Loading

GDPR : il est plus que temps de s’y mettre !

GDPR : il est plus que temps de s'y mettre

La GDPR est là… Et bien trop de DSI, bien trop d’entreprises, en ignorent jusqu’à son existence ! Pourtant aucune d’entre elles n’y échappera. Bien plus qu’une loi contraignante, la GDPR est une invitation à de bonnes pratiques et un ensemble d’opportunités…

Entrée en vigueur le 25 mai 2016, la nouvelle réglementation européenne sur la protection des données, ou General Data Protection Regulation (GDPR), concerne tous les organismes collectant, gérant ou stockant de la donnée. Les entreprises n’ont plus que quelques mois pour se mettre en conformité, soit jusqu’en mai 2018!

 

Nouvelles règles et des concepts existants étendus

En France où les données personnelles sont déjà protégées par diverses réglementations, la GDPR ne bouleverse pas fondamentalement la donne. En tout cas pas pour les grandes entreprises soumises à des règlementations fortes.

Pour Fabrice Lorvo, avocat associé du Cabinet FTPA, « la GDPR est un outil très utile dans le conflit entre le droit européen applicable aux internautes de l’UE et le droit américain revendiqué par les GAFAs. Aux USA, le concept de donnée personnelle n’est pas reconnu. C’est une marchandise ».

Pour autant, la GDPR introduit quelques notions nouvelles en matière de gestion des données personnelles dont notamment le droit à l’oubli, c’est-à-dire la possibilité pour chaque individu d’exiger la suppression de ses données des bases d’une entreprise.

Surtout, elle impose à toute entreprise de respecter des données qui, finalement, ne leur appartiennent pas. Elle les invite à se poser des questions que nombre d’entre elles ont, jusqu’ici, refusé de se poser : quelles sont les données à caractère personnel que nous récoltons ? Qui y a accès ? Ces données sont-elles suffisamment protégées pour être inexploitables en cas de vol ou de brèche dans nos défenses cyber-sécurité ?

La réglementation s’applique à toutes les entreprises, y compris les organisations hors Union Européenne (UE) mais qui font des affaires avec l’UE ou utilisent des données personnelles de ressortissants de l’UE. Elle impose, aussi, la nomination d’un DPO (Directeur de la Protection des données) dans toutes les entreprises traitant des données personnelles et réaffirme le principe de « minimisation » selon lequel les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Elle impose aux entreprises d’obtenir le consentement de l’utilisateur avant toute collecte d’informations personnelles en précisant dans quel but cette collecte a lieu et d’avertir les utilisateurs en cas de modification des finalités de cette collecte.

 

Des enjeux financiers colossaux

Enfin, dans les évolutions notables, il faut encore ajouter la responsabilité juridique directe des entreprises et l’obligation de signaler toute violation de données, dans les 72 heures suivant la constatation, à l’autorité européenne.

Si les données sont insuffisamment protégées et sont potentiellement exploitables par le pirate, l’entreprise est aussi tenue – par le biais de son DPO – de notifier la fuite aux personnes concernées. Combinées à la loi de modernisation de la justice autorisant notamment les actions collectives en justice, ces nouvelles dispositions signifient que la moindre fuite ou non-respect de la GDPR peut coûter cher, très cher même. 

En effet, les clients pourront intenter des actions collectives contre les entreprises ne respectant pas la réglementation ou qui n’auront pas su protéger leurs données. Par ailleurs, la moindre violation fera forcément le buzz sur Internet, détruisant au passage l’image de la société. 

Et n’oublions pas les sanctions prévues par la réglementation : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour une non-conformité, le montant le plus élevé étant retenu. Enfin, gageons que les assureurs vont s’inviter à la danse en réévaluant leurs primes d’assurance à la mesure du risque encouru.  

 

Pas de conformité sans gouvernance des données

Face à de tels enjeux, on peut s’étonner du manque d’empressement des entreprises à se conformer à la réglementation. Une étude réalisée par Symantec auprès de 900 entreprises françaises montre en effet que 22% d’entre elles estiment qu’elles ne seront pas prêtes en mai 2018.

De fait, l’empressement n’est, probablement, pas la seule explication quand on connait l’ampleur du chantier. Pour protéger les données personnelles, les entreprises doivent en effet savoir où elles sont. Or, pour des raisons à la fois historiques et organisationnelles, les données sont souvent éparpillées dans le système d’information et dupliquées dans différentes applications (CRM, ERP, logistique, etc.). Elles sont aussi parfois incomplètes ou erronées. 

En d’autres termes, la première étape d’une mise en conformité consiste à établir une cartographie des gisements de données existants. Forte de cette connaissance, l’entreprise pourra alors classifier ses informations par degré de sensibilité et établir des règles de protection en établissant des droits d’accès, en appliquant du chiffrement lors des échanges mais aussi au niveau du stockage et de l’archivage, en masquant ou anonymisant une partie des données pour les rendre inexploitables en cas de violation ou encore en mettant en place des routines de suppression pour se conformer à la réglementation sur le droit à l’oubli. 

En résumé, la mise en conformité est impossible sans une gouvernance des données. Gouvernance qui soit dit en passant doit impliquer tous les collaborateurs de l’entreprise ainsi que les fournisseurs. Il suffit d’un commercial transportant des données personnelles sur un ordinateur portable ou encore d’un prestataire utilisant des jeux de données réelles pour tester une application pour faire courir un risque à l’entreprise…

Pour chaque donnée personnelle, les entreprises devront documenter un PIA (ou en Français EIVP -Étude d’impact sur la Vie Privée -) analysant l’impact en cas de brèche.

Les entreprises devront nommer un DPO (Data Protection Officer) qui servira d’interface entre l’entreprise et l’autorité de régulation (La CNIL). Le DPO doit être en relation directe avec la Direction Générale et posséder un profil à la fois juridique et technique. Il doit pouvoir s’appuyer sur un comité de gouvernance associant DSI et métiers. C’est à lui d’avertir la CNIL en cas de fuite en fournissant les PIAs nécessaires. La CNIL décidera alors, selon les mesures mises en œuvre, du risque réel et imposera à l’entreprise non seulement les sanctions financières mais également l’obligation de porter la fuite sur la place publique. 

 

Un chantier et des opportunités

La GDPR est donc un chantier auxquelles aucune société ne peut aujourd’hui échapper. L’effort dépend évidemment de la taille de l’entreprise. Mais contrairement à une idée fréquemment répandue, il n’est pas hors de portée des PME.

« Face à la GDPR, il existe une segmentation par rapport à la taille de l’entreprise et aux ressources » explique Laurent Heslault, Security Strategist chez Symantec. « Au niveau des grands comptes, il y a ceux qui sont déjà soumis à des réglementations souvent bien plus contraignantes que la GDPR et sont déjà bien équipés face à ce qu’ils appellent le ‘mille-feuille règlementaire’. Ils ont déjà les équipes et les compétences. Et puis il y a les entreprises et industries multinationales qui n’étaient pas encore confrontées à ce genre de réglementation contraignante et qui vont devoir mettre en place des compétences. C’est un très gros projet à plusieurs mois qui ne s’improvisera pas. Enfin, il y a les TPE et PME, où l’identification des données personnelles ira généralement assez vite. L’important pour elles sera davantage que leurs solutions Cloud soient conformes. »

Bref, la GDPR est là et bien là. Les entreprises doivent prendre cette règlementation comme autant d’opportunités à saisir : celle d’améliorer la confiance de ses clients en ses services, celle de se poser la question de la valeur des données récoltées, celle de repenser la sécurité des données à caractère personnel comme confidentiel. 

 

 

 

 

 

 

 

 

 

 

 

 

Loïc Duval Loïc Duval - Spécialiste systèmes d'exploitation
Féru de nouvelles technologies, ingénieur en informatique, spécialiste des systèmes d'exploitation, des SGBD, des infrastructures et de la sécurité des Endpoints, Loïc Duval…
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Guide Big Data et Intelligence ArtificielleGuide Big Data et Intelligence ArtificielleLes technologies de Machine Learning, Big Data et intelligence artificielle ne sont pas réservées aux géants du Web. Cependant, il est souvent difficile de savoir ce qu'elles peuvent nous apporter. Découvrez, dans ce guide, les différents types d'apprentissages et passez à l'action grâce aux outils open source disponibles dans la « Intel Python Distribution ».Découvrez votre guide et passez à l'action !

Ressources Informatiques

Guide Machine learning et Big Data pour démarrer Les technologies de Machine Learning, Big Data et intelligence artificielle ne sont pas réservées aux géants du Web. Cependant, il est souvent difficile…
   Inside Loop - Intel | 8 pages
Découvrez votre guide IA
Guide de services Azure pour développement d’applications Ce guide détaille divers scénarios adaptés au cloud, et plus particulièrement au développement d'applications à l'aide des services de plateforme…
   Microsoft | 40 pages
Découvrez votre Guide Azure
BYOD : Guide des meilleures pratiques en entreprise Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation…
   VMware | 8 pages
Découvrez les meilleures pratiques !
Comment sécuriser les accès et contrer la compromission d’identité ? La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles…
   RSA | 6 pages
Téléchargez le livre blanc
Authentification forte : quels enjeux pour la sécurité du SI ? Mobilité, consumérisation et BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications…
   RSA | 4 pages
Découvrez votre livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Jean-François Apréa Jean-François Apréa Consultant Infrastructures

Patrick Guimonet Patrick Guimonet Spécialiste SharePoint

Pascal Creusot Pascal Creusot Electronique et Télécommunications

Vidéos Informatiques

Comment optimiser la gestion énergétique des salles informatiques avec Eaton et Misco inmac wstoreComment assurer la maîtrise et optimiser durablement la gestion énergétique des…Par Itpro

Comment maîtriser le droit à la déconnexion avec Promodag ReportsDans un monde ultra-connecté et de plus en plus régi par l'immédiateté, la déconnexion…Par Itpro

Adobe Document Cloud en Video Motion !Découvrez maintenant, en Video Motion, comment entrer dans l'ère du document intelligent…Par Itpro

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI