Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Schrems II : un an après, la situation juridique des transferts de données continue d’évoluer

août 2021 par Veritas Technologies

Il y a un an de cela, la CJUE (Cour de Justice de l’Union Européenne) rendait son verdict appelé « Schrems II » invalidant l’accord Privacy Shield utilisé pour légitimer le transfert de données personnelles entre l’UE (RGPD) et les États-Unis. En écho à la récente publication des clauses contractuelles révisées de l’UE, les entreprises ont désormais un défi supplémentaire à relever pour s’assurer que leurs flux de données transatlantiques restent conformes, sous peine de se voir infliger de lourdes amendes et de voir leur réputation entachée.

Dans un contexte d’économie numérique mondiale largement distribuée, le transfert légal des données est devenu une des opérations quotidiennes critiques pour toutes les entreprises. Et pour cause, les services cloud et clients, déployés à l’international, sont souvent situés en dehors de la zone UE. « Les entreprises qui s’appuient sur des transferts de données au-delà des frontières nationales doivent s’assurer du respect de l’article 44 de la RGPD et par conséquent garantir la protection des données », explique Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, chez Veritas Technologies.

Les entreprises qui transfèrent des données personnelles et/ou critiques en dehors de l’UE doivent s’adapter en permanence à l’évolution des problèmes et des réglementations autour de la conformité des données. Par conséquent, il est préconisé pour les entreprises d’automatiser la gestion des données tout en y incluant des systèmes de découverte, de catégorisation, et de contrôle de protection des données. 6 grands axes sont alors à travailler par les entreprises en ce sens :

• Localiser : Tout d’abord, les entreprises doivent pouvoir suivre les données au sein de leur infrastructure IT. Autrement dit, elles doivent être capables de déterminer comment et où les données sont utilisées, stockées, partagées et si celles-ci sont convenablement sécurisées. Une cartographie des données pourra permettre aux entreprises de disposer d’une vue d’ensemble complète. Il est également indispensable d’inclure les données cloud dans ce mapping et de vérifier sur les datacenters utilisés dans ce cadre sont établis dans l’UE ou non.

• Rechercher : Le RGPD, comme de nombreuses réglementations à travers le monde, accordent aux citoyens un droit de regard et d’accès à leurs données. Autrement dit, ils ont la possibilité de demander aux entreprises de partager les informations stockées et de donner plus de détails quant à leur utilisation. Face à de telle requêtes, les entreprises doivent agir vite et accéder le plus rapidement possible à la demande des dits citoyens. La mise en place d’un logiciel ou d’une plateforme dédiée à la gestion de données pourra alors les aider : en utilisant les métadonnées, les données pourront être indexées et par conséquent rapidement identifiées grâce à des mots ou expressions clés.

• Optimiser : Chaque fichier contenant des informations personnelles devrait avoir une date d’expiration et, à moins qu’il n’existe une obligation légale de le conserver, être automatiquement supprimé une fois obsolètes. De cette façon, seules les données essentielles seront conservées.

• Protéger : Le nombre d’attaques par ransomware a explosé au cours des derniers mois. Les entreprises n’ont alors d’autre choix que de se concentrer sur la protection des données personnelles contre les attaques, qu’elles proviennent de l’interne ou de l’externe. Une attaque réussie entrainant une violation de données personnelles doit être impérativement signalée aux autorités de régulation et de protection des données dans les 72 heures.

• Surveiller : Si une cyberattaque réussit, l’étape suivante consiste à définir clairement quelles données ont été affectées. Une solution professionnelle de gestion des données s’avère utile pour que les infrastructures de stockage complexes soient contrôlées automatiquement et en permanence afin de détecter toute irrégularité.

• Établir des politiques permet la mise en place de mesures pouvant être déployées rapidement et automatiquement. Pour que les différents outils puissent être adaptés à l’infrastructure informatique de chaque entreprise, il est également conseillé d’évaluer initialement le degré de maturité de conformité. Cela permet notamment de déduire les risques potentiels et de s’attaquer aux problématiques prioritaires.




Voir les articles précédents