Votre fournisseur de Cloud est-il conforme à la GDPR ?

Le règlement général de protection des données de l’Union européenne (GDPR) entrera en vigueur le 25 mai 2018 dans toute l’Europe. Les entreprises disposent de 6 mois pour s’assurer que leurs opérateurs et fournisseurs de services Cloud satisfont bien les nouvelles exigences du législateur. Quelles obligations s’appliquent au Cloud ? A qui incombent ces nouvelles responsabilités ? Eclairage sur les points de vigilance.

 

Le nouveau règlement européen nommé GDPR vise à améliorer la sécurité des données personnelles. Il précise aux entreprises de quelle manière elles doivent gérer les données de leurs clients, employés ou partenaires. La GDPR s’applique à toutes les entreprises dont les activités concernent l’Espace économique européen.

Sont considérées comme des données personnelles toutes les informations qui permettent d’identifier directement ou indirectement un individu, dans sa vie privée, professionnelle ou publique : nom, photo, adresse e-mail, coordonnées bancaires, informations médicales, achats, adresses IP, etc.

Vos données sont stockées dans le Cloud ? Vous utilisez des services SaaS ? Il est temps de vous assurer que vos fournisseurs de services sont en conformité avec la nouvelle règlementation. Les contrats, services et process vont en effet devoir être revus pour répondre aux exigences de la GDPR.

La règlementation s’applique quel que soit le lieu de stockage des données, sur papier ou sur des serveurs hébergés dans le Cloud. Toutefois, le choix de solutions Cloud entrainent des questions de conformité spécifiques. Rappelons que le non-respect de ces nouvelles dispositions peut se traduire par des amendes qui s’élèvent à 20 millions d’euros et 4% du chiffre d’affaires global de votre entreprise !

 

Responsable des données et fournisseur de solution Cloud : qui fait quoi ?

Vérifier sa conformité avec la GDPR demande de bien comprendre les rôles de chacun des intervenants dans une chaîne de stockage et traitement des données.
Par le passé, les réglementations s’appliquaient au responsable des données, c’est-à-dire à la personne ou à l’entreprise qui définit l’objectif et les moyens de traitement des données à caractère personnel. Une entreprise devait par exemple contrôler à la fois ses données clients et employés. Mais dès le mois de mai 2018, la GDPR va étendre la portée des réglementations aux fournisseurs de solutions Cloud comme aux acteurs du traitement de ces données.

Ces fournisseurs doivent mettre en œuvre des procédures internes qui sont étroitement liées à la sécurité de l’information, de sorte que les acteurs qui suivent déjà les normes internationales comme ISO 27001 sont les plus préparés pour ces défis. Notons que la conformité avec la nouvelle règlementation européenne s’étend bien entendu aux sous-traitants et que vos fournisseurs doivent y veiller.

 

Localisation des données

La GDPR exige que le responsable des données tout comme les fournisseurs de services connaissent le lieu stockage et de traitement des données personnelles.

Celles-ci peuvent être basées en dehors de l’Espace économique européen mais leur transfert doit respecter les principes édictés par la GDPR.

Les entreprises doivent ainsi évaluer les process de sécurité de leur fournisseur Cloud à l’aide d’audits réguliers. Il en va de même pour vos fournisseurs lorsqu’ils font appel à des sous-traitants.   Chaque norme internationale de sécurité possède ses propres critères dans le cadre d’un processus de certification. Mais tous s’appuient sur des contrôles périodiques. Ces critères de certifications constituent un bon indicateur du niveau de maturité d’un prestataire en matière de conformité. À titre d’exemple, la norme ISO 27001 spécifie 114 contrôles de sécurité à adopter.

 

Droits des individus et contrats Cloud

La GDPR étend les droits des individus sur l’utilisation de leurs données personnelles. Ils concernent le transfert et l’effacement des données. Ces questions sont entre les mains du responsable des données d’une entreprise. Toutefois les fournisseurs de Cloud computing devront adapter leur infrastructure et leurs services pour répondre à ces nouvelles exigences. Ainsi, choisir entre une base de données partagée ou dédiée devra s’envisager en fonction du schéma de données. Rappelons que le traitement des données revêt de multiples facettes.  Celles qui incombent au fournisseur de Cloud ne vous couvrent pas à 100%.

La période de traitement des données doit également être stipulée dans les contrats qui lient les entreprises et leurs fournisseurs Cloud.

 

Data centre

Les data centre sont également un élément important de la chaîne de conformité du GDPR. Ils sont propriétaires des machines physiques où les informations sont stockées. En ce sens, ils sont considérés comme des fournisseurs et sont tenus de gérer les données personnelles relatives à leurs employés, sous-traitants mais aussi au contrôle des accès physiques comme la biométrie ou la vidéosurveillance.

En ce qui concerne les informations d’identification personnelles, la conformité avec la GDPR présente certains défis à relever pour qui manipule des données à caractère personnel.

Il s’agit en premier lieu du propriétaire des données. En d’autres termes, vous, lecteur, qui êtes directement responsable des campagnes marketing réalisées avec les données de vos clients.

Le gestionnaire Cloud est lui aussi concerné. Il doit en effet assurer la mise en œuvre d’une politique de conservation des données compatible avec les besoins spécifiques de chacun de ses clients et de la législation locale. Une mission particulièrement complexe lorsqu’on aborde la conformité au droit à l’oubli et aux exigences en matière de portabilité des données.

 

La date de mise en application de la règlementation  du GDPR approche à grands pas et les organisations manquent de temps. Il est essentiel que chacun comprenne ces règlements et assume la responsabilité qui lui incombe sur les données avec lesquelles ils est en contact – qu’il soit gestionnaire ou transformateur.

Les fournisseurs de Cloud vont devoir mettre en œuvre de nombreux changements en peu de temps. Mais une meilleure prise en compte de la sécurité des données est aujourd’hui cruciale dans le paysage de la cybersécurité.

Laisser un commentaire

Optimization WordPress Plugins & Solutions by W3 EDGE