Protection des données : faire du RGPD le point de départ d’une stratégie d’entreprise
En matière de gestion des données personnelles, les entreprises doivent faire du RGPD une priorité, mais elles devraient aussi avoir une vision plus étendue.
Avec l'arrivée imminente du Règlement Général sur la Protection des Données de l'Union européenne (RGPD), les entreprises sont sur le pied de guerre. Elles bataillent à mettre en œuvre des politiques et des contrôles adéquats pour, au final avoir la capacité de fournir des preuves vérifiables de leur conformité.
Pour les entreprises ayant une vision qui s’étend au-delà de ce règlement, le RGPD pourrait n’être qu’un point de départ.
Etre conforme au RGPD signifie être capable d’identifier et de protéger les informations portant sur les individus, stockées dans les systèmes de l'entreprise. Cela porte sur des données personnelles traditionnelles, comme les noms, les adresses électroniques et les numéros d'identification, jusqu'aux informations complémentaires qui décrivent les comportements ou les opinions d'une personne.
Cette dernière catégorie comprend à la fois les données de localisation virtuelle et physique - par exemple, les adresses IP des ordinateurs et des appareils électroniques, les cookies et les données de géolocalisation générées par les interactions GPS et les transactions d'étiquettes radiofréquence. Il englobe également les informations relatives à la santé et les données physiologiques, telles que les empreintes digitales, les scanners de l'iris et les données génétiques. Les messages sur les médias sociaux, les données raciales et ethniques, les opinions politiques et l'orientation sexuelle sont également couverts par le RGPD.
Le respect du RGPD pose des défis clairs en matière de gestion des données et de gouvernance, y compris pour les entreprises américaines qui commercent avec l’Europe. Toutefois, les questions liées à l'amélioration de la protection des données ne se limitent pas à ce qui est prescrit par le RGPD.
Les risques auxquels les entreprises sont confrontées peuvent également inclure l'exposition de la propriété intellectuelle de l'entreprise, des documents commerciaux importants, des communications restreintes et d'autres données sensibles. On se rappelle les fuites d'informations de la NSA, le piratage des comptes de messagerie appartenant au personnel du Comité national démocrate lors de de la campagne présidentielle d’Hillary Clinton. Chaque incident impliquait des données sensibles qui n'étaient pas exclusivement des données personnelles.
Aujourd’hui, priorité à la conformité, mais ce n’est que le commencement
Mais ces mesures d’observations du RGPD peuvent ne constituer qu’un point de départ. L’un des enjeux consiste alors à en faire abstraction pour répondre aux besoins d'une politique plus générale de protection des données. Une fondation en somme.
Il est certes pertinent de se placer d’abord du bon côté des règles du RGPD. Mais pourquoi ne pas envisager une stratégie plus globale, avec de nouvelles méthodes de gouvernance et de sécurité appliquées aux données sensibles. Cela pourrait être mis en place en suivant les étapes suivantes :
- Définir des catégories de "sensibilité des données". Les règles de protection et de gestion des données personnelles peuvent différer des règles de protection de la propriété intellectuelle. Par conséquent, la première étape consiste à décider quels niveaux de gouvernance et de sécurité sont requis dans les différents ensembles de données. Cette étude de sensibilité, ainsi que votre stratégie globale de protection des données, pourraient également inclure les données relatives aux cartes de crédit et les informations sur les paiements, les dossiers financiers, les business plans, les documents juridiques et les données de sécurité interne.
- Identification des données sensibles. Cette étape est plus complexe qu'il n'y paraît, surtout si l’entreprise n'a pas encore réfléchi à la nécessité de classer et d'organiser ses données. Et Il peut être révélateur de constater à quel point les données sensibles sont réparties entre les différents systèmes d'une entreprise. Il existe des outils qui identifient les données personnelles et les informations sensibles dans les systèmes. Toutefois, y intégrer une grande variété de données structurées et non structurées, documenter ce qu'elles contiennent et les classer en fonction de leurs catégories de sensibilité restent aujourd’hui compliqué.
- Appliquer des mesures de protection des données. Des politiques et des procédures de gouvernance des données doivent être créées pour chaque type de données. L’on peut y associer des outils de sécurité : déploiement de pare-feu et d'autres outils de sécurité périmétrique ; mise en place de contrôles d'accès, du chiffrement ; masquage des données ; ou encore verrouillage de documents.
- Surveillance de la non-conformité. Il est nécessaire d’intégrer des contrôles à l'environnement pour valider que les bons mécanismes de protection des données et de gouvernance sont appliqués aux bons endroits. Ces contrôles permettent de valider le fait que les données sensibles sont correctement gérées. Ils apportent également des capacités d’audit de la conformité avec le RGPD – ou d'autres exigences réglementaires.
En mettant en place ces pratiques, les entreprises disposent de moyens coordonnés pour protéger leurs données sensibles, et pas seulement pour se conformer à un règlement spécifique - même un règlement aussi important que le RGPD. Et en ce sens, la mise en conformité du RGPD pourrait bien n’être qu’un commencement.