Comment se préparer au RGPD ?
Les organisations non conformes au règlement général de protection des données s’exposent à d’importantes pénalités. L’expert Matthew Pascucci se penche notamment sur la manière dont Microsoft se prépare.
Microsoft s’est récemment engagé à se conformer au règlement général de protection des données (RGPD), pour tous ses services cloud, dès la fin de ce mois de mai. Toutefois, les organisations doivent encore prendre des mesures pour éviter des sanctions. Que fait Microsoft pour se préparer effectivement, et comment les entreprises devraient-elles s’y prendre de leur côté ?
Microsoft a pris des dispositions pour protéger les données qu’il détient dans le Cloud avant l’entrée en vigueur du RGPD. L’éditeur est l’un des principaux fournisseurs de services cloud à travers le monde, et va devoir respecter les exigences rigoureuses de la règlementation européenne pour poursuivre ses activités à l’heure du RGPD.
Dans ce cadre réglementaire, l’Europe peut contrôler la manière dont les entreprises collectent, traitent ou stockent des données de ressortissants de l’Union. Elles doivent donc se conformer à la réglementation pour sécuriser la confidentialité des utilisateurs. Il s’agit donc ainsi de pousser les entreprises du monde entier à se conformer aux règles définies par l’Europe si elles souhaitent continuer à traiter avec ses citoyens. Ce peut être un défi pour certains commerçants en ligne.
Le RGPD impose que les européens soient informés immédiatement de la durée de rétention de leurs données, et qu’il leur soit possible de faire supprimer ces données s’ils s’opposent à leur conservation, sur simple demande. Pour les entreprises, cela implique non seulement une forme de transparence, mais également la connaissance du stockage de ces données et des traitements qui leur sont appliquées. Les conséquences, sur l’infrastructure informatique, ne sont pas négligeables.
Comment se conformer ?
Pour se conformer aux exigences du RGPD, il convient notamment de conduire une évaluation complète des systèmes hébergeant les données et des risques auxquels ils sont exposés, mais également de désigner un responsable de la protection des données, et de prévoir des processus de notification des brèches éventuelles.
Se préparer à être conforme au RGPD implique aussi de vérifier que ses prestataires de services et applications cloud sont eux-mêmes conformes à ce cadre réglementaire. Il est là essentiel de bien connaître sa chaîne logistique cloud. Cela signifie aussi que toute organisation touchant de près ou de loin des données personnelles de citoyens européens doit comprendre leurs flux complets, entre stockage, transmission, traitement, et même sauvegarde.
Suivre les recommandations liées à la journalisation et à la suppression des journaux est extrêmement important : la conformité peut être extrêmement difficile à atteindre pour les entreprises qui ne comprennent pas pleinement leurs flux de données.
Enfin, il est plus que prudent d’échanger sur le sujet avec son conseil juridique, et de chercher conseil auprès de spécialistes du RGPD pour vérifier que l'on s'attèle de manière appropriée au sujet afin de sécuriser ses activités auprès des ressortissants de l’Union Européenne.