Gestion IT : trois points clés pour se conformer au nouveau RGPD

Le nouveau règlement européen sur la protection des données entrera officiellement en vigueur le 25 mai 2018. Il unifie le cadre légal pour la protection des données au niveau européen.

Le RGPD a suscité de nombreux débats, en particulier concernant la manière dont les géants technologiques non-européens devront désormais gérer les données personnelles, en conformité avec la règle d’extraterritorialité (Art. 3) 

Mais le RGPD va surtout avoir des impacts majeurs pour toutes les entreprises classiques, qui vont désormais devoir respecter plusieurs mesures de protection des données et se prémunir contre les fuites et le vol. En effet les infractions graves au règlement pourront conduire à une amende allant jusqu’à 4% du revenu annuel. (art. 5 & art. 7). Et ce alors que le phénomène du Shadow IT, en particulier l’utilisation incontrôlée de solutions de cloud public, n’a jamais été aussi développé dans les organisations. 

Avec l’entrée en vigueur du nouveau règlement, beaucoup d’entreprises vont donc être contraintes de procéder à des changements significatifs en matière de gestion IT. 

Quel impact du RGPD sur les entreprises ? 

Le but de cet article n’est pas d’énumérer toutes les mesures du règlement. En revanche, il faut rappeler 5 points clés qui vont avoir un impact significatif sur les entreprises : 

  1. Le droit à l’oubli (Art. 17) : les entreprises doivent pouvoir identifier facilement les données personnelles, et automatiser leur suppression sur demande.
  2. Protection et sécurité des données “dès la conception” et “par défaut” (Art. 25) : cette disposition implique une collecte minimaliste de données personnelles, leur sécurisation tout au long de leur cycle de vie, et l’effacement de données non nécessaires.
  3. Registre des activités de traitement (Art. 30) : les entreprises doivent prendre des mesures techniques et organisationnelles pour tenir un registre du traitement des données
  4. Notification d’une violation des données à caractère personnel (art 33) : cette disposition inclut l’obligation de prendre des mesures pour y remédier.
  5. Analyse d’impact relative à la protection des données (Art. 35) : les entreprises doivent évaluer la nécessité du traitement des informations, créer des profils de risque, et rendre compte des données traitées. Un délégué à la protection des données (Art. 37-39) joue un rôle de conseil pour être en conformité avec la loi.

A plusieurs niveaux, le RGPD touche à des problématiques classiques dont beaucoup de directions informatiques sont conscientes. Le gros changement vient du fait que les entreprises vont maintenant devoir prendre des mesures concrètes, avec une feuille de route et des principes de gouvernance validés en interne. 


Voici trois points fondamentaux pour se mettre en conformité avec le nouveau règlement : 

Règle N°1 : Définir une politique de gestion des données 

En premier lieu, les entreprises doivent se focaliser sur leur infrastructure de stockage : identifier précisément où sont stockées les données personnelles, et s’efforcer de construire une architecture cohérente pour être capable de suivre et gérer leur utilisation. Ensuite, il faut acter officiellement une politique de sécurité et la partager la plus largement parmi les collaborateurs de l’entreprise. La politique de sécurité doit balayer tous les points sensibles : cryptage des données (au repos / en transit), méthodes de connexion sécurisées (authentification multi-facteurs), partage de documents avec mots de passe, liens de partage limités dans le temps etc.

Les entreprises doivent identifier leurs propres critères, en se basant sur les spécificités de leur activité professionnelle et les cas d’usage individuels. Il faut également être très strict concernant l’utilisation de terminaux personnels au sein de l’entreprise. 

Règle n°2 : Contrôler qui accède aux données 

Avec le RGPD, dès que vous manipulerez des données personnelles, vous pourrez avoir à rendre des comptes. Très souvent, les fuites de données résultent de facteurs humains et d’erreurs d’utilisateurs finaux, et n’impliquent pas forcément l’infrastructure IT. Le partage d’informations avec le monde extérieur n’est jamais sûr à 100%, les entreprises doivent donc s’assurer qu’elles ont mis en place toutes les options possibles pour maximiser la protection des données partagées. 
Il est absolument essentiel de comprendre exactement qui est autorisé à accéder aux données du système de fichiers de l’entreprise, et de mettre en place des systèmes de permissions d’accès basés sur des rôles, selon les besoins et l’usage réel des collaborateurs et des partenaires. 

Règle n°3 : Surveiller les flux de data 

L’exigence de conformité et de notification en cas de perte ou de fuite des données fait peser un nouveau risque sur les directions IT et les managers informatiques. La nouvelle règle d’or est désormais : « surveillance constante ». Vous avez besoin d’être alerté de toute activité suspecte et des incidents de sécurité potentiels : cela passe par la détection de chemins d’accès inhabituels à des fichiers, et la capacité à faire remonter tout risque d’exposition directement aux responsables de la sécurité. 

Cela implique l’adoption d’outils adéquats, en particulier concernant le partage de fichiers et la collaboration. Ces solutions doivent être munies de tableaux de bord complets, pour pouvoir donner aux responsables IT une vision d’ensemble de ce qui se passe sur leur plateforme : analyse du comportement des utilisateurs, suivi des partages et des terminaux impliqués, rapports d’activité etc.

Le nouveau Règlement Général sur la Protection des Données impose clairement de nouvelles contraintes aux entreprises mais celles-ci peuvent également s’avérer être des moteurs positifs pour le business, en plaçant les décideurs face à des choix stratégiques technologiques clairs, en les obligeant à définir de nouveaux process, à adapter leur infrastructure si nécessaire, et à implémenter les bons outils de partage et de collaboration pour leurs données.