Le 25 mai, le Règlement général sur la protection des données (RGPD) est entré en application. Tous les métiers de l’entreprise sont concernés par le RGPD, mais également les sous-traitants Cloud qui hébergent de telles informations. Ce texte européen oblige à revoir de nombreux processus. Le RGPD est là ! Deux ans après sa validation, ce texte regroupant presque 100 articles présente plusieurs particularités.
- Premièrement, c’est l’un des rares règlements européens qui a permis aux entités concernées d’avoir deux ans pour s’y préparer et être ainsi en conformité.Dans la réalité, on constate que de très nombreuses entreprises ne s’y sont intéressées que depuis quelques mois, voire quelques semaines !
- Or, la deuxième particularité du RGPD est très importante : il concerne toutes les entreprises et administrations. Peu importe leur pays d’origine et leur activité : dès qu’elles collectent ou traitent des données personnelles de citoyens européens, elles doivent respecter le RGPD.
Le RGPD a donc un impact sur le cloud puisque cette réglementation se focalise sur « le traitement » des données. Pour le législateur, le « traitement » regroupe toutes les opérations effectuées (ouverture, modification, téléchargement, copie…) ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel.
Le DPO (Délégué à la protection des données) de l’entreprise doit donc demander (et vérifier) aux DSI ou aux responsables informatiques de mettre en place des procédures permettant de respecter les droits des citoyens européens, en particulier ceux liés à la portabilité et à l’effacement.
Le Shadow IT : la bête noire des DSI
Mais avant de mettre en place ces procédures, il faut impérativement réaliser une cartographie exhaustive du Système d’information. Cela inclut l’infrastructure interne, mais aussi le cloud. Toutes les applications traitant de données à caractère personnel doivent être répertoriées. Un casse-tête avec la multiplication du Shadow IT!
Une étude récente du CESIN (Club des Experts de la Sécurité de l‘Information et du Numérique) révèle en effet qu’en moyenne 1.700 CloudApps sont véritablement utilisées par entreprise. Or, de nombreux DSI ou responsables informatiques pensent qu’il n’y en a que 30 à 40 dans leur entreprise ! Les plus utilisées sont Workplace by Facebook et Google Drive.
Il est donc indispensable de s’appuyer sur des solutions dites de Data discovery pour repérer toutes les bases de données et parcourir les Data Lakes.
L’étape suivante consiste selon certains à anonymiser les données ou à les masquer. Mais cette technique ne suffit pas. Remplacer des noms et des prénoms par des caractères comme * ou # ne permet pas d’assurer une réelle confidentialité. La corrélation de données permet toujours d’identifier une personne comme l’a rappelé le G29 (regroupement des CNIL européennes).
RGPD & Cloud : Co-responsabilité
Le chiffrement va donc se généraliser pour les échanges d’informations, mais aussi pour le cloud. Mais là aussi, des entreprises pourraient se heurter à une limite technique.
Le temps de chiffrement et de déchiffrement d’un Data lake peut être rédhibitoire s’il concerne la couche logicielle. Cela nécessite beaucoup plus de ressources que le chiffrement d’un disque dur. Il est donc indispensable de « prioriser » les données et de se concentrer sur celles à caractère personnel (mais aussi sur les informations confidentielles qu’il convient là aussi de protéger….).
Reste l’accès aux données dans le cloud. Comme toujours, l’être humain est pointé du doigt. Présenté comme le maillon faible, il peut être à l’origine d’erreurs ou d’actes malveillants. Comme pour la cybersécurité en général, le RGPD doit être l’occasion de sensibiliser les collaborateurs aux bonnes pratiques. Cette hygiène numérique (RGPD) sera bénéfique à toute l’entreprise utilisant du cloud car elle renforcera sa pérennité.
Parallèlement, les entreprises doivent mettre en place des solutions permettant de contrôler et d’identifier chaque personne se connectant à un service dans le cloud et qui traite de données privées.
Un reporting complet doit être disponible afin de disposer de traces en cas de fuite de données. Dans ce cas, l’entreprise aura 72 heures pour la notifier à la CNIL et préparer un dossier complet (précisant notamment l’origine de la faille de sécurité). D’où la nécessité de tenir à jour son registre des traitements. Il permet notamment de constater la mise en œuvre des traitements et ainsi de tracer les modifications, évolutions et accès.
Entreprise et sous-traitants
Enfin, le RGPD impose une « coresponsabilité » entre l’entreprise et ses sous-traitants. Ces derniers doivent veiller à ce que les données aient été recueillies avec le consentement « explicite » des utilisateurs. Ils doivent aussi mettre en place des processus de sécurité et aider leurs clients à être en conformité avec ce règlement.
Mais selon l’article 26 du RGPD, le chef d’entreprise reste responsable des traitements appliqués aux données personnelles. Il doit donc s’assurer des garanties apportées par ses sous-traitants en matière de protection des données. Il est recommandé de faire vérifier par un avocat les contrats de vos sous-traitants vis-à-vis du RGPD, mais de façon générale, sur ses engagements concernant la sauvegarde de vos fichiers.
Au final, le RGPD oblige tous les acteurs du traitement des données (Cloud) à travailler main dans la main pour améliorer la sécurité des données personnelles. Et surtout ne pas voir le RGPD que sous le prisme des sanctions : « privacy is good for business » est le leitmotiv des Anglo-saxons. Les Français devraient s’en inspirer !