Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Commvault : Le GDPR, c’est déjà pour demain… Comment être prêt ?

août 2017 par Commvault EMEA

Reconnu à ce jour comme le règlement le plus dur de la protection de la vie privée et le plus important, le GDPR a été adopté en avril 2016 et prendra effet le 25 mai 2018. Il transformera le paysage des données personnelles et plus précisément ce qui concerne leur collecte et leur utilisation. Il obligera les entreprises et le secteur public à effectuer des analyses profondes sur la façon dont ils gèrent et exploitent les données privées. L’approche « il est moins cher de payer l’amende que de se conformer à la loi » sera inenvisageable, car les régulateurs auront la possibilité d’imposer de lourdes pénalités pour des violations majeures et les organisations pourront faire face à des amendes allant jusqu’à 20 millions d’euros ou 4% de leur revenu global annuel.

L’objectif du GDPR est de faire pencher la balance du pouvoir vers les individus auprès desquels les données sont collectées. Cela a des implications majeures pour toute organisation qui gère les informations personnelles des citoyens de l’UE. Avec moins d’un an avant l’entrée en vigueur du GDPR, les entreprises doivent se préparer d’urgence pour éviter de se faire sanctionner.

Les défis à relever

La complaisance de l’entreprise est l’un des plus grands obstacles à la conformité au GDPR, et de nombreuses organisations n’ont pas encore mis en place de processus, de formations et de technologies appropriés. Bien qu’il ne soit pas trop tard, les DSI ont du mal à appliquer ces règles parfois ambiguës et techniquement exigeantes avant la date butoir de 2018.

Pa ailleurs, les organisations mondiales s’échinent à trouver un équilibre entre les deux plus grands marchés, les États-Unis et l’UE, qui semblent se diriger dans des directions diamétralement opposées en ce qui concerne la confidentialité des données. L’un des ordres exécutifs du président Trump vise à supprimer la loi de protection des données proposée par son prédécesseur, qui, bien que moins stricte que le GDPR, aurait imposé un certain nombre d’obligations et de restrictions aux organisations par rapport à l’utilisation des données personnelles.

Encore plus inquiétant, le Privacy Shield, qui a été conçu pour atténuer les craintes concernant les données privées des citoyens européens qui sont gérées par les entreprises et les organisations américaines, peut être remis en question. Sans ce dispositif, les entreprises de l’UE ne pourront plus faire appel à des entreprises américaines pour stocker ou traiter des données car elles ne seront plus en conformité avec la nouvelle régulation.

Que peuvent faire les entreprises ?

Quoi qu’il se passe aux États-Unis, lorsqu’il s’agit du marché européen, les entreprises vont devoir revoir leur fonctionnement afin de pouvoir respecter les articles et les principes les plus exigeants du GDPR. Il s’agit notamment du droit à l’oubli, de la protection des données, d’en assurer la confidentialité, l’intégrité, la disponibilité et la résilience. Les organisations doivent aussi notifier une violation de données en moins de 72 heures, et proposer le transfert des données et la portabilité.

Pour atteindre les objectifs de conformités, les organisations vont devoir adopter des pratiques de gestion des données et de sécurité beaucoup plus efficaces et strictes que celles en place actuellement. Il est crucial que les entreprises sachent exactement où et comment sont collectées les données et de quelle façon elles sont utilisées et stockées. Il est également important de connaître quels systèmes ont accès à ces informations. Certains estiment que les données non structurées constituent le vrai défi car elles se répandent facilement au sein des systèmes internes et des ordinateurs portables et peuvent potentiellement « fuiter » sur des cloud et des terminaux tiers.

Dès lors, d’un point de vue de conformité au GDPR, les données structurées semblent être plus faciles à gérer. Cependant les grandes organisations souffrent d’un échelonnement des applications et ont par conséquents du pain sur la planche. De plus, il faut en même temps assurer la conformité entre les données non structurées sur les serveurs de fichiers, les e-mails et les terminaux, avec potentiellement des centaines ou plusieurs milliers d’utilisateurs autorisés. Il s’agit d’une question particulièrement urgente étant donné que les données non structurées représentent en général près de 80% des données relatives aux entreprises. Alors se pose la question de comment atteindre de tels objectifs alors que la plupart des entreprises disposent d’un si grand nombre de divers produits de gestion de données ?

Une approche plus simple

Plusieurs organisations ont décidé de consolider les opérations les plus critiques de protection, de conformité et de découverte des données sur une seule plate-forme unifiée. Cela permet à l ‘entreprise d’avoir une vision claire sur les applications et les données non structurées qu’elle détient, et ainsi pouvoir respecter les articles et les principes clés du GDPR et être en mesure d’assurer la conformité auprès du régulateur.

Une fois que les processus de gestion des données sont effectués par cette plate-forme unique, il est possible de créer un index de toutes les données, ce qu’il est impossible de faire en combinant plusieurs solutions de gestion des données. Une plateforme unique fournit une base solide pour la gestion des informations et offre la visibilité et le contrôle nécessaires pour répondre aux éléments les plus exigeants du GDPR relatifs aux données personnelles.

Une approche intégrée offre une vue d’ensemble permettant d’optimiser les contrôles d’accès, de consolider autant que possible et de prioriser les efforts de sécurité tout en permettant une réactivité accrue aux demandes d’accès. En outre, il est possible d’automatiser l’application de la politique de rétention dans un paysage de données, y compris en réduisant considérablement les risques liés aux terminaux.

L’analyse des données signifie que l’on peut s’assurer que les informations sensibles ont un niveau de sécurité adapté et en cas de violation, l’entreprise peut mieux et plus rapidement comprendre la portée de l’impact. Si les données sont vandalisées, une récupération rapide de ces dernières est d’une importance capitale selon le type de violation.

A moins d’une année avant l’application du GDPR et une pression grandissante sur les organisations, le défi peut paraître intimidant, mais il est certainement atteignable. Après tout, personne ne veut être dans la position peu enviable de servir « d’exemple à éviter » et de se faire sévèrement sanctionner.


Voir les articles précédents

    

Voir les articles suivants