En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site vitrine pour une association
    <250 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter féminin
    < 3 000 €
    > En savoir plus
  • Création d'un site catalogue pour une entreprise de plâtrerie
    < 1 500 €
    > En savoir plus
Universign_simplifiez process couts_leaderboard

RGPD et Cloud : 3 étapes essentielles pour les entreprises

BlueMind_Nouvelle version_pave

Bien que le RGPD évoque le partage de responsabilité entre les utilisateurs et les fournisseurs de services Cloud (CSP), c’est bien l’utilisateur du service, à savoir l’entreprise, qui sera responsable des données de ses clients. Elle doit pouvoir garantir que celles-ci seront utilisées en respectant les accords donnés par le client, indépendamment de l’endroit où il se trouve. Pour être à la hauteur de l’enjeu, Eduard Meelhuysen, vice-président Venres EMEA, Bitglass, décrit ici 3 étapes essentielles.

Dans un an, les entreprises devront être prêtes pour le Règlement Général sur la Protection des Données (RGPD). Cette loi donne à chacun le droit de demander à une entreprises des informations détaillées sur le traitement des données. Les entreprises elles-mêmes sont également sujettes à une surveillance par les autorités de contrôle nationales, ce qui signifie qu’elles vont non seulement devoir faire attention à la sécurité des données, mais également garantir la transparence de leurs opérations de traitement des données.

Les entreprises auront des responsabilités spécifiques relatives à l’utilisation des applications Cloud. Bien que le RGPD évoque le partage de responsabilité entre les utilisateurs et les fournisseurs de services Cloud (CSP), c’est bien l’utilisateur du service, à savoir l’entreprise, qui sera responsable des données de ses clients. Elle doit pouvoir garantir que celles-ci seront utilisées en respectant les accords donnés par le client, indépendamment de l’endroit où il se trouve.

Pour répondre à ce défi de taille, les entreprises vont devoir disposer de nombreuses ressources. Au cours des 12 prochains mois, elles vont devoir vérifier qu’elles sont prêtes à mettre en œuvre le RGPD, en s’assurant que leur processus Cloud sont à la hauteur de l’enjeu.

Voici 3 étapes qui les aideront à y parvenir

  1. Tracer les données de l’entreprise

Le service informatique va devoir collaborer étroitement avec la direction pour élaborer un répertoire des procédures. Celui-ci devra résumer de quelle manière les données clients, les données personnelles et les données d’entreprise sont collectées et traitées. Parmi les données personnelles, il y a des informations telles que l’adresse IP, grâce à laquelle un client peut être identifié. De même, les entreprises qui s’appuient sur le Cloud devront identifier l’ensemble des données clients qui se déplacent à partir et en direction du nuage, et déterminer comment elles sont protégées une fois dans le Cloud. Il s’agira par exemple de contenus transférés dans des applications de messagerie électronique ou de données de trafic déplacées par certains outils d’analyse de site Web. Tout cela devra également figurer dans le répertoire.

L’identification de ce que les données contiennent et déplacent vers le nuage n’est pas une tâche facile, mais cela doit être fait. Il est important de s’assurer que tous les responsables concernés participent au processus et que les actions soient coordonnées au sein de l’équipe. N’attendez pas la dernière minute ! Vous ne réussirez pas à constituer le répertoire des procédures et à obtenir le consentement des clients à quelques jours de la mise en place du RGPD. Préparer un répertoire solide prend du temps. La nomination du responsable de la protection des données en interne, requis en vertu du RGPD, devrait être effective le plus tôt possible, afin qu’il puisse prendre en charge la coordination de l’ensemble des processus relatifs, afin d’alléger le fardeau des équipes informatiques largement sollicitées par ailleurs.

La nomination du responsable de la protection des données en interne, requis en vertu du RGPD, devrait être effective le plus tôt possible, afin qu’il puisse prendre en charge la coordination de l’ensemble des processus relatifs, afin d’alléger le fardeau des équipes informatiques largement sollicitées par ailleurs.

  1. Identifier les processus de données mis en place par les fournisseurs de services Cloud

Une fois que le répertoire des procédures a été mise en place, il conviendra de demander aux fournisseurs de service Cloud une copie de leur propre répertoire. Une comparaison des deux permettra d’identifier la façon dont les données sont traitées par le CSP. Si ses processus sont différents des vôtres, vous devrez peut-être obtenir un accord supplémentaire de la part vos clients.

Le RGPD évoque également une certification potentielle pour les CSP. Elle prendra probablement la forme d’un label de qualité qui offrira aux entreprises un indicateur précis sur le niveau de protection et de sécurité des données d’un fournisseur potentiel. Certains CSP pourraient alors faire valoir ce label de qualité comme élément différenciateur. Malheureusement, il n’existe pas à ce jour de standard. Obtenir la certification relèverait alors d’une démarche volontaire. Dans cette optique, les entreprises devront inspecter les activités de traitement des données du fournisseur de services Cloud et envisager l’utilisation d’outils de sécurité comme une DLP (Data Loss Prevention). Car si une entreprise choisit un CSP qui ne s’occupe pas de ses données correctement, elle doit savoir que c’est elle qui devra payer l’amende. La prudence est donc plus que jamais de mise.

Si une entreprise choisit un CSP qui ne s’occupe pas de ses données correctement, elle doit savoir que c’est elle qui devra payer l’amende. La prudence est donc plus que jamais de mise.

  1. Éviter le shadow IT informatique et former le personnel

Les changements introduits par le RGPD induisent que les entreprises doivent accorder une attention accrue à qui accède aux données, de quelle manière et à partir de quel endroit. En d’autres termes, elle doit savoir quel employé accède aux données de l’entreprise et à partir de quel périphérique. Ainsi, il devrait être quasiment impossible pour des collaborateurs d’accéder aux données client ou aux données de l’entreprise à partir d’un périphérique privé non sécurisé, comme par exemple son propre mobile. Si une personne y parvenait à partir de son domicile, elle pourrait alors les enregistrer où elle le souhaite, voire les envoyer à une autre application Cloud, sans que l’équipe informatique ne le sache et sans le consentement du client. De même, en cas de défaillance du serveur de messagerie de l’entreprise, le personnel doit être informé qu’il est hors de question d’utiliser sa messagerie personnelle pour continuer à travailler, même pour répondre à une demande urgente d’un client.

De tels événements ne sont ni rares, ni anodins, et il est évident qu’ils s’opposent à la logique du RGPD. Pour y remédier, un code de conduite relatif à la sécurité des données doit être établi pour les employés. La mise en œuvre de mesures de prévention de ce type requiert l’implication du responsable en charge de la protection des données et de la direction de l’entreprise. Les précautions techniques telles que le cryptage des données dans le nuage et les technologies de gestion des périphériques mobiles peuvent également réduire ces risques. Il est également important de vérifier les listes des privilèges de ceux qui peuvent accéder à ces données au sein de l’entreprise, de manière à ce qu’il soit plus facile de limiter ou de segmenter l’accès aux données sensibles sans autorisation.

La mise en œuvre de mesures de prévention de ce type requiert l’implication du responsable en charge de la protection des données et de la direction de l’entreprise.

Le RGDP transfère la jurisprudence en vigueur au monde numérique. Mais il s’agit d’un nouveau territoire et nous ne savons pas encore définir comment elle s’appliquera dans la pratique pour les entreprises et les fournisseurs de services Cloud. L’introduction des processus de conformité est un défi majeur, sans doute plus pour certaines entreprises que pour d’autres. À long terme, cependant, il leur donnera ainsi l’occasion de se distinguer de leurs concurrents et d’élargir leur clientèle. C’est pourquoi elles ont intérêt à approfondir, dés à présent, leur approche de la sécurité des données, que ce soit au niveau de leurs systèmes informatiques locaux ou dans le Cloud.

 

RGPD et Cloud : 3 étapes essentielles pour les entreprises
Notez cet article

Laisser un commentaire

Réinventer les processus à l’heure de la transformation numérique

Comment mettre en place une approche BPM -Collaboration IT / métier efficace –Retour d’expériences. Webinaire : mardi 28 novembre de 11h00 à 11h45, avec CXP Group.

Infos et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Nouvelles règles européennes sur les données non personnelles : un élan majeur pour réaliser le marché unique numérique

    La Commission européenne a proposé mardi 19 septembre de nouvelles règles du jeu pour lever…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vidéo - Alain Bouillé, président du CESIN, n’imagine pas l’agilité sans tests continus

    Toute entreprise devra former sur le long terme ses développeurs et ses administrateurs, et surveiller…

    > En savoir plus...
Etudes/Enquêtes
  • Cyberattaques : les pertes des entreprises françaises en hausse de 50 % en un an (PwC)

    Les entreprises françaises ont vu leurs pertes financières liées aux cyberattaques augmenter de 50 %…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

banniere_FIC2018_skycrapper
Agenda
livres blancs
Les Livres
Blancs
Universign_maitrisez risques signature elec_skycraper