GDPR
Que vous soyez une entreprise, une association, une administration, une collectivité locale ou même un syndicat d’entreprise, la GDPR s'adresse à vous.
Soyez conforme à la GDPR à temps !
Qu’est-ce donc que la GDPR ?
La GDPR, ou General Data Protection Regulation, est le nouveau règlement européen décidé en décembre 2015 qui s’appliquera dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.
Qui est concerné ?
La GDPR s’appliquera à tous les acteurs économiques, voire sociaux : les entreprises bien sûr, mais également les associations, administrations, collectivités locales et syndicats d’entreprises.
La GDPR et ses obligations pour les entreprises
Avec le nouveau règlement, les entreprises devront, dès 2018, s’assurer de la bonne collecte et du bon traitement des données consenties par les consommateurs. Elles veilleront également à ce que ces données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. Si, malgré tout, un tel événement se produisait, alors l’entreprise en question devrait le notifier rapidement (idéalement sous 72 heures) à l’autorité compétente, la CNIL en France, informer les personnes concernées en cas de risque réel d’atteinte à la protection de leur vie privée, le tout avec une obligation de documentation de toutes les mesures et procédures utiles pour assurer à tout moment cette protection. Qui dit obligations dit sanctions : celles-ci peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, sans compter l’indemnisation de toute personne lésée matériellement ou moralement.
Les obligations de la GDPR supposent qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement. Au-delà de cette quasi omniscience, elle doit être en mesure de déceler si leur intégrité a été compromise et y remédier promptement, tout en consignant et notifiant l’événement. Les entreprises de toute taille devront se montrer plus responsables vis-à-vis des données en leur possession. Elles risquent de connaître une période de transition. Le rapatriement des solutions de stockage sur site permettrait aux entreprises de mieux contrôler leurs actifs malgré le risque de disruption des services. Les dirigeants d'entreprise avisés se feront conseiller pour être certains de sélectionner les bonnes solutions de rationalisation de leurs processus et d'amélioration de l'efficacité et de la productivité. Les partenaires Channel resteront des fournisseurs de confiance vis-à-vis de leurs clients dont ils faciliteront la transition. Ils les accompagneront dans la mise en conformité de leurs opérations suite aux nouveaux standards du règlement GDPR.
La sécurité devient également un enjeu crucial à mesure que l'échéance approche, surtout pour les entreprises qui stockent des informations personnelles. La menace de sanctions financières plus lourdes et le fait que le périmètre de responsabilité soit étendu aux réseaux des fournisseurs tiers amènent les entreprises de l'UE à examiner leurs politiques et leurs procédures en prévision des nouvelles obligations légales. Beaucoup devront investir pour développer leurs capacités de stockage et d'analyse et s'assurer de niveaux de contrôle optimaux. Les sauvegardes de données méritent aussi d'être prises en considération, surtout que les données sont certainement la ressource la plus précieuse des entreprises. L'installation des bonnes solutions de reprise demeure l'une des étapes les plus importantes pour prévenir les pertes de données et éviter des sanctions financières. Les clients commençant déjà à faire valoir leur droit à l'oubli, les entreprises devront s'assurer de pouvoir localiser facilement les fichiers de sauvegarde et les effacer.
Concrètement, que prévoit la GDPR ?
Les entreprises devront désormais fournir des informations précises sur leur pratique de collecte et de conservation des données personnelles. Les usagers disposeront de plus d’informations sur la façon dont leurs données sont traitées. Des informations qui devront en outre être formulées de manière claire et précise dans un souci de transparence.
Les obligations imposées aux entreprises : si la GDPR simplifie globalement les formalités administratives, il impose un certain nombre de contraintes aux entreprises :
- Respect de la protection des données dès la conception (article 25 §1)
- Obligation de sécurité par défaut (article 25 §2)
- Obligation de documentation (article 24);
- Étude d’impact avant la mise en œuvre de certains traitements (article 35);
- Obligation de nommer un délégué à la protection des données ou "Data Protection Officer" (DPO) (article 37), garant des moyens mis en œuvre par l’entreprise.
Alors quelle réponse apporter ? L’approche technologique va dépendre de différents critères :
La taille de l’entreprise et de son équipe IT : TPE, PME ou Grand Compte
Votre entreprise a-t-elle la possibilité de dédier une ressource pour gérer les problématiques de sécurité ? Les plus grosses structures, ayant des équipes dédiées et pour la majorité, des politiques de sécurité en place, adapteront les technologies afin de répondre aux besoins sécuritaires. En revanche, les TPE, PME / PMI, également concernées par la GDPR, auront-elles les ressources disponibles pour utiliser des outils plus complexes et surveiller en continu la sécurité de leurs données et de leur infrastructure ?
La structure de l’entreprise
Une entreprise mono-site qui héberge la totalité de son infrastructure ne choisira pas les mêmes technologies que celle disposant de différents sites en France et / ou dans l’UE. Une entreprise qui externalise tout ou partie de son infrastructure aura besoin de s’appuyer sur son hébergeur ou son partenaire informatique pour s’assurer qu’ils répondent bien aux pré-requis de la GDPR. Dans le cas où l’entreprise dispose de multiples sites, il faudra également tenir compte de la sécurisation des échanges de données et des droits des utilisateurs, mais également harmoniser les produits et politiques de sécurité en place au niveau du Groupe.
L’utilisation des données personnelles dans l’entreprise
Qui accède à ces données ? Comment sont-elles accessibles ? Quelles politiques ont été mises en place (gestions des droits / privilèges) ? Il est plus simple de cloisonner lorsque les données sont seulement utilisées par une personne ou un service, mais potentiellement plusieurs services pourront être amenés à accéder à tout ou partie de ces données. Dans ce cas-là, vous devrez mettre en place des outils capables de gérer ces différents « droits d’accès », mais également sécuriser les machines ayant accès à ces données, et donc le(s) réseau(x)…
Les solutions technologiques ?
En prenant en compte ces différents critères, il existe une multitude de solutions technologiques à articuler pour verrouiller tous les centres d’attaques et éviter les fuites de données.
Solution End Point Firewall Authentification Sauvegarde VPN sécurises
Encryption Passerelles (web/mail) Data Loss Prevention Applicatifs Système de Prévention d'Intrusions
Que devons-nous faire ?
Comment prouver que vous respectez bien l’ensemble des points d’obligation de la GDPR ? Tout dépendra de la mise en place de process et politiques spécifiques à cette réglementation.
3 points devront être démontrés :
- Le consentement de chaque personne dont les informations personnelles sont collectées par l’entreprise En France, la collecte de données personnelles étant déjà soumise à la loi « Informatique et Libertés », il n’y aura pas de changement fondamental sur ce point. La mise en place d’un process ou d’un formulaire mentionnant une demande d’accord de la personne physique pour la collecte de ces informations ne permet cependant pas à l’entreprise de se couvrir. Il faudra non seulement obtenir cet accord, mais également communiquer la marche à suivre pour accéder aux données personnelles, la finalité de cette collecte et déterminer l’interlocuteur, à savoir le DPO.
- La capacité de l’entreprise à fournir un accès simplifié aux informations personnelles, ainsi qu’à toute modification de celles-ci A l’instar de l’obligation du consentement de la personne physique, ce point fait également partie de la loi « Informatique et Libertés ». Les personnes physiques disposent aujourd’hui d’un droit à l’information, droit d’accès, droit d’opposition et droit de rectification à leurs données personnelles. La GDPR va un peu plus loin en stipulant que chaque personne physique devra avoir un accès simplifié à ses données personnelles. Le DPO devra donc démontrer que les mesures ont été prises afin de pouvoir répondre rapidement aux demandes des personnes souhaitant accéder, modifier ou supprimer leurs informations.
- Le stockage et le transfert sécurisé des données personnelles ainsi que la capacité à détecter toute faille de sécurité ou attaque induisant une perte de données à caractère personnel. Quelle que soit l’infrastructure de sécurité (installation sur site, ou externalisation / hébergement), vous devrez disposer de rapports prédéfinis vous permettant de prouver la mise en place des outils de sécurisation des données. En renforçant la posture de sécurité de l’infrastructure, vous allez également davantage vous prémunir contre les attaques ciblées. Comme le risque 0 n’existe pas, le service informatique et / ou le prestataire externe s’occupant de la partie sécurité devront se mettre en relation avec le DPO pour fournir les éléments prouvant la bonne foi de l’entreprise en cas d’incident.
Pour conclure que faire ?
Il n’existe pas une réponse mais des réponses, celles-ci ne pourront être que le fruit d’une réfection propre à chaque entité. Notre savoir-faire associé à l’ensemble des produits de nous diffusons vont nous permettre de vous accompagner vers les solutions les plus appropriées à votre entreprise.
Nous restons à votre écoute pour tous compléments d’informations et prévoyons sur janvier une matinée thématique autour de la sécurité et la GDPR.