Samy Reguieg, directeur général France d’Acronis
Principales exigences du GDPR
Le GDPR impose à toute entreprise opérant dans l’UE ou à toute entreprise étrangère traitant avec des clients de l’UE de stocker et traiter toutes les données personnelles dans les limites des frontières européennes (sauf consentement explicite de la personne concernée à ce que ses données soient conservées en dehors de l’UE).
Les données personnelles ne peuvent être conservées plus longtemps que la période de rétention convenue initialement et doivent être protégées conformément aux nouvelles règles. Le responsable du traitement et le sous-traitant sont tenus de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque », y compris pour le chiffrement des données et leur pseudonymisation (« le traitement de données personnelles de manière à ce que les données ne puissent plus être rattachées à un individu sans être recoupées avec d'autres informations »).
Le GDPR prévoit aussi un mécanisme de reporting complet pour aider le responsable du traitement à identifier les données personnelles stockées sur ses serveurs et à pouvoir confirmer sur demande le lieu du stockage, les conditions de chiffrement et la suppression des données. Des mesures doivent également être prises pour permettre à des auditeurs externes de vérifier vos rapports.
Relations avec le fournisseur de stockage cloud et le fournisseur de protection des données
Le GDPR impose de nouvelles obligations de sécurité et contractuelles aux organisations (responsables du traitement) amenées à traiter avec des fournisseurs de services cloud et des fournisseurs de technologie de protection des données (sous-traitants).
Voici en quelques points une synthèse des relations entre responsables du traitement et sous-traitants :
Les fournisseurs de services cloud doivent apporter des garanties suffisantes que le service est conforme aux exigences techniques et organisationnelles du nouveau règlement.
Les contrats de service entre le responsable du traitement et le sous-traitant interdisent le recours à d’autres sous-traitants sans le consentement préalable du responsable du traitement.
A l’expiration du contrat de service, toutes les données doivent être supprimées du cloud et le sous-traitant doit apporter les preuves suffisantes que c’est bien le cas.
Les responsables du traitement ont l’obligation de rendre compte de tout incident de fuite de données à l’autorité réglementaire.
Quelles fonctionnalités rechercher dans une solution de stockage pour être conforme au GDPR ?
Il existe de nombreux outils de protection des données sur le marché. Certaines fonctionnalités peuvent optimiser plus facilement la mise en conformité des entreprises avec le GDPR :
Lieu de stockage des données. Les solutions de protection des données doivent permettre de contrôler où les données sont stockées. L’entreprise est libre de choisir le stockage sur site ou dans un datacenter spécifique basé en Europe.
Chiffrement des données. La solution de stockage doit assurer le chiffrement des données au repos, en transit et dans le cloud et conformément aux exigences de sécurité des données du GDPR, l’entreprise doit détennir la clé,
Recherche de données dans les sauvegardes pour explorer les sauvegardes à la recherche de l’information voulue.
Modification des données personnelles des personnes concernées pour profiter d’un moyen simple de répondre à cette démarche obligatoire.
Exportation des données dans un format courant facile à utiliser (ex. archive ZIP) permet de se conformer aux exigences de portabilité des données du GDPR.
Restauration rapide des données. La possibilité de récuperer rapidement les données en cas d’incident (incendie, attaque informatique, etc.) est indispensable.
Protection contre les attaques de ransomware pour éviter les fuites de données avec une solution intégrant une protection qui détecte et bloque les attaques de ransomware et restaure instantanément les données affectées.
Certification des données. La technologie blockchain permet de produire une preuve inaltérable de l’intégrité des données.
La mise en conformité avec le GDPR est l’occasion pour les entreprises de revoir les solutions en place afin de remplacer certaines d’entre-elles et faciliter cette mise en conformité et son maintien sur le long terme. Il convient pour cela d’étudier et d’envisager les solutions et technologies qui seront les plus pertinentes pour pouvoir garantir la meilleure protection des données, en conformité avec les obligations réglementaires du GDPR.
Le GDPR impose à toute entreprise opérant dans l’UE ou à toute entreprise étrangère traitant avec des clients de l’UE de stocker et traiter toutes les données personnelles dans les limites des frontières européennes (sauf consentement explicite de la personne concernée à ce que ses données soient conservées en dehors de l’UE).
Les données personnelles ne peuvent être conservées plus longtemps que la période de rétention convenue initialement et doivent être protégées conformément aux nouvelles règles. Le responsable du traitement et le sous-traitant sont tenus de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque », y compris pour le chiffrement des données et leur pseudonymisation (« le traitement de données personnelles de manière à ce que les données ne puissent plus être rattachées à un individu sans être recoupées avec d'autres informations »).
Le GDPR prévoit aussi un mécanisme de reporting complet pour aider le responsable du traitement à identifier les données personnelles stockées sur ses serveurs et à pouvoir confirmer sur demande le lieu du stockage, les conditions de chiffrement et la suppression des données. Des mesures doivent également être prises pour permettre à des auditeurs externes de vérifier vos rapports.
Relations avec le fournisseur de stockage cloud et le fournisseur de protection des données
Le GDPR impose de nouvelles obligations de sécurité et contractuelles aux organisations (responsables du traitement) amenées à traiter avec des fournisseurs de services cloud et des fournisseurs de technologie de protection des données (sous-traitants).
Voici en quelques points une synthèse des relations entre responsables du traitement et sous-traitants :
Les fournisseurs de services cloud doivent apporter des garanties suffisantes que le service est conforme aux exigences techniques et organisationnelles du nouveau règlement.
Les contrats de service entre le responsable du traitement et le sous-traitant interdisent le recours à d’autres sous-traitants sans le consentement préalable du responsable du traitement.
A l’expiration du contrat de service, toutes les données doivent être supprimées du cloud et le sous-traitant doit apporter les preuves suffisantes que c’est bien le cas.
Les responsables du traitement ont l’obligation de rendre compte de tout incident de fuite de données à l’autorité réglementaire.
Quelles fonctionnalités rechercher dans une solution de stockage pour être conforme au GDPR ?
Il existe de nombreux outils de protection des données sur le marché. Certaines fonctionnalités peuvent optimiser plus facilement la mise en conformité des entreprises avec le GDPR :
Lieu de stockage des données. Les solutions de protection des données doivent permettre de contrôler où les données sont stockées. L’entreprise est libre de choisir le stockage sur site ou dans un datacenter spécifique basé en Europe.
Chiffrement des données. La solution de stockage doit assurer le chiffrement des données au repos, en transit et dans le cloud et conformément aux exigences de sécurité des données du GDPR, l’entreprise doit détennir la clé,
Recherche de données dans les sauvegardes pour explorer les sauvegardes à la recherche de l’information voulue.
Modification des données personnelles des personnes concernées pour profiter d’un moyen simple de répondre à cette démarche obligatoire.
Exportation des données dans un format courant facile à utiliser (ex. archive ZIP) permet de se conformer aux exigences de portabilité des données du GDPR.
Restauration rapide des données. La possibilité de récuperer rapidement les données en cas d’incident (incendie, attaque informatique, etc.) est indispensable.
Protection contre les attaques de ransomware pour éviter les fuites de données avec une solution intégrant une protection qui détecte et bloque les attaques de ransomware et restaure instantanément les données affectées.
Certification des données. La technologie blockchain permet de produire une preuve inaltérable de l’intégrité des données.
La mise en conformité avec le GDPR est l’occasion pour les entreprises de revoir les solutions en place afin de remplacer certaines d’entre-elles et faciliter cette mise en conformité et son maintien sur le long terme. Il convient pour cela d’étudier et d’envisager les solutions et technologies qui seront les plus pertinentes pour pouvoir garantir la meilleure protection des données, en conformité avec les obligations réglementaires du GDPR.