Si nous sommes un tant soit peu attentifs à ce qu’il se passe sur le terrain du traitement des données et de la sécurité informatique en général il est impossible que nous n’ayons pas entendu parler du RGPD.

RGPD est l’acronyme de Règlement général sur la protection des données. Ce règlement, qui n’est pas une loi, ni une directive, prévoit, depuis le 24 mai 2016, un certain nombre de contraintes qui s’appliqueront formellement, après un délai de grâce de deux ans, le 25 mai 2018.

Dès lors que des entreprises, des autorités ou des personnes individuelles traitent des données personnelles, le règlement et ses obligations les concerneront directement. On parle ici du cadre de l’UE mais certaines entreprises suisses seront néanmoins concernées, en particulier celles qui livrent des biens et services. via des plate-formes marchandes sur Internet, à des entreprises ou particuliers de l’UE. Pour en savoir plus, si tant est que c’est plus clair après qu’avant, on consultera les nombreux articles faits par des avocats spécialisés et disponibles sur Internet.

Sur le plan pratique, la conformité, pour une entreprise passe par les étapes suivantes:

  • cartographier les traitements et les processus existants qui manipulent des données d’individus,
  • établir un plan d’action sur la base du travail de cartographie, avec comme composantes:
    • une politique de protection des données personnelles,
    • une gestion des consentements,
    • le remodelage (ou le remplacement) des logiciels utilisés en interne avec l’objectif de ne laisser voir les données personnelles qu’à des personnes formellement autorisées et dont le besoin est clairement avéré (masquage de données ou désensibilisation)

Mais cela ne suffira pas probablement pas, car la donnée, n’étant que cachée, existera toujours, par conséquent  il faudra faire un pas de plus vers l’anonymisation. Ces techniques, sur lesquels reposent l’essence même du règlement, sont loin d’être matures aujourd’hui. Elles utiliseront massivement le chiffrement des données.

  • superviser les fichiers et des données,
  • gérer les identités et les accès,
  • superviser, administrer, détecter (SOC: Security Operating Center): détecter les incidents de sécurité et y répondre, bloquer les attaques,
  • passer l’audit de conformité.

Contrairement à ce que l’on pourrait penser les environnements hybrides ou intégralement Cloud sont en bonne position pour être le plus rapidement conforme grâce aux passerelles d’accès CASB (Cloud Access Security Broker). Une passerelle CASB s’insère entre l’infrastructure informatique sur un site et celle d’un prestataire Cloud et elle s’assure que le trafic entre les deux respecte les politiques de sécurité mises en place.

Besoin de conseils en sécurité informatique ?