Pour respecter les exigences du RGPD, la plupart des entreprises vont devoir mettre à niveau leur infrastructure et leurs services informatiques dans des domaines tels que la protection, le stockage, la mise en réseau et la sécurité des données. La mise en conformité nécessitera également l’élaboration de nombreuses règles et procédures auxquelles les employés et les partenaires devront être formés et qu’ils devront scrupuleusement appliquer. Pour de nombreuses entreprises, le chemin qui mène à la conformité au RGPD sera long. La date butoir arrive à grands pas. C’est pourquoi Acronis vous propose quelques mesures concrètes à prendre immédiatement pour commencer à vous mettre en conformité avec le RGPD :
1) Familiarisez-vous avec la terminologie du RGPD :
Vous devez au moins maîtriser la définition des termes « données à caractère personnel », « personne concernée », « violation de données », « responsable du traitement », « sous-traitant », « autorité de contrôle » et « droit à l’oubli ». Il y en a bien d’autres, mais ceux-ci sont essentiels pour débuter votre mise en conformité.
2) Identifiez le rôle de votre entreprise dans la taxonomie RGPD
Êtes-vous un « responsable du traitement » (entité qui collecte et traite des données à caractère personnel), un « sous-traitant » (un tiers qui traite des données à caractère personnel pour le compte d’un responsable du traitement, par exemple le fournisseur de services de stockage dans le Cloud du responsable du traitement), les deux ou aucun des deux ?
Ainsi, en langage RGPD, Acronis est à la fois un responsable du traitement et un sous-traitant. Nous sommes « responsables du traitement » pour nos clients de l’Union européenne qui nous achètent des logiciels de sauvegarde et d’autres applications :
lorsque nous acceptons leur commande, leur offrons un service client et communiquons avec eux, nous collectons certaines de leurs données à caractère personnel, notamment leur nom, leur adresse, leur numéro de téléphone et leur adresse e-mail.
Acronis est également un « sous-traitant » selon la définition du RGPD : nous possédons un réseau mondial de centres de données utilisé par nos partenaires pour proposer des solutions BaaS (Backup–as-a-Service) hébergées dans le Cloud, un stockage dans le Cloud et d’autres services.
Dans ce contexte, nos partenaires sont des « responsables du traitement » et comme nous traitons certaines données à caractère personnel pour leur compte, par exemple en les stockant dans nos centres de données, nous sommes « sous-traitant ».
L’impact du RGPD sur votre entreprise dépend en grande partie de la définition de ce rôle.
3) Déterminez avec précision la conformité au RGPD de vos sous-traitants
Par exemple, les fournisseurs d’hébergement d’applications, d’hébergement Web, de services Saas, de stockage dans le Cloud ou d’autres services auxquels vous faites appel stockent probablement pour votre compte des données à caractère personnel de citoyens de l’Union européenne. Ils sont donc des « sous-traitants » selon le RGPD et, à ce titre, ils doivent aussi se mettre en conformité avec le RGPD.
Vous devrez sans doute renégocier des contrats et/ ou accords de niveau de service (SLA) avec certains d’entre eux pour vous assurer qu’ils prennent les mesures nécessaires pour se mettre en conformité.
S’ils ne peuvent pas respecter vos conditions, vous devrez trouver de nouveau sous-traitants afin de protéger votre propre conformité. En attendant, partez du principe que vous devrez assumer la responsabilité des problèmes de conformité au RGPD pour le compte de vos sous-traitants, car vous pourriez en être tenu responsable par l’autorité de contrôle locale.
Par exemple, Acronis traite des données pour plusieurs de ses partenaires. Ces partenaires doivent obtenir des avenants aux contrats signés avec Acronis concernant le traitement des données, qui précisent comment Acronis va aider ses partenaires en leur capacité de responsable du traitement au titre du RGPD. Acronis va préparer un avenant convenant à l’ensemble de ses partenaires et en automatiser la signature.
Ces nouveaux contrats seront mis à disposition de nos partenaires sur Acronis.com et sur notre Portail Partenaires bien avant la date d’entrée en vigueur du RGPD, à savoir le 25 mai 2018. Acronis enverra une notification à l’ensemble de ses partenaires avant la publication sur le site Web, puis de nouveau à la date de publication.
4) Établissez un inventaire détaillé de toutes les données de clients, de partenaires et d’employés
La définition des « données à caractère personnel » figurant dans le RGPD est beaucoup plus large que celle de la précédente Directive européenne sur la protection des données.
Les données à caractère personnel comprennent désormais toute information pouvant être utilisée pour identifier une personne, notamment les adresses IP, cookies, ID de terminaux mobiles, différents types de données de localisation et données biométriques, telles qu’empreintes digitales et images faciales.
Vous devrez obtenir le consentement des personnes concernées ou définir, dans chaque cas précis, une finalité légitime de la collecte de données à caractère personnel.
Le RGPD exige également de votre part une importante documentation supplémentaire et la tenue de registres. Vous devrez notamment indiquer la nature et la finalité du traitement des données à caractère personnel, l’identité et la localisation des éventuels destinataires de ces données, la durée de leur conservation et les mesures mises en place pour les protéger contre tout dommage et vol.
Pour couronner le tout, vous devrez fournir la liste de vos sous-traitants tiers, accompagnée des mêmes informations qu’au paragraphe précédent.
La tâche est longue et fastidieuse. Pourtant, dresser l’inventaire des données à caractère personnel que vous contrôlez ou traitez est une première étape indispensable.
5) Analysez l’ensemble de vos flux de données pour déterminer précisément où et quand vous transférez des données
Le RGPD accorde beaucoup d’importance à la localisation physique des données à caractère personnel et fixe des limites assez strictes quant à l’endroit où vous pouvez les envoyer, les traiter et les stocker. En règle générale,
les données à caractère personnel doivent être stockées au sein de l’Union européenne ou dans quelques pays qui disposent d’une sécurité que l’Union européenne considère « adéquate ».
Parmi les autres destinations acceptables, on peut citer les pays régis par certains accords qui ont été approuvés au préalable par une autorité de contrôle du RGPD, à savoir des règles d’entreprise contraignantes, des codes de conduite et des certifications.
Certains pays ayant signé des accords internationaux concernant les données à caractère personnel avec l’Union européenne, comme l’accord-cadre entre l’Union européenne et les États-Unis sur la protection des données à caractère personnel (« bouclier de protection des données UE-États-Unis »), sont acceptables. Enfin, certaines « dérogations spécifiques » s’appliquent, par exemple lorsque la personne concernée consent explicitement à une destination en ayant conscience des risques associés ou dans le cas de certaines obligations contractuelles ou responsabilités juridiques du responsable du traitement ou du sous-traitant.
6) Déterminez dans quelle mesure vous pouvez respecter les droits de vos clients établis dans l’Union européenne
Il s’agit d’une nouvelle protection importante pour les citoyens mise en place par le RGPD. La prise en compte des demandes de suppression, ou « droit à l’oubli », est particulièrement importante et nécessitera vraisemblablement de nouveaux investissements technologiques, ainsi que de nouvelles règles et procédures.
7) Utilisez le chiffrement pour protéger les données à caractère personnel contre les violations de sécurité
Dans la mesure du possible, chiffrez les données à caractère personnel conservées dans votre entreprise ou transférées via celle-ci : en transit sur les réseaux locaux (LAN) et étendus (WAN) et au repos dans vos
propres infrastructures et services de stockage et de sauvegarde des données, ou ceux de tout sous-traitant tiers auquel vous faites appel.
Un incident au cours duquel un cyberpirate exfiltre des données à caractère personnel avec chiffrement fort mais sans clé de déchiffrement est toujours considéré comme une violation de confidentialité, mais peut
ne pas donner lieu à une divulgation des données à caractère personnel et donc ne vous oblige pas à le signaler à l’autorité de contrôle ou à vos clients.
8) Optez pour une surveillance plus granulaire de votre environnement informatique
Le RGPD exige que les entreprises mettent en œuvre des contrôles de sécurité « adéquats ». Si vos systèmes disposent d’un système de journalisation des événements, de tableaux de bord et de tout autre outil de surveillance en temps réel, veillez à ce qu’un membre du personnel les contrôle et les analyse de façon systématique.
Cette précaution améliorera votre réactivité en cas de violations de sécurité et autres problèmes de perte de données à caractère personnel (due à des défaillances matérielles et à des erreurs du personnel informatique, par exemple).
Cela vous sera également utile si vous devez prouver à votre autorité de contrôle que vous avez pris des mesures appropriées pour vous protéger contre les pertes de données à caractère personnel, qu’une violation n’est pas due à une erreur ou à une malveillance de votre part, et autres circonstances potentiellement atténuantes qui pourraient vous éviter des sanctions sévères.
9) Analysez vos règles relatives à la restauration en cas d’incident de sécurité
Le RGPD vous oblige à agir dans les 72 heures suivant la constatation de la violation et, dans certains cas, à avertir dans les meilleurs délais toutes les personnes concernées affectées.
10) Réalisez une évaluation des risques de sécurité pour identifier les sources de violation potentielles les plus sérieuses
Par exemple, certains secteurs comme la santé, les services publics et les services financiers font de plus en plus souvent l’objet d’attaques par ransomware, la menace informatique qui connaît la plus forte croissance ces dernières années. Concentrez-vous sur l’amélioration de vos défenses face aux menaces les plus probables.
Il est beaucoup plus simple et moins coûteux de bloquer un malware avant qu’il ne vous affecte que de suivre les protocoles d’atténuation des risques et de signalement après une violation comme l’exige le RGPD.
11) Réalisez des sondages, des tests et des audits de votre environnement de protection des données et de sécurité informatique
De même, entraînez, mettez à l’épreuve et évaluez votre personnel. Procédez régulièrement à des simulations de violation de données pour vérifier que vos employés connaissent leurs rôles et responsabilités au titre du RGPD. Si vous vous entraînez régulièrement à répondre aux violations de données, vous éviterez les lourdes sanctions de non-conformité lorsqu’un incident de ce type se produira.
12) Consultez un conseiller juridique qualifié
Procédez à un examen juridique de votre situation de conformité au RGPD. Vos fournisseurs informatiques vous affirmeront que leur produit résoudra tous vos problèmes de conformité au RGPD. Ne vous fiez pas uniquement à leur avis.