La gestion des données IT impose de conjuguer réglementation, sécurité et souveraineté face à des cadres juridiques internationaux de plus en plus exigeants. La conformité IT devient un principe structurant, nécessitant une coopération entre experts techniques et juridiques afin de répondre à des normes mondiales hétérogènes.
Face à la nature évolutive de la matière réglementaire et législative à l’international, surtout dans une période inédite comme celle que nous traversons, les entreprises comme le secteur public doivent surveiller chaque changement dès les premières étapes d’élaboration des textes, voire anticiper le risque réglementaire.
La portée des lois extraterritoriales (telles que le Cloud Act), le risque de transferts transfrontaliers de données ou d’espionnage économique doivent exhorter les organisations à favoriser une approche à la fois réglementaire et technologique de toute intégration de solution IT.
Une approche interdisciplinaire et collaborative de la conformité IT
En fonction des secteurs d’activité, les besoins d’accompagnement règlementaire peuvent être prégnants et multidisciplinaires. Il est possible de s’appuyer sur des ressources internes, à l’instar des équipes juridiques ou en charge de la conformité, ou sur des conseils externes spécialisés d’avocats ou d’organisations sectorielles pour une approche fondée sur l’évaluation du risque : plus un marché est important, plus le risque est élevé, et plus la volatilité est forte.
Par exemple, dans le secteur bancaire et financier en Europe, les entreprises et leurs prestataires doivent être conformes au règlement DORA; aux Etats-Unis, le règlement HIPAA doit être respecté dans le secteur de la santé. Cette conformité demande une collaboration entre les équipes informatiques et juridiques, et il est également judicieux recourir à des prestataires IT habitués à travailler localement comme à l’international afin de maîtriser les coûts et de bénéficier d’une conformité automatisée. De plus en plus de fournisseurs de services IT européens proposent des solutions intégrées pour mettre et garder les organisations en conformité automatiquement, à l’instar de solutions cloud agiles conçues pour s’adapter à la réglementation en vigueur (et ce en sécurité).
La préférence européenne, une nécessité face aux risques
Face aux risques de non-conformité à l’international, le choix de partenaires 100% européens, gérant leurs propres datacenters localement, conformes au RGPD et dont le niveau de sécurité est attesté par des normes (ISO/IEC 27001, ISO 27000, SOC2) est un gage à la fois de conformité et de sécurité pour la gestion des communications critiques.
Depuis l’avènement du RGPD, la protection de la vie privée est devenue une responsabilité pour l’ensemble de l’entreprise. Les récents aveux de Microsoft devant le Sénat français ajoutent ici une couche d’urgence : pour véritablement protéger les données, leur traitement local et indépendant des plateformes des Big Tech est absolument nécessaire.
Ce choix est d’autant plus stratégique que la réglementation qui encadre la confidentialité des données varie d’une zone du monde à l’autre, et peut devenir un casse-tête pour des équipes informatiques devant s’accorder sur une feuille de route internationale. Une bonne approche ne consiste pas tant à se conformer aux lois pays par pays, mais de choisir de se conformer aux lois les plus strictes pour garantir le plus haut niveau de conformité avec une plus grande simplicité, et assurant une meilleure évolutivité, mettant les entreprises en position de force pour affronter les changements à venir. Or, les lois de l’Union européennes font partie des plus rigoureuses au monde en matière de protection des données : s’y conformer équivaut à être prêt à aborder d’autres zones du monde sans tracas ultérieurs.
Toutefois, pour les entreprises et le secteur public européens, ce choix ne relève pas exclusivement d’un choix habile ou d’une volonté de simplification : il relève aussi de la souveraineté européenne et de la sécurité de l’UE.
La conformité par la centralisation
La conformité ne doit pas être conçue comme une réaction à de nouvelles normes mais comme principe de fonctionnement fondamental, en amont de toute démarche et de toute intégration de produit ou service.
Il est nécessaire aux entreprises de sensibiliser et de mettre en pratique les principes d’un traitement responsable et sécurisé des données. Cela rend la conformité aux règlements comme le RGPD plus simple à appliquer, via un cadre de conformité centralisé et une automatisation des processus grâce à des contrôles de conformités internes.
Par la commande publique, les organes d’État devraient donner l’exemple, en choisissant des prestataires qui garantissent leur conformité avant tout à leurs propres règlementations, mais aussi qui les garantissent contre les ingérences étrangères.
____________________________
____________________________
Par Florian Korhammer, CISO de,Retarus