Au-delà de la contrainte, le GDPR protège nos économies numériques

Partager

Le GDPR entrera officiellement en vigueur le 25 mai prochain. Cela laisse peu de temps aux entreprises pour se mettre en conformité et nombre d’entre elles sont déjà en retard. Voici quelques réflexions que nous avons abordé lors du webinaire des mardis des experts du cloud du 6 février 2018, « GDPR : enjeux et risques liés à la mise en conformité au règlement en 2018 ».

Le nouveau règlement européen sur la protection des données entre en vigueur le 25 mai 2018. Voilà qui laisse peu de temps aux entreprises françaises pour se mettre en conformité. Une étude internationale réalisée fin 2017 a montré que seulement 44 % des entreprises européennes avaient déjà effectué ce travail. Les enjeux liés à la mise en conformité vis-à-vis des services cloud sont donc prioritaires.

 

Pour consulter l’étude

Un règlement plus protecteur que contraignant

Il faut noter que les conséquences du GDPR sont majeures et que la mise en conformité n’est pas qu’une formalité. Un de ses éléments essentiels est notamment l’inversion de la charge de la preuve, qui va renforcer les devoirs des responsables de traitement (« data controller » comme « data processor ») et des entreprises.

Le GDPR (voir ici un rappel de ses principes de base) est crucial pour le développement de l’économie numérique européenne. Il concerne, en effet, toutes les sociétés qui traitent des données de citoyens ou résidants de l’UE, qu’elles soient basées en Europe ou non. C’est donc une des toutes premières lois européennes à comporter une clause d’extraterritorialité.
Ce règlement est surtout protecteur de nos économies européennes. En tant que tel, il devrait être accueilli de manière favorable par les entreprises et par les citoyens !

Les prestataires de cloud en appui des clients

Les fournisseurs de services cloud ont un rôle crucial à jouer dans cette transition. Plus que de simples prestataires, ils peuvent en effet se transformer en partenaires de confiance.
Les enjeux de la mise en conformité au GDPR vont donc bien au-delà des outils et du choix de bons prestataires. Les entreprises devront surtout s’assurer qu’elles ont mis en place les bons processus, que leurs personnels auront été formés et que le respect des règles est bien assuré à partir du 25 mai 2018 et de façon continue par la suite.
Car les obligations amenées par le GDPR sont importantes : imputabilité, « privacy by design », garantie d’usage de sous-traitants qui ont eux-mêmes mis en place les bonnes mesures. Chaque entreprise se devra d’être à l’état de l’art de la protection des données. Le règlement a d’ailleurs intégré que l’état de l’art ne signifiait pas que ces mesures de sécurité seraient parfaites : dans le cas d’une fuite avérée de données, l’entreprise devra ainsi être capable d’avertir ses clients (et les autorités) dans les 72 heures. Avec le GDPR, c’en est donc fini des annonces de brèches de sécurité plusieurs mois voire plusieurs années après l’événement.

Un changement préparé de longue date

Les fournisseurs de cloud sont sensibilisés à ces enjeux depuis des années : cartographies des données, gestion des données personnelles dans les stockages structurés comme non structurés (par exemple, comment assurer l’effacement des données personnelles indésirables dans des archives email). Pour des OIV, notamment dans les télécoms, l’essentiel des contraintes a d’ailleurs déjà été pris en compte il y a plusieurs années. Le GDPR ne constitue donc pas, dans ce contexte, une nouvelle contrainte mais plutôt une continuité dans les bonnes pratiques mises en œuvre au bénéfice des clients.

Pour rattraper le retard évoqué plus haut, une opportunité consiste à s’appuyer sur un fournisseur de cloud qui pourra également aider l’entreprise dans son chemin vers la conformité. Cela lui permettra de bénéficier de l’expérience que ce fournisseur a accumulée en mettant les bonnes mesures en place, la plupart du temps en avance et à une échelle plus importante.

Par exemple, dès 2014, Orange a créé un programme de protection des données personnelles. Un programme GDPR a également été lancé dans le groupe début 2017, avec la nomination d’une « déléguée à la protection des données personnelles » (DPO, « Data Protection Officer ») au sein du groupe. Chez Orange Business Services, une task-force transverse (sécurité, juridique, ingénierie et développement, marketing) a été mise en place car les adaptations doivent être coordonnées dans tous les domaines d’activité. Enfin, l’ensemble du personnel d’Orange Business Services suit une sensibilisation obligatoire à la sécurité (« visa sécurité ») ainsi qu’au GDPR.

Le GDPR introduit une approche de gestion des risques liés à la cybersécurité

Le GDPR est un bon règlement qui bouge les lignes vers le renforcement de la confiance dans les services numériques. C’est un devoir collectif, de la société et des entreprises, de faire en sorte que notre économie numérique soit plus sûre, malgré l’explosion du cybercrime. Il impose aux entreprises de prendre les mesures protectives et correctives adéquates, pour protéger leurs clients, et donc in fine leur activité. On peut ainsi appréhender le GDPR non comme un règlement uniquement contraignant, mais comme un des dispositifs majeurs œuvrant à la cybersécurité.

Pour ces raisons, les entreprises françaises et européennes qui n’auraient pas encore initié les travaux de mise en conformité GDPR doivent s’y atteler immédiatement. Un facteur puissant d’accélération pour elles pourra être de s’appuyer sur les fournisseurs de cloud qui ont appris, à l’instar d’Orange Cloud for Business, à restreindre les droits d’accès au strict nécessaire, à assurer la traçabilité des traitements de données personnelles, à planifier tout ce qui est planifiable et à mettre en place des procédures de suivi et des mesures correctives sur ce qui ne l’est pas.

Webinaire
RGPD : enjeux et risques liés à la mise en conformité au règlement en 2018
Mardi 6 février à 11h30
Qu’est-ce que le RGPD ? Quelles sont les obligations pour les entreprises ? Qui aura la charge de la preuve de la mise en place des mesures préventives et correctives ?

 

Pour aller plus loin

GDPR : quels enjeux pour le cloud computing ?

Bien préparer le GDPR

GDPR pour les ETI et PME : quel est le coût de la mise en conformité ?

Cédric Prevost
Cédric Prévost

Ingénieur de l’école Polytechnique, j’ai travaillé 10 ans dans le secteur public, dans les architectures techniques et la sécurité au sein du Ministère de la Défense. DSI de la Présidence de la République de 2007 à 2011, j’ai ensuite rejoint Cloudwatt où j’ai assuré la Direction Technique et la mise en service de la nouvelle offre de cloud public « Flexible Engine » en France et à Singapour.