Dans un contexte d’économie numérique mondiale largement distribuée, le transfert légal des données est devenu une des opérations quotidiennes critiques pour toutes les entreprises. Et pour cause, les services cloud et clients, déployés à l’international, sont souvent situés en dehors de la zone UE. « Les entreprises qui s'appuient sur des transferts de données au-delà des frontières nationales doivent s’assurer du respect de l'article 44 de la RGPD et par conséquent garantir la protection des données », explique Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, chez Veritas Technologies.
Les entreprises qui transfèrent des données personnelles et/ou critiques en dehors de l'UE doivent s'adapter en permanence à l'évolution des problèmes et des réglementations autour de la conformité des données. Par conséquent, il est préconisé pour les entreprises d’automatiser la gestion des données tout en y incluant des systèmes de découverte, de catégorisation, et de contrôle de protection des données. 6 grands axes sont alors à travailler par les entreprises en ce sens :
Localiser : Tout d'abord, les entreprises doivent pouvoir suivre les données au sein de leur infrastructure IT. Autrement dit, elles doivent être capables de déterminer comment et où les données sont utilisées, stockées, partagées et si celles-ci sont convenablement sécurisées. Une cartographie des données pourra permettre aux entreprises de disposer d’une vue d’ensemble complète. Il est également indispensable d’inclure les données cloud dans ce mapping et de vérifier sur les datacenters utilisés dans ce cadre sont établis dans l’UE ou non.
Rechercher : Le RGPD, comme de nombreuses réglementations à travers le monde, accordent aux citoyens un droit de regard et d’accès à leurs données. Autrement dit, ils ont la possibilité de demander aux entreprises de partager les informations stockées et de donner plus de détails quant à leur utilisation. Face à de telle requêtes, les entreprises doivent agir vite et accéder le plus rapidement possible à la demande des dits citoyens. La mise en place d’un logiciel ou d’une plateforme dédiée à la gestion de données pourra alors les aider : en utilisant les métadonnées, les données pourront être indexées et par conséquent rapidement identifiées grâce à des mots ou expressions clés.
Optimiser : Chaque fichier contenant des informations personnelles devrait avoir une date d'expiration et, à moins qu'il n'existe une obligation légale de le conserver, être automatiquement supprimé une fois obsolètes. De cette façon, seules les données essentielles seront conservées.
Protéger : Le nombre d’attaques par ransomware a explosé au cours des derniers mois. Les entreprises n’ont alors d’autre choix que de se concentrer sur la protection des données personnelles contre les attaques, qu’elles proviennent de l’interne ou de l’externe. Une attaque réussie entrainant une violation de données personnelles doit être impérativement signalée aux autorités de régulation et de protection des données dans les 72 heures.
Surveiller : Si une cyberattaque réussit, l'étape suivante consiste à définir clairement quelles données ont été affectées. Une solution professionnelle de gestion des données s’avère utile pour que les infrastructures de stockage complexes soient contrôlées automatiquement et en permanence afin de détecter toute irrégularité.
Établir des politiques permet la mise en place de mesures pouvant être déployées rapidement et automatiquement. Pour que les différents outils puissent être adaptés à l'infrastructure informatique de chaque entreprise, il est également conseillé d’évaluer initialement le degré de maturité de conformité. Cela permet notamment de déduire les risques potentiels et de s'attaquer aux problématiques prioritaires.
Les entreprises qui transfèrent des données personnelles et/ou critiques en dehors de l'UE doivent s'adapter en permanence à l'évolution des problèmes et des réglementations autour de la conformité des données. Par conséquent, il est préconisé pour les entreprises d’automatiser la gestion des données tout en y incluant des systèmes de découverte, de catégorisation, et de contrôle de protection des données. 6 grands axes sont alors à travailler par les entreprises en ce sens :
Localiser : Tout d'abord, les entreprises doivent pouvoir suivre les données au sein de leur infrastructure IT. Autrement dit, elles doivent être capables de déterminer comment et où les données sont utilisées, stockées, partagées et si celles-ci sont convenablement sécurisées. Une cartographie des données pourra permettre aux entreprises de disposer d’une vue d’ensemble complète. Il est également indispensable d’inclure les données cloud dans ce mapping et de vérifier sur les datacenters utilisés dans ce cadre sont établis dans l’UE ou non.
Rechercher : Le RGPD, comme de nombreuses réglementations à travers le monde, accordent aux citoyens un droit de regard et d’accès à leurs données. Autrement dit, ils ont la possibilité de demander aux entreprises de partager les informations stockées et de donner plus de détails quant à leur utilisation. Face à de telle requêtes, les entreprises doivent agir vite et accéder le plus rapidement possible à la demande des dits citoyens. La mise en place d’un logiciel ou d’une plateforme dédiée à la gestion de données pourra alors les aider : en utilisant les métadonnées, les données pourront être indexées et par conséquent rapidement identifiées grâce à des mots ou expressions clés.
Optimiser : Chaque fichier contenant des informations personnelles devrait avoir une date d'expiration et, à moins qu'il n'existe une obligation légale de le conserver, être automatiquement supprimé une fois obsolètes. De cette façon, seules les données essentielles seront conservées.
Protéger : Le nombre d’attaques par ransomware a explosé au cours des derniers mois. Les entreprises n’ont alors d’autre choix que de se concentrer sur la protection des données personnelles contre les attaques, qu’elles proviennent de l’interne ou de l’externe. Une attaque réussie entrainant une violation de données personnelles doit être impérativement signalée aux autorités de régulation et de protection des données dans les 72 heures.
Surveiller : Si une cyberattaque réussit, l'étape suivante consiste à définir clairement quelles données ont été affectées. Une solution professionnelle de gestion des données s’avère utile pour que les infrastructures de stockage complexes soient contrôlées automatiquement et en permanence afin de détecter toute irrégularité.
Établir des politiques permet la mise en place de mesures pouvant être déployées rapidement et automatiquement. Pour que les différents outils puissent être adaptés à l'infrastructure informatique de chaque entreprise, il est également conseillé d’évaluer initialement le degré de maturité de conformité. Cela permet notamment de déduire les risques potentiels et de s'attaquer aux problématiques prioritaires.
Autres articles
-
Analytique et IA générative : la confiance et la gouvernance en première ligne
-
La souveraineté des données est loin d’être une chimère
-
Veritas améliore la maîtrise et la gestion des données non structurées et sensibles avec Veritas Data Insight SaaS
-
77 % des Français pensent que l’utilisation de l’IA au bureau devrait être mieux encadrée
-
Données dans le cloud : Quels sont les défis actuels à surmonter ?