Lancez-vous maintenant pour être en conformité avec le RGPD dans les temps !

Aujourd'hui, selon la CNIL, 17 000 organisations en France comptent un correspondant informatique et libertés, demain appelé DPO. En 2018, ils devraient être entre 80 000 et 100 000.

En 2000, l’article 8 de la Charte des droits fondamentaux de l’UE a fait de la protection des données personnelles un droit fondamental. Toutefois, chacun des 28 États membres disposait de sa propre législation sur le sujet. Par conséquent, la conformité était complexe et coûteuse pour les entreprises menant leurs activités au sein de l’Union européenne et les particuliers estimaient ne pas parvenir à contrôler efficacement leurs données à caractère personnel. La Commission européenne a adopté une nouvelle législation sur la protection des données qui entrera en vigueur dans l’Union européenne dès 2018 : le Règlement général sur la protection des données (RGPD).

Les entreprises doivent ainsi se doter de délégués à la protection des données (DPO) et de nouveaux outils. Avec en parallèle des ajustements organisationnels, culturels et peut-être aussi des systèmes d'information. Aujourd'hui, selon la CNIL, 17.000 organisations en France comptent un correspondant informatique et libertés, demain appelé DPO. En 2018, ils devraient être entre 80.000 et 100.000.

Mon entreprise est-elle concernée par le RGPD ? Les normes de conformité au RGPD s’appliquent à toutes les entreprises basées dans les pays membres de l’Union européenne, mais également à la quasi-totalité des entreprises qui recueillent ou gèrent les données des citoyens de l’Union, même si elles ne sont pas présentes physiquement sur le territoire. Les rares exceptions concernent pour la plupart des entreprises de 250 salariés ou moins, ainsi que quelques entreprises travaillant dans le domaine de la sécurité nationale. Ainsi, si vous proposez des produits ou services aux citoyens de l’Union européenne, employez des citoyens de l’Union européenne ou même acceptez des candidatures de citoyens de l’Union européenne, vous êtes très certainement soumis au nouveau RGPD.

Quelles conséquences a le RGPD sur mon entreprise ? D’un côté, en unifiant les diverses réglementations en vigueur dans l’Union européenne, le RGPD simplifie la conformité en matière de protection des données pour les entreprises présentes dans plusieurs États de l’Union. De l’autre, le RGPD renforce significativement les exigences de sécurité pour toutes les entreprises traitant les données à caractère personnel de citoyens de l’Union européenne. Le RGPD est un règlement complexe, composé de 91 articles. La plupart concernent le cadre législatif de la protection des données et des processus liés, qui impactent peu la stratégie technologique à mettre en œuvre. Toutefois, certaines dispositions clés du RGPD pèsent significativement sur les exigences en matière de sécurité et nécessiteront donc des modifications des processus et des technologies.

Y’a-t-il urgence ? Le nouveau règlement sur la protection des données entrera en vigueur dans moins d’un an, le 25 mai 2018. Les pénalités en cas de violation sont sévères : elles pourront atteindre 4 % du chiffre d’affaires global de l’entreprise. Si votre entreprise gère les données à caractère personnel de citoyens de l’Union européenne, qu’il s’agisse de clients, de fournisseurs, de partenaires ou de salariés, vous devez absolument commencer à travailler sur la conformité au RGPD pour être prêt avant la date limite et éviter les amendes.

Les clés de la conformité au RGPD résident dans une compréhension claire de la portée des données sensibles gérées par votre entreprise et dans la mise en œuvre de processus appropriés de protection des données et de suivi de leur utilisation.

Il est important de noter que si les amendes maximales exigibles dans le cadre de violations de la conformité au RGPD sont élevées, le montant de l’amende effectivement demandé dépendra de l’étendue de la violation et de la mesure dans laquelle le responsable du traitement des données a essayé de se conformer à la législation. Ainsi, même si vous ne parvenez pas à une conformité totale, vous pouvez réduire le risque de pénalités financières en faisant preuve d’efforts significatifs en matière de conformité, en détectant les violations sans délai et en signalant rapidement leur survenue.

La première étape de la conformité au RGPD réside dans une vision claire des données à caractère personnel que vous traitez. La plupart des entreprises stockent ces données dans plusieurs silos, souvent sur site, sur divers appareils de stockage et dans le cloud. Les outils natifs ne sont guère utiles, en particulier dans les environnements informatiques complexes et hétérogènes actuels.

Recherchez une solution capable de collecter et stocker de façon centralisée les données de systèmes et d’appareils répartis dans toute l’entreprise. Vous disposerez ainsi d’un inventaire précis de vos données, mais pourrez également les classer automatiquement selon leur degré de sensibilité. Vous serez ainsi assuré de protéger les diverses données considérées comme des données à caractère personnel dans le cadre du RGPD.

Autre point tout aussi important, la gestion des accès et identités. Vous devez essentiellement gérer avec soin les identités des utilisateurs à la base des accès, ainsi que mettre en œuvre et appliquer un modèle de moindre privilège qui garantit que les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin pour travailler. De plus, vous devez pouvoir déterminer simplement qui a accès à quoi, qui a approuvé cet accès et ce que chaque utilisateur a fait de cet accès.

Recherchez une solution qui facilite la gestion des identités des utilisateurs tout au long du cycle de vie, pour que les utilisateurs disposent automatiquement des autorisations d’accès appropriées à leur rôle dans votre entreprise et seulement celles-ci. Assurez-vous que la solution contrôle les accès sur l’intégralité de l’environnement, non seulement sur les systèmes Windows sur site, mais également sur les systèmes Mac, UNIX, Linux et basés sur le cloud. Elle doit également automatiser les workflows d’attestation et de renouvellement des certifications pour garantir que les privilèges d’accès ne sont attribués qu’avec les approbations appropriées et que leur justification est régulièrement vérifiée. Par exemple, un utilisateur qui change de rôle au sein de l’entreprise ne doit pas conserver ses accès plus longtemps que nécessaire.

Chiffrez les données autant que possible. Le RGPD encourage l’utilisation de techniques telles que le chiffrement de données et le hachage, qui transforment les données à caractère personnel de sorte qu’elles ne permettent plus d’identifier directement une personne sans avoir recours à des informations supplémentaires. Après pseudonymisation, ces données sont toujours considérées comme des données à caractère personnel, mais de nombreuses dispositions du RGPD sont plus souples les concernant. Par exemple, les entreprises ne sont pas toujours tenues de communiquer sur les violations concernant des données chiffrées peuvent être exemptées de pénalité, car la perte de ces données n’a que peu de risque d’avoir des conséquences négatives. L’entreprise ne doit pas non plus nécessairement permettre leur accès par les personnes concernées, leur correction, leur suppression et leur portabilité.

Bien évidemment, il n’est pas simple de chiffrer toutes vos données. Recherchez une solution capable de chiffrer vos données sensibles sur l’ensemble de vos plateformes, appareils et emplacements, notamment les PC et les Mac, les appareils mobiles iOS et Android, les magasins de données dans le cloud et les supports externes. Cette solution doit être suffisamment souple pour permettre le chiffrement de toutes les données considérées comme des données à caractère personnel par le RGPD. Le moteur de chiffrement doit être automatisé et non invasif pour pouvoir suivre les besoins de l’entreprise sans nuire à la productivité des salariés. Enfin, la solution doit bien entendu générer des pistes d’audit prouvant la sécurité des données de bout en bout.

Surveillez les modifications susceptibles d’affecter les données sensibles et évitez les modifications les plus critiques. Évidemment, ces mesures préventives ne constituent qu’une partie des actions nécessaires à la mise en conformité avec le RGPD. Vous devez suivre et auditer l’activité des utilisateurs, en particulier l’activité des comptes avec privilèges. Vous devez par ailleurs suivre toutes les modifications de votre environnement susceptibles d’influer sur les accès aux données à caractère personnel protégées, telles que les modifications des stratégies de groupes (GPOs) et les paramètres de configuration stratégiques, pour pouvoir corriger rapidement les modifications inappropriées risquant d’entraîner des pertes de données. Encore mieux, cherchez un outil pouvant empêcher toute modification ou suppression des objets stratégiques.

Enfin, vous devez disposer d’une stratégie d’analyse des incidents de sécurité. Recherchez un outil d’analyse forensique qui peut vous aider à déterminer quelles informations d’authentification sont à l’origine d’une violation de données et si l'activité était liée à une erreur légitime ou à une attaque délibérée.

Si votre entreprise fait partie des nombreuses entreprises soumises au nouveau Règlement général européen sur la protection des données, vous n’avez plus une minute à perdre. Le RGPD est complexe et les pénalités exigibles en cas de non-conformité sont importantes. Pour autant, en mettant en œuvre les bonnes stratégies en choisissant les outils appropriés, vous pouvez tout à fait vous y conformer d’ici au 25 mai 2018.