Le RGPD (Règlement Général sur la Protection des Données) appelle toutes les entreprises européennes à masquer leurs données par défaut
Delphix, leader mondial de la virtualisation de données, envoie aux entreprises un sérieux avertissement concernant la nécessité de repenser leur architecture opérationnelle et d’adopter une approche sécurisée priorisant les données avant l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) adopté par l’Union Européenne. Dans le cadre du RGPD, les entreprises qui stockent ou traitent des données européennes auront l’obligation d’intégrer la protection des données à la conception et à l’infrastructure de leurs systèmes, sous peine de se voir sanctionner par des amendes pouvant atteindre jusqu’à 4 % de leur chiffre d’affaires annuel mondial. Plus particulièrement, les entreprises sont tenues d’examiner de près la sécurité des données de non-production qu’elles utilisent pour développer et tester leurs systèmes. Une étude indépendante a révélé que 90 % des données de non-production ne sont à l’heure actuelle pas masquées par les entreprises, ce qui pose un risque considérable en termes à la fois de sécurité et de conformité.
« Le RGPD introduit une structure punitive, similaire aux mesures des lois sur la concurrence visant à empêcher l’entente sur les prix, qui concentre l’attention sur le risque de non-conformité », déclare Iain Chidgey, Vice-Président des Ventes Internationales chez Delphix. « Ces dernières années, nous avons vu de grandes entreprises payer des centaines de millions de dollars en amendes à la suite de scandales pour ententes sur les prix. Certaines ont même été placées en redressement judiciaire. Le RGPD risque d’avoir le même effet. C’est pourquoi les entreprises doivent avoir une totale visibilité sur leurs données, et traiter les données de non-production avec le même profil de sécurité que les données réelles. »
Le RGPD impose des mesures renforcées de sécurité des données pour garantir la conformité, en spécifiant notamment l’utilisation de la « pseudonymisation ». Ce processus consiste à masquer les données confidentielles de manière à ce qu’elles perdent leur caractère nominatif, d’où une meilleure protection des données au cas où celles-ci viendraient à tomber entre de mauvaises mains.
Le RGPD incite également au masquage des données dans différents cas :
- En cas de violation de données
Si les données compromises posent un faible risque pour les individus concernés (par exemple du fait du masquage des données), les obligations de notification des organes de contrôle et des individus concernés peuvent ne pas s’appliquer. Sinon, les entreprises doivent procéder à la notification dans un délai de 72 heures, un délai très court en cas de violation grave.
- En cas de demande de divulgation de données
Si les entreprises peuvent démontrer que les individus ne peuvent pas être identifiés à partir des données masquées qu’elles détiennent sans informations supplémentaires, elles peuvent alors être exemptées de l’obligation de communiquer les données en réponse à une demande d’accès aux données ou d’effacer les données sur demande.
- Pour soutenir le profilage des données
Si les entreprises utilisent des données pseudonymisées, l’impact potentiel sur la vie privée de l’individu s’en trouve considérablement réduit. Cela implique qu’il est peu probable que les exigences de consentement explicite imposées par le RGPD concernant la prise de décision automatisée et le profilage soient applicables.
« Le volume étendu des copies de données dans les environnements de non-production nécessitera des technologies capables de protéger efficacement toutes les données, et pas seulement les fragments d’informations les plus sensibles » poursuit Iain Chigdey. « Pour satisfaire aux futures exigences de la protection des données, la première étape est de bien savoir où résident toutes les données dans les environnements informatiques. La deuxième étape est d’adopter la nouvelle vague d’innovations informatiques destinées à favoriser la conformité et à réduire le risque de violation des données sans pour autant ralentir les projets. L’association du masquage des données et de la virtualisation des données est une solution que les entreprises peuvent mettre en œuvre pour atteindre le niveau de sécurité imposé par le RGPD, garantir la conformité et distribuer les données rapidement pour accélérer les initiatives critiques de l’entreprise. »
« Le RGPD instaure l’approche de la carotte et du bâton pour promouvoir le masquage des données. En plusieurs points du texte de loi, les entreprises sont encouragées à adopter des technologies de pseudonymisation, soit dans le cadre d’une bonne gestion des informations, soit en réduisant le fardeau réglementaire en cas d’événements imprévus, tels que des incidents de sécurité. Les entreprises qui ne se conforment pas au RGPD s’exposent à de rudes coups de bâton de la part des organes de contrôle, notamment des amendes pouvant atteindre jusqu’à 4 % de leur chiffre d’affaires annuel mondial. Cela incite très fortement à faire les choses correctement » conclut Phil Lee, associé au sein de l’équipe Confidentialité, Sécurité et Informations chez Fieldfisher, cabinet d’avocats international.