5 pistes pour se préparer à la réforme du régime européen de protection des données personnelles
Publié par Par Loïc Guézo le - mis à jour à
Quelque soit la taille et la situation de votre entreprise, préparez-vous d'ores et déjà à la réglementation européenne sur la protection des données qui devrait voir le jour d'ici quelques mois.
Au cours de ces dernières années, de nombreux événements, et en particulier les révélations d'Edward Snowden sur les pratiques de surveillance de la NSA, ont fortement influencé l'idée que nous nous faisons de la confidentialité des données personnelles.
En mars dernier, le Parlement européen a ainsi massivement voté en faveur d'une réglementation européenne sur la protection des données. Bien que le parcours de ratification soit encore long, il est certain que ce projet verra le jour d'ici peu. Le règlement, une fois ratifié, s'appliquera à toute entreprise traitant des données personnelles de citoyens européens et ce, indépendamment de sa localisation géographique et de sa taille.
Outre les nombreuses informations disponibles sur la nouvelle loi, voici 5 questions pouvant servir de point de départ aux entreprises pour se préparer à cette réforme :
1. Où sont stockées les données ?
Avec un peu de chance, la réponse sera simple, mais vous pourriez bien être surpris. Rappelez-vous qu'il ne s'agit pas uniquement de données numériques. Toutes les données personnellement identifiables, qu'il s'agisse de données clients, collaborateurs ou partenaires, seront concernées et ce, qu'elles soient stockées dans une enveloppe de papier kraft ou sur un imposant serveur. Il est ainsi primordial d'identifier où les documents sont conservés dans l'entreprise. Le stockage est-il bien pensé, sécurisé, assuré, aisément accessible et compris par tous ?
2. Qui peut accéder aux données ?
Qui a accès aux données ? Comment ces personnes y accèdent-elles et devraient-elles pouvoir le faire ? Sont-elles sensibilisées aux dangers associés à un usage abusif des données ? Commencez à réfléchir à désigner au délégué à la protection des données.
La majorité des entreprises de plus de 250 collaborateurs seront obligées d'avoir un délégué pour gérer l'ensemble de ces enjeux et garantir la conformité. Toutefois, qu'elle occupe ou non ce poste à temps plein, chaque organisation devrait disposer d'une personne responsable de sa politique de gestion des données. Cette fonction relève traditionnellement du département informatique, mais, étonnamment, ce ne devrait bientôt plus être le cas. En effet, la personne nommée devra bien entendu posséder de solides connaissances techniques mais également, et surtout, être formée aux aspects juridiques, procéduraux et financiers de la gestion des données.
3. Quelles procédures mettre en place ?
Bien que cette perspective soit plutôt désagréable, les entreprises doivent définir à l'avance un plan d'actions en cas de piratage de données. Qui est tenu de notifier les autorités et quels organismes doivent en être informés ? Si ce piratage est significatif, qui, au sein de l'organisation, devra gérer les demandes médias ? Comment cette information sera-t-elle communiquée aux clients ? Et, bien entendu, quels moyens seront mis en oeuvre pour procéder à la restauration post-incident et protéger l'entreprise contre de nouvelles violations ? Cette situation n'arrivant pas qu'aux autres, les entreprises ne doivent pas se laisser surprendre.
4. Quelles sont les solutions de protection disponibles ?
En fin de compte, les meilleures intentions du monde n'empêchent pas de faire des erreurs et de nombreuses personnes mal intentionnées seraient ravies de détourner vos précieuses données. Il est ainsi important de s'informer sur les technologies de protection disponibles, notamment :
- les solutions de protection contre les fuites de données (Data Loss Prevention) qui identifient certains mots-clés dans les documents sensibles et en bloquent le transfert
- les technologies de chiffrement, qui protègent les données sortant de l'entreprise
- les technologies d'identification et de neutralisation des attaques
Il est également judicieux de souscrire à une assurance responsabilité pour se couvrir en cas d'éventuels dommages.
5. Comment et pourquoi sensibiliser ?
Les sanctions encourues en cas de violation sont lourdes : les entreprises surprises en situation de non-conformité s'exposent à une amende pouvant s'élever à 5 % de leur chiffre d'affaires ou à 100 millions d'euros, le montant le plus élevé étant retenu. Au vu de tels chiffres, il est primordial que l'ensemble de l'organisation prenne conscience du défi que représente la confidentialité des données. Il ne s'agit plus d'une austère problématique technique, mais bien d'un véritable enjeu relevant des compétences de la direction. Ce n'est que lorsque les décideurs y seront sensibilisés qu'ils donneront à leurs collaborateurs les moyens d'agir, or ce pourrait bien être l'étape la plus difficile.
L'information est vitale pour l'ensemble de nos activités métier. Verrouiller l'accès aux données et leur appliquer des règles trop strictes finira par peser sur l'entreprise. Toutefois, il existe un juste milieu qui nous permettra de profiter des nombreuses opportunités offertes par le traitement analytique des données, et le Big Data en général, tout en assurant la confidentialité des données personnelles.
Loïc Guézo
Evangéliste Sécurité de l'Information pour l'Europe du Sud chez Trend Micro, Loïc Guézo est administrateur du Clusif, Club de la Sécurité de l'Information Française.