L’UE, au confluent des services cloud et de la protection des données privées

Le compte à rebours est lancé : pour mai 2018, les entreprises opérant dans l’Union européenne doivent avoir mis en place des processus et des systèmes de pointe en matière de protection des données, sous peine de s’exposer à une amende pouvant atteindre 4 % de leur chiffre d’affaires mondial.

La Commission européenne, le Conseil européen et le Parlement européen ont inscrit cette obligation dans le Règlement Général sur la Protection des Données (GDPR). La nouvelle réglementation s’applique à toutes les entreprises – qu’elles soient domiciliées dans l’UE ou non – qui entretiennent des relations commerciales avec des résidents de l’Union, dont elles conservent ou ont à traiter des informations personnelles.

Aujourd’hui, notre vie est dominée par les services cloud proposés par des entreprises telles Facebook, Google ou Amazon. Le monde des entreprises emprunte une voie similaire : un nombre croissant d’entre elles utilisent les services cloud, depuis des logiciels bureautiques et collaboratifs jusqu’à des outils d’automatisation de la force de vente (SFA) ou d’ERP. La valeur ajoutée des services cloud dépend en grande partie de la collecte et de l’analyse des données des utilisateurs : qui sont leurs amis et quels types d’informations partagent-ils avec eux ? Que recherchent-ils sur Internet ? Quels sont leurs centres d’intérêt et leurs préoccupations ? Qu’achètent-ils et que sont-ils susceptibles d’acheter à l’avenir ?

Si, aux Etats-Unis, rares sont ceux qui voient dans cette moisson d’informations un réel problème, il n’en va pas de même en Europe. La raison est en partie due aux cas de surveillance et de fichage étatique en masse qu’a connus le vieux continent par le passé. Les Européens tendent ainsi à se montrer plus réticents face à la collecte de données à grande échelle, en dépit de ses avantages potentiels considérables, par exemple dans le domaine de la recherche médicale.

C’est pourquoi l’UE a décidé d’adapter sa législation sur la protection des données à l’ère du cloud. Pour l’heure, le GDPR représente probablement la législation la plus complète de la planète en la matière. Ayant pour but de renforcer les droits des résidents européens en matière de respect de leur vie privée et d’harmoniser la réglementation à ce sujet dans tous les Etats membres, il place également la barre très haut en termes de responsabilité et de traçabilité :

  • Les entreprises – notamment les fournisseurs informatiques – doivent avoir mis en place des processus et systèmes de protection des données personnelles, par exemple avec la prise en compte du respect de la vie privée dès la phase de conception (« by design ») ou bien par défaut.
  • Certaines entreprises doivent nommer un responsable de la protection des données (Data Protection Officer).
  • Dans les secteurs à haut risque, tels que la finance, les entreprises doivent procéder à des évaluations d’impact de la protection des données.
  • En cas de piratage de données, les entreprises doivent en informer les autorités et, dans certains scénarios, leurs clients également, sauf si ces données sont cryptées ou couvertes par pseudonyme, ce qui doit tout naturellement conduire les entreprises à crypter leurs données clients le plus rapidement possible.

Le débat enflammé autour du « droit à l’oubli » à l’ère des recherches Google a abouti à un droit explicite à l’effacement des données.

La mise en conformité avec cette réglementation implique beaucoup de travail pour toutes les entreprises concernées, de l’inventaire exhaustif de tous les sites stockant des données clients à la définition et, enfin, à la mise en place de tous les rôles et processus requis. Plus l’environnement applicatif et de stockage des données d’une entreprise est centralisé, plus il sera facile de remplir les objectifs de conformité technique.

Cette centralisation peut être obtenue de diverses manières, par exemple en unifiant les contrôles d’accès sur site et dans les services cloud par l’instauration de l’authentification unique (SSO, Single Sign-On), en déployant des environnements de travail virtuels, sécurisés et homogènes pour les utilisateurs (avec une gestion centrale), en supervisant la sécurité des appareils mobiles et des applications ou encore en faisant appel à un système de partage de fichiers d’entreprise, permettant au département informatique d’appliquer des règles strictes qui déterminent qui peut partager quelles informations avec qui et où celles-ci sont conservées. La bonne nouvelle, c’est qu’une fois mis en place, les systèmes de contrôle du respect de la vie privée conformés au GDPR, il en résultera un équilibre bien pensé entre l’économie des informations personnelles et les préoccupations des utilisateurs à cet égard, et donc un mécanisme unifié applicable dans l’ensemble de l’UE.

Avant tout, l’incitation à crypter très largement les données clients ne peut que renforcer la sécurité des informations. C’est pourquoi, en définitive, le GDPR est une bonne chose pour le respect de la vie privée des clients et la sécurité informatique des entreprises.