Repenser la sauvegarde des données à l’heure du RGPD

Ce règlement ambitieux et très médiatisé a pour but d’adapter la protection des données personnelles des citoyens européens aux nouvelles réalités du monde numérique. Toutes les entreprises de l’UE sont concernées ainsi que toutes les entreprises non-européennes traitant des données de citoyens de l’UE.

Le droit à l’oubli, le droit à la modification de ses données, les restrictions en matière de collecte et de stockage des données et plus généralement le respect de la vie privée des citoyens européens sont au cœur du projet du RGPD. L’UE s’est par ailleurs dotée de pouvoirs importants pour faire respecter cette réglementation.

 

Il existe de nombreux articles détaillant les enjeux, les contraintes et les pénalités pour tout manquement à ce règlement. Nous sommes tous concernés -des TPE aux grands comptes- en Europe mais aussi en dehors des frontières dès lors que les données personnelles sont d’origine européenne. La présente tribune n’a pas pour objet de rajouter une énième voix à ces discussions à l’approche du 25 mai 2018. Elle vise plutôt à expliquer les enjeux du RGPD vis-à-vis de la protection des données en générale et des sauvegardes en particulier.

 

Quelles sont les obligations RGPD en matière de sauvegarde ?

Notons que les 11 chapitres et les 99 articles du RGPD n’adressent pas explicitement le sujet de la sauvegarde. Il adresse les pratiques nécessaires pour bien traiter les données personnelles. Ce traitement inclut la collecte, la modification, l’utilisation, la confidentialité, la structuration et la conservation des données. Implicitement, nous pouvons considérer que la sauvegarde fait partie de la conservation (Article 4).

 

L’article 32 impose aux responsables du traitement des données (et à tous les sous-traitants) de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

  Ces mesures incluent :

-          La pseudonymisation et le chiffrement des données personnelles

-          Une garantie de confidentialité, intégrité et la disponibilité des données traitées

-          La possibilité de rétablir la disponibilité des données en cas d’incident

-          Une évaluation des risques et un suivi des mesures de sécurité du traitement mises en place

 

Nous sommes ici au cœur du sujet. Voici les piliers d’une conformité et des obligations que toute solution de sauvegarde devrait respecter :

-          Le chiffrement de toute donnée en transit ou en stockage -y compris dans les données sauvegardées. Les droits d’accès, de duplication et de restauration des données ainsi que les opérations effectuées doivent aussi être très contrôlés (audit trails).

-          Le cloisonnement des données, qui permettra une restauration sûre et fiable d’une donnée ciblée (fichier, VM, base de données…) ou d’un Disaster Recovery complet en cas d’incident majeur.

-          Un bon niveau de reporting. Une organisation qui gère des données personnelles doit savoir où se trouvent les données de ses clients. Si une violation des données (data breach) est avérée, a-t-elle impacté les données primaires ou toutes les données y compris les sauvegardes, et si oui lesquelles.

 

Le RGPD prévoit que tout citoyen a la possibilité d’accéder, modifier et effacer ses propres données personnelles. L’organisme qui traite ces données doit pouvoir les localiser puis les modifier, les effacer et les déplacer si besoin. Depuis un stockage primaire, ceci est typiquement assez simple. S’agissant d’une sauvegarde des données, les choses peuvent se compliquer. Est-il par exemple si simple d’effacer des tables dans une base de données qui se trouvent sur une ou plusieurs bandes LTO dans un coffre-fort ?

 

Accéder et modifier chaque exemple d’une donnée client sur plusieurs supports relève parfois du défi et pourrait s’avérer très coûteux. Une donnée personnelle est souvent copiée et donc multipliée au sein de plusieurs stockages et sauvegardes (locales, distantes, sur disque, sur bande, dans le Cloud…).

 

Au vu des contraintes et des recommandations du RGPD, une réponse pragmatique consisterait à mettre en place :

-          Un recyclage des jeux de sauvegarde après un délai raisonnable (quelques semaines typiquement). La sauvegarde, oui, mais pas pour toujours ! Evitons également le data sprawl ou la prolifération souvent non-contrôlée des données.

-          Un archivage plus long reste possible car certaines données doivent par nature être conservées plus longtemps. Par contre, il est essentiel de savoir où se trouve toute copie d’une donnée personnelle.

-          Une pseudonymisation des informations personnelles qui réduit les risques de fuites ou d’exploitation non autorisée. Gommer les informations permettra de ne plus identifier des individus dans un fichier ou une base. Bien entendu, la pseudonymisation s’effectue en amont de toute phase de sauvegarde.

 

La certifications RGPD n’existe pas encore. Mais il abonde de bonnes pratiques. Parmi ces pratiques, il y a une maîtrise de toute la chaîne de sauvegarde via une solution centralisée et unique ce qui permet d’assurer aussi bien la protection des données sur les postes de travail que dans les data centers. Autre dimension, la capacité à rechercher des données à sauvegarder dans les fichiers non-structurés.

 

Vers une protection des données conforme

Que vos données clients soient non-structurées (fichiers, images, emails etc.) ou structurées (bases de données) ou un mélange, le RGPD impose que votre infrastructure de protection et de stockage possède :

-          Un contrôle centralisé et un niveau d’automatisation intégrés dans la solution de sauvegarde. Il doit être possible de choisir par inclusion ou exclusion les données à protéger et les rétentions qui s’imposent quel que soit le support de stockage.

-          Un catalogue centralisé qui trace toutes les actions de sauvegarde et d’archivage avec une identification fine des objets (par nom, métadonnée, date...). Une recherche multicritère des données doit être réalisable avec une cartographie des stockages associés à chaque donnée.

-          Un niveau de reporting permettant de démontrer la cohérence de la solution.  Où se trouve les données, qui a effectué des restaurations, les données ont-elles bien été recyclées ?

 

Le RGPD nous impose une vraie réflexion et des actions concrètes sur le traitement des données personnelles. Il nous oblige à inscrire ces actions dans la durée. Si nous perdons les données de nos clients, si nous les compromettons, si nous n’arrivons pas à les localiser correctement ou si nous ne les recyclons pas au-delà de leur vie utile, nous ne serons pas en conformité face aux règlements.

 

Nous avons aujourd’hui de nombreux risques qui pèsent sur la donnée : cybercriminalité, erreur humaine, catastrophes naturelles… Les enjeux réglementaires formulés dans le RGPD fournissent un cadre utile nous permettant d’agir sereinement et en toute transparence.