Données personnelles, RGPD et Cloud Computing

    cybersecurity | data processing | RGPD | Cloud | Cloud Computing - posté le 16-05-2018 par Mehdi BADAWI-EL-NAJJAR

    La protection des données personnelles a toujours été au coeur des débats dans le monde du Cloud. Le stockage des données devra bientôt répondre à un certain nombre de normes restrictives fixées par le Règlement Général sur le Protection des Données (RGPD). Par quels moyens le RGPD va-t-il aider à protéger les données ? Quels impacts pour les acteurs du Cloud ?

    Le RGPD a pour but de coordonner toutes les règles actuellement en vigueur par rapport aux données personnelles en Europe, et il aura par conséquent une incidence directe sur le Cloud et la façon dont les différents fournisseurs gèrent ces données.

    Concilier potentiel économique et respect de la vie privée

    L’économie numérique repose très largement sur l’utilisation accrue des données. Aux traditionnelles données clients détenues par les entreprises, viennent s’ajouter les nombreuses traces numériques que nous laissons sur Internet en consultant des sites, lors d’achat en ligne, sur les réseaux sociaux ou en utilisant nos smartphones. Elles en disent long sur nos habitudes et notre comportement.
    Les données massives (Big Data) représentent un formidable vecteur de croissance pour l’économie moderne, que le foisonnement des objets connectés dans tous les secteurs, va continuer à accentuer.
    Le développement de l’intelligence artificielle, lui, ouvre des possibilités quasiment illimitées sur l’exploitation de toutes ces données.
    Le potentiel économique de ces données est de nature à aiguiser les appétits et à inciter certaines entreprises à faire fi du respect de notre intimité dans un univers numérique où les frontières se sont nettement estompées. Une réglementation pour veiller au respect de la vie privée des citoyens devenait indispensable.

    Harmoniser la protection des données personnelles à l’échelle européenne

    Quatre ans de préparation et de débats auront été nécessaires pour que le règlement européen : Règlement Général sur la Protection des Données (RGPD) voit le jour. Il a été approuvé le 14 avril 2016 et il remplacera la directive 95/46/EC.
    Cette réglementation européenne a pour vocation d’harmoniser les lois sur les données personnelles en Europe, de protéger les données personnelles des citoyens européens et de réformer la manière dont les organisations approchent les données personnelles. Toutes les entreprises des états membres de la communauté européenne devront s’y conformer d’ici le 25 mai 2018 sous peine de sanctions importantes. L’échéance se rapproche et la tâche de mise en conformité est loin d’être une simple formalité. Au-delà des aspects juridiques et techniques, le RGPD peut conduire à repenser l’organisation, notamment la gouvernance des données, et engendrer de nouvelles approches dans les modes de contractualisation de la sous-traitance.

    Le RGPD aura une incidence majeure sur les approches Cloud

    Médiatisée avec le Patriot Act et le Cloud Act, la protection des données personnelles hébergées dans le Cloud est devenue depuis un véritable enjeu. Le RGPD devrait mettre de l’ordre dans les pratiques du Cloud mais demandera aux entreprises d’intégrer ces aspects sécuritaires dans leur stratégie Cloud. Plus de 75% des décideurs informatiques français interrogés en Avril et Mai 2017 pensent que le RGPD aura une incidence sur leurs approches dans ce domaine :

    • Choix de prestataires disposant de garanties en adéquation avec le RGPD (65%). 
    • Travail plus étroit avec les juristes (62%). 
    • Lancement de programme de sensibilisation interne pour les métiers (45%). 
    • Nouvelle gouvernance à mettre en place entre les métiers et la DSI (43%). 
    • Gestion des risques associés (40%).

    La conformité au RGPD ne tolérera pas l’amateurisme. La nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer ») sera d’ailleurs obligatoire pour les entreprises répondant à un certain nombre de critères. Pourtant seuls 35% des décideurs interrogés pensent que le RGPD peut aussi induire la création de nouvelles fonctions en charge des aspects de compliance au sein de la DSI.

    Les prestataires Cloud sous le projecteur du RGPD

    En déléguant leurs ressources informatiques aux prestataires de Cloud, les entreprises craignent d’en perdre la maîtrise.
    57% des décideurs estiment que le passage au Cloud complexifie leurs approches en matière de sécurité et de protection des données. L’économie des APIs ne pourra pas faire l’impasse du RGPD. Certaines APIs sont utilisées pour transférer des données d’un environnement à un autre, le plus souvent hébergé dans différents Clouds.
    Les décideurs s’interrogent sur les solutions que proposeront les prestataires pour rester conforme au RGPD. Dans ce contexte, plus de 50% d’entre eux attendent spécifiquement que leurs prestataires de solutions Cloud :

    • Hébergent leurs solutions dans des datacenters conformes aux exigences du RGPD. 
    • Proposent des garanties quant à leur responsabilité en matière d'hébergement de données. 
    • S’engagent sur des SLAs en matière de protection des données sur les contrats existants.

     

    schéma ebook1_evolution-03.png

     

    La généralisation du Cloud se poursuit à un rythme accéléré, le Software as a Service (SaaS) en tête. Les entreprises, qui se délestent du poids et des contraintes des ressources, doivent malgré tout apprendre à garder le contrôle de leurs données pour rester en conformité avec le RGPD.
    En fournissant ses logiciels sous la forme d’un service Cloud, l’éditeur endosse de nouvelles responsabilités vis-à-vis du client. Il devra établir de vraies relations de confiance avec son fournisseur Cloud et veiller à respecter la réglementation sur la protection des données personnelles.

    À propos de l'auteur : Mehdi BADAWI-EL-NAJJAR

    Commentaires