Le compte à rebours a commencé pour la mise en œuvre du Règlement Général sur la Protection des Données (RGPD/GDPR) de l’UE dont la date limite pour son application est fixée le 25 mai 2018. A moins de 3 mois avant l’entrée en vigueur de la nouvelle réglementation, les entreprises se démènent.
Chez CoSoSys, nous avons déjà mis au point un guide pratique sur ce qu’est RGPD et comment Endpoint Protector peut aider nos clients à atteindre cette conformité. Cependant, lors de notre participation à InfoSecurity Europe 2017, la question qui nous a le plus souvent été posée concernait le rôle que peut jouer la solution DLP dans la course à la conformité. Nous avons donc décidé d’aborder le sujet sur notre blog.
Qu’est-ce que c’est la RGPD et comment cela va-t-il affecter votre entreprise ?
La RGDP était un règlement publié conjointement par la Commission Européenne, le Parlement Européen et le Conseil des ministres de l’Union Européenne en vue de renforcer et d’unifier la Protection des Données pour les citoyens de l’UE.
Il est le changement le plus important dans la régulation de la protection des données en Europe au cours de ces 20 dernières années parce que cela offrira à chaque résident de l’union, le pouvoir et le droit de demander aux contrôleurs et gestionnaires des données à supprimer, corriger et à ne pas transmettre leurs données personnelles. Par conséquent, la RGPD implique des changements opérationnels importants dans des organisations et des amendes sévères en cas de défaut dans la protection des citoyens de l’UE.
La RGDP arrive à un moment où la plupart des entreprises ont déjà « une vie numérique ». Beaucoup exploitent un site Web ou distribuent leurs produits via des portails en ligne, ce qui leur permet de collecter des données sensibles auprès de leurs clients. Et bien que beaucoup espèrent échapper à une application trop stricte de la RGPD à travers le nombre de notifications que l’Agence de Protection des Données (DPA) est susceptible de recevoir ainsi qu’une approche négligente de la mise en œuvre du RGPD au niveau national, il n’y a aucune garantie que cela sera le cas. Le DPA pourrait ne s’occuper que des gros comptes, mais il est certain qu’il s’attaquera aussi à la non-conformité des petites entreprises si les notifications de violations s’accumulent!
Il convient également de noter que, comme toute norme, la conformité RGPD est susceptible de devenir une fonctionnalité recherchée. Les clients peuvent éviter le risque d’abandonner leurs données sensibles à des entreprises qui ne seraient pas surs de leur conformité.
Commencer sur la route de la conformité
Il y a beaucoup de discussions sur le niveau de conformité RGDP nécessaire pour les entreprises de différentes tailles. Si le règlement est mal interprété, il peut entraîner des dépenses inutiles et des difficultés pour les entreprises à long terme. Par exemple, si les petites entreprises qui n’ont pas besoin d’adhérer à tous les articles du RGPD et ne sont pas tenues de désigner un délégué à la protection des données choisissent d’en désigner une, elles doivent respecter toutes les règles RGPD.
Il est donc essentiel que les entreprises comprennent ce qu’est le RGPD et comment il peut être appliqué dans le contexte de leur propre entreprise. Pour évaluer cela, ils doivent se tourner vers des professionnels de l’audit ou des consultants juridiques spécialisés, une grande partie du jargon du RGPD étant formulée en termes juridiques.
Dans les phases initiales de l’évaluation de la conformité RGPD les entreprises peuvent utiliser des solutions de Prévention des Pertes de Données(DLP) telles que Endpoint Protector pour repérer les informations sensibles, telles que les informations personnelles, les numéros de carte de crédit, les numéros de sécurité sociale et d’autres informations confidentielles qui sont en cours de transfert mais aussi où et par qui est effectué cette opération. Les points de sortie – applications cloud, e-mail, dispositifs de stockage portables, webmail, etc. – peuvent être surveillés pour détecter exactement où vont les données confidentielles. L’itinéraire des données sensibles peut ainsi être reconstitué en donnant aux entreprises une image plus claire de leur situation en termes de conformité avec la RGPD. Ces rapports peuvent être extrêmement utiles pour un audit complet.
Choisir les bonnes politiques pour vous
Une fois que vous savez où vous en êtes par rapport aux règlements RGPD, vous pouvez commencer à formuler un plan de conformité. Cela impliquera probablement la mise en œuvre de nouvelles stratégies à l’échelle de l’entreprise pour la protection des données afin de remédier aux vulnérabilités et de renforcer la sécurité. C’est à ce stade que le logiciel DLP devient un outil essentiel pour la conformité.
Endpoint Protector permet par exemple aux administrateurs de définir des stratégies restrictives qui bloquent les transferts indésirables, la copie et le collage non autorisés de données, les captures d’écran, etc. selon le canal de transfert, les utilisateurs ou les ordinateurs. Il peut également détecter et bloquer les transferts de données vers des solutions avec des centres de données situés dans des pays hors UE qui ne disposent pas d’un niveau adéquat de protection des données. Endpoint Protector fonctionne également à travers les frontières, ce qui permet d’effectuer le suivi des données et le blocage des transferts de données, quel que soit l’emplacement de l’entreprise. En outre, les entreprises ont la possibilité d’analyser les données sensibles sur les postes de travail des utilisateurs et de les supprimer avec le module eDiscovery récemment redessiné.
Toutes ces caractéristiques traitent des points clés du respect du RGPD, à savoir le droit à l’oubli, le traitement et le suivi des données sensibles, l’interdiction des transferts de données des citoyens européens vers des pays tiers non conformes aux normes de protection des données et la nécessité pour toute entreprise qui traite des données de citoyens de l’UE, indépendamment de son emplacement physique, qui doit être conforme à la réglementation RGPD.
Il convient également de garder à l’esprit que la RGPD stipule simplement que la confidentialité des données doit être assurée, sans mention de canaux de sortie ou de plates-formes, que ce soit Windows, macOS ou Linux, iOS, Android, Windows Phone, etc. Les données doivent être sécurisées, peu importe le support. Par conséquent, pour tout outil de sécurité des données que les entreprises choisissent d’implémenter, elles doivent s’assurer qu’elles couvrent l’intégralité de leur infrastructure, tous les terminaux, appareils mobiles et les points de sortie.
La RGPD s’assure finalement du bien-être et de la sécurité des citoyens de l’UE et promet de punir sévèrement les entreprises qui ne se conforment pas aux normes de la directive. Il met la responsabilité avec l’entreprise en cas de violation de la protection des données et ils sont tenus responsables pour eux aux yeux de la DPA. Il est donc essentiel que les violations soient évitées et il n’y a pas de meilleure façon de le faire que par le biais de solutions DLP accompagnées de solutions complémentaires pour couvrir des scénarios de menaces multiples. Et bien qu’il reste à voir à quel point la DPA agira durement en cas de non-conformité et quelles sont les entreprises les plus susceptibles de tomber sous son radar, la meilleure façon de ne pas tester les intentions de la DPA est de ne pas avoir des violations.
