RGPD : des exigences prises en compte de diverses manières par les fournisseurs IT
Les fournisseurs informatiques essaient d’aider les entreprises à se conformer au nouveau cadre réglementaire européen. Mais les organisations clientes doivent changer leur culture de protection des données personnelles.
Le règlement général de protection des données constitue un vaste éventail de règles déterminant la manière dont les données personnelles doivent être gérées tout au long de leur cycle de vie.
L’ensemble peut s’apparenter à une lecture laborieuse, et la mise en pratique dans le cadre de cas d’usage bien réels est un défi pour beaucoup, à l’exception peut-être des experts en conformité réglementaire. Mais quoi qu’il en soit, le RGPD entre en application fin mai, et cela ne manque pas de rendre la tâche difficile à tous ceux qui sont impliqués.
Ces règles s’avèrent particulièrement pertinentes dans un contexte d’espionnage d’Etats et d’attaques de cyber-délinquants. Partant du principe que les données personnelles constituent un actif important pour un particulier, le RGPD définit des règles pour leur stockage, leur accès et leur administration, pour aussi longtemps qu’une organisation les conserve. Le chiffrement joue là un rôle clé, et le RGPD couvre aussi le suivi de qui peut accéder aux données, de la localisation de leurs copies et des droits des individus à les consulter et à les modifier.
Aller plus vite vers la conformité
Les fournisseurs IT s’impliquent de deux manières. Nombre d’entre eux proposent sensibilisation et support à leurs clients. Des livres blancs fournissent des détails et des infographies suggèrent des bases telles que « 12 étapes vers la conformité RGPD ».
Mais l’examen approfondi de ces synthèses met en évidence le besoin de changements majeurs dans la culture IT des organisations, tout particulièrement en matière de discipline dans la gestion des données. L’accompagnement est souvent nécessaire, soit pour la formation d’un responsable de la mise en œuvre, positionné comme un consultant interne, soit en faisant appel à un expert externe.
Les exigences du RGPD s’appliquent tant aux activités internes qu’à celles s’appuyant sur l’externalisation, jusqu’à l’utilisation d’applications en mode SaaS. Dès lors, il est important de s’assurer de la conformité de ses partenaires.
Les organisations ne devraient pas prendre pour argent comptant des affirmations de conformité, mais conduire des audits de gouvernance de leurs partenaires. Et cela d’autant plus que le RGPD peut faire mal, sous la forme de sanctions pécuniaires.
Les fournisseurs de services cloud portent donc aussi leur part de responsabilité, ce qui constitue un changement par rapport aux réglementations antérieures. AWS, notamment, l’a bien compris, renforçant son support du chiffrement des données au repos ainsi que des clés administrées par ses clients. Le service propose aussi un outil utilisant l’apprentissage automatique pour catégoriser les données, Macie.
Ce qui doit se passer
Clairement, il y a aujourd’hui beaucoup de matière pour aider à sensibiliser et à préparer la mise en conformité. Mais le logiciel doit aussi évoluer. Les enregistrements de données et les fichiers doivent être traités différemment dès lors qu’ils contiennent des données personnelles.
Il faut en outre mettre en place des mécanismes additionnels de suivi des copies de données, des contrôles pour la gestion de leur cycle de vie, ou encore des accès. La bonne nouvelle est que la plupart des éditeurs et clients européens ont compris les enjeux, même si une importante part de code développé en interne doit progresser – en particulier le code Cobol patrimonial.
Le problème est que le RGPD est, en réalité, une initiative mondiale qui touche tous ceux qui ont des activités auprès de particuliers européens. Avec la menace d’une sanction pouvant s’élever à 4 % du chiffre d’affaires mondial pour non-conformité délibérée, c’est quelque chose qui ne peut pas être négligé.
En fait, le RGPD est, à la manière des règlementations américaines sur les données de santé, ou encore le célèbre Sarbanes-Oxley, une tentative d’amener les entreprises à faire quelque chose qu’elles ont ignoré jusqu’ici : protéger activement les données personnelles de leurs clients.