Plus qu'un an avant GDPR : comment bien s'y préparer ?

Il reste peu de temps avant que le Règlement général sur la protection des données (plus connu sous son acronyme anglais de GDPR) devienne une réalité. Le texte final a été validé en 2016, sa mise en place effective interviendra le 25 mai 2018. Garder cette échéance à l’esprit est une chose. Mais il faut surtout maîtriser les bases de sa mise en œuvre.

Cette nouvelle réglementation concerne l'ensemble des entreprises et acteurs du marché qui gèrent, stockent et déplacent les données dans le Cloud. Aucun acteur ne pourra s'en affranchir. Pour ceux qui ne s'y conformeront pas, notons que la valeur des amendes sera progressive, mais débute à des montants équivalents à 4 % du chiffre d'affaires des entreprises concernées...

Aujourd'hui, certaines organisations ont déjà mis en place des solutions pour y répondre, mais elles sont encore trop nombreuses à ne pas être en conformité au futur nouveau règlement. Il leur reste à peine un peu plus d'un an pour mettre un maximum de leurs infrastructures aux normes requises, en regardant ce qu'elles peuvent déjà adapter et prendre en compte dans leurs infrastructures existantes, puis surtout voir ce qu'elles doivent développer afin d'assurer leur conformité à GDPR.

La première entité à prendre en considération est le datacenter où l'entreprise stocke ses données. Il est donc essentiel de se rapprocher de son service provider pour pallier d'éventuels soucis. Les fournisseurs de solutions de gestion de données sont-ils à même de proposer les bonnes solutions pour qu'une entreprise se conforme à GDPR ?

Si vous avez un doute ou si votre fournisseur de Cloud n'est pas en mesure de vous assurer une localisation à tout moment de vos données en Europe (en France), vous aurez beaucoup difficultés à vous conformer à la nouvelle loi GDPR, car même chiffrée, une donnée personnelle n'est pas pour autant protégée. Les services d'un fournisseur Cloud sont peut-être sécurisés, mais ils n'assurent pas forcément la confidentialité des données personnelles si elles sont possiblement situées ou accessibles depuis l'extérieur de l'UE. La sécurité n'est pas synonyme de confidentialité. 

Autre élément important : la vie des données. Sont-elles protégées dans la durée ? Qui risque d'y avoir accès, qui pourra être concerné par leur collecte ? Voilà deux questions primordiales.

Toute entreprise collectant un certain niveau et une certaine quantité de données devra embaucher un Chief Data Officer, responsable de la gestion de ces données, qui devra s'assurer que l'entreprise est en mesure de répondre à tout un faisceau de contraintes et d'obligations.

Il est nécessaire de s'assurer que le Cloud services provider de l'entreprise offre des garanties en la matière. En outre, celle-ci devra désormais supprimer les données lorsqu'elles cesseront d'être utilisées dans le but initial pour lequel elles ont été collectées. Et pour toute personne ne souhaitant plus que ses données soient collectées, l'entreprise devra automatiquement non seulement cesser de les collecter, mais aussi les supprimer intégralement. À noter que les données de personnes âgées de moins de 16 ans ne pourront plus être collectées, contre 13 ans aujourd'hui, ce qui risque d'obliger l'entreprise à supprimer une grande quantité de données existantes... Enfin, tout manquement constaté devra être remonté par l'entreprise concernée dans les 72 heures au gouvernement européen.

Toujours pas sûrs de savoir par où commencer ? Après un audit des ressources existantes et de leur validité par rapport à la future réglementation, la clé réside dans la comparaison des solutions de gestion de données et des services que les fournisseurs proposent, afin de discuter avec eux de ce qui devrait ou pourrait être mis en oeuvre. Ce qui permettra de définir très vite une feuille de route. Mais ensuite, sachez que le pilotage du projet risque de s'apparenter davantage à celui d'un pilote de rallye engagé dans une épreuve spéciale ! À vos chronos..

En savoir plus sur https://www.lesechos.fr/idees-debats/cercle/cercle-168235-plus-quun-an-avant-gdpr-comment-bien-sy-preparer-2076401.php#PmRfD5CUVWx2fIxy.99