Dans un an à peine, le Règlement général européen sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. Les particuliers auront ainsi le droit d’obtenir sur demande des informations complètes sur le traitement de leurs données personnelles de la part des entreprises auxquelles ils ont confié leurs données dans le cadre d’une relation commerciale. Les entreprises seront à leur tour soumises au contrôle d’instances de contrôle étatiques, ce qui les obligera à veiller non seulement à la sécurité, mais aussi à la transparence de leurs processus de traitement des données.
Les entreprises ont une responsabilité particulière lorsqu’il s’agit d’utiliser des applications en nuage. Bien que le RGPD prévoie un partage des responsabilités entre les utilisateurs du cloud et les fournisseurs de cloud, ce sont les entreprises qui utilisent le cloud qui sont finalement tenues responsables. En tant que sous-traitants, elles jouent en quelque sorte le rôle de garde-fou entre leurs clients et les fournisseurs de services en nuage. En vertu du RGPD, il leur incombe désormais de veiller à ce que toutes les données collectées soient traitées uniquement de la manière à laquelle leurs clients et utilisateurs ont expressément consenti au préalable.
Un défi de taille si l’on considère que toutes les entreprises ne disposent certainement pas des ressources suffisantes pour s’adapter facilement à ce rôle. Pour sécuriser le front du cloud au cours des 12 mois restants, les entreprises doivent donc tenir compte des points suivants :
Table des matières
1. une « chasse » coordonnée aux données d’entreprise
Pour rendre l’infrastructure informatique de l’entreprise conforme au RGPD, le service informatique travaille généralement en étroite collaboration avec différents services et la direction afin d’établir un inventaire des procédures, c’est-à-dire une vue d’ensemble des processus de traitement de tous les types de données collectées – par exemple les données à caractère personnel, les données de contenu ou les données de trafic. Sont considérées comme données à caractère personnel non seulement les données personnelles, mais aussi d’autres données qui permettent d’identifier une personne physique, comme l’adresse IP. Pour les entreprises qui prévoient de passer au cloud ou qui l’ont déjà fait, cela signifie tout d’abord qu’elles doivent déterminer quels types de données clients trouvent leur chemin vers le cloud dans leurs activités quotidiennes et, surtout, comment elles y sont protégées. Par exemple, les données de contenu peuvent être déplacées vers des applications de messagerie en nuage ou les données de trafic peuvent y être transférées via certains outils d’analyse de sites web.
En fonction des capacités et de la charge de travail du personnel dans l’entreprise, il n’est certainement pas facile de déterminer dans quelle mesure quelles données vont migrer ou ont déjà migré vers le cloud. Mais quelqu’un doit le faire, ou en d’autres termes, quelqu’un doit en assumer la responsabilité. Il est certes important d’impliquer tous les responsables d’entreprise concernés dans le processus. Mais pour éviter la diffusion des responsabilités, ces efforts doivent être coordonnés. Il est trop tard pour modifier à nouveau le registre des procédures et tous les processus connexes – par exemple, l’obtention du consentement des clients – sur la base d’une nouvelle application en nuage introduite à la veille du RGPD. C’est pourquoi il convient de nommer suffisamment tôt le délégué à la protection des données propre à l’entreprise, exigé dans le cadre du RGPD, et de lui confier idéalement la coordination des processus pertinents pour le RGPD.
2) Identifier le traitement des données du côté des fournisseurs de cloud computing
Une fois le registre des procédures établi, il convient de demander à ses fournisseurs de cloud de lui remettre leur registre des procédures. La comparaison permet de déterminer dans quelle mesure le type de traitement et les normes de sécurité correspondent à ceux de l’entreprise ou, à l’inverse, dans quelle mesure ils vont au-delà et s’il faut obtenir un consentement plus large de la part des clients. En fonction des résultats, la déclaration de confidentialité de l’entreprise doit être mise à jour.
Le RGPD prévoit en outre une certification des fournisseurs de cloud. Différents labels de qualité doivent permettre de refléter de manière fiable le niveau de protection et de sécurité des données d’un fournisseur. Toutefois, aucune norme uniforme n’a encore été établie et la certification est volontaire. On peut certes supposer qu’à long terme, les labels de qualité deviendront de facto un critère de concurrence pour les fournisseurs de cloud. Mais il est impossible de savoir si tous les fournisseurs de services informatiques en nuage le feront à temps pour l’entrée en vigueur du RGPD. Afin d’être en sécurité à temps, les entreprises ne devraient pas compter sur le fait que le simple fait de regarder un label de qualité leur épargnera beaucoup d’efforts. Elles devraient plutôt examiner en détail les processus de traitement des données de leurs fournisseurs de cloud et veiller aux fonctions de sécurité mises en place, comme la prévention des fuites de données (DLP). Compte tenu des amendes qui peuvent être infligées aux entreprises si les fournisseurs de services informatiques en nuage qu’elles ont choisis ne font pas preuve d’une diligence raisonnable, il vaut la peine d’être extrêmement consciencieux lors de l’examen.
3. éviter le « shadow IT » et former les collaborateurs au RGPD
Avec les changements apportés par le RGPD, les entreprises devraient également accorder une plus grande attention à la question de savoir quels collaborateurs de l’entreprise ont accès à quels types de données et, surtout, à partir de quels appareils. Il devrait être exclu, dans la mesure du possible, que les collaborateurs puissent, par exemple après leur journée de travail, accéder à des données importantes de clients et de l’entreprise à partir d’un appareil privé non sécurisé et qu’ils puissent les enregistrer ou les traiter à leur guise avec d’autres applications cloud. De même, tous les collaborateurs doivent être conscients du fait qu’en cas de panne d’un service critique pour l’entreprise – par exemple une panne du serveur de messagerie – ils ne peuvent pas se rabattre entre-temps sur d’autres comptes de messagerie privés ou d’autres services librement disponibles pour pouvoir tout de même achever des correspondances urgentes avec leurs clients. Dans de tels cas, il est nécessaire de sensibiliser les employés à la sécurité des données et de définir des règles de conduite. De telles précautions nécessitent parfois le soutien du délégué à la protection des données et de la direction. Des mesures techniques, telles que le cryptage des données dans le nuage et la sécurisation de tous les appareils mobiles de l’entreprise, peuvent également contribuer à minimiser ces risques. Il est également utile d’élaborer un concept de droits et de rôles afin de segmenter les droits d’accès et de restreindre l’accès des utilisateurs aux données sensibles.
Le RGPD crée une norme européenne pour la protection des données à l’ère numérique. La manière dont la jurisprudence va évoluer dans le sillage de ce texte pour les fournisseurs de cloud et les entreprises qui utilisent le cloud doit encore être démontrée dans la pratique. Pour l’instant, l’introduction de processus conformes au RGPD représente un grand défi pour les entreprises – plus pour certaines, moins pour d’autres. Mais à long terme, cela offre également aux entreprises la possibilité de se démarquer de leurs concurrents avec leurs principes de traitement des données et d’élargir leur clientèle. Il vaut donc la peine de veiller consciencieusement, dès le début, à la sécurité des données des clients, tant au sein de l’informatique de l’entreprise que dans le cloud.
Eduard Meelhuysen, vice-président des ventes EMEA, Bitglass