Le RGPD et le cloud

Depuis le 25 mai 2018, la protection des données en Europe est régie par le Règlement Général pour la Protection des Données (RGPD – Le texte complet en français se trouve ici). Un des points essentiels de ce nouveau règlement est qu’il concerne toute organisation qui propose ses services et ses biens aux citoyens européens. Ainsi, même une société Camerounaise qui possède une entité commerciale en France ou traite des données de citoyens européens se voit contrainte de se mettre en conformité avec le règlement.

RGPD ?

Le RGPD peut se résumer, mais ne saurait se limiter, à cinq volets principaux :

  • Des droits accrus d’accès à leurs données personnelles pour les citoyens de l’Union. On retrouve entre autres, l’obligation de consentement explicite et positif, ainsi que le droit à l’oubli. Les entreprises devront donc obtenir l’accord de toute personne (opt-in) pour collecter des données à caractère personnel, ainsi qu’effacer les données d’une personne qui en ferait la demande.
  • Des obligations accrues pour les organisations à la sécurisation des données de ses clients. Un des principes de base concerne la protection des données privées par défaut, dès la conception du système. Ainsi tout système d’information qui gère et stocke ces données devra être « sécurisé ».
  • Une obligation de notification en cas d’intrusion et de fuite de données.
  • La nomination d’un Data Protection Officer (délégué à la protection des données) pour toutes les organisations publiques et privées dont « les activités de base […] exigent un suivi régulier et systématique à grande échelle des personnes concernées ». En gros, à partir du moment où vous stockez des données de citoyens de l’union pour vos activités, une personne de l’organisation doit être nommée DPO et faire office de contact principal avec l’autorité de contrôle.
  • Des amendes en cas de défaut de conformité. Ces amendes peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel pour une entreprise commerciale, le montant le plus élevé étant retenu.

Il apparait clairement qu’au travers du RGPD l’Europe renforce à la fois les droits des citoyens, la sécurité d’accès à leurs données ainsi que les mécanismes de contrôles de ces accès. Comme l’indique le règlement, à partir du moment où une organisation collecte des données de citoyens de l’Union Européenne, elle doit se mettre en conformité avec le règlement.

Cloud et RGPD

Quel rôle peut jouer les technologies cloud dans tout cela ? La réponse est une plus grande rapidité de mise en œuvre des technologies de protection, de sécurisation et d’audit. En effet, la plupart des fournisseurs de services cloud sont déjà passés au travers des nombreuses certifications de sécurité et d’accès aux données. Par exemple, le standard ISO/CEI 27001 définit le système de gestion de la sécurité de l’information. La plupart des fournisseurs de services cloud ont leurs services certifiés ISO/CEI 27001. S’il n’existe pas une correspondance parfaite entre l’ensemble des articles et clause du RGPD et l’ISO/CEI 27011, être en conformité certifié avec ce standard est un grand pas dans la mise en conformité avec le RGPD. De facto, si votre système d’information n’est pas certifié ISO/CEI 27001, il vous faudra sans doute parcourir un chemin plus long.

Microsoft a mis en ligne une série de tests permettant d’évaluer votre niveau de conformité au RGPD. Vous pouvez passer ces tests (en anglais) ici. Vous trouverez aussi un gestionnaire de conformité qui vous permet de mesurer votre degré de conformité aux normes et réglementations comme le RGPD ou l’ISO/CEI 27001:2013. Ceci ne remplacera pas le besoin de faire auditer votre système d’information, mais pourra servir de source de données pour les auditeurs et les régulateurs. Il apparait alors clairement que l’utilisation de services cloud permet en général de limiter les actions nécessaires à la mise en conformité.

Vous trouverez plus de détails sur la conformité et la protection de données dans mon livre Cloud Hybride, Public et Privé.

Photo par Bernard Hermant sur Unsplash

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fièrement propulsé par WordPress | Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑

%d blogueurs aiment cette page :