Cloud vs RGDP: un cauchemar en termes de conformité ?
Le règlement général sur la protection des données a pour objectif de mieux protéger les données personnelles des individus en Europe. Quels sont les impacts pour le cloud ?
Le règlement général sur la protection des données (RGDP), considéré par certains comme le plus grand changement des lois européennes sur la vie privée de ces vingt dernières années, suscite de l'agitation dans le monde entier, les entreprises devant se mettre en conformité d’ici mai 2018 si elles ne veulent pas courir le risque de lourdes sanctions.
Finalisé en avril 2016, le nouveau règlement, qui remplacera la Directive sur la protection des données 95/46 / CE, a pour objectif de mieux protéger les données personnelles d'un individu. Il peut s'agir de toute forme d'information menant à l'identification d'une personne, notamment son nom, son adresse email, son numéro d'identification, ses données de localisation, son revenu et ses coordonnées bancaires, ses informations médicales et son adresse IP.
Pourquoi un effort encore plus significatif sur le sujet des données ?
Comme les règles du code de la route, une comparaison effectuée faite par David Lewis, directeur de la gouvernance, gestion des risques et conformité chez le spécialiste de la sécurité informatique Imperva, une personne visitant un site Web doit être protégée. Lors de sa navigation en ligne, les informations personnelles sont supposées être sécurisées et être transférées en toute sécurité vers leur destination finale.
Malheureusement, comme cela a été trop souvent relaté récemment dans la presse, le risque de violation des données d'un visiteur a augmenté de façon exponentielle.
En novembre dernier, les détails entourant une violation subie par Uber en 2016 ont fait surface. Selon l'entreprise, 57 millions de personnes ont été impactées à la suite de la cyber-attaque. Un mois plus tôt, des informations détaillées sur le paiement par carte d'environ 60 000 clients de Pizza Hut parmi d'autres données d'utilisateurs auraient été exposées à des pirates informatiques. Un mois auparavant, Deloitte était impliqué dans une cyber-attaque dont les vraies retombées ne sont pas encore connues, mais qui aurait compromis le serveur de messagerie mondial de Deloitte.
En juillet 2017, il est devenu clair que la violation de données subie par Bupa avait touché un demi-million de clients. En 2016, les logiciels malveillants Android ont compromis plus d'un million de comptes Google. En 2013, Yahoo a également révélé une violation affectant jusqu'à 3 milliards de ses utilisateurs de messagerie.
En réponse à la baisse de la confiance des utilisateurs qui a inévitablement un impact négatif sur les entreprises et l'économie, les gouvernements augmentent les garanties réglementaires. Contrairement à la Directive, le GDPR fournira un ensemble unique de règles pour toutes les entreprises qui manipulent, stockent, partagent et traitent des données personnelles liées à l'UE. Les organisations devront mettre en œuvre de nouvelles mesures pour satisfaire aux exigences de la réglementation et faire très attention à la manière dont elles acquièrent, collectent, utilisent et stockent les données de leurs clients et employés.
La mise en œuvre d'un règlement unique est censée faciliter les processus d'affaires à long terme et inciter les organisations à consolider et à rationaliser les données en un seul endroit pouvant être rapidement anonymisé. La réduction significative des coûts organisationnels, le potentiel d'innovation et la construction d'un meilleur rapport avec les clients ainsi que la diminution des dommages à la marque et à la réputation associés aux violations sont également considérés comme des avantages de la nouvelle réglementation.
Les services cloud et le GDPRLes règles du GDPR s'appliquent indépendamment du fait que les données soient stockées dans le cloud ou sur papier. Le premier en particulier présente plusieurs défis en matière de conformité.
D'une part, selon le rapport Shadow Data Threat Report d'Elastica, moins d'un pour cent des processus internes des fournisseurs de cloud sont conformes à la nouvelle législation. Moins de trois pour cent appliquent des stratégies de mot de passe sécurisées pour répondre aux exigences du GDPR. Cela s'explique en partie par le fait que la Directive met l'accent sur le responsable du traitement plutôt que sur le sous-traitant, ce qui fait que de nombreux fournisseurs ne sont pas responsables du rôle qu'ils jouent dans la confidentialité et la sécurité des données. Mis à part le scénario où des obligations contractuelles sont mises en place par le responsable de traitement, les sous-traitants ne sont pas tenus responsables de la perte ou de l'exposition des informations. Lorsque la réglementation n'est pas un problème, les fournisseurs de services de cloud computing peuvent se limiter à faciliter l'utilisation et la navigation de leurs plateformes et services.
D'autre part, et selon le plus récent rapport Netskope Cloud, les entreprises de l'UE ne sont pas conscientes du nombre d'applications cloud que leurs organisations utilisent actuellement, ce qui représente en moyenne plus de 600 logiciels.
Selon le nouveau règlement, les règles seront beaucoup plus strictes, la menace d'amendes allant jusqu'à 20 millions euros ou 4% du revenu annuel d'une entreprise (selon le montant le plus élevé) et la responsabilité entre le responsable du traitement et les sous-traitants sera partagée. Les fournisseurs de cloud ainsi que les utilisateurs doivent appliquer une série de procédures techniques et organisationnelles pour garantir le niveau de sécurité requis. Selon le Dr Rois Ni Thuama, responsable de la gouvernance électronique chez OnDMARC, les amendes ne constituent pas nécessairement la plus grande menace pour une entreprise. Le droit de la personne concernée de poursuivre à la suite d'une violation, quelles qu'en soient les implications, est beaucoup plus préoccupant.
"Ce que nous observons désormais est une division claire entre un nombre croissant d'entreprises qui disent ‘Attendez, ce truc GDPR est réel’, et celles qui ne comprennent toujours pas que vous ne pouvez pas simplement déplacer des données dans le cloud sans aborder la confidentialité des données. La réglementation sur la protection de la vie privée est en voie de devenir une pratique courante dans le secteur informatique, tout comme l'a été le régime d'homologation des médicaments pour l'industrie pharmaceutique. Il est clair que soit vous vous y conformez, soit vous pouvez oublier l’idée de vendre à des clients sérieux", explique Bostjan Makarovic, fondateur d'Aphaia, une société de conseil axée sur le GDPR.
Les attitudes des responsables du traitement et les sous-traitants devront changer radicalement, surtout lorsqu'il s'agit de négocier des accords. Des dispositions strictes sur l'étendue des fonctions du responsable du traitement et du sous-traitant devront être définies et appliquées. Annabel Jones, directrice Royaume-Uni chez ADP, a commenté : "La due diligence contractuelle sera d'autant plus importante que les entreprises cherchent à s'associer avec des entreprises qui peuvent garantir que les données sont traitées légalement". Une augmentation de la due diligence de tiers et un intérêt plus marqué concernant les polices d'assurance vont probablement également s’intensifier.
Étapes à suivre pour se conformerLors de la sélection d'un fournisseur, les entreprises utilisant le cloud doivent s'assurer qu'elles choisissent des fournisseurs qui, dans un premier temps, peuvent indiquer à leurs clients où se trouvent les données qu'ils traitent et stockent. Selon le GDRP, le transfert de données à un tiers en dehors de l'UE qui ne dispose pas de normes de protection des données adéquates n'est autorisé que dans certaines circonstances. Actuellement, seuls 11 pays satisfont à ces normes.
Il est également important que les entreprises soient informées des tiers impliqués dans le traitement des données. Selon le rapport Global Security Report de Trustwave, environ 63% des violations de données impliquent des tiers souvent considérés comme la plus grande zone d'exposition aux risques de l'entreprise. En conséquence, ils seront les premiers à être étudiés par les régulateurs. Si ces derniers sont impliqués à un stade quelconque du processus, des mesures doivent être prises pour s'assurer qu'ils sont également conformes.
La sécurité devrait être une priorité absolue pour les fournisseurs qui sont censés pouvoir expliquer les diverses mesures adoptées pour protéger les données contre les modifications, les traitements non autorisés ou les pertes. Tous les centres de données doivent être conformes aux dernières certifications ISO, le stockage et la transmission des documents doivent être effectués exclusivement via une connexion SSL avec un cryptage AES 256 bits. Des tests de pénétration réguliers doivent être effectués pour évaluer la sécurité des données. L'authentification à deux facteurs, la suppression des données, la récupération des éléments supprimés et les contrôles d'accès ne sont que quelques-unes des façons dont les propriétaires de données peuvent avoir une autonomie sur la façon dont leurs données sont conservées.