Le Règlement général sur la protection des données (RGPD) a été introduit le 25 mai 2018. Son objectif est de renforcer les droits des individus en matière de données et de faire respecter plusieurs obligations par les institutions qui gèrent et traitent les données. La conformité au RGPD a une portée étendue qui est susceptible d'affecter de nombreuses entreprises à travers le monde.
Le champ d'application du RGPD comprend toutes les organisations de l'Union européenne (UE) qui collectent, stockent ou traitent les données personnelles de toute personne résidant dans l'UE (quelle que soit sa nationalité), ainsi que toutes les organisations non membres de l'UE qui offrent des biens et des services aux résidents européens. ou des organisations non européennes qui traitent des informations personnellement identifiables.
Si une organisation enfreint le RGPD, elle peut être condamnée à une amende pouvant atteindre 20 millions d'euros ou 4 % de son chiffre d'affaires annuel global. L'UE a déjà commencé à infliger des amendes aux organisations qui ne respectent pas le RGPD ; des poids lourds tels que Google risquent des amendes (une amende de 44 millions d'euros dans le cas de Google), Amazon, Apple, Netflix et Spotify risquent également des amendes en matière de protection des données.
L'Union européenne attend des fournisseurs de services gérés (MSP) du monde entier qu'ils se conforment à la législation GDPR. Une écrasante majorité de MSP traitent des informations personnellement identifiables pour des clients européens ou des clients européens. Souvent, le MSP peut ignorer quelles données sont traitées, car il incombait auparavant au propriétaire des données de suivre les règles de protection des données. Étant donné que les MSP sont classés dans la catégorie des sous-traitants de données, les services techniques offerts aux clients finaux entrent dans le champ d'application du RGPD - essentiellement, le RGPD exige que les MSP soient conscients du type de données traitées.
Par exemple, considérez un MSP qui fournit une infrastructure en tant que service pour un client et son service RH en utilisant des serveurs de fichiers pour traiter les candidatures d'employés potentiels ; ceux-ci contiennent des informations personnellement identifiables. Comme ces données sont hébergées sur l'infrastructure de stockage du MSP, le MSP et le client partagent la responsabilité de la conformité au RGPD.
Selon les directives du RGPD, les MSP ont le devoir de protéger les données de manière à garantir la sécurité de toutes les données personnelles, y compris la protection contre le traitement non autorisé ou illégal, ainsi que contre les pertes et dommages accidentels. Des garanties administratives, physiques et techniques doivent être mises en place, car le droit de l'UE impose une responsabilité égale aux responsables du traitement et aux sous-traitants. Cela nécessite un modèle de responsabilité partagée entre toutes les parties.
Le type de données dans le champ d'application du GDPR est toute information personnelle identifiable qui pourrait inclure :
- Informations biographiques personnelles - tels que le nom, l'adresse et les numéros de sécurité sociale, la date de naissance, le numéro de téléphone et les adresses e-mail, ainsi que des détails sur l'apparence d'une personne tels que le poids, la couleur des yeux ou d'autres caractéristiques
- Informations financières - tels que le salaire, les codes fiscaux ou les informations sur les prêts étudiants
- Données Web – telles que l'adresse IP, les données de conservation des cookies
- Données de santé, biométriques ou génétiques - tels que les antécédents médicaux, les informations sur les maladies de longue durée, les réclamations d'assurance maladie
- Informations privées – telles que l'orientation sexuelle, les opinions politiques, les croyances religieuses ou l'appartenance à un syndicat. Cela peut également inclure des informations de géolocalisation telles que les trackers Fitbit ou Google Maps.
(Source :https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data)
Les détails ci-dessus ne font qu'effleurer la surface des types de données qui relèvent du GDPR. En réalité, la quantité de données susceptibles d'être soumises à la conformité au RGPD est importante et peut inclure presque tous les logiciels, données, textes, contenus audio ou vidéo. Cette approche peut exercer une pression sur les processeurs de données et les gestionnaires de données au sein de la division des services gérés pour s'assurer que les données sont traitées correctement. Pour ajouter encore plus de complexité, les données doivent être fournies par la clientèle qui a explicitement opt-in au traitement de leurs données personnelles.
Une fois l'autorisation donnée au fournisseur de données, le fournisseur de services gérés est responsable de s'assurer qu'il respecte l'article 5 du RGPD, qui stipule que les données personnelles doivent être :
- Traités de manière licite, loyale et transparente
- Traitées de manière à garantir une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées ("intégrité et confidentialité")
- Les données, une fois traitées, doivent être légalement détruites au moment convenu
(Source :http://www.privacy-regulation.eu/en/article-5-principles-relating-to-processing-of-personal-data-GDPR.html)
Les classifications de l'article 5 sur le traitement des données obligent les MSP à s'assurer que les logiciels et les services qu'ils fournissent, y compris tout logiciel cloud, sont également conformes au RGPD. Cela inclut des éléments tels que les logiciels de virtualisation, les fournisseurs de matériel et les couches réseau, tous vérifiés par le MSP comme étant conformes. Si un MSP exploite un modèle de cloud privé, public ou hybride, il doit reposer sur un architecte sécurisé conformément aux directives du RGPD.
Il est essentiel que les MSP conservent des enregistrements précis sur la sauvegarde et l'archivage des données pour toutes les données couvertes par le RGPD. Les MSP doivent être en mesure d'identifier rapidement les données des utilisateurs finaux, de fournir des enregistrements des données (tels que des journaux de sauvegarde) et, si nécessaire, de supprimer ou de récupérer les données. Tout cela est lié au droit reconnu par le RGPD aux individus de demander des copies des données détenues à leur sujet.
Le GDPR place également la propriété sur les MSP pour créer des politiques et des procédures de sécurité en place afin de garantir que toutes les données concernées sont protégées. Les protections techniques peuvent varier, mais incluent généralement la pseudonymisation et le chiffrement des données au repos et en transit, des politiques de mot de passe strictes et des règles de conservation des données qui garantissent l'intégrité et la disponibilité continues des données.
Les MSP ont également la responsabilité de s'assurer que toute l'infrastructure physique du bâtiment est sécurisée et d'appliquer des politiques telles que les listes de contrôle d'accès, la surveillance, la protection des actifs physiques et les blocages, ou même le personnel de sécurité sur site 24 h/24 et 7 j/7.
Les fournisseurs de cloud proposent de plus en plus de services commerciaux conformes au RGPD, tels que les contrôles d'accès et d'identité (IAM), les services Active Directory sécurisés, les services de gestion des clés de données (KMS) et les services de fédération de données SAML lorsqu'ils envoient et extraient des données de manière publique ou privée.
Un autre élément clé du RGPD est l'exigence imposée aux MSP de traitement des données en cas de violation de données. Les MSP doivent être en mesure de prouver quand une violation s'est produite et d'identifier exactement quelles informations ont été consultées ou modifiées. Les MSP doivent également informer les autorités de protection des données appropriées et même les personnes concernées par la violation. Plus important encore, une violation doit être confirmée dans les 72 heures suivant sa découverte.
Les MSP mettent souvent en œuvre des solutions techniques pour assurer la conformité; les services antivirus tels que Trend Micro proposent un outil appelé effacement à distance. Par exemple, si un ordinateur portable contenant des données concernées a été perdu ou volé, l'appareil peut être effacé pour protéger les données et atténuer le risque de violation de données. D'autres outils tels qu'un logiciel d'analyse des menaces, qui surveille l'accès de tiers non autorisés aux systèmes informatiques, et des pare-feux réseau peuvent également être déployés. La surveillance détaillée et l'activité de journalisation des services sont également essentielles.
Pour conclure, le RGPD est encore une toute nouvelle législation européenne qui affecte les organisations du monde entier, et de nombreuses organisations ont encore du mal à se conformer au RGPD en raison des décisions considérablement complexes et en cours d'élaboration en vertu de la nouvelle loi. En outre, les droits des personnes à consulter, modifier et supprimer leurs données personnelles approfondissent cette complexité. La plupart des MSP devront mettre à jour leurs processus et procédures de traitement des données et convenir d'un modèle de responsabilité partagée avec les gestionnaires de données. À terme, l'UE commencera à appliquer plus régulièrement les sanctions du RGPD pour s'assurer que le RGPD est au premier plan de l'agenda de toutes les entreprises mondiales.