in Sécurité

Delphix révèle les défis que soulève le RGPD et l'impératif économique de renforcer la protection des données

Le RGPD (Règlement Général sur la Protection des Données) appelle toutes les entreprises européennes à masquer leurs données par défaut 

Delphix, leader mondial de la virtualisation de données, envoie aux entreprises un sérieux avertissement concernant la nécessité de repenser leur architecture opérationnelle et d’adopter une approche sécurisée priorisant les données avant l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) adopté par l’Union Européenne. Dans le cadre du RGPD, les entreprises qui stockent ou traitent des données européennes auront l’obligation d’intégrer la protection des données à la conception et à l’infrastructure de leurs systèmes, sous peine de se voir sanctionner par des amendes pouvant atteindre jusqu’à 4 % de leur chiffre d’affaires annuel mondial. Plus particulièrement, les entreprises sont tenues d’examiner de près la sécurité des données de non-production qu’elles utilisent pour développer et tester leurs systèmes. Une étude indépendante a révélé que 90 % des données de non-production ne sont à l’heure actuelle pas masquées par les entreprises, ce qui pose un risque considérable en termes à la fois de sécurité et de conformité.

« Le RGPD introduit une structure punitive, similaire aux mesures des lois sur la concurrence visant à empêcher l’entente sur les prix, qui concentre l’attention sur le risque de non-conformité », déclare Iain Chidgey, Vice-Président des Ventes Internationales chez Delphix. « Ces dernières années, nous avons vu de grandes entreprises payer des centaines de millions de dollars en amendes à la suite de scandales pour ententes sur les prix. Certaines ont même été placées en redressement judiciaire. Le RGPD risque d’avoir le même effet. C’est pourquoi les entreprises doivent avoir une totale visibilité sur leurs données, et traiter les données de non-production avec le même profil de sécurité que les données réelles. »

Le RGPD impose des mesures renforcées de sécurité des données pour garantir la conformité, en spécifiant notamment l’utilisation de la « pseudonymisation ». Ce processus consiste à masquer les données confidentielles de manière à ce qu’elles perdent leur caractère nominatif, d’où une meilleure protection des données au cas où celles-ci viendraient à tomber entre de mauvaises mains.

Le RGPD incite également au masquage des données dans différents cas :

  • En cas de violation de données

Si les données compromises posent un faible risque pour les individus concernés (par exemple du fait du masquage des données), les obligations de notification des organes de contrôle et des individus concernés peuvent ne pas s’appliquer.  Sinon, les entreprises doivent procéder à la notification dans un délai de 72 heures, un délai très court en cas de violation grave.

  • En cas de demande de divulgation de données

Si les entreprises peuvent démontrer que les individus ne peuvent pas être identifiés à partir des données masquées qu’elles détiennent sans informations supplémentaires, elles peuvent alors être exemptées de l’obligation de communiquer les données en réponse à une demande d’accès aux données ou d’effacer les données sur demande.

  • Pour soutenir le profilage des données

Si les entreprises utilisent des données pseudonymisées, l’impact potentiel sur la vie privée de l’individu s’en trouve considérablement réduit. Cela implique qu’il est peu probable que les exigences de consentement explicite imposées par le RGPD concernant la prise de décision automatisée et le profilage soient applicables.

« Le volume étendu des copies de données dans les environnements de non-production nécessitera des technologies capables de protéger efficacement toutes les données, et pas seulement les fragments d’informations les plus sensibles » poursuit Iain Chigdey. « Pour satisfaire aux futures exigences de la protection des données, la première étape est de bien savoir où résident toutes les données dans les environnements informatiques. La deuxième étape est d’adopter la nouvelle vague d’innovations informatiques destinées à favoriser la conformité et à réduire le risque de violation des données sans pour autant ralentir les projets. L’association du masquage des données et de la virtualisation des données est une solution que les entreprises peuvent mettre en œuvre pour atteindre le niveau de sécurité imposé par le RGPD, garantir la conformité et distribuer les données rapidement pour accélérer les initiatives critiques de l’entreprise. »

« Le RGPD instaure l’approche de la carotte et du bâton pour promouvoir le masquage des données. En plusieurs points du texte de loi, les entreprises sont encouragées à adopter des technologies de pseudonymisation, soit dans le cadre d’une bonne gestion des informations, soit en réduisant le fardeau réglementaire en cas d’événements imprévus, tels que des incidents de sécurité. Les entreprises qui ne se conforment pas au RGPD s’exposent à de rudes coups de bâton de la part des organes de contrôle, notamment des amendes pouvant atteindre jusqu’à 4 % de leur chiffre d’affaires annuel mondial. Cela incite très fortement à faire les choses correctement » conclut Phil Lee, associé au sein de l’équipe Confidentialité, Sécurité et Informations chez Fieldfisher, cabinet d’avocats international.

080616_Infographie RGPD Delphix

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.