Stratégie

GDPR : savez-vous vraiment où sont vos données ?

GDPR : savez-vous vraiment où sont vos données ?
Nik Whitfield, fondateur et CEO de Panaseer, n'hésite pas à mettre en garde contre les offres estampillées GDPR, trop partielles à son goût (photo twitter).

Les données personnelles définies par GDPR peuvent être difficiles à trouver,  certaines zones restent négligées.

PublicitéLe règlement général sur la protection des données (GDPR) oblige les organisations à mieux gérer leurs données personnelles. Ce traitement est plus large que les législations locales antérieures sur la protection des données. L'article 2 du Règlement par exemple explique qu'il « s'applique au traitement de données personnelles en tout ou en partie par des moyens automatisés et au traitement autre que par des moyens automatisés de données à caractère personnel qui font partie d'un système de classement ou qui sont destinés à faire partie d'un système de classement ». La phrase est peut-être longue, mais elle montre bien l'étendue du spectre couvert par GDPR. Dans ce cadre, comment trouver les données personnelles ? Voici une liste des zones les plus susceptibles d'être négligées.

Selon l'article 4, les données personnelles désignent « toute information relative à une personne physique identifiée ou identifiable (personne concernée) ». Par « identifiable » on entend une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à ses identifiants : un nom, un numéro d'identification, des données de localisation, d'identification en ligne ou bien un ou plusieurs facteurs spécifiques au  physique, à la physiologique, à l'identité génétique, économique, culturelle ou sociale de cette personne physique. »

Les citoyens de l'UE favorisés

Cela peut donc inclure des adresses IP et des données de cookie. GDPR introduisant des concepts plus récents comme les demandes d'accès : les citoyens de l'UE ont maintenant le droit de savoir quelles données sont collectées sur eux. Les informations personnelles peuvent être utilisées partout dans le monde pour les systèmes RH et CRM. Elles se retrouvent sous le vocable de personally identifiable information, PII, an anglais (informations personnelles identifiables en français).

GDPR énumère les six raisons légitimes pour le traitement des données personnelles : consentement, contrat, obligation légale, intérêts vitaux, tâche publique et intérêts légitimes. Vous devez donc vous défaire des informations personnelles dont vous n'avez pas besoin et bien identifier celles qui sont vraiment indispensables. La raison pour laquelle c'est important est que vous avez identifié les PII, vous savez où elles sont, vous devez identifier la base légale pour avoir ou modifier vos processus, de sorte que vous arrêtiez de demander des PII dont vous n'avez pas besoin

Des données  hors du SI principal

Mais d'abord, comment trouvez ces fameuses PII ? Voici quelques exemples de situations dans lesquelles elles peuvent résider en dehors des systèmes opérationnels principaux :
D'abord, comment le trouvez-vous ? Voici quelques exemples de situations dans lesquelles les PII peuvent résider en dehors des systèmes opérationnels principaux :
- Les applications cloud, y compris celles qui ne sont pas approuvées par l'organisation.
- Les services de partage de fichiers en ligne.
- Les médias amovibles
- Le stockage physique dans des classeurs.
- Les fournisseurs tiers et notamment les chaînes d'approvisionnement.
- Les fichiers temporaires.
- Les sandbox et systèmes de test.
- Les systèmes de sauvegarde.
- Les terminaux employés.

PublicitéNick Ioannou, responsable IT chez Ratcliffe Groves, société britannique de BTP, remarque : « Le GDPR est en réalité une réglementation sur la protection des données analogiques et numériques, donc la première chose à faire est de faire un pas en arrière. D'identifier le Shadow IT qui peut contenir beaucoup de données personnelles qui  ne sont pas forcément disponibles, ainsi que des clés USB amovibles, des lecteurs, ainsi que des sauvegardes. »

Le risque n'est pas qu'interne

Tout doit être vérifié et pris en compte, les classeurs, le stockage par des tiers, les serveurs de fichiers. La première étape consiste à repérer les données personnelles,  la classification des informations est la condition préalable à toute conformité. Après le scandale Cambridge Analytica, la chaîne d'approvisionnement est également un endroit important à regarder. Sans oublier le cloud, il doit y avoir toutes sortes de données personnelles sensibles qui ont été déplacées vers lui sans le savoir. De plus beaucoup d'entreprises veulent utiliser des services tiers pour un certain nombre de services comme la paie ou les assurances. Ces tiers vont détenir de grandes quantités de données sensibles sur la majorité de leur personnel.

Nic Miller, maintenant consultant mais auparavant CISO chez Brevan Howard, un hedge funds explique qu'à ce jour trop de données réelles sont utilisées dans les systèmes de test. Il estime que les données non structurées sont un angle mort pour de nombreuses organisations. « Les dossiers partagés, les disques temporaires : il n'y a pas de moyen simple de rechercher des données personnelles, sachant qu'elles vont contredire celles qui sont déjà dans vos systèmes mais mieux structurées ».

Comment les organisations vont-elles avancer ?

Nic Miller ajoute que la mise en oeuvre est importante dans GDPR.  Les mesures, notre infrastructure informatique et les processus doivent être évalués. L'informatique cachée, la rétention, les droits, le partage et le contrôle d'accès doivent être pris en compte avec à peu près tous les processus métier. L'infrastructure et les process doivent être documentés et les risques évalués.

Deux activités clés devraient être des priorités. D'abord, mettre en place un processus pour gérer les risques du projet et implémenter une sécurité dès la conception. Deuxièmement, définir les données personnelles, exécuter un processus de découverte, puis effectuer une évaluation des risques de haut niveau. Par exemple, les revues de contrôle d'accès, la journalisation et la surveillance, la gestion des vulnérabilités,  peuvent faire partie du «top dix» des mesures indispensables.

Des entreprises à peine concernées

De nombreuses organisations ont encore du mal avec les fondamentaux. Une banque internationale ne sait pas combien de serveurs elle dispose et à quoi ils servent. Ils donnent l'impression d'être « au-dessus » de la conformité GDPR, comme si le sujet les concernait à peine. Une bonne vue d'ensemble de ses données et une gestion des risques s'avèrent pourtant indispensables.

Nik Whitfield, fondateur et CEO de Panaseer, une plateforme de gestion des risques, met en garde contre les solutions des fournisseurs. « Méfiez-vous de ne pas laisser les fournisseurs de technologie guider votre stratégie. Les produits qui offrent la «conformité GDPR» ne vous donnent que des solutions partielles au problème GDPR ».

Doug Drinkwater / IDG News Service (adapté par Didier Barathon)

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis