Delphix envoie aux entreprises un sérieux avertissement concernant la nécessité de repenser leur architecture opérationnelle et d’adopter une approche sécurisée priorisant les données avant l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) adopté par l’Union Européenne.
Dans le cadre du RGPD, les entreprises qui stockent ou traitent des données européennes auront l’obligation d’intégrer la protection des données à la conception et à l’infrastructure de leurs systèmes, sous peine de se voir sanctionner par des amendes pouvant atteindre jusqu’à 4 % de leur chiffre d’affaires annuel mondial.
Plus particulièrement, les entreprises sont tenues d’examiner de près la sécurité des données de non-production qu’elles utilisent pour développer et tester leurs systèmes.
Le RGPD impose des mesures renforcées de sécurité des données pour garantir la conformité, en spécifiant notamment l’utilisation de la « pseudonymisation ». Ce processus consiste à masquer les données confidentielles de manière à ce qu’elles perdent leur caractère nominatif, d’où une meilleure protection des données au cas où celles-ci viendraient à tomber entre de mauvaises mains.
Le RGPD incite également au masquage des données dans différents cas :
En cas de violation de données
Si les données compromises posent un faible risque pour les individus concernés (par exemple du fait du masquage des données), les obligations de notification des organes de contrôle et des individus concernés peuvent ne pas s’appliquer. Sinon, les entreprises doivent procéder à la notification dans un délai de 72 heures, un délai très court en cas de violation grave.
En cas de demande de divulgation de données
Si les entreprises peuvent démontrer que les individus ne peuvent pas être identifiés à partir des données masquées qu’elles détiennent sans informations supplémentaires, elles peuvent alors être exemptées de l’obligation de communiquer les données en réponse à une demande d’accès aux données ou d’effacer les données sur demande.
Pour soutenir le profilage des données
Si les entreprises utilisent des données pseudonymisées, l’impact potentiel sur la vie privée de l’individu s’en trouve considérablement réduit. Cela implique qu’il est peu probable que les exigences de consentement explicite imposées par le RGPD concernant la prise de décision automatisée et le profilage soient applicables.