Jackin - Fotolia
Des applications Cloud non conforme aux règles européennes de protection des données
Les éditeurs d’applications Cloud et leurs utilisateurs vont faire face à de nouveaux défis pour se conformer aux nouvelles règles européennes de protection des données personnes qui doivent entrer en vigueur dans moins de deux ans.
Selon une nouvelle étude, rien moins que 75 % des applications Cloud utilisées dans les entreprises s’avèrent non conformes à la nouvelle réglementation européenne sur la protection des données personnelles. Elaborée depuis plusieurs années, celle-ci doit entrer en vigueur d’ici moins de deux ans.
Elle dispose notamment que toutes les entreprises, où qu’elles soient installées, protègent la confidentialité des données qu’elles collectent, stockent ou traitent, en lien avec un ressortissant de l’Union Européenne. Et la nature internationale du Cloud fait que, mécaniquement, de nombreuses entreprises sont susceptibles d’être exposées à d’importants défis de conformité, parfois même à leur insu. Il suffit pour cela qu’elles utilisent une plateforme en mode Cloud pour stocker ou traiter les données de ressortissants européens.
« L’adoption du Cloud fait émerger des défis de sécurité croissants tant en nombre qu’en complexité. Et cela recouvre des réglementations comme celle adoptée par l’Europe », explique Sanjay Beri, président et fondateur de Netskope. « Alors que l’échéance approche, une visibilité complète et un contrôle en temps réel sur les usages et activités au sein des applications, de manière centralisée et cohérente, deviennent essentiels pour les entreprises, pour pouvoir comprendre comment elles utilisent et comment elles peuvent protéger les données personnelles de leurs clients ».
Deema Freij, directeur d’Intralinks en charge de la confidentialité des données, relève de son côté que « c’est la première fois que les opérateurs de traitements de données sont confrontés à un risque de conformité direct avec une telle réglementation ». Jusqu’ici, la conformité relevait de la seule responsabilité de celui qui contrôlait les données, à savoir celui qui les collecte et les exploite : « désormais, tant celui qui contrôle les données que celui qui les traite sont responsables ».
Mauvaise nouvelle pour les applications Cloud
Pour l’édition de juin 2016 de son étude sur les services Cloud, Netskope s’est penché sur plus de 22 000 applications utilisées par les entreprises. Et selon lui, seulement 24,6 % d’entre elles affichent un niveau élevé de préparation à la conformité avec la nouvelle réglementation européenne. Netskope a noté les applications en fonction de 8 critères clés : exigences géographiques, rétention des données, confidentialité des données, propriété des données, protection des données, capacités d’audit, certifications, et présence d’un agrément valide pour le traitement des données.
Selon son étude, les applications Cloud échouent de différentes manières. Elles sont par exemple 62,3 % à ne pas préciser dans leurs conditions d’utilisation que, dans le cadre de la réglementation européenne, leurs clients sont propriétaires de leurs données. 46,4 % des applications étudiées conservent en outre les données plus d’une semaine après que leur client les a quittées, en infraction avec la réglementation de l’Union.
Pour Jamie Barnett, directeur marketing de Netskope, l’étendue du problème est considérable pour les entreprises : « on trouve plus de 900 applications Cloud en moyenne dans une entreprise. [Les DSI et RSSI] ne s’attendent pas à plus de quelques dizaines ».
Certaines applications sont bien connues, comme Bropbox, mais « il y a en beaucoup dont l’IT ignore jusqu’à l’existence, même si elles sont utilisées pour des besoins métiers tout à fait légitimes. Beaucoup de ces applications ne sont pas taillées pour les entreprises. Et alors que l’on s’approche de l’échéance pour la conformité avec la réglementation européenne sur les données personnelles, il devient de plus en plus important qu’elles le soient ».
En outre, relève Barnett, « même si vous utilisez une application comme Box ou Dropbox dont vous savez qu’elle va répondre à vos besoins internes et réglementaires, cela ne garantit pas votre conformité réglementaire. C’est le modèle de responsabilité partagée : l’éditeur du service doit s’assurer de vous fournir toutes les fonctionnalités requises, mais l’entreprise est responsable des protections à mettre en place et du contrôle des usages de ces applications. Puisque ces données rendent si simple la synchronisation et le partage des données, il faut s’assurer d’une gouvernance appropriée de leurs usages ».
Des stratégies à déployer
Stephen Cobb, chercheur en sécurité sénior chez Eset, souligne que la réglementation européenne va affecter tant les services Cloud que leurs utilisateurs. Ces derniers « vont probablement chercher à avoir l’assurance que leurs fournisseurs prennent soin de leur conformité réglementaire » - même si la manière dont ils vont répondre à la demande n’est pas encore très évidente. Mais une chose lui paraît bien claire : « chaque organisation devrait chercher à conserver une évaluation de la sécurité de ses données bien documentée et fréquemment mise à jour, à portée de main. Conformité réglementaire ou pas, c’est ce qu’il faudrait faire. La réglementation n’est qu’une raison de plus pour le faire ».
Barnett suggère de « commencer par regarder un peu au-delà des applications les plus utilisées, parce que vous verrez que la plupart de ces applications, même peu utilisées, peuvent contenir des données importantes. Ceux qui contrôlent les données doivent savoir quelles applications sont utilisées, un point c’est tout. C’est la toute première étape. Ensuite, ils doivent savoir où les données personnelles résident dans leur environnement ». Au-delà, il convient, selon Barnett, de vérifier que les applications Cloud utilisent des mesures de sécurité appropriées pour protéger les données personnelles contre la perte, l’altération ou le traitement non autorisé – et qu’elles n’utilisent pas les données personnelles à des fins de marketing.
Pour Freij, le sujet risque de donner lieu à d’intéressants bras de fer entre clients et fournisseurs de services Cloud : « vous, en tant que contrôleur de données, allez vouloir imposer à votre opérateur de traitement de données des obligations et responsabilités contractuelles. Donc, il y a l’obligation contractuellement entre les parties, ainsi que le risque et l’obligation de conformité sur celui qui traite les données. En fait, ce que l’on va commencer à observer, ce sont de plus en plus d’opérateurs de traitement des données – les fournisseurs de services Cloud – devenant très très agressifs dans les négociations contractuelles ».
Enfin, selon Cobb, la question de cette nouvelle conformité réglementaire « devrait être une priorité du troisième trimestre pour toutes les entreprises, afin que toute la direction soit pleinement informée de ses implications avant l’entrée dans le quatrième trimestre ».
Adapté de l’anglais.
Pour approfondir sur Stockage en Cloud
-
DMA : face aux géants de la Tech, l’UE régule, les États-Unis reculent
-
Données personnelles : la multiplication des projets de loi européens perd les DPO français (étude)
-
Confidentialité et gouvernance des données : les quatre risques créés par la pandémie (EY)
-
Comment Euroclear sécurise ses flux Web et ses accès distants