Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Saas est-il un frein pour les entreprises à la mise en conformité RGPD ?

mai 2018 par Hervé Le Fell, Directeur de Snow Software

Ce n’est plus un secret pour personne le Règlement Général sur la protection des données (RGPD) ou General Data Protection Regulation (GDPR) entre en application à partir d’aujourd’hui pour toute entreprise, sans distinction de nationalité, qui collecte, manipule ou stocke des informations personnelles sur des citoyens ou des résidents de l’Union Européenne. Chaque entreprises européennes et non européennes qui échangent des données avec l’Europe a d’ores et déjà dû mettre en œuvre un plan de gouvernance des données, conforme au RGPD/GDPR, où : protection, transparence et traçabilité priment.

Tim Jesser, Director of Global Product Marketing chez Snow Software, leader mondial des solutions de gestion des actifs logiciels (SAM, Software Asset Management) et de gestion des dépenses dans le Cloud (CSM, Cloud Spend Management) met le doigt sur un problème de fond pour certaines entreprises : obtenir la conformité au RGPD est difficile mais le SAAS rend le processus encore plus compliqué.

« Les entreprises de façon générale accélèrent l’utilisation du SaaS et sont confrontées dans le même temps à la conformité GDPR. Les lois liées à cette réglementation sont nombreuses et variées, mais la plupart d’entre elles reposent sur une base simple : une compréhension de l’endroit où les données personnelles résident dans l’entreprise, qui y accède et comment sont-elles traitées ».

L’artefact principal de cette fondation est le « Record of Processing Activity » (RoPA), mandaté par l’article 30 du GDPR. Pour créer leur RoPA, les entreprises doivent découvrir et documenter tous les référentiels de données personnels utilisés, quelle que soit la plateforme. Cela nous ramène directement au SaaS. Alors que la plupart des entreprises ont une assez bonne idée de la localisation des référentiels de données personnels sur site, il n’en va pas de même pour les référentiels de données personnelles basés sur SaaS. Les outils et les méthodologies de découverte utilisés dans de nombreuses organisations sont axés sur les analyses de centres de données locaux. Ces outils sont souvent incapables d’effectuer une découverte automatisée des services Cloud pour trouver des référentiels de données personnelles basés sur SaaS. La deuxième raison est la manière dont de nombreuses applications SaaS sont achetées. Contrairement aux achats centralisés, les applications SaaS sont souvent achetées par des unités commerciales avec peu ou pas de services informatiques. Tout cela créer une lacune de visibilité dans laquelle les équipes informatiques (et les équipes GDPR qui s’appuient sur des rapports informatiques précis) ne parviennent pas à obtenir une image complète de tous les référentiels de données personnelles de l’entreprise. Sans cette image holistique, la base de données GDPR sur la visibilité des données personnelles est fragile et l’objectif ROPA critique est probablement incomplet et donc invalide. Il est important de noter que le manque de compréhension des référentiels de données personnelles basés sur le SaaS rend la conformité au GDPR impossible et ouvre la porte aux conclusions et amendes de l’audit. »

Tim Jesser, donne quelques conseils clés que les équipes RGPD peuvent mettre en application pour s’assurer que tous les référentiels de données personnelles sont pris en compte, quelle que soit la plate-forme utilisée :

1. Établir une découverte automatisée dans les environnements sur site et dans le Cloud
L’exécution d’un inventaire de données est un élément essentiel de la conformité GDPR. Les solutions de découverte automatisées peuvent aider les équipes à créer cet inventaire non seulement au départ, mais aussi à le mettre à jour de manière continue au fur et à mesure que de nouveaux systèmes - sur site et dans le Cloud - sont ajoutés ou supprimés. Les solutions de découverte automatisées garantissent la précision, car elles permettent de passer au crible des milliers d’applications et d’identifier facilement les solutions SaaS qui hébergent ou traitent des données personnelles.

2. Déterminer quelles données sont partagées avec les fournisseurs et comment ils les traitent
L’un des nombreux facteurs qui fait que le RGPD est complexe réside dans le fait qu’une organisation est responsable non seulement de s’assurer que des mesures de sécurité adéquates sont en place dans son propre environnement, mais également dans les environnements des fournisseurs avec lesquels elle partage les données personnelles de ses clients. Étant donné que de nombreux contrôleurs partagent des données personnelles avec des processeurs via des applications SaaS, le fait de connaître les données SaaS que l’entreprise détient permettra d’identifier les fournisseurs qui traitent ces données personnelles.

3. Catégoriser les données personnelles par type et savoir où elles résident
De nombreux processus RDGPD exigent que les organisations sachent non seulement où résident les données personnelles, mais également quel est leur type. Par exemple, pour gérer une demande de « droit à l’oubli », les entreprises doivent être en mesure de trouver les données personnelles pour un sujet spécifique, puis segmenter les données à supprimer et celles qui doivent être conservées.

4. Gérer l’accès aux données personnelles
À l’instar des solutions de découverte automatisées, la plupart des entreprises effectuent raisonnablement un bon travail de maintenance des contrôles d’accès pour les référentiels de données sur site. Quand il s’agit de SaaS, les organisations s’appuient souvent sur des hiérarchies de contrôle d’accès simplistes qui offrent une grande visibilité aux données personnelles. L’établissement de la visibilité et du contrôle des accès pour tous les référentiels de données personnelles, y compris les référentiels basés sur SaaS, est un élément essentiel de la conformité GDPR.


Voir les articles précédents

    

Voir les articles suivants