Protection des données personnelles : Comment anticiper la réglementation GDPR ?

D’ici à mai 2018, toutes les entreprises possédant des données de citoyens européens devront avoir mis leur SI en conformité avec la nouvelle réglementation GDPR (ou RGPD, en français) qui vise à assurer la protection des informations personnelles. Quelles solutions peuvent aider à satisfaire les obligations réglementaires? Quelles fonctionnalités peuvent être ajoutées? Analyse d’Antoine Dhaynaut, consultant avant-vente HPE Software France.

L’Union européenne (UE) se préoccupe, depuis plusieurs années, de la protection des données personnelles sur le Web et dans les systèmes d’information. En 2016, la Commission de Bruxelles a produit de nouvelles règles du jeu pour la protection des données personnelles : la GDPR (General data protection regulation ou, en français, RGPD, Réglementation générale sur la protection des données). Le texte réglementaire introduit des exigences relatives au respect de la vie privée. Il fixe l’essentiel des mesures que doivent prendre les entreprises pour protéger et conserver les informations sensibles de leurs clients et les conditions dans lesquelles ces données peuvent être exploitées commercialement.

Des amendes dissuasives

C’est un des points sans aucune ambiguïté de la réglementation : des amendes de « 10 millions d’euros / 2% du CA mondial » sont prévues pour sanctionner les entreprises qui ne seraient pas organisées de manière conforme à la GDPR. Elles grimperont à « 20 millions d’euros / 4% du CA mondial » pour sanctionner tout non-respect des droits accordés aux personnes dont les données sont traitées.

Toute infraction (piratage, vol ou perte de données, etc.) doit être notifiée à l’autorité de tutelle sous 72 heures, sauf si les informations à caractère personnel sont chiffrées. Pour les organisations de moins de 250 personnes, quelques exceptions s’appliquent.

A noter que la nouvelle réglementation s’applique également aux entreprises situées hors de l’UE dès lors qu’elles traitent des données de citoyens de l’Union.

Selon Antoine Dhaynaut, consultant avant-vente HPE Software France, plusieurs volets sont à considérer :

« Il convient tout d’abord d’identifier les données personnelles au sein de l’organisation. Il faut faire un état de lieux et recenser les informations d’ordre privé présentes dans les bases de données et les divers documents conservées par l’entreprise.».

Cette identification des informations personnelles peut être automatisée. En effet comment identifier manuellement les données personnelles dans vos serveurs de fichier, sites Sharepoint ou bases de données, si l’on considère les volumes toujours plus importants et la diversité des applications et les moyens de stockage? Impossible.Dans les applications reposant sur des bases de données, la procédure peut paraitre aisée au premier coup d’œil Mais en réalité comment savoir qu’un champ de texte libre contient une donnée sensible ou que telle ou telle colonne parmi des milliers stocke des numéros de permis de conduire ?

Elle l’est encore moins lorsqu’il s’agit de données non structurées : documents bureautique, emails, archives, audio, logs…. Ces données sont généralement : nom et prénoms, adresse, numéro d’identification (INSEE/ SS), adresse IP de l’ordinateur, etc.

« Dans les ERP, l’analyse peut être compliquée si l’on ne connaît pas parfaitement le modèle de la base », avertit Antoine Dhaynaut.

HPE Software propose deux solutions : l’une permet d’analyser les bases de données (‘Structured Data manager’) et d’identifier les champs pouvant contenir des données personnelles et une autre dédiée aux données non structurés (‘Control Point’) résidant sur des serveurs de fichiers, messagerie, Sharepoint, Hadoop, GED…

On peut ainsi procéder à un état des lieux et avoir plus de visibilité sur l’exposition du SI : quels sont les risques encourus ? Comment l’entreprise est-elle couverte juridiquement ?

Gestion du cycle de vie de la donnée

Par ailleurs, il faut considérer la gestion du cycle de vie des données: « La question est de savoir comment garantir qu’on applique le bon cycle de vie. Comment retrouver les informations après plusieurs années, etc. La solution ‘Content Manager’ permet de chercher ces données en y associant un journal d’activité, qui enregistre l’historique de toutes les consultations et modifications opérées ».

Ceci conduit à établir un référentiel unique : telles données se situent à tel endroit. Il est également possible de décider de chiffrer certaines données, de les supprimer, ou de masquer certains champs (par exemple pour anonymiser les fichiers).

Certains outils existaient déjà mais une solution comme ‘Structured Data Manager’ y ajoute des fonctionnalités, comme le décommissionement des applications ou l’extraction de jeux de tests. « Jusqu’ici, il manquait notamment un modèle de détection automatique des données personnelles, c’est maintenant chose faite avec la dernière version».

A noter aussi que cette mise en conformité n’implique pas seulement des processus techniques : « Il faut également mettre en place une démarche de sensibilisation auprès des personnels. Il faut inciter à appliquer les bonnes pratiques ».

Antoine Dhaynaut constate : « Toutes ces procédures prennent du temps. Les vrais projets débutent seulement maintenant. Nos voisins anglo-saxons, plus réactifs, ont pris un peu d’avance ».

Harmonisation en Europe

Les règles instituées par la CNIL en France (Commission Nationale de l’Informatique et des Libertés) obligeaient déjà à appliquer certaines mesures. Le droit à l’oubli a été ajouté, ainsi que d’autres contraintes de sécurité.

Ces mesures sont renforcées et élargies à toute l’Europe. Elles s’appliquent également à tous les pays qui hébergent des plateformes de télé-services, comme au Maghreb, dès lors que ces plateformes détiennent et traitent des données de citoyens européens.

Des réponses concrètes

Pour répondre à ces exigences, HPE Software propose un ensemble de solutions pratiques : « Elles sont flexibles, modulaires et ‘intelligentes’ en ce sens qu’elles permettent d’identifier ces données et de prendre les mesures les mieux appropriées en termes de gestion, classification et de protection » , explique Antoine Dhaynaut.

Un ensemble d’outils permettent d’accompagner les entreprises dans leur mise en conformité avec les nouvelles dispositions. Pour l’essentiel, il s’agit d’outils d’analyse des fichiers pour y recenser les données personnelles, d’outils de gestion sécurité, de suivi du cycle de vie des données et du développement des applications. HPE Software propose ses services en direct ou à travers son réseau de partenaires en Europe.

Photo Pascal Hauet

Antoine Dhaynaut

Consultant Avant-Vente

HPE Software France

Go to Source