Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conformité au GDPR : comment être dans les temps ?

novembre 2016 par Thierry Le Forban, Product Manager, Security & Servicing chez Monext

Nous le savons tous, la transformation numérique a bouleversé et continue de bouleverser notre quotidien, nos modèles économiques et modifie nos échelles de temps. On ne parle plus que d’instantanéité, de prédiction et d’anticipation.
Les technologies permettent de disposer de millions de « données consommateur », de les exploiter dans l’instant, et ainsi inciter à tel achat ou tel comportement. Ces données, nous les fournissons d’ailleurs volontairement ou involontairement à travers l’utilisation quotidienne de nos smartphones, tablettes, ordinateurs et de plus en plus d’objets connectés de toutes sortes.
Mais que se passe-t-il si ces données, nos données, sont dérobées et exploitées ? Les conséquences peuvent être dévastatrices…tant pour le consommateur que pour l’entité qui les détient.
Le GDPR, nouveau règlement européen[1], a notamment pour ambition de faire prendre conscience aux entreprises de la valeur des données personnelles et de les responsabiliser quant à leur utilisation et donc à leur protection...

Seulement deux ans pour se mettre en conformité

Même si la protection des données n’est qu’un volet d’un texte qui en comporte beaucoup d’autres (droit à l’oubli, portabilité des données, gestion des consentements…), en mai 2018, toute entreprise devra être en mesure de prouver à n’importe quel moment, que les données personnelles qu’elle détient (IBAN, numéros de téléphone, identifiants divers, etc.) sont protégées et surtout inexploitables en cas de vol. Le texte préconise à cet effet la « pseudonymisation » des données (c’est-à-dire les « anonymiser » de manière réversible) afin de garantir l’impossibilité de leur utilisation en cas de vol.

Pseudonymiser les données : le challenge d’y arriver seul

Outre la complexité et le coût du développement d’une technologie permettant d’anonymiser les données, la conformité au GDPR a des impacts techniques, organisationnels et juridiques importants, ne serait-ce « que » pour la gestion des consentements et le droit à l’oubli. Il faut répertorier les données, mesurer leur degré de sensibilité, mettre en œuvre des techniques permettant le niveau de protection correspondant à la finalité de leur traitement, etc. Tout ceci va bien sûr engendrer des charges importantes pour les DSI. Partir de zéro avec un délai de deux ans pour réussir est un challenge que seules les entreprises avec une DSI disponible vont pouvoir relever. Une DSI disponible ? Elle est déjà bien occupée à développer de nouveaux services, de nouvelles applications. C’est pourquoi, se reposer sur des outils et des services qui sont capables depuis des années de protéger des données sensibles de paiement en réalisant des centaines de millions d’opérations de tokenisation / dé-tokenisation par mois semble être une solution à privilégier.

L’expérience de la tokenisation des données de paiement au service des données personnelles

Pour les acteurs du paiement, la sécurité des données exigées par le GDPR n’est qu’une extension de ce qu’ils opèrent pour les données cartes depuis la mise en place de la norme PCI-DSS en 2006. Ce référentiel de sécurité peut d’ailleurs servir de guide pour la conformité GDPR.
C’est pourquoi, les grands noms des services de paiement sont à même de fournir à toutes les sociétés qui traitent et stockent des données sensibles à caractère personnel, de les protéger par un process de tokenisation. Cette technique permet de les éliminer de leur système d’information en les pseudonymisant, c’est-à-dire les remplacer par des alias (tokens), tout en préservant les résultats de leurs traitements.

Dans une économie numérique qui pousse les cybercriminels à se réinventer pour dérober les informations les plus importantes, le GDPR instaure une nouvelle gouvernance des données, indispensable pour mieux respecter le consommateur et favoriser de nouvelles utilisations de celles-ci, génératrices de nouveaux services et de nouveaux usages. Outre le risque financier, l’objectif pour les entreprises est de fidéliser leurs clients et d’en conquérir de nouveaux en renforçant leur « capital confiance », au-delà de la mise en conformité avec ce nouveau règlement. Et c’est tout de suite qu’il faut s’y atteler pour transformer ces risques en opportunités !


Voir les articles précédents

    

Voir les articles suivants