Le marché de la Data a connu un développement spectaculaire ces dernières années. La Data est aujourd’hui partout, disponible tout le temps et représente un véritable trésor de guerre très convoité. Comme le montrent les récentes affaires dans des sociétés comme Yahoo, Sony, Ashley Madison, ou Orange.
Vus les dégâts engendrés par de tel vol de données confidentielles. L’Europe a considéré que le moment était venu d’instaurer de nouvelles règles de gouvernance. Ce qui permet de protéger au mieux les secrets des entreprises européennes et les consommateurs.
Cette prise de conscience a engendré le futur règlement européen RGPD. Il promet de faire mieux que ses prédécesseurs, les Safe Harbour et Privacy Shield. Et induit un besoin de profonds changements organisationnels, techniques et juridiques au sein des entreprises.
RGPD (Règlement général sur la protection des données) qu’est-ce c’est ?
C’est d’abord un bon moyen pour contraindre les entreprises à gérer le risque de vol données personnelles. Et minimiser également les risques financiers et d’image induits. Mais c’est aussi et surtout un nouveau moyen donné aux entreprises. Elles peuvent rassurer leurs clients, les fidéliser ou en conquérir de nouveaux en créant un « capital confiance ». Nous reviendrons dans un second temps sur ce point
Ce futur règlement va en effet induire un changement drastique dans la façon dont les entreprises traitent les données personnelles. L’objectif est de contraindre ces dernières à prendre les traitements des données personnelles VRAIMENT au sérieux. En associant par exemple des montants en cas de sanctions financières comparables à ceux des délits de corruption ou de cartel ! Par ailleurs, l’UE n’est pas la seule à être impliquée. Toutes les entreprises de par le monde qui collectent des informations personnelles de résidents UE sont soumises elles aussi au RGPD.
Qu’entend-on réellement par « données personnelles » ?
Le RGPD reprend la définition donnée par la CNIL : il s’agit « de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (nom, prénom, âge, pseudonyme, matricule, ethnicité, religion,…) »
Pour vous donner une idée. 75% des applications installées aujourd’hui sur les smartphones collectent des données personnelles* (contacts, localisation, appareil utilisé,…) bien souvent sans une information suffisante du consommateur.
Avec le RGPD, les entreprises devront recueillir un consentement vérifiable des résidents de l’UE , vérifiable étant défini comme explicite, éclairé et accordé librement. Chaque résident disposera également du droit de retirer son consentement à n’importe quel moment.
L’obligation de cliquer sur les conditions générales de vente ou autre contrat de services de 50 pages (que jamais personne ne lit) pour accéder à un service sera de fait bientôt un lointain souvenir. La collecte des données client devra servir la finalité du service. Et un formulaire de consentement spécifique pour chaque type de données sera requis. En effet, le RGPD exige que les consommateurs soient clairement informés pour chaque utilisation de leurs données personnelles sans obligation d’accepter les conditions contre l’accès à un service ou un produit.
Le pouvoir aux consommateurs
Les changements introduits par le GDPR accordent donc davantage de maîtrise aux citoyens européens. Notamment sur le traitement de leurs données personnelles. Dorénavant, chacun pourra accéder à ses données. Demander des rectifications ou aller plus loin encore en demandant l’effacement (le droit à l’oubli).
Le RGDP préconise également d’avoir recours à la « pseudonymisation » (remplacement d’un nom par un pseudonyme) pour empêcher l’utilisation des données en cas de vol.
Les 3 grands piliers du RGPD ? « Security by default », « privacy by design » et « accountability » :
Le nouveau règlement introduit des changements profonds dans la manière de concevoir la protection des données personnelles. En effet, la réflexion autour du respect de la vie privée doit être menée en amont. Et non plus à posteriori de la mise sur le marché des projets, produits ou services. De nombreuses entreprises ont déjà modifié leur processus de gestion de projet pour intégrer ces exigences de sécurité.
Prenons l’exemple d’un prestataire cloud pour comprendre ce que cela implique :
- Privacy by design : les infrastructures matérielles et logicielles utilisées par les providers cloud, devront intégrer nativement des mécanismes de protection des données personnelles. Par ailleurs, chaque fois qu’un traitement sur la donnée est lancé, ils devront obtenir le consentement express (opt-in) et spécifique de l’utilisateur pour cette utilisation précise.
- Security by default : la donnée personnelle doit être protégée nativement et le fournisseur cloud a l’obligation de procéder à un traitement sélectif de celles-ci. Ainsi seule la donnée nécessaire à la finalité poursuivie est traitée (principe de « minimalisation »).
- Accountability : le provider est soumis à l’obligation de prouver à tout moment qu’il répond bien aux exigences de protection des données au regard du règlement. Des mécanismes et des procédures internes doivent donc être mises en place.
Comment bien se préparer son entreprise à la mise en conformité ?
Selon une étude du cabinet Vanson Bourne qui a interrogé 500 entreprises de plus de 1000 salariés. Il ressort que les ¾ d’entre elles doutent de réussir leur mise en conformité à la date légale du 25 mai 2018. Elles s’avouent très inquiètes à propos de certains articles. Particulièrement ceux relatifs au droit à l’oubli, ou à la l’enregistrement et la sécurité des traitements. Enfin, la moitié des entreprises interrogées n’a pas encore nommé de Data Protection Officer (DPO). Ces inquiétudes correspondent pourtant précisément aux prérequis pour réussir sa transformation organisationnelle, juridique et technique.
- Organisationnel et juridique : nomination d’un DPO (Data Protection Officer)
Toutes les entreprises réalisant « un suivi régulier et systématique des personnes à grande échelle » ou qui traitent à grande échelle « des donnée dites sensibles ou relatives à des condamnations pénales et infractions » se trouvent dans l’obligation de désigner un DPO. Les secteurs tels que la banque, l’assurance, la santé, les télécommunications ou encore le marketing sont particulièrement concernés par cette obligation.
Le DPO sera le garant de la conformité et à ce titre devra veiller au respect des législations et réglementations en vigueur. Il deviendra également l’interlocuteur des autorités de contrôle. C’est à lui qu’incombe la lourde tâche d’inventorier et d’évaluer les traitements de données personnelles ainsi que la mise en œuvre d’une politique de protection adaptée.
- Technique : savoir gouverner, sécuriser et tracer l’ensemble des données personnelles
Le numérique complique particulièrement la surveillance de chaque occurrence d’information personnelle. Les données clients ont explosé tant en volume qu’en diversité. En outre, la localisation précise des données est devenue particulièrement complexe à cause de l’association des services cloud et du stockage interne (pour 68% des DSI « la complexité de leur système d’information entrave significativement leur aptitude à localiser leurs données à tout moment. » Etude Vanson Bourne)
La gouvernance des données personnelles est donc une condition sine qua none pour réussir sa mise en conformité. Les entreprises doivent inventorier et classifier toutes les données personnelles traitées. Et prendre en compte la gestion du cycle de vie de ces données en développant une culture de la privacy au sein de l’entreprise.
Le RGPD nécessite par ailleurs la mise en œuvre de mesures de sécurité à tous les étages. Les mesures existantes doivent être renforcées par des protections directement au niveau de la donnée. On parle de pseudonymisation comme évoqué précédemment, masquage, chiffrement, tokenisation, etc.
Enfin, le RGPD induit l’obligation de déclarer et de documenter dans le « registre des activités de traitement » tout incident dans les 72 heures, ce qui rend particulièrement critique le besoin de tracer toutes les actions entreprises sur les données personnelles, quel qu’en soit l’auteur.
Quels sont les défis techniques autour de la Data ?
Le premier défi est d’apprendre à catégoriser les Datas, entre Data privée, Data partenaires et Data publiques. Dans ce dernier cas, même si le cloud ne change pas fondamentalement l’exposition aux risques, il impose de questionner la confiance que l’entreprise place dans son prestataire Cloud. Et, d’adapter le niveau de sécurisation dans le contrôle d’accès, la traçabilité des données, leur chiffrement, leur anonymisation.
Nous venons par ailleurs de voir que le RGPD contraint l’entreprise et en particulier les DSI à mettre la gouvernance du cycle de vie de la donnée personnelle au centre de leur approche et ce pendant toute la durée de sa vie.
Notre recommandation méthodologique est la suivante :
- Engager dès maintenant une stratégie de gestion de la Data de l’Entreprise
Comme évoqué plus haut, savoir exactement où sont stockées les données personnelles peut être complexe. Les entreprises doivent pour cela consacrer une partie de leur investissement à la construction d’une architecture solide et agile pouvant les aider à suivre et gérer l’utilisation des données personnelles stockées dans leur système d’information. Une telle architecture nécessite une politique de sécurité stricte qui couvre l’intégralité des potentiels points de friction identifiés. C’est à dire, liens de partage au timing limité, partage de fichiers avec identifiants, méthodes de connexion sécurisées, cryptage des données, etc.
Chaque entreprise étant différente. C’est à elle qu’incombe de définir cette politique de sécurité en fonction des spécificités de son activité et des usages des données personnelles constatés.
- Contrôler rigoureusement les accès aux données
Le règlement oblige les entreprises à rendre des comptes dès que des données personnelles sont manipulées. Les fuites de données étant bien souvent liées à une erreur humaine, elles n’impliquent pas forcément les infrastructures IT elles-mêmes. Bien évidemment, il est impossible de sécuriser chaque partage de données vers le monde extérieur. Chaque entreprise doit donc avoir mis en œuvre les meilleures solutions possibles pour sécuriser au maximum les données partagées. Cela passe notamment par le déploiement de systèmes d’autorisations d’accès. Ils sont basés sur des rôles en fonction des usages et des besoins des collaborateurs et des partenaires.
- Superviser les échanges de données
Toutes les consommations inhabituelles et tous les incidents de sécurité doivent faire l’objet d’alertes temps réel. Il s’agit donc pour les directions IT de rentrer dans un schéma de surveillance constante et continue. Concrètement, cette nouvelle exigence nécessite la mise en œuvre d’outils adéquats. Tableaux de bord donnant une vision globale de tout ce qui se passe sur leur plateforme : suivi des partage, rapports d’activité, comportement des utilisateurs,…).
Le RGPD c’est donc de nouvelles contraintes…que vous pouvez transformer facilement en leviers de différenciation vis-à-vis de la concurrence !
L’obligation faite aux entreprises de mettre en œuvre des règles de sécurité lisibles. Assorties de contrôles facilement accessibles permettant aux clients de garder la main sur l’utilisation qui est faite de leurs données personnelles (« self-data ») est aussi le début d’une nouvelle ère pour les entreprises. Nouvelle ère qui permettra d’engager une relation durable basée sur l’honnêteté et la confiance entre les entreprises et leurs clients.
Le RGPD permet aux entreprises de tirer parti d’opportunités de croissance des revenus sur le marché de la Data. Il va aussi faire de la protection des données un argument commercial significativement différentiateur, comme le sont devenues ces dernières années les politiques de respect de l’environnement ou d’adhésion aux grands principes sociaux (RSE).
En conclusion, comment le RGPD modifie t-il la carte du SI ?
Le pivot du RGPD, c’est la Data sur laquelle les entreprises européennes doivent dès aujourd’hui investir et définir une stratégie de gouvernance permettant de répondre aux questions suivantes :
La première: où stocker les données personnelles dans un contexte de recours croissant au cloud ? Dans un cloud public, privé, hybride ? Quel prestataire choisir ?
La seconde, en conséquence: quelles technologies mettre en place pour gérer de façon efficace ces data et faciliter la recherche, la découverte et la vérification des données ?
Enfin, la sécurité. Encore aujourd’hui, de nombreuses entreprises préfèrent cacher leurs failles de sécurité. Et cela, de peur des retombées sur leur business et leur renommée. Le RGPD faisant obligation de publicité des failles, le renforcement dans le domaine de la sécurité semble nécessaire autour de sujets comme l’Identity and Access Management (IAM), l’Enterprise Mobile Management (EMM), le cryptage, l’anti-hacking, etc.
*Etude CNIL
Crosscut : la plateforme pour sécuriser, gouverner et tracer l’ensemble des données personnelles dans le cadre d’une politique de mise en conformité RGPD ?
L’entreprise plateforme doit outiller l’organisation des data au sein de système d’information et orienter l’architecture vers une architecture API-driven. Permettant alors d’accéder à la Data et répondre à tous les impératifs du règlement actuel et de ses futures évolutions
Sécuriser les accès au SI à demeure : la Secured Cloud Gate du module iPaas
La plateforme Crosscut permet ainsi de répondre aux exigences de sécurité de la data induit par la RGPD. Le composant Secured Cloud Gate du module iPaaS permet ainsi de créer un canal de communication bidirectionnel totalement-sécurisé entre les endpoints exposés au sein du système d’information online, et ceux exposés au sein du système d’information à demeure. Pour ce faire, aucune modification de la politique de sécurité existante ne sera nécessaire. Grâce à la stratégie de long polling qui fait aujourd’hui référence sur le marché de l’iPaaS.
Ainsi, la mise en place de la Secured Cloud Gate ne requiert que l’ouverture d’un canal internet sortant. Sur ce canal, nous appliquons une couche de sécurité SSL qui garantit une totale confidentialité des données consommateurs, partenaires et collaborateurs partout dans le monde, tout le temps.
Gouverner et tracer les données personnelles : le module API Management
La plateforme Crosscut permet également de répondre aux enjeux de gouvernance et de supervision des des APIs et de la Data via le module d’API Management.
Le module API Management permet d’exposer en toute sécurité la Data et les processus des entreprises sous forme d’API dans un portail self-service à destination de tous les consommateurs de Data du système d’information : les collaborateurs bien évidemment mais aussi les partenaires B2B, les devices mobiles, les objets connectés et bien évidemment les consommateurs. L’API Gateway permet la gouvernance centralisée et sécurisée de tous les actifs digitaux de l’entreprise et garantit la sécurité end-to-end des API dont la consommation par les applications, les mobiles et les objets connectés (IOT) est encadrée dans le cadre de plan générique ou custom. Intégrée au portail CUP Crosscut, l’API Gateway permet également de gérer l’ensemble du cycle de vie des API, ce qui en fait un composant stratégique de la gouvernance de la Data dans le cadre d’une politique de mise en conformité du système d’information étendu à la RGPD.