Bien que le RGPD évoque le partage de responsabilité entre les utilisateurs et les fournisseurs de services Cloud (CSP), c’est bien l’utilisateur du service, à savoir l’entreprise, qui sera responsable des données de ses clients. Elle doit pouvoir garantir que celles-ci seront utilisées en respectant les accords donnés par le client, indépendamment de l’endroit où il se trouve. Pour être à la hauteur de l’enjeu, Eduard Meelhuysen, vice-président Venres EMEA, Bitglass, décrit ici 3 étapes essentielles.
Dans un an, les entreprises devront être prêtes pour le Règlement Général sur la Protection des Données (RGPD). Cette loi donne à chacun le droit de demander à une entreprises des informations détaillées sur le traitement des données. Les entreprises elles-mêmes sont également sujettes à une surveillance par les autorités de contrôle nationales, ce qui signifie qu’elles vont non seulement devoir faire attention à la sécurité des données, mais également garantir la transparence de leurs opérations de traitement des données.
Les entreprises auront des responsabilités spécifiques relatives à l’utilisation des applications Cloud. Bien que le RGPD évoque le partage de responsabilité entre les utilisateurs et les fournisseurs de services Cloud (CSP), c’est bien l’utilisateur du service, à savoir l’entreprise, qui sera responsable des données de ses clients. Elle doit pouvoir garantir que celles-ci seront utilisées en respectant les accords donnés par le client, indépendamment de l’endroit où il se trouve.
Pour répondre à ce défi de taille, les entreprises vont devoir disposer de nombreuses ressources. Au cours des 12 prochains mois, elles vont devoir vérifier qu’elles sont prêtes à mettre en œuvre le RGPD, en s’assurant que leur processus Cloud sont à la hauteur de l’enjeu.
Voici 3 étapes qui les aideront à y parvenir
- Tracer les données de l’entreprise
Le service informatique va devoir collaborer étroitement avec la direction pour élaborer un répertoire des procédures. Celui-ci devra résumer de quelle manière les données clients, les données personnelles et les données d’entreprise sont collectées et traitées. Parmi les données personnelles, il y a des informations telles que l’adresse IP, grâce à laquelle un client peut être identifié. De même, les entreprises qui s’appuient sur le Cloud devront identifier l’ensemble des données clients qui se déplacent à partir et en direction du nuage, et déterminer comment elles sont protégées une fois dans le Cloud. Il s’agira par exemple de contenus transférés dans des applications de messagerie électronique ou de données de trafic déplacées par certains outils d’analyse de site Web. Tout cela devra également figurer dans le répertoire.
L’identification de ce que les données contiennent et déplacent vers le nuage n’est pas une tâche facile, mais cela doit être fait. Il est important de s’assurer que tous les responsables concernés participent au processus et que les actions soient coordonnées au sein de l’équipe. N’attendez pas la dernière minute ! Vous ne réussirez pas à constituer le répertoire des procédures et à obtenir le consentement des clients à quelques jours de la mise en place du RGPD. Préparer un répertoire solide prend du temps. La nomination du responsable de la protection des données en interne, requis en vertu du RGPD, devrait être effective le plus tôt possible, afin qu’il puisse prendre en charge la coordination de l’ensemble des processus relatifs, afin d’alléger le fardeau des équipes informatiques largement sollicitées par ailleurs.
La nomination du responsable de la protection des données en interne, requis en vertu du RGPD, devrait être effective le plus tôt possible, afin qu’il puisse prendre en charge la coordination de l’ensemble des processus relatifs, afin d’alléger le fardeau des équipes informatiques largement sollicitées par ailleurs.
- Identifier les processus de données mis en place par les fournisseurs de services Cloud
Une fois que le répertoire des procédures a été mise en place, il conviendra de demander aux fournisseurs de service Cloud une copie de leur propre répertoire. Une comparaison des deux permettra d’identifier la façon dont les données sont traitées par le CSP. Si ses processus sont différents des vôtres, vous devrez peut-être obtenir un accord supplémentaire de la part vos clients.
Le RGPD évoque également une certification potentielle pour les CSP. Elle prendra probablement la forme d’un label de qualité qui offrira aux entreprises un indicateur précis sur le niveau de protection et de sécurité des données d’un fournisseur potentiel. Certains CSP pourraient alors faire valoir ce label de qualité comme élément différenciateur. Malheureusement, il n’existe pas à ce jour de standard. Obtenir la certification relèverait alors d’une démarche volontaire. Dans cette optique, les entreprises devront inspecter les activités de traitement des données du fournisseur de services Cloud et envisager l’utilisation d’outils de sécurité comme une DLP (Data Loss Prevention). Car si une entreprise choisit un CSP qui ne s’occupe pas de ses données correctement, elle doit savoir que c’est elle qui devra payer l’amende. La prudence est donc plus que jamais de mise.
Si une entreprise choisit un CSP qui ne s’occupe pas de ses données correctement, elle doit savoir que c’est elle qui devra payer l’amende. La prudence est donc plus que jamais de mise.
- Éviter le shadow IT informatique et former le personnel
Les changements introduits par le RGPD induisent que les entreprises doivent accorder une attention accrue à qui accède aux données, de quelle manière et à partir de quel endroit. En d’autres termes, elle doit savoir quel employé accède aux données de l’entreprise et à partir de quel périphérique. Ainsi, il devrait être quasiment impossible pour des collaborateurs d’accéder aux données client ou aux données de l’entreprise à partir d’un périphérique privé non sécurisé, comme par exemple son propre mobile. Si une personne y parvenait à partir de son domicile, elle pourrait alors les enregistrer où elle le souhaite, voire les envoyer à une autre application Cloud, sans que l’équipe informatique ne le sache et sans le consentement du client. De même, en cas de défaillance du serveur de messagerie de l’entreprise, le personnel doit être informé qu’il est hors de question d’utiliser sa messagerie personnelle pour continuer à travailler, même pour répondre à une demande urgente d’un client.
De tels événements ne sont ni rares, ni anodins, et il est évident qu’ils s’opposent à la logique du RGPD. Pour y remédier, un code de conduite relatif à la sécurité des données doit être établi pour les employés. La mise en œuvre de mesures de prévention de ce type requiert l’implication du responsable en charge de la protection des données et de la direction de l’entreprise. Les précautions techniques telles que le cryptage des données dans le nuage et les technologies de gestion des périphériques mobiles peuvent également réduire ces risques. Il est également important de vérifier les listes des privilèges de ceux qui peuvent accéder à ces données au sein de l’entreprise, de manière à ce qu’il soit plus facile de limiter ou de segmenter l’accès aux données sensibles sans autorisation.
La mise en œuvre de mesures de prévention de ce type requiert l’implication du responsable en charge de la protection des données et de la direction de l’entreprise.
Le RGDP transfère la jurisprudence en vigueur au monde numérique. Mais il s’agit d’un nouveau territoire et nous ne savons pas encore définir comment elle s’appliquera dans la pratique pour les entreprises et les fournisseurs de services Cloud. L’introduction des processus de conformité est un défi majeur, sans doute plus pour certaines entreprises que pour d’autres. À long terme, cependant, il leur donnera ainsi l’occasion de se distinguer de leurs concurrents et d’élargir leur clientèle. C’est pourquoi elles ont intérêt à approfondir, dés à présent, leur approche de la sécurité des données, que ce soit au niveau de leurs systèmes informatiques locaux ou dans le Cloud.