Le GDPR et les nouvelles technologies de protection de données

GDPR : mais qu’est-ce que c’est ? ou : comment se préparer à l’entrée en vigueur du règlement européen de protection de données ?

Car oui, le GDPR pour General Data Protection Regulation, est un nouveau règlement européen. Voté en décembre 2015, il s’appliquera dès le mois de mai 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Il repose sur le droit fondamental pour chaque citoyen de pouvoir protéger sa vie et ses données personnelles.

L’objectif du GDPR est de faire face aux nouvelles réalités du marché, notamment en matière de protection des données liées aux réseaux sociaux ou encore au cloud computing. Les notions de transferts de fichiers sécurisés et les droits à l’oubli font partie intégrante du GDPR.

Le GDPR s’applique à tous les acteurs économiques : les entreprises, les administrations, les associations, les collectivités locales, les syndicats d’entreprise… Lorsque l’on parle de données personnelles, sont implicitement inclues les informations employés, clients, partenaires et autres se trouvant sur divers supports dont les ordinateurs, les téléphones, les serveurs, ou même dans les échanges d’emails, dans des logs, et dans les cookies laissés par les visiteurs du site Internet de l’entreprise !

Moins de 18 mois avant d’entrée en vigueur du règlement, de nombreuses entreprises ne sont absolument pas préparées.

Selon une étude récente menée par Veritas, plus de 54% des entreprises n’ont pas pu procéder à la préparation de processus ou mettre en place des solutions pour répondre aux minimums de normes du GDPR. Plus grave encore, 56% des entreprises ne savent pas à quoi correspond le sigle GDPR.

Le nouveau règlement impose des devoirs et des obligations aux entreprises. Celles-ci seront tenues de s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données. Les données ne devront être conservées qu’aussi longtemps que nécessaire, et leur accès, leur modification, leur restitution jusqu’à leur effacement devront être garantis sur simple demande des individus concernés.

L’entreprise veillera également à ce que ces données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. Si, malgré tout, un tel événement se produisait, alors l’entreprise en question devrait le notifier rapidement (idéalement sous 72 heures) à l’autorité compétente, la CNIL en France, et informer les personnes concernées en cas de risque réel d’atteinte à la protection de leur vie privée.

L’entreprise devra documenter toutes les mesures et procédures utiles pour être capable d’assurer cette protection à tout moment. Elle devra également pouvoir prouver aux autorités compétentes que tout est bien mis en œuvre pour répondre à ces obligations comme par exemple l’usage de solutions de DLP ou de lutte contre la cybercriminalité telles que i-Guard.

En cas de non respect des obligations imposés par ce règlement les entreprises vont subir des sanctions allant jusqu’à 4 % du chiffre d’affaire annuel mondial ou 20 millions d’euros. Et c’est l’entreprise devra indemniser toute personne lésée physiquement ou moralement par un traitement non-conforme de ses données.

L’entreprise doit donc être en mesure de déceler si leur intégrité a été compromise et y remédier promptement, tout en consignant et notifiant l’événement. D’où l’utilisation de solution reposant sur l’intelligence artificielle, accélérant et améliorant le traitement des flux de données sur chaque Endpoint.

Au-delà du traitement relativement administratif du sujet, ces obligations imposent à l’entreprise d’adopter une approche de cyber sécurité, c’est-à-dire d’intégrer une sécurité informatique performante au cœur de son traitement de donnée pour prévenir toute attaque.

GDPR : que peuvent faire les entreprises pour s’assurer qu’elle soit en conformité avec le GDPR.

Plusieurs mesures peuvent être prises pour s’assurer de la conformité de sa structure informatique. Les contrats avec tous les prestataires informatiques, notamment les fournisseurs de services cloud, doivent être passé en revue. Il faut s’assurer que, pour chaque information collectée, une demande de consentement soit effectuée et enfin il est nécessaire de savoir précisément où les données sont stockées.

Une fois les processus en règle, l’entreprise pourra demander un certificat européen, valable 5 ans, attestant sa conformité au GDPR.

GDPR : la responsabilité de l’application de règlement en entreprise 

L’incertitude règne concernant la question de la responsabilité de l’application des règles. Selon les rapports AvePoint et CIPL,  le GDPR et le respect de la confidentialité des données sont étroitement liés à la stratégie de l’entreprise en ce qui concerne la protection des données, l’analyse de grande quantité de données mais aussi les innovations dans la gestion de données. Voilà pourquoi, le GDPR devrait être le résultat des efforts concertés de toute l’organisation. Le directeur de la gestion de données (CDO) doit travailler main dans la main avec le CIO et le DSI et d’autres cadres supérieurs. « Le conseil d’administration doit avoir une compréhension sur l’application de GDPR et prendre part à des changements appropriés », dit Mark Thomson, consultant de cabinet de Conseil KPMG, cela devra « conduire à un financement supplémentaire pour renforcer la protection et la confidentialité ».