GDPR : des nuages noirs sur le cloud en Europe ?

Le règlement général européen sur la protection des données va entrer en vigueur. Il est destiné à harmoniser la protection des données personnelles au sein de l’UE. Son point de départ est une responsabilité accrue des acteurs qui collectent, stockent et traitent des données.

L’actuelle directive européenne relative à la protection des données - 95/46/CE - a été transposée de manière très variée dans les différents États membres et ne tient pas suffisamment compte de la mondialisation et d’évolutions technologiques telles que les réseaux sociaux ou le cloud. En outre, le volume des données collectées a explosé ces dernières années, et ce souvent sans que les citoyens de l’UE n’aient donné leur consentement. Enfin, des différences au sein des législations nationales des États membres instaurent une certaine confusion.

C’est pourquoi l’heure est venue d’un règlement procédant à une vaste harmonisation en matière de données personnelles : le GDPR. La collecte de données personnelles par des entreprises et organismes, sur site ou dans le cloud, n’est autorisée que sous des conditions strictes et à des fins légitimes. L’un des principes de base de cette réglementation européenne est la responsabilité. Les entreprises doivent apporter la preuve qu’elles respectent les exigences du GDPR et que les mesures nécessaires de mise en conformité ont été prises. Cela signifie qu’en cas de perte, de vol, de modification ou d’utilisation non autorisée, les entreprises sont toujours tenues légalement responsables de la protection de ces données non structurées.

Écueils

Il existe aujourd’hui quatre grands écueils à éviter pour les entreprises qui utilisent le stockage et des services dans le cloud, ainsi que les mesures correspondantes pour les éviter.

Tout d’abord, une grande partie – sinon la plupart – des données personnelles dont une entreprise est responsable est stockée sous forme non structurée. En d’autres termes, elles ne sont pas conservées dans des systèmes de données ou des services cloud prédéfinis répondant aux exigences légales et faisant régulièrement l’objet de mises à jour, de correctifs et d’audits dans le cadre d’un cycle de gestion.

Ensuite, au sein d’une entreprise, les employés utilisent souvent ces données non structurées au sein de solutions collaboratives, par exemple SharePoint. Ces données sont mémorisées sur des appareils mobiles et partagées avec autrui via des applications non autorisées et des sites de stockage dans le cloud qui échappent au contrôle direct de l’entreprise. La tendance du BYOD a accentué ce problème, les employés se servant de leurs équipements personnels au travail.

Il ne faut pas oublier également que l’utilisation de services cloud non approuvés peut présenter de sérieux risques pour l’entreprise sur le plan juridique et avoir un impact sur la continuité de son activité et sa réputation.

Pour finir, le nouveau règlement oblige à signaler toute fuite de données privées, sous peine d’une lourde amende égale à 5% du chiffre d’affaires annuel de l’entreprise fautive. Il s’ensuit un contrôle rigoureux des processus de l’entreprise en matière de collecte, de stockage, de sauvegarde et d’exploitation des données personnelles.

Outre leur mise en conformité dans le domaine de la protection des données, les entreprises doivent également prendre en compte le « droit à l’oubli » ainsi que les nouveaux principes de confidentialité que sont la « protection des données dès la conception » et la « protection des données par défaut ». La protection des données dès la conception signifie que les nouveaux services et processus métiers utilisant des données personnelles doivent traiter celles-ci conformément au GDPR. L’entreprise doit prouver qu’elle a pris les mesures adéquates pour se mettre en conformité avec ce dernier. Dans la pratique, cela veut dire que le département informatique doit intégrer la protection des données et de la vie privée tout au long du cycle de vie des systèmes ou des processus. La protection des données par défaut signifie que les paramètres les plus contraignants en matière de protection des données sont automatiquement appliqués lorsqu’un client acquiert un nouveau produit ou service. Autrement dit, il n’incombe plus aux clients et aux utilisateurs de devoir ajuster manuellement leurs paramètres de confidentialité.

Comment les entreprises peuvent-elles se préparer ?

Je donnerais 5 conseils aux entreprises qui ne souhaitent pas être prises au dépourvu :

  1. Identifiez les utilisateurs ou services cloud qui traitent des données personnelles au sein de votre entreprise.
  2. Dressez un inventaire de toutes les applications cloud utilisées par vos collaborateurs à l’intérieur et en dehors de l’entreprise.
  3. Interdisez le stockage et le traitement d’informations personnelles dans des services cloud non managés.
  4. Protégez les informations personnelles pendant leur stockage ou traitement dans les services cloud.
  5. Les DSI doivent prêter particulièrement attention à cette problématique et prendre des mesures assurant la visibilité des données dans les services cloud.

Oui, le GDPR doit être prise au sérieux, mais pas non plus besoin de paniquer. Un dirigeant d’entreprise bien informé et préparé pourra l’accueillir avec sérénité. Par conséquent, lisez, posez des questions et tenez-vous au courant afin d’éviter de coûteuses surprises.

Stockage / Juridique