La Règlement général sur la protection des données (GDPR ou General Data Protection Regulation) représente la plus importante évolution en matière de protection des données dans l’UE depuis 1995.

Cette directive européenne met à jour et modernise les principes énoncés dans celle de 1995 sur la protection des données. Le réglement définit les droits des personnes physiques et fixe les obligations des personnes qui effectuent le traitement des données et de celles qui sont responsables de ce traitement. Il définit également les méthodes visant à assurer le respect des dispositions prévues ainsi que l’étendue des sanctions imposées à ceux qui en enfreignent les règles. Le 8 avril 2016, le Conseil a adopté sa position en première lecture. Le projet de règlement a ensuite été adopté par le Parlement européen le 14 avril 2016. Une période de transition de deux ans verra le GDPR effectivement applicable en 2018, avec la force de loi dans les 27 états de l’UE, qui pourront toutefois fixer des conditions spécifiques dans l’application de ce règlement.

Protéger les citoyens et les réconcillier avec le numérique

Comme le rappelle le Conseil européen, « Les évolutions technologiques rapides des deux dernières décennies ont créé de nouveaux défis en matière de protection des données à caractère personnel. L’ampleur du partage et de la collecte des données a augmenté de manière exponentielle, parfois à l’échelle mondiale, et les individus publient de plus en plus d’informations personnelles accessibles à tous. » Si nous voulons récolter les bénéfices de cette progression, il est essentiel de réduire considérablement les risques qui pèsent aujourd’hui sur les données à caractère personnel. La Commission européenne souhaite par là permettre aux citoyens de l’union de reprendre le contrôle de leurs données personnelles, ce qui est louable, grâce au droit à l’oubli numérique, à l’effacement, à la limitation du traitement des données et à leur portabilité.

Toutefois ce règlement impose un régime de conformité stricte qui n’est pas sans conséquence pour les entreprises.

Les entreprises sous pression

Quelle que soit la taille de l’entreprise, le Règlement général sur la protection des données (GDPR) va changer la donne et c’est aujourd’hui et non dans deux ans qu’il faudra prendre des mesures de prévention de façon à obéir au cadre réglementaire.

Aucune entreprise ne souhaite être associée à des brèches de sécurité à grande échelle, en dehors même du réglement général sur la protection des données. L’année dernière, le site de rencontre Ashley Madison, comptant 37 millions utilisateurs dont 600000 français, était victime d’un piratage massif qui voyait rendues publiques les données privées de 32 millions de membres, incluant leurs préférences sexuelles… et leurs numéros de carte bancaire. Les dommages financiers et de réputation sont nombreux d’autant qu’au Canada une action en nom collectif a été lancée contre le site par des utilisateurs mécontents. Ils réclament 760 millions de dollars canadiens (509 millions d’euros) à Avid Life Media. Plus près de nous, également en 2015, le fabricant de jouets VTech a été victime d’une importante fuite de données. Les informations personnelles de cinq millions d’adultes et de 200 000 enfants ont ainsi été exposées. Perte de confiance vis à vis de la marque, chute des ventes en ligne, chute de la valeur boursière, le risque de faillite pour l’entreprise est déjà grand, mais qu’en serait-il avec aujourd’hui avec la mise en place progressive du GPRD? Les entreprises qui n’intégreront pas rapidement les nouvelles règles devront faire face à des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires global, amendent s’ajoutant aux éventuelles poursuites des victimes de la fuite de données. Toutes les entreprises traitant des données client, notamment dans le secteur des services et de l’ecommerce, devraient aujourd’hui prendre la mesure de ce qui les attend dans les années à venir.

Le GDPR affectera toutes les entreprises de l’Union Européenne, en particulier au niveau de leurs solutions techniques de protection des données.

Il est indispensable d’anticiper dès maintenant les changements à venir en matière de gouvernance, de contrôle, d’organisation et de choix technologiques. Car le GDPR aura une incidence sur chaque service de l’entreprise, des ressources humaines jusqu’à l’informatique. Même au sein des services marketing, une attention toute particulière sera de mise dans le traitement des données personnelles. L’article 37 du GDPR suggère également la nomination d’un « délégué à la protection des données » qui sera à même de comprendre la façon dont les données sont traitées, d’en évaluer les risques, la conformité, les besoins en formation du personnel, la supervision, les choix techologiques, etc.

Il est possible que deux années suffisent aux entreprises pour se préparer à faire face, mais il est temps aujourd’hui de percevoir l’ampleur des changements à venir tant au niveau technologique que dans les mentalités.

Penser différemment

Selon de récentes enquêtes telles que le sondage Ipswitch « European IT Teams Woefully Underprepared for GDPR », plus de la moitié des personnes interrogées admettent qu’elles ne sont pas prêtes et ne savent même pas ce que signifie GDPR. Pire, seulement 13% répondent qu’elles ont l’intention d’approfondir leur connaissance de la réglementation. C’est faire peu de cas des obligations croissantes en matière de conformité, notamment avec une définition des «données personnelles» qui tend à s’élargir. Ces «données personnelles», qu’il s’agisse d’un nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de réseaux sociaux, ou de l’adresse IP d’un ordinateur, sont également plus précieuses qu’on pourrait le croire car elles permettent soit directement d’usurper des identités, soit elles sont revendues à d’autres cyber-criminels pour divers usages.

On constate une augmentation spectaculaire de ces cyber-attaques – + 38% dans le monde en 2015 , +51 % en France pendant la même période – et beaucoup d’entreprises n’ont encore qu’une vague idée de leurs vulnérabilités. Face à une cyber-criminalité en hausse constante, la sécurité périmétrique n’est plus adaptée pour répondre aux vols et aux fuites de données résultant de l’indélicatesse d’un employé mécontent ou de l’avidité d’un sous-traitant…

Une prise de conscience s’impose, des mesures aussi…

Le jour viendra, et il est proche, où si vous êtes victime d’une attaque et que vous n’avez pas suffisament protégé vos données, vous ou vos administrateurs serez responsables devant les autorités judiciaires et non plus seulement devant vos clients ou actionnaires (ce qui est déjà beaucoup !).

Avec WALLIX et WAB suite, vous reprenez le contrôle sur vos systèmes et pouvez enfin savoir ce qu’il advient de vos données. Vous contrôlez vos administrateurs et vos utilisateurs à privilèges, vous supervisez les missions de vos prestataires externes. De fait, vous savez systématiquement qui fait quoi, quand et où sur vos systèmes et équipements informatiques. WALLIX aide votre entreprise à se conformer aux nouvelles normes et à mettre en place une veritable politique de gouvernance des SI.

Face à l’évolution constante des menaces sécuritaires, et bien avant l’échéance de 2018, WALLIX peut vous aider à entrer en conformité avec le Règlement général sur la protection des données.

Découvrez comment une solution de gestion d’accès à privilèges peut vous aider à mettre en œuvre une démarche de conformité dans le cadre de la gouvernance des systèmes d’information en téléchargeant notre livre blanc.