Depuis l’entrée en vigueur du règlement général européen sur la protection des données (RGPD) le vendredi 25 mai 2018, les citoyens européens, ou « personnes concernées », jouissent d’un plus grand contrôle sur la façon dont les entreprises traitent leurs informations personnelles.
L’objectif du règlement est de renforcer la protection et les droits des personnes via une meilleure transparence sur l’usage des données, ainsi que l’application de mesures et de contrôles de sécurité stricts garantissant une protection adéquate des informations.
Le RGPD n’est pas une simple formalité législative. Les équipes informatiques doivent se garder de penser que sa mise en œuvre relève de la seule responsabilité des services juridiques. En fait, le RGPD définit clairement les règles et processus que les entreprises amenées à recueillir les données de résidents de l’UE sont tenues d’instaurer et de respecter pour être en conformité.
Les principaux changements
La collecte, le traitement et l’échange quotidiens d’informations personnelles fournissent de précieux renseignements aux entreprises aussi bien privées que publiques. La valeur des données recueillies augmente en fonction de leur volumétrie. Les cas de pannes informatiques ou de fuites de données qui font souvent la une des médias montrent cependant à quel point il est difficile de protéger à 100 % les données tout en s’assurant qu’elles restent facilement accessibles à ceux qui en ont besoin. Le RGPD a donc vocation à fixer un cadre réglementaire plus strict à l’intention des entreprises qui traitent des données, le but étant de limiter les risques de pannes ou d’utilisation abusive des informations personnelles.
Globalement, le RGPD a trois impacts majeurs. Premièrement, il simplifie et harmonise le cadre réglementaire au niveau européen. Les entreprises n’auront plus à se conformer aux différentes règles propres à chacun des 28 États membres (si on laisse de côté le Brexit pour l’instant), mais à une seule réglementation commune à toute la région.
Deuxièmement, le RGPD est l’opportunité pour ces entreprises de revoir leur flux de données. Nombre d’entre elles pourront en profiter pour remettre de l’ordre dans leurs processus et rationaliser leur approche. Comme les nouvelles lois exigent une approche « descendante », avec l’appui du conseil d’administration, le RGPD obligera les entreprises à décider si toutes les données collectées méritent d’être sauvegardées et conservées, ou si elles peuvent être supprimées.
Enfin, la réglementation impose à toutes les entreprises un niveau minimal de sécurité des données et recommande le recours à des techniques telles que le chiffrement, l’anonymisation et la pseudonymisation.
RGPD : qui doit s’y conformer ?
Le RGPD s’applique à toutes les entreprises proposant des biens ou des services gratuits ou payants aux résidents européens (« personnes concernées »). Il couvre également celles physiquement présentes en Europe. Les entreprises qui traitent des données devront répondre à différentes obligations selon leur rôle exact (responsable du traitement ou gestionnaire de données). Toutefois, elles devront impérativement savoir où sont stockées les données des résidents européens, connaître leurs modalités de traitement, et garantir leur confidentialité ainsi que leur protection. Celles qui dérogent au RGPD s’exposeront à de lourdes sanctions financières (jusqu’à 4 % de leur chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé des deux).
Pour renforcer son impact, le RGPD donne une définition très large des données à caractère personnel, qui englobe les adresses IP privées, les informations issues de l’Internet des objets (IoT) et même la couleur préférée de la personne concernée.
Impact du RGPD sur le secteur informatique
Avec l’arrivée du RGPD, le secteur informatique doit procéder à un grand nombre de changements fondamentaux, dont l’application du principe de protection des données dès la conception. Ce concept place la protection des données au cœur de toute action nécessitant le traitement de données personnelles. En d’autres termes, les entreprises seront tenues de mettre en œuvre des mesures techniques et organisationnelles démontrant qu’elles ont pris en compte la protection des données et l’ont intégrée à leurs activités de traitement.
Les personnes concernées pourront exercer différents droits, notamment en matière d’information, d’accès aux données, de rectification, d’opposition et d’effacement (« droit à l’oubli »). Il leur sera ainsi possible d’accéder à leurs données et de demander leur rectification, mais aussi de s’opposer à leur circulation. Autres points clés : le transfert et la portabilité des données. Le RGPD permet aux personnes concernées d’accéder aux données pour des raisons qui leur appartiennent.
Le RGPD réécrit par ailleurs un aspect du cadre juridique existant en fournissant une définition plus stricte du consentement afin de s’assurer que les clients conservent la propriété de leurs informations. La collecte des données devra désormais être consentie de manière beaucoup plus explicite. Par exemple, les cases présélectionnées sur les formulaires ne seront plus admises.
Comme expliqué précédemment, le RGPD n’est pas une simple formalité législative. Il a un impact direct sur la sauvegarde, l’archivage et la reprise après incident.
Le RGPD sur le plan pratique
Les gestionnaires de données chargés de superviser la sauvegarde, l’archivage et la reprise après incident sont tous conscients de l’impact considérable du RGPD sur leurs activités quotidiennes. En vertu de la réglementation, les clients peuvent exiger la suppression de leurs données personnelles des registres des entreprises, même après avoir consenti à leur collecte et à leur stockage. C’est ce que l’on appelle le « droit à l’oubli », un problème potentiel pour les entreprises dans la mesure où elles conservent des copies de sauvegarde de leurs données. Techniquement, une demande de suppression des données personnelles implique leur effacement de toutes les copies, y compris dans le Cloud ou sur des bandes stockées hors site. Répéter l’opération pour chaque nouvelle demande a été jugé excessif par les autorités de contrôle du RGPD en raison des défis logistiques qui en découleraient. Voici les recommandations de Quantum concernant le traitement d’une demande de suppression :
Pour se conformer à la réglementation, les entreprises devront clairement expliquer à la personne concernée que ses données ont été complètement effacées des systèmes de production, mais qu’une copie de sauvegarde sécurisée a été conservée et qu’elle sera supprimée au bout d’un certain temps. Les informations existeront toujours, mais ne seront plus actives ni accessibles à personne d’autre. Comme de nombreuses entreprises utilisent des archives de sauvegarde pour se protéger des logiciels malveillants, les pirates s’emploient désormais à désactiver les fichiers de sauvegarde chiffrés avant de s’attaquer aux systèmes principaux.
C’est ce qui fait de la bande la meilleure solution de protection contre les cyberattaques. Elle constitue un excellent plan C en complément d’un plan B reposant sur une sauvegarde sur disque standard (le plus souvent avec déduplication). Tout l’intérêt de la bande réside dans sa capacité à protéger les données contre les virus en ligne tout en respectant les exigences du RGPD. Essentielle à la protection des données, la reprise après incident doit satisfaire aux dispositions prévues à l’article 32 de la réglementation. Cet article préconise la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Par conséquent, les sites de reprise après incident seront eux aussi tenus de se conformer au RGPD, les prestataires pouvant être considérés comme des « sous-traitants » passibles de poursuites.
Les entreprises doivent prendre garde à leurs méthodes de chiffrement. On en voit déjà chiffrer leurs données de manière irréfléchie, persuadées qu’il s’agit d’une solution miracle pour se mettre en conformité. C’est une erreur ou, du moins, une pratique risquée. Chiffrer les données à la source au lieu de laisser le système de stockage se charger de l’opération peut avoir un impact significatif sur l’infrastructure. En effet, le caractère non déduplicable des données chiffrées augmente la capacité de stockage nécessaire à la conservation des informations et des sauvegardes. Pour permettre aux utilisateurs de tirer parti de la déduplication, mieux vaut donc laisser la cible de sauvegarde procéder au chiffrement.
L’aube d’une nouvelle ère Réglementation historique en faveur des résidents de l’UE, le RGPD a de nombreuses implications. Il oblige les datacenters et les entreprises qui traitent des données à donner rapidement suite aux demandes qui leur sont adressées et à accorder plus d’importance à la sécurité des données personnelles. Sans une planification adéquate et une parfaite compréhension des conditions à respecter pour rester en conformité, ils risquent de s’attirer les foudres de législateurs impitoyables et s’exposent à de lourdes amendes.