La conformité GDPR, un avantage concurrentiel pour l’entreprise

 

Bientôt applicable, le RGPD (Règlement Général sur la Protection des Données) va renforcer en Europe le cadre juridique pour les données personnelles et leur libre circulation. Dès lors, les entreprises innovantes seront celles capables de le transformer en opportunité business.

Cette réglementation renforce la protection des données à caractère personnel (DCP) relatives aux clients finaux, citoyens, partenaires, collaborateurs internes,… Il s’agit de tout type d’individus figurant dans le Système d’Information.

Dans ce cadre, l’entreprise doit nommer un délégué à la protection des données (DPO), responsable de la bonne gestion GDPR au sein de l’entreprise. Le DPO garantit ainsi que les personnes clairement mandatées ont bien le droit d’accéder à la bonne information, avec une précaution particulière sur les DCP sensibles (informations médicales, origines ethniques, mœurs,…).

Un état des lieux des données à caractère personnel existantes dans le SI, ordinaires et sensibles, est indispensable. De même, chaque traitement de ces données doit aussi recevoir l’aval d’un contrôleur, nommé par l’entreprise, garant de la conformité GDPR.

La directive européenne prévoit également de maintenir un registre à destination des autorités compétentes, notamment la CNIL en France, prouvant que l’entreprise met bien en œuvre la règlementation GDPR.

Sur le plan technique, le GDPR vise à mieux gérer lidentité des personnes et le contrôle daccès à  la donnée. Ainsi l’entreprise doit non seulement respecter les droits à l’accès aux données, à l’oubli, et au consentement de l’utilisateur, mais aussi les restrictions sur l’utilisation des données, et leur portabilité. Concernant le droit à l’oubli par exemple, cela implique de proposer l’effacement des données à caractère personnel du salarié lorsqu’il quitte l’entreprise, ou de celles d’un client quand il en fait la demande. Sur la donnée, la pseudonymisation devra se généraliser, tout comme le chiffrement. Pour le SI, au security by design s’ajoute désormais le privacy by design.

En allant au-delà des mesures de sécurité classiques (confidentialité, disponibilité, traçabilité, intégrité), les droits d’accès aux DCP sont très restreints. Cela implique un contrôle d’accès rigoureux à la donnée devenue anonyme voire pseudonyme. Elle reste le plus proche possible de la donnée réelle sans pour autant permettre in fine d’identifier un individu.

Dans un contexte où les entreprises cherchent à développer leur écosystème, le partage des données avec leurs partenaires et clients devient un enjeu majeur dans leur stratégie digitale. Dès lors, la relation de confiance doit être bidirectionnelle entre l’entreprise et ses partenaires/clients en maintenant des accès aux données sûrs et authentifiés. Le GDPR encadre cette dimension Open Data avec des mesures fortes de protection des DCP en transit

Et paradoxalement, ce cadre juridique posé par le GDPR venant renforcer la relation de confiance entre l’entreprise et son écosystème, se transforme en avantage concurrentiel. La mise en place du GDPR sera structurante pour l’entreprise, amenée à faire des modifications en termes de gouvernance, process, et optimisation technique du système d’information. Ce règlement européen aux 99 articles se révèle un véritable levier de business. En matière de GDPR, la responsabilité de l’entreprise est étendue à ses sous-traitants et ses partenaires. A partir du moment où une entreprise est « en conformité GDPR », ses clients et partenaires auront toute confiance en elle.

De mon point de vue, les entreprises ne devraient pas limiter ce champ aux données à caractère personnel. Elles pourraient appliquer ces bonnes pratiques de gestion d’identités et de protection des données de bout en bout à l’ensemble de leurs traitements, afin d’asseoir définitivement leur sécurité.

Les récentes cyberattaques d’envergure mondiale telles que Wannacry et NotPetya montrent que le risque zéro n’existe pas. Il devient nécessaire de mettre en place des procédures techniques et humaines adéquates, ainsi qu’une analyse de risques pertinente de type PIA (Privacy Impact Assesment) quant à la perte éventuelle de données de façon à évaluer leur criticité et l’impact de leur divulgation.

Ainsi, dans le cas où survient une violation de l’intégrité des données – un vol ou la simple détection d’une vulnérabilité – la déclaration doit être faite aux autorités dans les 72 heures. Il sera alors facile de fournir tous les éléments de preuves devenus obligatoires avec cette nouvelle directive européenne.

Le GDPR transforme une contrainte en un véritable levier de confiance et de nouveaux business pour accélérer la transformation digitale des Entreprises.

André Follic, Leader Cybersécurité