« back

La RGPD arrive : comment s’y préparer ?

Le Règlement Général sur la Protection des Données (ou RGPD) a été adopté par le Parlement Européen en 2016 et entrera en application le 25 mai 2018.

Ce règlement vise à protéger les informations personnelles que tout utilisateur donne aux entreprises et permet plus de transparence sur la façon dont ses données sont traitées.

Toutes les entreprises ayant des activités commerciales en Europe seront concernées, à partir du moment où elles traitent des données brutes personnelles (ce que les anglophones appellent la data) de citoyens européens.

Chaque pays a désigné une administration responsable de l’application de la nouvelle réglementation. En France par exemple, la CNIL (Commission nationale de l’Informatique et de la liberté) sera l’instance de régulation indépendante qui fera respecter ce nouvel ensemble de règles et se chargera également des sanctions.

Quels sont les principes fondamentaux de la RGPD ?

Bien que le document original compte plusieurs centaines de pages, il est tout à fait possible de le résumer à six concepts centraux :

Consentement : quiconque recueille des données personnelles doit être en mesure de prouver qu’il a obtenu le consentement de l’utilisateur (opt in). Il se doit également de détailler avec précision la façon dont les données seront utilisées dans le futur.

Réversibilité : l’utilisateur qui a déjà donné son consentement peut le retirer quand il le souhaite. Il peut demander que toutes les données le concernant soient effacées. C’est ce qu’on appelle le droit d’être oublié (ou le droit à l’oubli).

Portabilité : lorsqu’un utilisateur demande à une entreprise de lui fournir toutes les informations dont il dispose, la société a l’obligation légale de s’y conformer et de tout fournir (si cela est techniquement possible). L’utilisateur peut également demander que ses données soient transférées d’une entité à une autre. Au contraire, il ne sera pas possible pour une entreprise de vendre / transférer ses données à une autre société sans le consentement de l’utilisateur.

La protection des données dès la conception : dès les premières étapes de la production, le système de traitement des données brutes doit être construit en tenant compte de la protection de la vie privée et de la sécurité des données. Toutes les faiblesses doivent avoir été étudiées en amont du développement du système.

Réactivité : en cas d’intrusion du système par un tiers, l’entreprise impactée doit rejoindre la CNIL (ou votre administration domestique en charge de la RGPD). La société doit fournir une cartographie des informations concernées ainsi que la preuve que leur système a été correctement sécurisé.

Traçabilité : il est obligatoire de maintenir et mettre à jour un registre de réclamations avec toutes les plaintes et demandes des utilisateurs. Ce registre sera consulté par les autorités en cas de contrôle.

Existe-t-il des règles supplémentaires pour les sociétés d’hébergement?

Le RGPD impacte également fortement les sociétés d’hébergement informatique et d’infogérance, ajoutant des obligations supplémentaires (mais qui étaient normalement déjà appliquées par toute société d’hébergement informatique sérieuse) :

Tout d’abord, les données collectées doivent être chiffrées et stockées en toute sécurité. De cette façon, si les données sont volées, il ne sera pas facile pour le hacker/voleur de déchiffrer et d’accéder aux données. Plus votre chiffrement sera fort et plus il sera difficile d’accéder à ces informations cryptées.

Il est également demandé (et très recommandé de toute façon) d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services qui traitent des données personnelles. Le niveau d’exigence ici doit être supérieur à celui des informations moins importantes.

Enfin, l’hébergeur doit pouvoir restaurer les données et assurer l’accès aux données en cas d’incident physique ou technique.

Qu’est-ce qu’une entreprise risque de ne pas respecter?

Le Parlement européen s’est assuré que les contraventions en cas de non-respect du règlement auront un impact réel sur une entreprise.

Si votre système n’est pas « privacy by design », vous risquez jusqu’à 10 millions d’euros d’amende ou 2% du chiffre d’affaires global de l’entreprise.

Mais ça peut devenir encore pire. Si vous ne respectez pas vos obligations et vos informations personnelles, vous risquez une amende de 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires global de votre entreprise.

Que dois-je rechercher en tant qu’utilisateur à la recherche de solutions d’hébergement ?

Tout d’abord, vous voulez chercher à obtenir les informations suivantes :

–  Où sont stockées mes données ?

–  Est-ce dans mon pays ou est-ce à l’étranger ?

–  L’entreprise qui héberge mes données est-elle Française ? Européenne ? Autre ?

La localisation de vos serveurs est très importante et tout fournisseur de solutions d’hébergement vous indiquera où vos informations sont stockées. Il est important d’insister sur le fait qu’il vaut mieux héberger vos données dans des espaces géographiques assurant votre protection, l’Europe étant désormais en tête des espaces qui assurent la meilleure protection à ses citoyens.

Deuxièmement, vous devez obtenir un niveau de transparence suffisant sur les conditions de réalisation des services, savoir si les données peuvent être transférées internationalement, connaître le niveau de sécurité offert par le fournisseur, etc.

Il est important de cartographier l’ensemble des données en votre possession. Pour ce faire, vous devez savoir quelles données seront stockées sur des serveurs, où elle seront stockées (Cloud public ou privé) et surtout qui y aura accès. Il est ainsi recommandé de compartimenter les informations, en les répartissants dans différents espaces de stockage. Ainsi, lorsqu’un incident arrive, les personne mal intentionnées ne peuvent pas mettre la main sur l’ensemble des données.

Enfin, il est aussi fortement recommandé d’utiliser des technologies de chiffrement des données. Le chiffrement permet de rendre illisible des informations à quiconque n’aurait en sa possession la clef de déchiffrement. Cela implique par contre de ne pas stocker votre clef au même endroit que vous stockez vos données, auquel cas toute personne qui mettrait la main sur l’un aurait de facto accès à l’autre.

Quelles sont les étapes à suivre pour se mettre en conformité avec le RGPD ?

—> Identifier les données et les traitements qui se déroulent dans le Cloud

—> Définissez vos propres règles et exigences de sécurité et vérifiez que votre fournisseur les applique.

—> Conduire une analyse de risque

—> Identifier quel type de nuage répond le mieux à leurs besoins

—> Choisissez un fournisseur avec des garanties suffisantes

Conclusion

De nos jours, les données sont devenues plus importantes que jamais. Nous les donnons aux sites Web ou aux magasins physiques que nous visitons, nous les partageons également sur les médias sociaux ou les remettons à la société lors de l’inscription aux bulletins d’information.

Des informations privées sur vous sont dispersées partout sur Internet. Jusqu’à présent, il y avait peu (ou pas) de réglementation sur la façon dont les données étaient traitées. Et comme souvent, aucune réglementation ne signifie que les personnes abusives peuvent les utiliser à mauvais escient et, par exemple, les vendre aux spammeurs, ou encore aux pirates informatiques.

Mais cette fois est sur le point de changer. D’ici mai 2018, toutes les entreprises devront se conformer à un nouvel ensemble de règles conçues pour protéger les internautes et leurs informations personnelles et privées. Et la punition si vous ne vous conformez pas est si grande qu’elle aurait un impact certain sur vos résultats.

Il est maintenant temps (si ce n’est pas déjà fait) de saisir ce sujet et d’en faire une priorité. Il est temps de prendre les mesures nécessaires et de faire en sorte que votre entreprise respecte toutes les règles. La confidentialité des données est importante.

Retrouvez Iguane Solutions sur Facebook, Twitter ou Linkedin !

Romain Pohyer

Laisser un commentaire