L’essentiel sur le RGPD Règlement Général sur la Protection des Données

La préparation au règlement général européen sur la protection des données (RGPD) est une priorité et un enjeu pour la majorité des entreprises . Son entrée en vigueur le 25 mai 2018, transformera la façon de collecter, contrôler et gérer les données personnelles . Les entreprises devront se mettre en conformité et justifier d’une obligation de moyens au risque de s’exposer à de très fortes amendes .

Le salon APS qui se déroulera du 26 au 28 septembre à Paris, sera l’occasion de faire le point sur ce qu’il faut savoir sur le RGPD et de rappeler que si protéger les données personnelles devient une préoccupation majeure, les impacts seront aussi nombreux sur la sécurité/sûreté .

Ce qu’il faut savoir du RGPD

Dans le but d’harmoniser la gouvernance des informations personnelles au sein des pays membres de l’Union Européenne, le RGPD va obliger les entreprises à maîtriser entièrement le stockage et le transfert de leurs données sensibles mais aussi à en contrôler l’accès. Ce règlement contraignant (recensement, classification et sécurisation de toutes les data, preuves de conformité…) concerne toutes les entreprises et organisations qui gèrent, stockent et déplacent des données personnelles (informations personnelles, coordonnées bancaires, données de santé…). Alors que le droit à l’oubli ainsi que le droit à la portabilité des données sont renforcés, le RGPD introduit le droit à la compréhension et à la transparence . Le but : sécuriser et protéger au maximum toutes les données sensibles, personnelles et privées que possèdent les entreprises .

L’idée de fond est d’imposer une transparence lors de la collecte et de tout autre traitement des données personnelles . Chaque « maître de fichiers » sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures  effectives de sécurisation  technique des traitements.

La responsabilité des entreprises engagée

Le RGPD imposera aux entreprises une obligation de moyens . Elles devront justifier la mise en place de mesures techniques et organisationnelles autour de la maîtrise et du contrôle d’accès aux données. En cas de manquement aux exigences , les sanctions administratives (Article 83) pourront  aller désormais  jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial d’une entreprise, les responsables du traitement et leurs sous -traitants étant solidairement responsables (Article 28). Conséquence : les prestataires assumeront une responsabilité directe, ce qui aura un impact significatif sur les nombreuses sociétés agissant en qualité de sous – traitants. Le texte détaille les obligations de chacun à prévoir dans un contrat. Les prestataires de service Software as a Service (SaaS) qui proposent des services à la demande sur Internet ainsi que les hébergeurs seront tous sous -traitants au sens de la nouvelle réglementation.

Mesures techniques et organisationnelles, une obligation de moyens

En parallèle de l’obligation de tenue d’un registre des activités de traitement des données, les professionnels qui collectent les datas ont une obligation de sécurisation des traitements auxquels ils procèdent. A ce titre, chaque responsable du traitement et chaque sous -traitant doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

  • Au niveau technique, les mesures peuvent prendre la forme de pseudonymisation , anonymation ou du chiffrement des données . Celles-ci devront être renforcées par des moyens permettant de garantir la confidentialité , l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement, ainsi que des moyens permettant de rétablir la disponibilité des données en cas d’incident physique ou technique.
  • Au niveau organisationnel , les entreprises devront désigner au moins un Correspondant Informatique et Libertés (CIL) qui sera l’interlocuteur unique de la CNIL .

Enfin, une procédure visant à tester , à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement des données devra être activée. Ces obligations vont contraindre les entreprises à mieux maîtriser leur data, de la collecte jusqu’au stockage en passant par les traitements (consolidation, nettoyage de doublons, calcul, élaboration de profilage…). Le renforcement des obligations de sécurité passant également par la transparence de la communication sur les atteintes aux données, les responsables de traitement auront l’obligation d’informer les autorités de contrôle en cas d’atteinte à la sécurité de traitement (destruction, perte, altération, divulgation ou un accès non autorisés  aux données).

Pour en savoir plus sur le RGPD

« Données personnelles : le RGPD offre le niveau de protection le plus élevé au monde » infoprotection.com

« Le grand chantier européen ne fait que commencer » infoprotection.com

« Peu d’organisations disposent d’une visibilité et d’un contrôle complets de leur données » infoprotection.com

Sécuriser les réseaux et lutter contre la prise de contrôle à distance

Le niveau de dépendance d’une entreprise vis-à-vis de son système d’information est la conséquence de l’automatisation des processus métier de l’entreprise. De ce fait, la taille, la complexité et donc la « surface attaquable » d’une structure a une tendance naturelle à s’élargir. Outre la sécurisation des données, des mesures de protection appropriées doivent être mises en œuvre pour contrer les attaques . Utilisés en local ou par l’intermédiaire des réseaux de télécommunications, les systèmes d’information présentent des fragilités liées à divers risques notamment celui d’intrusion et de prise de contrôle à distance. Cette vulnérabilité est multipliée notamment par la complexité du système, le nombre d’utilisateurs, le volume et la diversité des informations traitées, le partage d’infrastructures communes ou encore à usages nomades. Le recours aux services du Cloud ou encore l’augmentation des connexions internes et externes vers le système d’information de l’entreprise ouvrent potentiellement de nouvelles brèches.

Les grandes entreprises, notamment celles qui en raison de la nature de leurs activités ont une culture de sécurité très forte, déploient d’importants moyens humains, technologiques et d’organisation en matière de lutte contre la cyber-menace. En revanche, les ET I, PME et T PE ne disposent pas pour la plupart, de moyens suffisants pour s’organiser. A minima, elles mettent en place des solutions de protection périmétrique pour se protéger des menaces extérieures. La sécurité de leurs réseaux doit être assurée par une ligne pare-feu et d’autres équipements défensifs (Firewall, antivirus, antispam), par le choix de services internet (type messagerie) sécurisés ou encore d’outils de gestion des connexions à l’entreprise et de contrôle d’accès au système. Ces mesures techniques doivent être accompagnées d’actions de sensibilisation auprès du personnel : protection du poste, intrusion réseaux, malveillance téléphonique, fuite d’information, protection des informations, bons usages et réactions…

Mettre en place un processus de résilience pour corriger

Malgré les dispositifs défensifs, le système d’information reste un monde ouvert dans lequel l’attaque ne pourra pas toujours être évitée. Au-delà de la protection, il est donc nécessaire de privilégier la mise en place d’un processus de résilience qui couvrira à la fois la préparation à subir des attaques (prévention) et par- dessus tout à pouvoir continuer et reprendre une activité normale (correction) très rapidement après une attaque. La cyber-résilience vise à gérer la sécurité en adoptant une approche globale impliquant à la fois les individus, les processus et la technologie. Elle impose une méthodologie à la fois solide et évolutive de gestion, d’analyse et d’optimisation des risques . Elle s’appuie sur cinq piliers que sont la préparation/identification , la protection , la détection, la résolution des problèmes et la récupération . Les entreprises doivent passer, en sus du règlement RGPD, de la cyber-sécurité à la cyber-résilience et en tirer des avantages stratégiques . Elles peuvent pour cela faire appel à un partenaire, consultant externe, s’appuyant sur des processus et des outils avancés.

La sécurisation des réseaux et des données sur APS

Une des thématiques phares sur APS avec notamment deux conférences inédites :

  • RGPD : décryptage de la règlementation et de son impact sur le secteur de la sécurité . Alain Bensoussan Avocats – le droit numérique et des technologies avancées
  • Sécurisation des réseaux de vidéoprotection : le système de vidéoprotection est un système d’information et doit, à ce titre, tenir compte du même traitement que les autres systèmes présents dans l’entreprise dans le domaine de sécurité des données . SVDI (Sécurité Voix Données Images)
  • Les systèmes de sécurité d’information adapté à la sécurité . ASIS Accès liste des exposants : cliquer ici

APS, le salon professionnel de la sûreté et de la sécurité

du 26 au 28 septembre 2017

La plateforme de pré enregistrement des visiteurs est ouverte : ICI