Cloud Days 2017 : Règlement Général sur la Protection des Données, comment se préparent les entreprises?

    Big Data | Sécurité Cloud | GDPR - posté le 28-07-2017 par Cindy CHABAL

    Dans moins d’un an, les entreprises devront suivre le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais). Adopté par le Parlement européen, il entrera en application le 25 mai 2018 et vise à unifier les directives européennes liées au traitement des données personnelles en imposant aux entreprises de s'y conformer sous peine de sanctions financières.

     

    La 4ème édition des Cloud Days, le sommet annuel d’Outscale qui s’est tenu le 20 juin dernier à la Tour
    Coeur Défense, a été l’occasion de revenir sur les grands enjeux de cette nouvelle réglementation pourFotolia_157142521_M.jpg les entreprises. Retour sur la table-ronde “Le Règlement Général sur la Protection des Données : Comment se préparent les entreprises ?” animé par David Chassan, Chief Product Officer chez Outscale, qui a rassemblé :

    - Édouard Camoin, Chief Information Security Officer, Outscale

    - Jean-Marc Lazard, Fondateur et CEO, OpenDataSoft

    - Nathalie Plouviet, Avocate à la cour d'appel de Paris, Directrice du département Droit de l'Internet des Objets, Cabinet Lexing Alain Bensoussan Avocats

    - Simon Decarpentries, Business Development Manager, NetApp

     

    Ce règlement aura pourtant de nombreuses conséquences pour elles et s’imposera à toutes les entreprises qui ont une activité en Europe. L’objectif ? Redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne.

    Des restrictions sur les data collectées

    L’objectif du règlement sur la protection des données personnelles : encadrer la collecte et le
    traitement des données personnelles. Certaines data, dites “sensibles” ne pourront ainsi plus être collectées, stipule l’article 9 :
    “les données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ; mais, aussi, les données génétiques, biométriques, concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique”.

    Par ailleurs, le règlement souhaite contraindre les entreprises à collecter uniquement des données pertinentes, qui se limitent à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

    Pour Jean-Marc Lazard, Fondateur et CEO chez OpenDataSoft, il sera essentiel d’impliquer toutes les chaînes concernées par la donnée avec pour priorité le consentement du client final : “Le matching entre consentement et façon dont la donnée est mise à disposition représente un enjeu majeur pour l’entreprise”. Il donne l’exemple de Toulouse Métropole, qui a “su regagner la confiance des citoyens en rendant ses données publiques”.

    Sanctions : les géants en ligne de mire ?

    En cas d’infraction, des amendes sévères sont prévues, pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel. Un coût considérable, qui pourrait avoir un lourd impact sur les entreprises et être très dissuasif pour les GAFA, qui collectent les données à grande échelle. Pour Jean-Marc Lazard, la donnée devient aussi importante que la monnaie avec des répercussions financières majeures en cas de faille.

    Le RGDP introduit aussi une obligation de notification par les responsables de traitement en cas de violations de données à caractère personnel (data breach). Ils devront alerter la CNIL et informer leurs clients dans les 72 heures après en avoir pris connaissance. Outscale était déjà capable de notifier ses clients en cas de problème, mais le sera encore plus grâce à une équipe de monitoring dédiée, ajoute Édouard Camoin, Chief Information Security Officer chez Outscale. Outscale pourra par exemple être très réactif grâce à l’analyse temps réel du trafic et en laissant la possibilité aux utilisateurs de signaler tout abus.

    Une responsabilité partagée avec les sous-traitants

    La RGPD étend la responsabilité aux sous-traitants des traitements des informations. Ainsi, le sous-traitant devra systématiquement informer l’entreprise responsable du traitement de la sollicitation d’un autre prestataire pour la gestion de ces données. Néanmoins, l’entreprise responsable des traitements des données sera toujours responsable en cas d’infraction.

    Édouard Camoin donne l’exemple de Tina OS, développée par Outscale, qui offre un maximum de garanties en matière de sécurité afin d’assurer autant de protection pour l’entreprise comme pour ses clients.

    “Privacy by design” : la protection de la vie privée dès la conception

    Autre obligation du RGPD, le “privacy by design”. Il s’agit ici de prendre en compte la notion du respect de la vie privée en amont, dès même la conception d’un système d’information, d’une base de données ou d’une application. Pour se mettre à niveau, “les entreprises devront utiliser des outils pour tracer la donnée existante”, précise Simon Decarpentries, Business Development Manager chez NetApp. “Il faut suivre la donnée et être en mesure d’appliquer une gouvernance peu importe où elle se trouve”, ajoute-t-il. L’obligation de “privacy by design” implique pour l’entreprise de garantir le niveau le plus élevé en termes de protection de la vie privée. À chaque fois qu’elle initie un traitement, elle doit ainsi obtenir le consentement de l’utilisateur.

    Si la RGPD effraie, Nathalie Plouviet rappelle qu’il est pour autant très structurant et qu’il a avant tout pour vocation de protéger le consommateur : « Nous avons tous envie que les données respectent nos vies privées numériques ». Mais les entreprises seront-elles prêtes ? La réponse en 2018.

    À propos de l'auteur : Cindy CHABAL

    Commentaires