L’UE, au confluent des services cloud et de         la protection des données privées

Le compte à rebours est lancé : pour mai 2018, les entreprises opérant dans l’Union européenne doivent avoir mis en place des processus et des systèmes de pointe en matière de protection des données, sous peine de s’exposer à une amende pouvant atteindre 4 % de leur chiffre d’affaires mondial.

 

La Commission européenne, le Conseil européen et le Parlement européen  ont  inscrit  cette  obligation dans le Règlement Général  sur   la   Protection   des   Données  (GDPR). La   nouvelle   réglementation s’applique à toutes les entreprises – qu’elles soient domiciliées dans l’UE ou non – qui entretiennent des relations commerciales avec des résidents de l’Union, dont   elles   conservent   ou   ont   à   traiter   des informations personnelles.

Aujourd’hui, notre vie est dominée par les services cloud proposés par des entreprises telles  Facebook, Google ou Amazon. Le monde des  entreprises   emprunte   une   voie   similaire : un  nombre  croissant d’entre elles utilisent les services cloud, depuis des logiciels  bureautiques  et  collaboratifs  jusqu’à  des outils d’automatisation de la force de vente (SFA) ou  d’ERP. La   valeur   ajoutée   des   services   cloud dépend en grande partie de la collecte et de l’analyse des données des utilisateurs : qui sont leurs  amis et quels types d’informations partagent-ils avec eux ? Que recherchent-ils sur Internet ? Quels sont leurs centres d’intérêt et leurs  préoccupations ? Qu’achètent-ils  et   que   sont-ils  susceptibles   d’acheter   à l’avenir ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Si, aux Etats-Unis, rares sont ceux qui voient dans cette moisson d’informations un réel problème, il n’en va pas de même en Europe. La raison est en partie due aux cas de surveillance  et  de  fichage  étatique en masse qu’a connus le vieux continent par le passé. Les Européens tendent ainsi  à  se  montrer  plus réticents face à la collecte  de   données  à   grande   échelle, en   dépit   de   ses   avantages  potentiels considérables, par exemple dans le domaine de la recherche médicale.

C’est pourquoi l’UE a décidé d’adapter sa législation sur la protection des données à l’ère du cloud. Pour l’heure, le GDPR représente probablement la législation la plus complète  de  la  planète  en  la  matière. Ayant pour but de renforcer les droits des résidents européens en matière de respect de  leur  vie  privée et d’harmoniser la réglementation à ce sujet dans tous les Etats  membres, il  place  également  la  barre très haut en termes de responsabilité et de traçabilité :

Les entreprises – notamment les fournisseurs informatiques – doivent avoir mis en place des  processus et systèmes de protection des données personnelles, par exemple avec la prise  en  compte  du  respect de la vie privée dès la phase de conception (« by design ») ou bien par défaut.
Certaines entreprises doivent nommer un responsable de la  protection  des  données  (Data  Protection Officer).
Dans les secteurs à haut risque, tels que la finance, les entreprises doivent procéder  à  des  évaluations d’impact de la protection des données.
En cas de piratage de  données,  les  entreprises  doivent  en  informer  les  autorités  et,  dans  certains scénarios, leurs clients également, sauf si ces données sont cryptées ou couvertes par pseudonyme, ce qui doit tout naturellement conduire les entreprises à crypter leurs  données  clients  le  plus  rapidement possible.

 

Le débat enflammé autour  du « droit à l’oubli » à  l’ère  des   recherches  Google  a  abouti  à   un   droit explicite à l’effacement des données.

La mise  en   conformité   avec   cette   réglementation   implique  beaucoup  de  travail  pour  toutes  les entreprises concernées, de l’inventaire exhaustif de tous  les  sites  stockant  des  données  clients  à  la définition et, enfin, à la mise en place  de  tous   les  rôles   et   processus   requis. Plus  l’environnement applicatif et de stockage des données d’une entreprise est centralisé, plus  il  sera  facile  de  remplir  les objectifs de conformité technique.

Cette centralisation peut  être  obtenue  de  diverses  manières, par  exemple  en  unifiant  les  contrôles d’accès sur site et dans les services  cloud  par  l’instauration  de  l’authentification  unique (SSO, Single Sign-On),  en  déployant  des  environnements  de  travail  virtuels,  sécurisés  et  homogènes   pour  les utilisateurs (avec une  gestion  centrale), en   supervisant   la   sécurité   des   appareils  mobiles  et  des applications ou encore en faisant appel à un  système  de  partage  de  fichiers  d’entreprise, permettant au département informatique d’appliquer des règles strictes qui  déterminent  qui  peut  partager  quelles informations avec qui et où celles-ci sont conservées. La bonne nouvelle, c’est qu’une fois mis en place, les systèmes de contrôle du respect de la vie privée conformés  au  GDPR, il  en  résultera  un  équilibre bien pensé entre l’économie des  informations  personnelles   et   les   préoccupations   des   utilisateurs à cet égard, et donc un mécanisme unifié applicable dans l’ensemble de l’UE.

Avant tout, l’incitation à crypter très largement les données clients ne peut que renforcer la  sécurité  des informations. C’est pourquoi, en définitive, le GDPR est une bonne chose pour le respect de la vie privée des clients et la sécurité informatique des entreprises.

gallery/data protection
gallery/donnees-personnelles