Le cloud, la loi et moi…

Cet article est une adaptation d’un extrait de mon livre Cloud privé, hybride et public.

Alors que la presse se démène contre Facebook et Cambridge Analytica, la question de ses propres données, de leur protection, et de leur stockage dans le cloud, se pose avec une intensité encore plus grande. En Europe, A compter du 25 mai 2018, la protection des données en Europe est régie par le Règlement Général pour la Protection des Données (RGPD – Texte complet en français). Un des points essentiels de ce nouveau règlement est qu’il concerne toute organisation qui propose ses services et ses biens aux citoyens européens. Ainsi, même une société Camerounaise qui possède une entité commerciale en France se voit contrainte de se mettre en conformité avec le règlement.

pexels-photo-534204

Le RGPD peut se résumer, mais ne saurait se limiter, à cinq volets principaux :

  • Des droits accrus d’accès à leurs données personnelles pour les citoyens de l’Union. On retrouve entre autres, l’obligation de consentement explicite et positif, ainsi que le droit à l’oubli. Les entreprises devront donc obtenir l’accord de toute personne (opt-in) pour collecter des données à caractère personnel, ainsi qu’effacer les données d’une personne qui en ferait la demande.
  • Des obligations accrues pour les organisations à la sécurisation des données de ses clients. Un des principes de base concerne la protection des données privées par défaut, dès la conception du système. Ainsi tout système d’information qui gère et stocke ces données devra être « sécurisé ».
  • Une obligation de notification en cas d’intrusion et de fuite de données.
  • La nomination d’un Data Protection Officer (délégué à la protection des données) pour toutes les organisations publiques et privées dont « les activités de base […] exigent un suivi régulier et systématique à grande échelle des personnes concernées ». En gros, à partir du moment où vous stockez des données de citoyens de l’union pour vos activités, une personne de l’organisation doit être nommée DPO et faire office de contact principal avec l’autorité de contrôle.
  • Des amendes en cas de défaut de conformité. Ces amendes peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel pour un entreprise commerciale, le montant le plus élevé étant retenu.

Il apparait clairement qu’au travers du RGPD l’Europe renforce à la fois les droits des citoyens, la sécurité d’accès à leurs données ainsi que les mécanismes de contrôles de ces accès. Comme l’indique le règlement, à partir du moment où une organisation collecte des données de citoyens de l’Union Européenne, elle doit se mettre en conformité avec le règlement.

pexels-photo-374016

Quel rôle peut jouer les technologies cloud dans tout cela ? Une plus grande rapidité de mise en œuvre des technologies de protection, de sécurisation et d’audit. En effet, la plupart des fournisseurs de services cloud sont déjà passés au travers des nombreuses certifications de sécurité et d’accès aux données. Par exemple, le standard ISO/CEI 27001 définit le système de gestion de la sécurité de l’information. La plupart des fournisseurs de services cloud ont leurs services certifiés ISO/CEI 27001. S’il n’existe pas une correspondance parfaite entre l’ensemble des articles et clause du RGPD et l’ISO/CEI 27011, être en conformité certifié avec ce standard est un grand pas dans la mise en conformité avec le RGPD. De facto, si votre système d’information n’est pas certifié ISO/CEI 27001, il vous faudra sans doute parcourir un chemin plus long.

Il apparait que l’utilisation de services cloud professionnel permet d’accélérer la mise en conformité avec le RGPD ainsi que la mise en place des procédures nécessaires au sein de l’entreprise. Il convient alors de faire une analyse d’écart (Gap Analysis) entre les différents standards en place et les critères du RGPD. En fonction des résultats, il ne restera « qu’à » procéder aux implémentations de procédures et processus nécessaires au sein du système d’information et de l’organisation. Il est fortement conseillé de faire appel à un cabinet spécialisé qui saura accompagner l’organisation dans l’analyse d’écart et l’implémentation des changements nécessaires.

Crédit photo Claire Anderson sur Unsplash

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Fièrement propulsé par WordPress | Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑

%d blogueurs aiment cette page :