyens du traitement des données personnelles. Le sous-traitant (ou ‘processor’) est une personne, une autorité publique, une agence ou tout autre organisme qui traite les données personnelles pour le compte du responsable.

Bon, d’accord, mais qu’est-ce que cela signifie vraiment pour mon entreprise ?

Le RGPD comprend un certain nombre de règlementations et de recommandations assez complexes, et pour bien comprendre comment celles-ci vont affecter leurs activités, les entreprises doivent procéder à une analyse approfondie. Le RGPD établit des obligations spécifiques pour les responsables et les sous-traitants de données personnelles.

Pour commencer, chaque entité doit se conformer aux droits fondamentaux de la personne concernée : formulaire de consentement clair et précis, droit d’accès aux données, droit à la portabilité des données, droit à l’oubli et notification rapide de toute violation des données. De plus, les responsables et les sous-traitants doivent répondre aux exigences découlant du principe de la « protection de la vie privée dès la conception » (privacy by design) :

  • Tenue de registres : chaque responsable et sous-traitant doit tenir un registre de tous les types de traitements des données utilisés.
  • Pseudonymisation et chiffrement : toutes les données personnelles doivent être pseudonymisées et/ou chiffrées.
  • Sécurité et résilience : la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement et des services doivent être assurées en tout temps.
  • Reprise sur sinistre : il faut disposer de la capacité de rétablir la disponibilité et l’accès aux données personnelles en temps opportun en cas de survenue d’un incident physique ou technique.
  • Vérification et surveillance : il faut disposer d’un processus régulier de vérification, d’analyse et d’évaluation de l’efficacité des mesures techniques et organisationnelles préservant la sécurité du traitement.
  • Notification des failles : toute violation de données personnelles doit être notifiée dans les meilleurs délais, et dans la mesure du possible, au plus tard dans les 72 heures.

Le RGPD énonce quelques principes généraux pour le traitement des données personnelles. Dans les grandes lignes, il exige que le traitement soit parfaitement sécurisé, y compris dans la protection contre le traitement non autorisé ou illégal, les pertes de données accidentelles, la destruction ou les dommages. Il est demandé aux entités qui traitent les données personnelles d’appliquer l’approche de la « protection de la vie privée dès la conception », ce qui implique l’inclusion d’une protection des données dès le départ de la conception des systèmes, plutôt qu’un ajout ultérieur.

Où commencer ?

Si vous gérez dans votre entreprise, les préparatifs pour le RGPD, ou si vous êtes responsable de l’infrastructure IT au sein de votre entreprise et du transit des données que vous recueilliez, une bonne chose à faire consiste à identifier une solution qui vous permettra de consolider vos fichiers de données distribués sur un Cloud privé. Un nombre croissant d’entreprises adopte les plateformes de services de fichiers capables de prendre en charge une vaste palette de cas d’usage IT, y compris le stockage, la protection des données, la collaboration et bien plus encore. Grâce à de telles plateformes, les fichiers précédemment dispersés dans l’entreprise – sur les stations de travail des utilisateurs, les ordinateurs portables, les appareils mobiles ou les serveurs de fichiers – sont regroupés au sein d’un référentiel centralisé où ils sont soumis à des protocoles de contrôle de sécurité et d’accès.

Ces plateformes de services de fichiers d’entreprise, ont l’avantage de pouvoir être utilisées aussi bien par les responsables que par les sous-traitants. Et ce faisant, il est d’autant plus utile, que vous parveniez à regrouper les fichiers dispersés, et tout spécialement ceux contenant des données personnelles, en un même endroit. En stockant ces fichiers, contenant les données chiffrées et en appliquant des politiques de contrôle des accès basé sur les autorisations, vous pourrez vous assurer que les utilisateurs sont bien autorisés à accéder aux fichiers, pour lesquels ils disposent d’une permission. En outre, les données stockées devront pouvoir être régulièrement sauvegardées et aisément restaurées en cas de sinistre.

Une plateforme conçue autour de la sécurité et de la confidentialité doit proposer un grand nombre de fonctions de sécurité capables de protéger les données personnelles les plus sensibles ; parmi ces fonctions on peut citer :

  • L’authentification : via une méthode d’authentification de l’utilisateur rigoureuse comprenant l’intégration avec des services AD/LDAP. Ceci prévient tout risque d’accès non autorisé au référentiel centralisé contenant les fichiers.
  • La protection des données : grâce à des capacités embarquées de sauvegarde/restauration des données associées à des captures d’écran précises. Ceci protège les données personnelles contre toute perte accidentelle.
  • La reprise sur sinistre (DR) : grâce à des capacités de reprise sur sinistre intégrées permettant de restaurer rapidement les données personnelles en cas de défaillance du système ou d’installations endommagées.
  • Le chiffrement des données : toutes les données doivent être chiffrées, aussi bien à l’état inactif qu’en transit.
  • Confidentialité des données : les données sauvegardées sur la plateforme doivent en outre être protégées par une phrase secrète pour veiller à ce que seul le propriétaire des données puisse y accéder.
  • Contrôle de l’emplacement des données : veillez à avoir le contrôle total de l’emplacement de stockage des données. Aucune donnée personnelle ne pourra quitter son lieu de stockage sans instructions spécifiques.

Le non-respect des directives du RGPD aura de graves conséquences pour les entreprises du monde entier. Le volume exponentiel des ‘données non structurées’ contenues dans les fichiers est lui aussi soumis aux obligations du RGPD. En prenant en compte cet aspect, les entreprises doivent urgemment réévaluer leurs capacités à se conformer au règlement, et éventuellement se pencher sur les plateformes de services de fichiers, qui comme nous l’avons expliqué, sont un moyen certain pour résoudre les éventuelles lacunes dans leurs politiques de protection et de gouvernance des données.

Une plateforme de services de fichiers bien conçue permet aux entreprises de consolider et de gérer les fichiers précédemment éparpillés dans l’entreprise depuis un endroit centralisé, un principe-clé pour garantir la conformité avec le RGPD aussi bien avant le 25 mai que sur le long terme. Les capacités de sécurité, de protection des données, de contrôle de l’accès, de connexion et d’audit intégrées à la plateforme vous permettront d’élever la sécurité de vos fichiers à un tout autre niveau, et de veiller à ce que votre entreprise soit prête pour le RGPD.

L’ère du cloud a aidé de nombreuses entreprises à concevoir des solutions intelligentes pour les problèmes posés par les solutions de stockage de fichiers classiques, mais elle a également conduit à des difficultés de confidentialité des données qui ont à leur tour, donné lieu à de nouvelles règlementations telles que le RGPD. Les entreprises doivent évaluer les plates-formes de services de fichiers modernes, qui peuvent non seulement contribuer aux initiatives de migration cloud sécurisée, mais qui peuvent également résoudre les exigences de résidence des clés de chiffrement conçues pour protéger les données utilisateur. Au vu de l’augmentation des violations de données dont sont victimes les plus grands fournisseurs de services et éditeurs de logiciels au monde, il est fort à parier que les réglementations autour de la protection des données des consommateurs ne feront que continuer à proliférer. Votre service informatique devrait impérativement avoir la capacité de répondre aux nouvelles exigences du RGPD et être prêt pour les prochains changements règlementaires qui seront imposés, par la loi ou par les standards de l’industrie.

_____________
Michael Amselem est VP Ventes Stratégiques, CTERA