EXPERTISES - ICT EXPERTS LUXEMBOURG

Votre fournisseur de Cloud est-il conforme à la GDPR?

31 Janvier 2018 Par Luc Halbardier
 (Photo : Post Luxembourg)

Le règlement général de protection des données de l’Union européenne (GDPR) entrera en vigueur le 25 mai 2018 dans toute l’Europe. Les entreprises disposent de 6 mois pour s’assurer que leurs opérateurs et fournisseurs de services Cloud satisfont bien les nouvelles exigences du législateur. Quelles obligations s’appliquent au Cloud? À qui incombent ces nouvelles responsabilités? Éclairage sur les points de vigilance.

Le nouveau règlement européen nommé GDPR vise à améliorer la sécurité des données personnelles. Il précise aux entreprises de quelle manière elles doivent gérer les données de leurs clients, employés ou partenaires. La GDPR s’applique à toutes les entreprises dont les activités concernent l’Espace économique européen.

Sont considérées comme des données personnelles toutes les informations qui permettent d’identifier directement ou indirectement un individu, dans sa vie privée, professionnelle ou publique: nom, photo, adresse e-mail, coordonnées bancaires, informations médicales, achats, adresses IP, etc.

Vos données sont stockées dans le Cloud? Vous utilisez des services SaaS? Il est temps de vous assurer que vos fournisseurs de services sont en conformité avec la nouvelle réglementation. Les contrats, services et process vont en effet devoir être revus pour répondre aux exigences de la GDPR.

La réglementation s’applique quel que soit le lieu de stockage des données, sur papier ou sur des serveurs hébergés dans le Cloud. Toutefois, le choix de solutions Cloud entraînent des questions de conformité spécifiques. Rappelons que le non-respect de ces nouvelles dispositions peut se traduire par des amendes qui s’élèvent à 20 millions d’euros et 4% du chiffre d’affaires global de votre entreprise!

Responsable des données et fournisseur de solution Cloud: qui fait quoi?

Vérifier sa conformité avec la GDPR demande de bien comprendre les rôles de chacun des intervenants dans une chaîne de stockage et traitement des données.
Par le passé, les réglementations s’appliquaient au responsable des données, c’est-à-dire à la personne ou à l’entreprise qui définit l’objectif et les moyens de traitement des données à caractère personnel. Une entreprise devait par exemple contrôler à la fois ses données clients et employés. Mais dès le mois de mai 2018, la GDPR va étendre la portée des réglementations aux fournisseurs de solutions Cloud comme aux acteurs du traitement de ces données.

Ces fournisseurs doivent mettre en œuvre des procédures internes qui sont étroitement liées à la sécurité de l’information, de sorte que les acteurs qui suivent déjà les normes internationales comme ISO 27001 sont les plus préparés pour ces défis. Notons que la conformité avec la nouvelle réglementation européenne s’étend bien entendu aux sous-traitants et que vos fournisseurs doivent y veiller.

Localisation des données

La GDPR exige que le responsable des données tout comme les fournisseurs de services connaissent le lieu stockage et de traitement des données personnelles.

Celles-ci peuvent être basées en dehors de l’Espace économique européen mais leur transfert doit respecter les principes édictés par la GDPR.

Les entreprises doivent ainsi évaluer les process de sécurité de leur fournisseur Cloud à l’aide d’audits réguliers. Il en va de même pour vos fournisseurs lorsqu’ils font appel à des sous-traitants. Chaque norme internationale de sécurité possède ses propres critères dans le cadre d’un processus de certification. Mais tous s’appuient sur des contrôles périodiques. Ces critères de certifications constituent un bon indicateur du niveau de maturité d’un prestataire en matière de conformité. À titre d’exemple, la norme ISO 27001 spécifie 114 contrôles de sécurité à adopter.

Droits des individus et contrats Cloud

La GDPR étend les droits des individus sur l’utilisation de leurs données personnelles. Ils concernent le transfert et l’effacement des données. Ces questions sont entre les mains du responsable des données d’une entreprise. Toutefois, les fournisseurs de Cloud computing devront adapter leur infrastructure et leurs services pour répondre à ces nouvelles exigences. Ainsi, choisir entre une base de données partagée ou dédiée devra s’envisager en fonction du schéma de données. Rappelons que le traitement des données revêt de multiples facettes. Celles qui incombent au fournisseur de Cloud ne vous couvrent pas à 100%.

La période de traitement des données doit également être stipulée dans les contrats qui lient les entreprises et leurs fournisseurs Cloud.

LIRE LA SUITE DE L’ARTICLE

Retrouvez l’intégralité de ICT Experts Luxembourg