La gestion automatisée des données permettrait aux entreprises d’assurer leur sécurité.
Par Marc Ahlgrim, spécialiste de la transformation numérique, de l'atténuation des risques et de la conformité RGPD, chez Veritas
Depuis le Brexit, le partage de données entre le Royaume-Uni et l’UE est une question particulièrement épineuse. Alors que nous sommes toujours basés sur l’accord du 24 décembre 2020 en matière de partage de données – qui a fixé les modalités entre le Royaume-Uni et l’Union Européenne –, les entreprises ne peuvent se fier qu’au statu quo en attendant le 1er juillet 2021, date où une décision devra être prise pour savoir si oui ou non l’Union Européenne reconnaît la réglementation du Royaume-Uni comme équivalente au RGPD en matière de protection des données. Au final, si ces nouvelles conditions ne sont pas respectées, les entreprises européennes, stockant des informations personnelles sur des sites britanniques, s’exposent à de lourdes sanctions.
Suite à un rapport approfondi, la Commission Européenne aurait déclaré que les lois britanniques sur la protection des données seraient « appropriées » et que la mise en place de règlementations additionnelles ne serait donc pas nécessaire. Selon Věra Jourová, Vice-Président de la Commission Européenne, les règles actuelles assurent une protection suffisante des données personnelles au niveau de l’UE. Toutefois, les États membres doivent encore approuver le projet. Ils ont jusqu’au mois de juin, soit avant la fin de la période transitoire, pour présenter leur décision. Après cette date seulement, les échanges de données entre l’UE et le Royaume-Uni seront à nouveau possible, et ce sans restriction.
Les grandes entreprises, mais également les PME et start-ups européennes, échangent continuellement des données avec des établissements implantés en Grande-Bretagne. De nombreuses compagnies européennes s’appuient en effet sur des prestataires de services britanniques, notamment en ce qui concerne le cloud computing, la maintenance et le support client. Ces dernières devraient donc se réjouir de la « décision de conformité », qui apporte alors une certaine sécurité juridique.
Cependant, il ne faudrait pas être trop optimiste concernant la sécurité des échanges de données entre l’UE et le Royaume-Uni, prévient Marc Ahlgrim, : « Cette décision pourrait n’être de rigueur que peu de temps, car comme pour les précédents accords sur ce sujet (Privacy Shield UE-USA, ou encore son prédécesseur Safe Harbor), un recours en justice pourrait être intenté par les ONGS contre cette décision, devant la Cour Européenne de Justice ». D’après certains experts, le Royaume-Uni n’est pas le pays le plus strict en matière de sécurité des données personnelles et rien ne permet de vérifier si les données sont bien protégées contre l’accès des services de renseignement locaux, car le Royaume-Uni est membre de l’Alliance Five Eyes.
De plus, le Secrétaire au Numérique britannique, Olivier Dowden, a indiqué dernièrement vouloir réformer la loi sur la protection des données pour permettre à l’information de circuler plus librement – et alors stimuler la croissance de l’économie numérique. Déclarant pouvoir dorénavant aller plus vite que l’UE dans la signature d’accords de partage de données avec des pays non-membres de l’UE. Lors de l’élaboration de ces nouvelles règles, nous pourrons adopter une approche légèrement moins “européenne“, comme le prévoit le RGPD, en nous concentrant davantage sur les résultats que nous souhaitons obtenir et moins sur les charges des règles imposées aux entreprises individuelles. Ces propositions relatives aux données s’inscriront dans le cadre d’un programme visant à utiliser la technologie pour stimuler la reprise économique au lendemain de la COVID-19.
Par conséquent, les entreprises qui partagent des informations personnelles avec des établissements implantés au Royaume-Uni doivent se préparer à d’éventuels problèmes de conformité. Les principales initiatives à mettre en place sont les contrôles approfondis de la protection des données au sein même de l’entreprise ainsi que la gestion automatisée des données qui permettra de visualiser, de catégoriser et de traiter automatiquement les anciennes comme les nouvelles données collectées, en fonction de leur contenu. Voici donc cinq bonnes pratiques qui permettront aux entreprises de s‘y préparer :
- Tout d’abord, il est important d’avoir une vue d’ensemble sur les données et leur lieu de stockage pour en réaliser une sorte de cartographie. Cet aspect est d’autant plus important pour les données stockées dans le cloud. De plus, par souci de conformité, l’entreprise doit également vérifier si les datacenters qu’elle utilise sont situés au sein de l’Union Européenne ou dans un pays tiers approprié.
- De plus, le RGPD permet aux citoyens de l’UE de réclamer un récapitulatif des données stockées à leur sujet. Les entreprises sont alors tenues de communiquer ces données dans les meilleurs délais. Un logiciel et un protocole permettant de rechercher rapidement les données demandées et de les supprimer si nécessaire sont donc indispensables.
- Les données personnelles, particulièrement sensibles, doivent être protégées. Les entreprises se doivent donc de prendre des mesures pour se prémunir contre les attaques externes comme internes.
- La surveillance est également la clé. Car si l’on souhaite signaler une faille de sécurité, il est nécessaire d‘être en mesure de savoir qu‘elle existe. De plus, les entreprises doivent être en mesure de déterminer rapidement et précisément quelles données ont été perdues ou dérobées. La RGPD exige explicitement que les personnes touchées, ainsi que les autorités, soient informées dans les 72 heures suivant l’incident.
- Dans ce contexte, une gestion professionnelle des données est fortement recommandée, non seulement pour assurer un contrôle permanent et automatisé une infrastructure de stockage complexe mais aussi pour détecter les éventuels dysfonctionnements.
Idéalement, les outils de gestion des données utilisés au cours de chacune de ces étapes doivent reposer sur une politique globale à partir de laquelle des mesures peuvent être prises et mises en place automatiquement. Il est également recommandé de faire appel à un service qui personnalisera de manière optimale ces différents outils à l’environnement propre de l‘entreprise, et réalisera une première évaluation du degré de conformité de l’entreprise vis-à-vis du RGPD. Les résultats obtenus seront ensuite utilisés pour identifier rapidement les diverses failles et traiter au préalable les menaces les plus critiques.