Accueil > Cloud computing > GDPR : quelles sont les implications du règlement européen pour les entreprises ?
gdpr europe règlement

GDPR : quelles sont les implications du règlement européen pour les entreprises ?

Le GDPR est un règlement européen récemment promulgué qui rentrera en application au cours de l’année 2018. Il demande cependant aux entreprises de s’y confirmer rapidement au risque de subir de lourdes sanctions. 

Le règlement général sur la protection des données ou GDPR (General Data Protection Regulation) ne date pas d’hier. Couché sur le papier par la Commission Européenne, ce projet né en 2012 a finalement été promulgué le 14 avril 2016, après quatre ans de longues négociations législatives.

Le remplacement de la directive 95/46/CE sur la protection des données personnelles (datant de 1995) impactera bientôt les Etats membres et les entreprises à l’international.

En effet, les obligations issues du GDPR induit un changement profond dans la manière de gérer les données personnelles et de les protéger. Cela s’applique à toutes les entreprises qui hébergent, enregistrent, des données de résidents européens ou des organisations au sein de l’UE.

Cyberattaques : des risques pour les personnes et les sociétés

Avec l’utilisation quotidienne des réseaux sociaux, des plateformes administratives en ligne, des services bancaires par Internet et l’émergence des objets connectés, nos données sont partout sur la Toile. Les données à caractère personnel sont définies par l’article 4 du GDPR :

“comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.”

De par cette définition englobante, le règlement général sur la protection des données touche un grand nombre d’infrastructures publiques et d’entreprises. L’objectif est clair : protéger les individus du cybercrime. En effet, les attaquants informatiques sont friands des services en ligne, souvent sensible aux failles de sécurité. A l’aide de différentes modalités, des hackers malveillants récupèrent des listes de coordonnées bancaires, des identifiants de comptes de services, et même des informations soumises au secret professionnel.

François Hollande anticipe les risques de cyberattaques lors des élections présidentielles

L’attaque massive contre Sony Computer Entertainment en novembre 2014 en est un bon exemple. Plus récemment, les attaques au moment de l’élection présidentielle américaine de 2016 auraient influencé le résultat. Ce genre de préjudice touche autant les internautes que les entreprises et les états.

Des sanctions lourdes pour les contrevenants au GDPR

Le GDPR tend à répondre à cette problématique en renforçant la protection et la surveillance de la circulation des données à caractère personnel. A compter du 25 mai 2018, les organismes publics et privés qui gèrent ces informations seront soumises à une réglementation stricte, détaillée par la commission européenne à travers 99 articles.

sanctions gdpr 4 pourcent du ca

Cela laisse un peu moins de deux ans aux organismes responsables du traitement des données à caractère personnel des citoyens européens de se soumettre à ce texte.

Pour les entreprises, une raison majeure pousse à adopter la régulation GDPR : les sanctions lourdes. Jean-Christophe Lecosse, directeur général du CNRFID déclarait à objetconnecte.com :

“Il faut savoir que les entreprises qui mettent en œuvre des solutions et qui ne respecteront pas cette réglementation pourront être pénalisées de 4% de leur chiffre d’affaires mondial. C’est une extrême nouveauté et la sanction est particulièrement forte pour les grands groupes. Il s’agit de l’un des enjeux à propos duquel nous sommes très attentifs.[…]”.

Si le CNRFID est l’organisme de mise en avant des technologies du sans contact, il n’en reste pas moins un des acteurs de ce changement :

Nous sommes les administrateurs de la plateforme Web en Europe sur laquelle les fabricants de solutions peuvent enregistrer les caractéristiques de leurs produits permettant de protéger la vie privée.

Dans les propos du Directeur Général, deux notions transparaissent, deux notions que l’on retrouve souvent dans le droit. Les sanctions et le contrôle sont ici renforcés avec le GDPR. Le contrôle sera opéré par les pays, l’UE et les entreprises elles-mêmes. Pour ces organismes privés, le non-respect du GDPR peut aboutir à une sanction financière équivalente à 4 % de leur chiffre d’affaires mondial ou 20 millions d’euros. 

Cependant, résumer cette réglementation à ces aspects serait parfaitement abscons.

Les points importants de la réglementation

Le GDPR a un véritable intérêt pour les citoyens des 28 pays membres de l’UE. Il renforce l’information sur l’usage des données, uniformise les règlements concernant la protection des données et instaure la possibilité du droit à l’oublie à l’échelle européenne.

De plus, les internautes et les utilisateurs de services impliquant des données personnelles peuvent demander la portabilité de leurs données personnelles d’un service à un autre.

points gdpr

De leurs côtés, les entreprises de plus de 250 employés dont le métier de base est de traiter des données à caractère personnel à grande échelle ont l’obligation de nommer un délégué à la protection des données et des représentants.

Ces responsables auront pour mission de contrôler le respect du GDPR et de conseiller le Chief Protection Officer sur les applications possibles. Il est également “l’interface” entre l’entreprise et l’organisme de régulation.

Dans ce cadre, ils doivent veiller à la sécurisation par défaut des données à caractère personnel, que ce soit celles émises par les clients ou par les employés. Cette notion de “Privacy by Design” devient alors primordial et demande une réorganisation de l’enregistrement de la donnée.

Les responsables devront s’assurer que les données sont sécurisées qu’elles soient hébergées sur leur système IT ou dans le Cloud. En cas de perte, de vol, de corruption, de modification, les entreprises ont 72 heures pour notifier l’autorité de son pays, en France la CNIL. Si le problème atteint un individu en particulier, lui aussi recevra une notification dans le temps imparti des 3 jours.

En amont de ces notifications, la circulation des données et les différents traitements doivent être enregistrés. Les autorités compétentes doivent pouvoir consulter les différentes opérations depuis un registre mis à jour en suivant les règles définis dans le texte.

Des changements pour beaucoup d’entreprises

Identifier, classifier et effacer la donnée font partie des spécialités de l’entreprise Veritas. Cette filiale du groupe Symantec est une spécialiste de la sauvegarde et du tri de la donnée physiquement et dans le Cloud depuis près de dix ans. Typiquement, les outils vendus par Veritas permettent d’appliquer le droit à l’oubli dans les systèmes d’informations des entreprises.

Selon Thierry Lottin, Directeur France de Veritas, “la Data est devenue un risque financier”. L’application du GDPR apparaît alors comme “bénéfique” pour son entreprise et ses clients :
Le GDPR nous permet de nous positionner sur un nouveau marché de la classification de la donnée avec des outils comme Data Insights afin de voir si la donnée est utilisée, par qui, depuis combien de temps, etc.

Cela a aussi un avantage afin de classifier des données souvent oubliées. Ces dernières sont parfois critiques et peuvent conditionner le risque financier évoqué par Thierry Lottin “puisqu’elles n’ont plus rien à faire dans le système d’information des clients”. Ces données hébergées par une entreprise peuvent parfois être associés à de la Dark Data.

GDPR donnees personnelles

Je dirais que le GDPR va apporter la capacité aux clients de mettre en avant soit des budgets, soit une politique de justification de la donnée de manière à éviter les risques associés à cette régulation, mais également de leur permettre également de mettre de l’ordre dans leur data pour faire des économies d’échelle assez importante.

En cela, la libération des espaces de stockage au sein des datacenters optimise les investissements dans les infrastructures. Cela limite la duplication des données à outrance tout en affinant le niveau de sécurité.

Pourtant, les entreprises ne semblent pas toutes préparées à l’application du GDPR en 2018 selon une étude menée par Veritas, intitulée Global Databerg. Après avoir sondé en 2016 plus de 2 500 décideurs IT en 2016 en Europe, au Moyen-Orient, en Afrique, aux États-Unis et en Asie Pacifique, cette dernière révèle que 54% d’entre eux n’ont pas encore mis en place les mesures nécessaires pour être conforme au GDPR.

“Toutes les entreprises ne sont pas dans le même cas” précise Thierry Lottin.” Les banques ou les assurances sont déjà soumises à certains nombres de normes. Les équipes de ces sociétés travaillent déjà à l’application du GDPR. Ensuite, il y a des entreprises qui n’étaient pas jusqu’alors concernées et qui prennent conscience des risques et des avantages grâce à la couverture médiatique. Aujourd’hui tous nos clients nous en parlent.”

Encore faut-il que les entreprises veuillent bien s’y plier. Le cabinet d’étude Pierre Audouin Consultants a réalisé une enquête auprès de 200 responsables européens issus des pays suivant : Allemagne, France, Pays-Bas, Irlande, Royaume-Uni et Scandinavie. Ces responsables des solutions d’infogérance en sécurité sont seulement 20 % a considéré la conformité au GDPR comme un objectif majeur. 55 % d’entre eux voient cette application comme un objectif mineur. Pour ce personnel hautement qualifié, il s’agit principalement d’automatiser les opérations de sécurité et de réduire les coûts. Pourtant, le règlement européen peut servir de facilitateur d’économie. Il suffit de s’y préparer.

Préparer la conformité au GDPR

classification gdpr

Il y a différentes phases à préparer afin de respecter la régulation au moment de sa mise en place. Les cabinets de conseil et les entreprises multiplient les interventions afin de sensibiliser les entreprises et les informer sur les étapes à suivre.  Il faut pouvoir faire un audit :

  • des données hébergées,
  • des méthodes de collecte,
  • des méthodes de transfert,
  • des attributs de sécurité,
  • des accès d’authentifications.

Après avoir accompli ces vérifications, il faut ensuite mettre la norme en place, applique les nouvelles règles de traitement des données. Thierry Lottin affirme : « La visualisation dans un système IT, c’est assez simple. Cette vérification s’opère régulièrement. L’étape la plus longue reste la partie management des informations, d’établir des règles pour chaque cas : comment reprendre le contrôle de la donnée ?« 

Evidemment, les DSIs et la direction ne sont pas les seuls impactés. Certains métiers réclament d’avoir ces informations à caractère personnel « sous la main ». Il faut donc adapter non seulement l’organisation informatique, mais aussi du personnel.

Cela entraîne des coûts importants. Cependant, ce règlement répond au besoin en matière de transparence, et rassure les clients des entreprises. En ce sens, les autorités européennes ont établi le cadre pour l’éclosion de labels, certifiant ainsi auprès des usagers des services et des partenaires le respect de la norme européenne. L’organisation et le tri des données facilitent également le bon déroulé des opérations tout en réduisant leurs coûts.

Si les entreprises européennes sont de plus en plus informées des tenants et des aboutissants du GDPR, les entreprises internationales traitant des données à caractère personnel devront, elles aussi, s’y conformer. On imagine bien les GAFA prêts à rapidement trouver une contre-mesure au règlement. Quoi qu’il en soit, toutes les entreprises et les sous-traitants concernés devront être en règle le 25 mai 2018.

A lire également

intercloud plateform

InterCloud : une plateforme de connectivité centrée sur le cloud

InterCloud est une entreprise fondée en 2010, aujourd’hui considérée comme le leader dans le domaine …

Send this to friend