RGPD, la solution pour responsabiliser tous les acteurs de l’IoT ?

Le Règlement général pour la protection des données (RGPD ou GDPR en anglais) entrera en vigueur le 25 mai prochain dans tous les pays de l’Union européenne. Comment celui-ci va obliger tous les acteurs de l’IoT à prendre leurs responsabilités dans la chaîne de traitement de l’information ?

Les entreprises concernées par le RGPD voient leurs responsabilités renforcées, avec l’introduction de trois principes clés :

  • Le « privacy by design » désigne l’intégration des principes de protection des données privées des clients et employés dès la conception d’un service ou d’un produit.
  • Le « security by default » renvoie aux garanties sur le niveau de sécurité offert par les systèmes d’information mis en œuvre.
  • Enfin, « l’accountability », probablement le changement le plus marquant, débouche sur une logique de responsabilisation de tous les acteurs de la chaîne dans la protection des données. Ce dernier principe vient ainsi supplanter les processus déclaratifs et d’autorisation auprès de la CNIL.

Outre ces trois principes fondateurs, le RGPD s’illustre aussi par la lourdeur des sanctions prévues par le législateur : les amendes en cas de non-conformité peuvent atteindre 4 % du montant total du chiffre d’affaires d’une entreprise !

Cependant, ces nouvelles exigences apparaissent davantage comme la continuité de pratiques déjà en place. Le secteur des télécoms par exemple a toujours été très suivi par la CNIL. De plus, certains acteurs avaient déjà impliqué contractuellement leurs fournisseurs et sous-traitants dans la protection des données, en les responsabilisant sur la sécurité et l’encadrement de la finalité des traitements.

Techniquement, les mesures prévues par le règlement sont déjà en place, y compris sur des processus sur lesquels peinent encore de nombreuses sociétés, comme l’effacement total des données personnelles d’un utilisateur sur simple demande ou la notification d’éventuels incidents de sécurité.

  Pour y faire face, les entreprises peuvent :

  • Faire auditer leurs process avec des partenaires tiers spécialisés dans la sécurité des systèmes d’information ou dans les infrastructures type datacenters  pour vérifier qu’ils respectent bien les préconisations du règlement,
  • nommer, en plus d’un RSSI qui se focalise sur la sécurité des accès,  un responsable des bases et traitements de données, qui hérite du dossier RGPD.

Malgré l’entrée en vigueur du texte, il ne faut pas s’attendre à voir la sécurité des objets connectés s’améliorer brutalement. Seule une normalisation permettrait de changer réellement les choses. Par exemple, avant d’être commercialisés en Europe, les smartphones doivent recevoir une certification. Or, rien de tel n’existe pour l’instant avec les objets connectés. 

Néanmoins, la sécurisation des couches de transport et la protection des emplacements de stockage de données permettent déjà d’écarter la plupart des risques, hormis le blocage du service à proprement parler. Dans le cas d’un bracelet de géorepérage, qui signale l’entrée ou la sortie d’une zone géographique donnée, tout le volet interprétation des données s’effectue sur le serveur, relié à l’objet par un protocole de transport hautement sécurisé. Les actions qui découlent de ces analyses sont effectuées à partir de systèmes tiers. L’objet connecté n’est, en réalité, qu’un simple élément passif dans cette chaîne.

Annonces Google