Le Règlement général sur la protection des données (RGPD ou GDPR en anglais) entre en vigueur le 25 mai 2018 et s’appliquera à toute entreprise opérant au sein de l’Union européenne ou traitant avec des clients basés dans l’UE. Il remplace la directive européenne de protection des données adoptée en 1995. Et ce avec l’objectif d’harmoniser les lois de protection des données personnelles des citoyens de l’Union européenne.
Le GDPR impose à toute entreprise opérant dans l’UE ou à toute entreprise étrangère traitant avec des clients de l’UE de stocker et traiter toutes les données personnelles dans les limites des frontières européennes. Sauf consentement explicite de la personne concernée à ce que ses données soient conservées en dehors de l’UE.
Les données personnelles ne peuvent être conservées plus longtemps que la période de rétention convenue initialement. Elles doivent être protégées conformément aux nouvelles règles. Le responsable du traitement et le sous-traitant sont tenus de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ». Y compris pour le chiffrement des données et leur pseudonymisation (« de manière à ce que les données ne puissent plus être rattachées à un individu sans être recoupées avec d’autres informations ».)
Le GDPR prévoit aussi un mécanisme de reporting pour aider le responsable du traitement à identifier les données personnelles stockées sur ses serveurs. Et à confirmer, sur demande, le lieu du stockage, les conditions de chiffrement et la suppression des données.
Des mesures doivent également être prises pour permettre à des auditeurs externes de vérifier ces rapports.
Le GDPR impose de nouvelles obligations de sécurité et contractuelles aux organisations (responsables du traitement) amenées à traiter avec des fournisseurs de services Cloud et des fournisseurs de technologies de protection des données (sous-traitants).
Voici, une synthèse des relations entre responsables du traitement et sous-traitants :
– Les fournisseurs de services Cloud doivent apporter des garanties suffisantes sur la conformité du service aux exigences techniques et organisationnelles du GDPR.
– Les contrats de service entre le responsable du traitement et le sous-traitant interdisent le recours à d’autres sous-traitants sans le consentement préalable du responsable du traitement lui-même.
– À l’expiration du contrat de service, toutes les données doivent être supprimées du Cloud et le sous-traitant doit apporter les preuves suffisantes que c’est bien le cas.
– Les responsables du traitement ont l’obligation de rendre compte de tout incident de fuite de données à l’autorité réglementaire.
Il existe de nombreux outils de protection des données sur le marché. Certaines fonctionnalités peuvent optimiser plus facilement la mise en conformité des entreprises avec le GDPR, parmi lesquelles :
– La localisation du stockage des données. Les solutions doivent permettre de contrôler où les données sont stockées, sur site ou dans un datacenter spécifique basé en Europe.
– Le chiffrement des données au repos, en transit et dans le Cloud est essentiel. Et l’entreprise doit détenir la clé.
– La recherche de données dans les sauvegardes pour trouver l’information voulue.
– La possibilité de modifier les données personnelles des individus concernés.
– L’exportation des données dans un format courant facile à utiliser (une archive ZIP, par exemple).
– La restauration rapide des données en cas d’incident (incendie, cyberattaque, etc.).
– La protection active contre les attaques par ransomware et la possibilité d’une restauration instantanée des données affectées.
– Une certification des données basée sur la technologie blockchain.
La mise en conformité avec le GDPR est donc l’occasion pour les entreprises de revoir les solutions en place. Pour remplacer certaines d’entre-elles, si besoin, et faciliter une mise en conformité durable, il convient d’étudier et d’envisager les solutions et technologies les plus pertinentes. L’objectif étant de garantir la meilleure protection des données, en conformité avec les obligations réglementaires du GDPR.
Lire également :
L’énigme de la conformité au règlement GDPR : où commencer ? (avis d’expert)
WannaCry et (Not)Petya : faut-il repenser la sécurité informatique ? (avis d’expert)
L’éditeur allemand Hornetsecurity annonce l’acquisition d’Altospam, spécialiste français de la sécurité des emails. Cette opération,…
Avec un chiffre d’affaires de 110 M€ en 2024, en légère progression par rapport aux…
L’éditeur français SECUSERVE, spécialisé dans la sécurité des communications électroniques, présentera cinq nouvelles solutions à…
Pour renforcer sa présence commerciale sur le marché français, notamment auprès des PME et des…
Longtemps cantonné à quelques pionniers, le modèle MSP s’impose progressivement dans l’écosystème des prestataires IT…
Le groupe Exertis annonce la nomination de Florence Triou-Teixeira à la tête des entités françaises…
