Protection des données personnelles : le défi de 2018 pour les entreprises
C’est le chantier prioritaire des services informatiques des entreprises européennes d’ici le 25 mai 2018 : la mise en conformité avec les nouvelles dispositions du règlement général sur la protection des données (RGPD). Un nouveau cadre européen qui change la donne et oblige les sociétés manipulant des informations clients à renforcer leur sécurité et leur transparence.
De nouveaux droits à respecter
Le durcissement du GDPR (l’acronyme anglais pour General Data Protection Regulation) vise d’abord à renforcer les droits des citoyens européens, en leur offrant davantage de contrôle sur leurs données personnelles. Il prévoit que le consentement à la collecte de données doit être clair et explicite, et offre à chacun un droit à l’accès aux informations qui le concernent, un droit à la rectification et à l’effacement (en cas de retrait du consentement), ainsi qu’un droit à l’oubli. Ce nouveau règlement introduit par ailleurs le droit à la portabilité : une personne peut demander à ce qu’on lui transmette les données qu’elle a fournies, afin qu’elle puisse par exemple les transférer à un autre organisme.
La sécurité des données au cœur des préoccupations
Pour préserver les citoyens des conséquences d’une fuite de leurs données sensibles, le règlement européen exige des entreprises qui les collectent et les conservent le plus haut niveau de confidentialité et de sécurité. Cela inclut le chiffrement et l’adoption de l’authentification forte. La nouvelle organisation doit donc penser le stockage des clés de chiffrement dans un support sécurisé, afin d’éviter qu’une faille de sécurité permette à un hacker d’exploiter les informations sensibles.
D’autant que le RGPD impose aux entreprises de notifier les personnes concernées en cas de violation de leurs données personnelles, en plus d’en référer à la Cnil (Dossier CNIL RGPD : se préparer en 6 étapes). Ce qui peut constituer un coup dur pour leur réputation et la relation de confiance créée avec leurs clients.
Des changements en profondeur
Pour s’adapter aux nouvelles règles européennes en matière de traitement des données, les entreprises doivent engager une réflexion en profondeur sur la gestion de la data et de sa sécurité. Plusieurs mesures techniques et organisationnelles sont indispensables pour la mise en conformité :
● nommer un Data Protection Officer, un responsable de la protection des données qui va piloter les transformations et effectuer les contrôles nécessaires ;
● faire l’audit des process existants, afin d’identifier les modifications à apporter par rapport aux nouvelles exigences ;
● créer un registre de traitement des données pour les structures de plus de 250 salariés, s’appuyant sur une analyse d’impact de chaque action ;
● s’assurer de la traçabilité des données si elles sont hébergées dans le Cloud, en veillant à ce qu’elles soient stockées dans l’Union européenne, et en ayant accès aux logs en cas d’incident.
La mise en conformité au RGPD n’est pas à prendre à la légère : le règlement prévoit de lourdes sanctions – jusqu’à 4% du chiffre d’affaires annuel – en cas d’irrégularité.
Le cas du ransomware
Avec des attaques par vagues de plus en plus virulentes, le ransomware n’est donc pas un cas à traiter à la légère. A partir de mai 2018 les clients pourront lancer des actions judiciaires en complément des problèmes rencontrés par une telle situation de crise. Si la récupération de données en laboratoire permet de retrouver une partie ou la totalité des informations chiffrées par le pirate, il est néanmoins nécessaire d’entamer une réflexion sur un plan de continuité d’activité (ou PCA) et de faire le point sur une éventuelle assurance permettant de vous accompagner devant un tel sinistre.
