Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité des données : la législation européenne évolue, les entreprises se responsabilisent

février 2018 par Patrick Rohrbasser, ‎Regional Vice-President Veeam France

De grosses quantités de données sont transférées quotidiennement par les entreprises, les autorités publiques et les utilisateurs individuels vivant dans l’Union européenne entre les différents Etats qui disposent chacun de leurs propres règles en matière de protection des données. La directive européenne du Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais), entrée en vigueur le 5 mai 2016, permettant d’apporter un cadre pour la protection des données, devra être appliquée par l’ensemble des Etats membres de l’Union européenne d’ici quelques semaines, le 6 mai 2018. Elle vise à redonner aux citoyens le contrôle sur leurs données personnelles, et à simplifier l’environnement réglementaire des entreprises, tout en permettant à tous les acteurs de tirer au maximum partie de l’économie digitale.

Quelles seront les conséquences de cette nouvelle directive pour les entreprises ? Les données peuvent-elles tomber entre de mauvaises mains ? A quelles obligations les entreprises qui stockent des données doivent-elles désormais faire face ?

La responsabilité des entreprises

Aujourd’hui, les gouvernements du monde entier reconnaissent l’importance de la sécurisation des informations et incitent les entreprises à appliquer la réglementation en vigueur, en particulier les directives hors sites pour la protection et la prévention de la perte des données. Le cloud est la technologie que les entreprises doivent privilégier, car elle simplifie la protection et la sauvegarde des données.

Le caractère flexible, évolutif et économique du cloud hybride représente un véritable intérêt pour les administrateurs informatiques. Son usage est en plein développement sur le marché français, où 25% des entreprises ont déjà mis en place une infrastructure informatique basée sur le cloud hybride. Avec la nouvelle directive européenne, les patrons d’entreprise doivent maintenant s’assurer que toute information personnelle obtenue de la part d’un utilisateur individuel, par exemple lors d’une procédure d’inscription à un service, soit récoltée de façon légitime. Le choix du système de stockage des données devient alors un élément essentiel et par la même occasion le choix du fournisseur adéquat pour soutenir l’entreprise dans cette adaptation réglementaire. Néanmoins, les dispositions de protection prévues par la GDPR dépendent du type de données concernées et du secteur d’activité de l’entreprise ; cela implique que, dans certains cas, une directive sectorielle préexistante qui serait plus contraignante que la directive européenne vienne la supplanter.

De nouvelles règles à appliquer

Chaque entreprise doit impérativement protéger les informations qu’elle détient en version électronique, et sauvegarder régulièrement tous ses documents, en privilégiant l’adoption de la « règle 3-2-1 » : garder 3 copies différentes de ses données, sur 2 supports différents, incluant 1 de ces emplacements hors site. D’autre part, l’entreprise doit également dispenser une formation de protection des données à tous les collaborateurs qui ont accès à ces informations, en insistant sur l’importance de ne pas transmettre ces informations personnelles à un individu ou une organisation tierce, sans l’accord express de la personne concernée.

Mais conserver les données dans un emplacement sécurisé ne suffit pas : il faut aussi qu’elles soient mises à jour régulièrement et qu’elles ne soient pas conservées au-delà du temps nécessaire. En conséquence, une entreprise doit impérativement retirer de son système les données de ses clients dont le contrat arrive à terme ou a été prématurément clôturé. De manière générale, toute entreprise qui conserve des données personnelles doit appliquer des mesures de sécurité adaptées, afin d’empêcher d’autres entreprises ou utilisateurs tiers d’accéder à ces informations de façon illégale. Cela passe notamment par des accords conclus avec les fournisseurs cloud, pour s’assurer de la mise en place d’une solution appropriée d’exportation des données à l’extérieur de l’Union européenne.

Enfin, la protection des données ne peut être considérée comme complète sans la mise en place d’une solution efficace de continuité d’activité, destinée à sauvegarder ces dernières et à relancer rapidement l’activité en cas d’interruption et de défaillance du système. A l’heure actuelle, les organisations adoptent encore bien trop souvent la politique de l’autruche en ce qui concerne les risques d’interruption d’activité, et hésitent à investir dans une solution de reprise après incident qui est pourtant dans leur intérêt. En effet, les solutions DRaaS (Disaster Recovery as a Service) hébergées dans le Cloud leur offrent de nombreux avantages. Et selon les prévisions de Gartner, plus de 50% des plans de reprise après un sinistre s’appuieront sur des services cloud en 2018. Pour finir, rappelons qu’en Europe, aucune information ne peut être transférée dans un Etat non-membre de l’Union Européenne sauf en cas d’exemption. Cela signifie que toute information privée détenue par une corporation ou une entreprise ne peut être rendue disponible sur le web ou dans les autres data centers. Le principal objectif de la Directive sur la Protection des Données est de protéger les individus et d’assurer que toutes les informations d’ordre privé détenues sur des bases de données distinctes soient gardées en sécurité.

En théorie, toutes les entreprises devraient déjà avoir mis en place des mesures adaptées de conservation et de protection des données, ainsi qu’un accès garanti aux données pour des besoins d’identification ou d’effacement. Pourtant, ce n’est pas encore le cas pour de nombreuses PMEs. Dans ce contexte, il est devenu impératif pour les entreprises de rester informées de ce que la loi leur impose en matière de sécurité des données qu’elles détiennent, en ayant bien en tête l’échéance de mai 2018 pour appliquer la GDPR.




Voir les articles précédents

    

Voir les articles suivants