RGPD et Cloud : Repartir sur des bonnes bases

25 juin 2018/Charlotte Petyt

Le 25 mai, le Règlement général sur la protection des données (RGPD) est entré en application. Tous les métiers de l’entreprise sont concernés, mais également les sous-traitants qui hébergent de telles informations. Ce texte européen oblige à revoir de nombreux processus.

Le RGPD est là ! Deux ans après sa validation, ce texte regroupant presque 100 articles présente plusieurs particularités.

  • Premièrement, c’est l’un des rares règlements européens qui a permis aux entités concernées d’avoir deux ans pour s’y préparer et être ainsi en conformité.Dans la réalité, on constate que de très nombreuses entreprises ne s’y sont intéressées que depuis quelques mois, voire quelques semaines !
  • Or, la deuxième particularité du RGPD est très importante : il concerne toutes les entreprises et administrations. Peu importe leur pays d’origine et leur activité : dès qu’elles collectent ou traitent des données personnelles de citoyens européens, elles doivent respecter le RGPD.

Le RGPD a donc un impact sur le cloud puisque cette réglementation se focalise sur « le traitement » des données. Pour le législateur, le « traitement » regroupe toutes les opérations effectuées (ouverture, modification, téléchargement, copie...) ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel.

Le DPO (Délégué à la protection des données) de l’entreprise doit donc demander (et vérifier) aux DSI ou aux responsables informatiques de mettre en place des procédures permettant de respecter les droits des citoyens européens, en particulier ceux liés à la portabilité et à l’effacement.

Le Shadow IT : la bête noire des DSI

Mais avant de mettre en place ces procédures, il faut impérativement réaliser une cartographie exhaustive du Système d’information. Cela inclut l’infrastructure interne, mais aussi le cloud. Toutes les applications traitant de données à caractère personnel doivent être répertoriées. Un casse-tête avec la multiplication du Shadow IT !

Une étude récente du CESIN (Club des Experts de la Sécurité de l‘Information et du Numérique) révèle en effet qu’en moyenne 1.700 CloudApps sont véritablement utilisées par entreprise. Or, de nombreux DSI ou responsables informatiques pensent qu’il n’y en a que 30 à 40 dans leur entreprise ! Les plus utilisées sont Workplace by Facebook et Google Drive.

Il est donc indispensable de s’appuyer sur des solutions dites de Data discovery pour repérer toutes les bases de données et parcourir les Data lakes.

L’étape suivante consiste selon certains à anonymiser les données ou à les masquer. Mais cette technique ne suffit pas. Remplacer des noms et des prénoms par des caractères comme * ou # ne permet pas d’assurer une réelle confidentialité. La corrélation de données permet toujours d’identifier une personne comme l’a rappelé le G29 (regroupement des CNIL européennes).

Co-responsabilité

Le chiffrement va donc se généraliser pour les échanges d’informations, mais aussi pour le cloud. Mais là aussi, des entreprises pourraient se heurter à une limite technique.

Le temps de chiffrement et de déchiffrement d’un Data lake peut être rédhibitoire s’il concerne la couche logicielle. Cela nécessite beaucoup plus de ressources que le chiffrement d’un disque dur. Il est donc indispensable de « prioriser » les données et de se concentrer sur celles à caractère personnel (mais aussi sur les informations confidentielles qu’il convient là aussi de protéger....).

Reste l’accès aux données dans le cloud. Comme toujours, l’être humain est pointé du doigt. Présenté comme le maillon faible, il peut être à l’origine d’erreurs ou d’actes malveillants. Comme pour la cybersécurité en général, le RGPD doit être l’occasion de sensibiliser les collaborateurs aux bonnes pratiques. Cette hygiène numérique sera bénéfique à toute l’entreprise car elle renforcera sa pérennité.

Parallèlement, les entreprises doivent mettre en place des solutions permettant de contrôler et d’identifier chaque personne se connectant à un service dans le cloud et qui traite de données privées.

Un reporting complet doit être disponible afin de disposer de traces en cas de fuite de données. Dans ce cas, l’entreprise aura 72 heures pour la notifier à la CNIL et préparer un dossier complet (précisant notamment l’origine de la faille de sécurité). D’où la nécessité de tenir à jour son registre des traitements. Il permet notamment de constater la mise en œuvre des traitements et ainsi de tracer les modifications, évolutions et accès.

Enfin, le RGPD impose une « coresponsabilité » entre l’entreprise et ses sous-traitants. Ces derniers doivent veiller à ce que les données aient été recueillies avec le consentement « explicite » des utilisateurs. Ils doivent aussi mettre en place des processus de sécurité et aider leurs clients à être en conformité avec ce règlement.

Mais selon l’article 26 du RGPD, le chef d’entreprise reste responsable des traitements appliqués aux données personnelles. Il doit donc s’assurer des garanties apportées par ses sous-traitants en matière de protection des données. Il est recommandé de faire vérifier par un avocat les contrats de vos sous-traitants vis-à-vis du RGPD, mais de façon générale, sur ses engagements concernant la sauvegarde de vos fichiers.

Au final, le RGPD oblige tous les acteurs du traitement des données à travailler main dans la main pour améliorer la sécurité des données personnelles. Et surtout ne pas voir le RGPD que sous le prisme des sanctions : « privacy is good for business » est le leitmotiv des Anglo-saxons. Les Français devraient s’en inspirer !

New Call-to-action

Charlotte Petyt
À propos de Charlotte Petyt : Charlotte est ce qu’on appelle « une passionnée de Cloud ». Ce qui l’anime, c’est la compréhension des problématiques des entreprises autour de la transformation digitale et l’évolution du marché du Cloud. Depuis 5 ans, elle travaille sur l’évolution des produits Scalair et de son outil de supervision : le CS Manager.

À lire ensuite

cas-usage-stockage-objet

Utiliser le stockage objet, oui mais pourquoi !?

Les volumes de données, qu’elles soient ou non structurées, augmentent à un rythme très rapide. Les systèmes de...

RGPD-Cloud-Repartir-Bonnes-bases-1

RGPD et Cloud : Repartir sur des bonnes bases

Le 25 mai, le Règlement général sur la protection des données (RGPD) est entré en application. Tous les métiers...

migration-business-case

Migration dans le Cloud : Créez votre "Business Case"

Le cloud présente différents aspects déterminants pour des entreprises. Mais avant d’en tirer profit, il...