RGPD : 4 conseils pour se préparer

Avec les quatre conseils concrets suivants Micro Focus permet aux entreprises de bien se préparer au règlement général sur la protection des données (RGPD) de l'Union européenne :

1. Obtenir une vue d'ensemble

Le RGPD est complexe - il ne s'agit plus seulement d'une directive comme la loi fédérale allemande sur la protection des données, mais d'une législation fixe avec des conséquences importantes. Ainsi, à partir de mai 2018, toute infraction au RGPD sera passible d'une amende pénale. Cela vaut également pour les entreprises qui ne sont pas implantées dans l'UE, mais qui y exercent leurs activités : Jusqu'à quatre pour cent du chiffre d'affaires annuel mondial peuvent être infligés à titre d'amende. Il est donc urgent que les entreprises prennent des mesures. Un premier pas dans la bonne direction serait de se faire certifier en tant qu'entreprise par la norme internationale ISO/IEC 27001. Pour cela, il vaut la peine d'introduire un système de gestion de la sécurité de l'information (SGSI). Mais pour les petites et moyennes entreprises, cela est généralement inutilement coûteux. Et attention : même une certification ISO ne signifie pas automatiquement une conformité avec le RGPD ! Il devrait donc être prioritaire pour chaque entreprise de vérifier, en ce qui concerne la sécurité des données, quelles mesures sont judicieuses pour sa propre entreprise.

2. Structurer les données

Le RGPD donne à toute personne le droit d'obtenir la suppression de ses données, droit qu'une entreprise doit bien entendu respecter si elle le souhaite. La définition des données à caractère personnel est très large : les adresses IP, les identifiants des utilisateurs ou les cookies sont également concernés. Mais pour cela, il faut d'abord avoir une vue d'ensemble de l'endroit où les données personnelles sont traitées et enregistrées dans l'entreprise. On se rend vite compte que cette tâche n'est pas triviale si l'on considère le volume de données distribuées par e-mail et stockées sur des supports de données locaux dans les entreprises. Celui qui maîtrise l'analyse, la classification et la gestion de ses données dispose d'une base solide pour le RGPD.

3. Contrôler les droits d'utilisateur et d'accès

Dans le contexte du RGPD, les autorisations qui permettent d'accéder aux données personnelles doivent notamment être soumises à un contrôle régulier. L'emploi de collaborateurs temporaires tels que les stagiaires, les apprentis ou les stagiaires, mais aussi les changements de service peuvent entraîner des autorisations non autorisées au sens du RGPD. En principe et indépendamment du RGPD, les entreprises devraient soumettre toutes les autorisations à un contrôle régulier. Afin de limiter la charge de travail de l'entreprise, la fréquence du contrôle devrait être fonction de la criticité de l'autorisation - les autorisations critiques devraient être contrôlées régulièrement au plus tard tous les trois mois, pour les autorisations moins critiques, un contrôle annuel peut suffire. En outre, les autorisations devraient être vérifiées au cas par cas, en fonction des événements, par exemple en cas de changement de service ou de départ d'un collaborateur.

4. Obtenir un aperçu

La surveillance constante des accès à certaines données permet justement de détecter à temps d'éventuelles violations de la protection des données. Selon le RGPD, une attaque doit être signalée à l'autorité de contrôle dans un délai de 72 heures seulement. Pour y parvenir, il faut toutefois avoir une vue d'ensemble complète de l'environnement des processus et des systèmes. Si les processus sont confiés à des entreprises tierces ou au cloud, il peut s'écouler un certain temps avant qu'une attaque ne soit rendue publique. Le soutien technique, par exemple sous la forme de solutions SIEM, analyse le système presque en temps réel. Un programme SIEM centralise l'analyse et l'enregistrement des journaux d'événements afin de pouvoir les passer au crible en temps réel. Une solution de surveillance des changements un peu plus simple constitue une alternative. Elle ne permet certes pas d'analyser des processus complexes, mais elle réduit déjà considérablement les temps de réaction en cas d'incidents de sécurité.

Conclusion : créer de la transparence

Outre la protection des données, le RGPD place une chose au-dessus de tout : la transparence. Les entreprises doivent formuler de manière claire et transparente la manière dont elles utilisent les données à caractère personnel. Cela doit être organisé de manière compréhensible - qui a vu les informations et qui les a utilisées pour quoi ? Comment les transferts de données transfrontaliers sont-ils gérés ? Y a-t-il déjà un responsable de la protection des données au sein de l'entreprise qui s'occupe de manière groupée des nouvelles exigences ? Même si les données à caractère personnel sont stockées pour le compte d'autres organisations, les nouvelles règles doivent être respectées - il y a beaucoup de choses à prendre en compte.

Texte : Christoph Stoica, directeur général régional chez Micro Focus

D'autres conseils de préparation sont disponibles ici