Pas de GDPR sans partenaire technologique de confiance

Partager

Compte tenu des enjeux de cybersécurité, de business et de conformité, la confiance entre les entreprises et leurs sous-traitants chargés de la collecte, du stockage et du traitement des données personnelles est primordiale. D’autant plus que le GDPR responsabilise chacune des parties, ce qui soulève des problématiques tout aussi techniques que juridiques. Analyse.

La conformité au GDPR : des entreprises aux sous-traitants et partenaires, tous concernés !

Toutes les organisations qui collectent, stockent, partagent, analysent et traitent des données personnelles en lien avec l'Union européenne (UE) devront se conformer aux exigences de la nouvelle réglementation avant mai 2018, si elles ne veulent pas encourir de pénalités. Un enjeu globalement bien identifié puisque 41 % des entreprises dans le monde prévoient de mettre en place des mesures disciplinaires si le GDPR n’est pas respecté, et 25 %, une retenue sur avantages, selon une enquête Veritas Technologies de 2017.

Or, plus de la moitié des entreprises françaises reconnaissent partager les données personnelles de leurs clients avec des tiers, selon une enquête OnePoll pour Citrix, de 2017. Et selon une enquête Trustwave Global Security Report, ces mêmes tiers sont impliqués dans 63 % des cas de violation de données).

Souvent indispensables à la stratégie digitale des entreprises, les partenariats et la sous-traitance IT constituent donc des zones d’exposition sensibles et feront l’objet d’une attention particulière de la part des régulateurs.

 

Une confiance qui se mérite

Le GDPR responsabilise les sous-traitants en cas de perte, vol ou exposition des données personnelles. Jusqu’alors et hors obligations contractuelles, certains prestataires de services de Cloud computing se limitaient, en matière de protection des données, à faciliter l'ergonomie de leurs plateformes, leur performance et leur resiliency en cas d’accident extérieur (incendie, inondation, incident de génie civil…). Leur rôle dans la confidentialité et la sécurité des informations est pourtant prépondérant.

Encore aujourd’hui, seule une faible proportion de fournisseurs de Cloud applique des processus internes conformes à la nouvelle législation, alors que leur activité même constitue une cible privilégiée pour les cyber-attaquants.

Afin de garantir le niveau de sécurité requis par le GDPR, il est donc indispensable qu’entreprises et prestataires adoptent des procédures techniques et organisationnelles ambitieuses.

Cela se traduit d’ailleurs nettement dans la volonté des décideurs : 65 % des directeurs informatiques affirment qu’ils choisiront dorénavant des fournisseurs de Cloud disposant de garanties en adéquation avec le GDPR, d’après une étude Markess de 2017. La confiance devra donc se gagner !

À nouvelle réglementation, nouvelles offres.

Data centers respectant les dernières certifications ISO, ISAE ou ANSSI, stockage chiffré, transmission des documents via connexion SSL, tests d’intrusion réguliers, protection des sites webs contre les vols de données ou les attaques de dénis de service… Pour les prestataires de services numériques, la sécurité des données et celle des infrastructures informatiques qui les hébergent doit devenir une priorité absolue. Tout cela en garantissant transparence et autonomie aux propriétaires de données, à travers par exemple l'authentification à 2 facteurs, la possibilité de supprimer et de récupérer les informations, le chiffrement, etc. D’après le baromètre CDC de la confiance des Français dans le numérique, 15 % des Français considèrent en effet les garanties techniques de sécurité comme un levier de confiance.

La mise en conformité peut ainsi nécessiter une refonte de l’architecture SI. Et cela commence par une identification des données personnelles souvent disséminées dans différents SI. Des outils de découverte automatisée et d’aide à la qualification sont alors très utiles.

Ensuite, un Cloud sécurisé ou le MDM (Master Data Management) s’avèrent des briques essentielles. Cette dernière solution simplifie la gestion des données, en garantissant leur qualité (durée de conservation, consentement associé…) et en contrôlant les droits des différents individus et SI qui y accèdent (lecture, écriture, exploitation…), selon leurs rôles et responsabilités.

À travers ses différentes entités (Orange Cyberdefense, Orange Consulting, Orange Applications for Business, Orange Cloud for Business…) et la double expertise de ses consultants (technique et juridique), Orange Business Services propose des prestations de conseil et des solutions pour accompagner les entreprises vers une exploitation des données personnelles conforme au GDPR et optimisée pour leur business.