Small nick 01

Jérôme BENBIHI

La sauvegarde conforme pour la GDPR

gdprsauvegarde

A l’ère de la digitalisation, les données constituent l’un des biens les plus précieux des entreprises, mais aussi des cybercriminels. Pour cette raison, il appartient aux entreprises de se montrer plus responsables vis-à-vis des données en leur possession. Pourtant, une grande majorité d’entre elles sont loin d’avoir adopté les normes qui seront obligatoires lors de la mise en vigueur de la RGPD le 25 mai 2018.

La GDPR (General Data Protection Regulation), aussi désignée sous son acronyme français RGPD (Règlementation générale de protection des données) est le nouveau texte de référence en matière de protection des données au niveau européen.  Elle a pour objectif de redonner aux citoyens le contrôle sur leurs données personnelles, et permettra à l’Europe de s’adapter aux nouvelles réalités du numérique. Elle induit donc de nouvelles obligations pour les entreprises qui doivent opérer d’importants chantiers internes pour répondre aux nouvelles normes. En chiffres, il s’agit de :

  • 100 pages d’obligations à respecter ;
  • 99 articles de loi ;
  • 20 millions d’euros de sanction en cas d’infraction pour les PME ou les organismes publics ;
  • 4 % du CA Global du groupe pour les grandes entreprises (soit entre 3 et 5 milliards d’euros de risques de sanction pour des entreprises comme Google, Amazon, etc.).

La GDPR impose aux entreprises d’optimiser leur sécurité et prévoit des pénalités importantes en cas de défaillance. Elles sont obligées à bien comprendre les risques liés à la confidentialité des données et à prendre les mesures qui s'imposent pour atténuer les risques de divulgation non autorisée des informations personnelles concernant les consommateurs.

La nouvelle Règlementation de protection des données s'appliquera aux 28 pays européens, dans une démarche de standardisation. Elle concerne donc toutes les sociétés présentes ou offrant des services au sein de l'UE, toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.

Ainsi, l’un des éléments clés de la réforme est de renforcer les droits de personnes au regard de leurs données, et notamment de s'assurer qu'elles donnent leur consentement à leur traitement. Les entreprises, quant à elles, ne doivent pas conserver les données plus longtemps que la période de rétention convenue initialement. Et, chaque citoyen peut demander à ce que des données la concernant soient supprimées. 

C’est l’article 5 de la RGPD qui énonce les principes majeurs relatifs à la protection des données et décrit comment les entreprises doivent traiter les données à caractère personnel, comment elles peuvent être stockées et comment elles doivent être sauvegardées. Les entreprises peuvent conserver des copies de sauvegarde et d’archives des données si elles sont traitées de manière à assurer une sécurité appropriée des données à caractère personnel. Le responsable du traitement et le sous-traitant sont obligés de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ». Y compris pour le chiffrement des données et leur pseudonymisation. Un mécanisme de reporting doit aider le responsable du traitement à identifier les données personnelles stockées sur ses serveurs. Et à confirmer, sur demande, le lieu du stockage, les conditions de chiffrement et la suppression des données.

Aussi, la RGPD impose de nouvelles obligations de sécurité et contractuelles aux organisations (responsables du traitement) amenées à traiter avec des fournisseurs de services Cloud et des fournisseurs de technologies de protection des données (sous-traitants) :

–  Les fournisseurs de services Cloud sont obligés de garantir la conformité du service aux exigences techniques et organisationnelles de la RGPD.

–  Les contrats qui les lient interdisent le recours à d’autres sous-traitants sans le consentement préalable du responsable du traitement lui-même.

–  À la fin du contrat, toutes les données doivent être supprimées du Cloud et le sous-traitant doit apporter les preuves suffisantes que c’est bien le cas.

–  Tout incident de sécurité lié aux données doit être déclarer auprès de l’Autorité de Protection des Données (DPA pour Data Protection Authority), ce dans les 72h.

Nombreux sont les outils de protection des données qui existent actuellement sur le marché. Les spécialistes précisent que certaines fonctionnalités peuvent optimiser plus facilement la mise en conformité des entreprises :

– La localisation du stockage des données. Les solutions doivent permettre de contrôler où les données sont stockées, sur site ou dans un datacenter spécifique basé en Europe.

– Le chiffrement des données au repos, en transit et dans le Cloud est essentiel.

– La recherche de données dans les sauvegardes pour trouver l’information voulue.

– La possibilité de modifier les données personnelles des individus concernés.

– L’exportation des données dans un format courant facile à utiliser (une archive ZIP, par exemple).

– La restauration rapide des données en cas d’incident (incendie, cyberattaque, etc.).

– La protection active contre les attaques par ransomware et la possibilité d’une restauration instantanée des données affectées.

– Une certification des données basée sur la technologie blockchain.

La mise en conformité RGPD est certainement un moment important pour la transformation digitale de chaque entreprise. S’inscrivant dans une logique vertueuse tant sur le plan économique que sur le plan de la protection de la vie privée, la définition d’une politique de protection des données est un gage de professionnalisme permettant de renforcer de façon considérable la confiance des partenaires et des clients.

Laissez un commentaire