in

Cinq questions à poser à votre RSSI concernant le règlement général européen sur la protection des données (GDPR) | par Cheryl O’Neill, directrice marketing produits, Imperva

Le Règlement général européen sur la protection des données (GDPR – General Data Protection Regulation), qui entrera en vigueur le 25 mai 2018, aura un impact considérable pour les entreprises concernant la collecte et le stockage des données personnelles des personnes résidant en UE. Cette réglementation s’applique à toutes les entreprises, où que se situe leur siège, qui détiennent et traitent des données recueillies dans l’Union européenne.

Avant le GDPR, l’UE appliquait non sans mal la directive de 1995 sur la protection des données personnelles, ce qui donnait lieu à des niveaux de conformité variables au sein de l’Union. Tandis que des pays tels que l’Allemagne et les Pays-Bas exerçaient des contrôles rigoureux, d’autres en étaient quasi totalement dépourvus. Le GDPR va répondre à ce problème en faisant en sorte que tous les pays mettent en œuvre des dispositifs complets de contrôle afin de protéger les données des citoyens européens.

Les nouvelles règles GDPR imposent en effet des normes de protection des données qui doivent, en théorie, être identiques dans l’ensemble des 28 Etats membres. Toute entreprise qui enfreint cette réglementation s’expose à des amendes pouvant atteindre 4 % de son chiffre d’affaires mondial, jusqu’à un montant maximal de 20 millions d’euros, soit une ampleur de nature à l’acculer à la faillite. Il est donc vital pour les entreprises de commencer à se mettre en conformité dès à présent. Ce processus n’est cependant pas simple et bon nombre d’entre elles devront déployer des solutions technologiques pour faciliter cette mise en conformité.

Pour aider les entreprises à appréhender l’impact des obligations imposées par le GDPR, Cheryl O’Neill, directrice marketing produits d’Imperva, présente cinq questions essentielles que les équipes informatiques doivent poser à leur responsable de la sécurité des systèmes d’information (RSSI) pour démarrer :

1. Connaissons-nous bien les données que nous détenons et leur lieu de stockage ?

L’une des premières actions à entreprendre pour les équipes informatiques est de réaliser un rapport d’audit des données. Cela nécessite de localiser toutes les données personnelles sensibles détenues par l’entreprise, ainsi que de documenter la façon dont elles sont collectées. Cette analyse détaillée doit être conservée à disposition pour les inspections réglementaires ou les audits de conformité.

Or, l’un des principaux défis consiste à localiser ces données. Dans une grande entreprise, il ne suffit pas d’un simple appel au département informatique. C’est là un problème majeur posé par le GDPR et auquel toutes les entreprises doivent s’attaquer.

2. Qui possède des droits d’accès aux données privées et qui a accès à quoi et pourquoi ?

L’une des exigences claires du GDPR porte sur la capacité à limiter l’accès à certaines informations et à veiller à ce que cet accès soit soumis à des autorisations reflétant les modifications qui interviennent dans l’entreprise. Il importe d’analyser les règles de traitement des données, notamment en matière de test, de conservation et de destruction.

Il est également essentiel que les entreprises sachent pour quelles raisons une personne dans leur organisation a accès à des données personnelles. Le fait d’occuper une certaine position dans la société ne doit pas automatiquement conférer le droit d’accéder à toutes les sources de données.

3. Comment surveillons-nous qui accède aux données ; pourrions-nous détecter et analyser un piratage ?

L’une des principales exigences du GDPR est l’obligation pour toute entreprise victime d’un piratage de données de le reconnaître publiquement et de le signaler aux autorités chargées de la protection des données dans les Etats membres où résident les utilisateurs touchés. Les entreprises doivent avertir les autorités dans les 72 heures suivant l’identification ou la confirmation du piratage. Elles doivent pouvoir indiquer quelles données ont été piratées, dans quelle quantité et établir un rapport spécifique à ce sujet pour chaque Etat membre concerné. Cette obligation signifie essentiellement que toutes les entreprises doivent pouvoir savoir qui a accédé aux données, quelles actions ont été effectuées et à quel moment. C’est là un domaine où il importe de mettre en place de robustes solutions technologiques, afin que l’entreprise puisse facilement communiquer les informations demandées dans le délai imparti de 72 heures.

4. Savons-nous comment réduire au minimum le volume de données privées utilisées dans des systèmes non productifs ?

Le GDPR impose aux entreprises de réduire au minimum la conservation des données, notamment lorsque celles-ci ne sont pas utilisées pour leurs activités au quotidien. Si les données ne sont indispensables à l’activité ni à la conformité, la réglementation stipule qu’elles doivent être purgées de manière légalement conforme.

5. Savons-nous prévenir l’accès ou le transfert de bases de données en dehors du pays ou de l’UE ?

Le GDPR impose des restrictions au transfert de données personnelles en dehors de l’Union européenne, vers des pays tiers ou des organisations internationales, de façon à ne pas compromettre le niveau de protection des personnes garanti par cette réglementation. Cela signifie que les entreprises devront comprendre clairement où elles transfèrent des données et si la juridiction où se trouve le destinataire est jugée veiller suffisamment à la protection des données. Les technologies de surveillance des données sont appelées à jouer un rôle clé dans les contrôles en temps réel, dans le but de prévenir les risques de transferts, y compris ceux accidentels.

Les entreprises doivent agir dès à présent

Le GDPR aura un impact considérable sur la collecte, le stockage et le transfert des données par les entreprises, pour qui il est impératif de commencer à s’y préparer dès à présent.

Cette préparation doit passer par un audit des données, par une estimation budgétaire pour l’acquisition de nouvelles technologies et par la mise en place de nouvelles procédures et solutions pour se mettre en conformité avec la réglementation.

Si la tâche peut sembler ardue pour de nombreuses entreprises, il en résultera cependant un environnement bien plus sécurisé pour les données personnelles, et sera perçue comme une avancée par rapport au marché.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.