Se préparer à la règlementation EU sur la protection des données

La nouvelle règlementation européenne sur la protection des données implique que les organisations posent d’ores et déjà les bases pour être en conformité lorsqu’elle entrera définitivement en vigueur le 25 mai 2018.

Déployer dés maintenant les bases d’une stratégie efficace de protection des données

Le nouveau règlement (UE) 2016/679 du Parlement Européen et du Conseil de l’Europe du 27 avril 2016, paru au Journal Officiel de l’UE (JO, L119, 4 mai 2016), abrogeant la directive européenne 95/46 est entré en vigueur le 25 mai dernier. Les pays européens doivent désormais le transposer en loi locale avant le 6 mai 2018 pour une application effective au 25 mai. Le règlement a pour objectif l’amélioration de la protection et la confidentialité des informations personnelles identifiables pour chaque citoyen européen. Cette réglementation réaffirme la responsabilité de la manipulation des informations incombant aux entreprises lorsqu’il s’agira de contrôler les données : depuis la localisation des données sensibles sur le réseau jusqu’à la gestion des accès, le stockage et la sécurité.

Au-delà de l’harmonisation législative et une inscription dans un ensemble plus vaste de textes visant à règlementer l’ère du numérique comme le Règlement Eidas sur l’identification et les services de confiance du 23 juillet 2014, le présent règlement prévoit l’exercice renforcé du principe de protection des données personnelles sous tous les prismes de la sécurité opérationnelle, telles la protection en amont (avec le principe du privacy by design), la protection analysée (analyse d’impact), la protection documentée (documentation obligatoire en tant que preuve de la conformité légale), la protection en chaîne (responsabilité du sous-traitant et possibilité de coresponsabilité), la protection renforcée (droits des personnes). Le principe d’accountability à chaque niveau est de rigueur.

Plus de onze droits sont désormais reconnus à la personne au lieu des trois actuels droits « Informatique et Libertés » (opposition au traitement sous réserve de motif légitime, accès/communication et rectification/suppression des données), droits se traduisant, ipso facto, par onze risques potentiels pouvant entrainer des amendes administrative pouvant s'élever jusqu'à 20 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (Chapitre 8, Art.83).

Localisation : cartographier et suivre (le lapin blanc)…

La volatilité et la dispersion des données étant inhérentes au Big Data et aux nouveaux usages de mobilité et de l’IoT (Internet of Things) à l’ère de industrie digital 4.0, la tâche tourne rapidement au tonneau des Danaïdes. De plus en plus de données sont stockées sur une multitude de supports physiques et/ou virtuels différents (en réponse au souci de haute disponibilité, de production et de delivery), support n’étant plus majoritairement la propriété du responsable des traitements, avec des géolocalisations différentes (donc des juridictions différentes) à un même instant t. L’enregistrement de données sur des terminaux d’utilisateurs tiers, de serveurs et tout autre type de « endpoint » de part la multiplicité des terminaux professionnels à usage personnel toléré tels que les ordinateurs portables, tablettes, smartphones, smartwatches, périphériques de stockage USB, objets connectés (CoBots) ou encore les services SaaS/PaaS de cloud privé/public/hybride de plus en plus utilisés notamment par les grands ERP, rend de plus en plus complexe la préservation, l’analyse et la gestion du cycle de vie de la preuve digitale entre parties de confiance. Si vous ouvrez cette liste aux informations qui peuvent être partagées par chat, e-mail et réseaux sociaux, alors le défi pour suivre les données stratégiques et/ou sensibles devant être protégées n’est que plus compliqué encore.

La question de l’accès aux données

Comprendre quels sont les droits d’accès adéquats dans l’entreprise et maîtriser la diffusion des données sont étroitement associés. La croissance exponentielle des données au sein des organisations et les modifications des droits d'accès peuvent laisser des données sensibles non protégées posant un risque de brèche de sécurité considérable. Y a t-il des départements entiers, des individus ou encore des consultants sur des missions ponctuelles avec des autorisations qui n'ont pas été retirées ou des privilèges qui doivent être redéfinies ? Il est difficile d’avoir une vue d’ensemble des droits d’accès et de leur modification avec les mutations, recrutements, changements de poste dans les entreprises. C’est pourquoi, il est essentiel et c’est d’ailleurs une des bases en matière de sécurité informatique, d’implémenter des processus de gestion des droits (IAM, DRM) et s’assurer qu’ils soient régulièrement audités pour prévenir tout faille de sécurité.

La gestion des données implique d’assumer une responsabilité juridique pour les entreprises qui doivent être en mesure de garantir que les données soient stockées en conformité avec les règles de droit de l’UE. Les GAFA commencent à réorganiser leur architecture de stockage dans leur data center européens pour répondre aux exigences de l’UE.

Gérer les risques de sécurité et cartographier les réponses

Une fois que vous savez où se trouvent les risques, que vous avez identifié les utilisateurs bénéficiant de droits d’accès élevés et que vous avez localisé avec précision les emplacement des données hyper critiques, vous pouvez ébauchez un plan de gestion de crise à partir de ces éléments.

Pour être sur d’être en conformité avec la réglementation EU, il faut d’ores et déjà anticiper les grands changements qu’entraîneront ces nouvelles règles. La règlementation doit être en effet perçue comme une occasion de revoir ses règles de protection des données et la répartition organisationnelle de la sécurité entre les fonctions traditionnelles CIO (Chief Information Officer), CISO (Chief Information Security Officer) et les fonctions émergentes comme le DRO (Digital Risk Officer), le DPO (Data Protection Officer) et le CDO (Chief Discovery Officer),  plutôt que comme une nouvelle contrainte.