Juridique

GDPR arrive, les entreprises hors de l'UE devraient s'inquiéter

Dan Frank de Deloitte veut clarifier GDPR pour les DSI et CISO d'entreprises établies hors de l'Union européenne mais concernées par le Règlement (photo Deloitte).

L'échéance du 25 mai pour GDPR est largement connue en Europe, moins en dehors, où beaucoup d'entreprises sont concernées.

PublicitéL'Union européenne commencera à appliquer son règlement général sur la protection des données (en anglais GDPR) le 25 mai pochain. Votre organisation est-elle prête ? La question est moins simple qu'elle n'en a l'air. « Avec GDPR vous ne savez jamais quand une violation va avoir lieu », explique Steve Durbin, directeur général du Forum sur la sécurité de l'information (ISF, Information security forum), un organisme mondial indépendant sur la sécurité de l'information. « L'un des plus grands défis de cette conformité tient à sa diffusion dans toute l'entreprise. GDPR, ce n'est pas un simple exercice où on coche des cases. C'est un changement fondamental dans l'entreprise. »

Le sujet concerne aussi les entreprises établies en dehors de l'Union européenne qui traitent des données personnelles de citoyens européens. Soit de manière massive, soit même de manière succincte. Il s'applique, par exemple, à un hôtel aux États-Unis qui stocke des informations comme les noms de ses clients qui sont des citoyens de l'UE. CIO US a enquêté sur ces acteurs extérieurs à l'Union, mais concernés par le GDPR, en se basant sur des interviews et les recommandations de l'ISF.

« En fait, personne ne sait vraiment ce qui se passera lorsque l'horloge arrivera à minuit le 25 mai », a souligné Dan Frank, analyste principal chez Deloitte Risk and Financial Advisory Cyber Risk Services. « J'ai quand même le sentiment en écoutant de nombreux collègues basés dans l'UE, que les autorités de régulation vont mettre un certain temps à mener leurs enquêtes, elles pourraient prendre six mois, huit mois, ou plus. A moins d'un incident, vous n'aurez pas nécessairement de problème. »

Prêt ou pas, vous avez encore fort à faire

En d'autres termes, que vous soyez en en retard ou pas avec votre programme de conformité GDPR, vous avez encore fort à faire sur le sujet. Le GDPR est fondé sur six principes, les données personnelles doivent être :
- Traitées légalement, équitablement et de manière transparente ;
- Recueillies à des fins précises, explicites et légitimes ;
- Limitées à ce qui est nécessaire pour répondre aux besoins de l'organisation ;
- Précises et, si nécessaire, mises à jour ;
- Conservées dans un formulaire permettant l'identification des personnes concernées pendant une durée ne dépassant pas la durée nécessaire ;
- Traitées de manière à assurer une sécurité appropriée des données personnelles.

« Le GDPR consiste à forcer les organisations qui disposent des données personnelles sur les européens à traiter ces données de manière raisonnable, à savoir les garder et à veiller à ce qu'elles utilisent ces données conformément aux attentes des citoyens européens » analyse Crispen Maung, vice-président de la conformité chez Box. « Nous avons vu le concept de GDPR se répandre plus fortement que prévu. C'est un concept, connu des organismes de réglementation en Extrême-Orient. »

Publicité« Tout le monde se prépare », ajoute Mark Settle, DSI d'Okta, spécialiste de la gestion d'identité dans le cloud. Les entreprises doivent se préoccuper des données sous l'angle de leur souveraineté : les institutions financières, les soins de santé et même le pétrole et le gaz.

Votre organisation est-elle soumise au GDPR ?

Si vous n'avez pas déjà mis en place un programme de conformité GDPR, vous devez d'abord vérifier si vous êtes soumis à cette réglementation. Même si votre entreprise n'est pas présente dans l'UE, vous pouvez être concernés. « GDPR s'applique potentiellement toutes les entreprises dans le monde si elles recueillent des données personnelles des résidents de l'UE », explique Peter Tsai, analyste technologique senior de Spiceworks. « Toute entreprise qui fait des affaires en Europe ou avec des citoyens européens doit vraiment y prêter attention, surtout si elle n'a pas commencé à se préparer. Beaucoup d'entreprises dans ce cas ne font rien, parce qu'elles ne sont pas informées. »

Selon le Guide de mise en oeuvre du GDPR de l'ISF, le règlement s'applique à toute organisation établie : dans l'UE, en dehors de l'UE, mais ciblant des biens ou des services sur des personnes concernées dans l'UE, établie en dehors de l'UE, mais surveillant le comportement des individus dans l'UE.

Pour les entreprises situées hors de l'UE, et soumises au GDPR, il reste à identifier une Autorité de régulation au sein de l'UE. Celles qui sont établies dans l'Union devraient identifier leur Autorité de surveillance principale en fonction de l'emplacement de leur siège ou, si le siège n'est pas situé dans l'UE, l'Autorité située dans un État membre où la majorité des personnes ou des traitements concernés a lieu. Ces entreprises doivent également désigner un représentant (établi dans un État membre) où se trouvent la majorité des personnes ou des traitements concernés.

Préparation à la conformité GDPR

Dans son Guide de mise en oeuvre du GDPR, l'ISF incite les entreprises concernées d'accélérer le rythme en déterminant leurs priorités. Elle suggère évidemment de débuter par l'identification de l'étendue et de la nature des données personnelles traitées. L'étape suivante consiste à conserver des enregistrements afin de pouvoir fournir des informations précises et à jour sur tous les traitements de données à caractère personnel. Cette exigence ne s'applique que si l'organisation emploie 250 personnes ou plus, ou bien, si elle en emploie moins, d'avoir un traitement des données personnelles susceptible de porter atteinte aux droits et libertés des personnes concernées.

Le Guide distingue ensuite les « contrôleurs » des « acteurs du traitement » des données personnelles, de nombreuses organisations étant les deux. Les contrôleurs sont des entités qui déterminent l'objectif et les moyens de traitement des données personnelles. Les « acteurs » sont des entités qui traitent des données personnelles pour le compte d'un contrôleur. En général, le GDPR impose aux contrôleurs de données la responsabilité de recueillir le consentement, de gérer la révocation du consentement et de permettre le droit d'accès aux données personnelles. Ils sont également responsables du choix des processus de données conformes au GDPR.

Vient ensuite le temps de l'analyse des écarts des exigences GDPR pour établir son niveau actuel de conformité. Ce qui aidera à identifier la portée du programme de conformité GDPR et les principales étapes à venir. Le Guide conseille de s'attacher d'abord au traitement de données à caractère personnel susceptible d'être à haut risque, celles relatives à des condamnations ou à des infractions pénales et des données personnelles concernant des enfants. Même vigilance sur la non-conformité dans des domaines spécifiques qui entraîneraient des sanctions importantes de la part de l'Autorité de régulation. Autre point de vigilance, les modifications informatiques qui peuvent nécessiter beaucoup de temps.

Priorité à l'inventaire du traitement des données

Dan Frank de Deloitte note que de nombreux éléments du GDPR existent depuis longtemps. Après tout, il s'appuie sur et remplace la directive européenne de 1995 sur la protection des données. Il s'en distingue sur plusieurs points, comme l'inventaire du traitement des informations personnelles. « Vous avez besoin d'un enregistrement de toutes les informations que vous collectez auprès des résidents de l'UE, comment vous les utilisez, avec qui vous les partagez, comment vous les transportez, comment vous les protégez », explique Dan Frank.

De plus, les exigences de portabilité et d'effacement sont importantes. Si un citoyen de l'UE le demande, toute entreprise ou organisation est tenue de produire un seul fichier de données personnelles sur ce citoyen. Ce fichier doit être portable vers une autre entité et toutes les données personnelles de ce citoyen peuvent être supprimées sur demande. Y compris les données des salariés. « Comment répondez-vous à un employé qui demande : Qu'est-ce que vous avez sur moi ? J'ai besoin de vous pour le supprimer ? Pouvez-vous me prouver que vous l'avez fait ? Demande Mark Settle d'Okta.

Quatre points à clarifier

Dan Frank estime qu'il y a quatre points clés que les DSI et les CISO doivent clarifier :
- Un inventaire du traitement des informations personnelles. « Une grande partie des données dont les organisations ont besoin est conservée dans des référentiels de données structurés et non structurés : l'informatique joue donc un rôle clé dans l'inventaire de ces données ».
De plus, les exigences de portabilité et d'effacement sont une grande préoccupation. Si un citoyen de l'UE le demande, vous devez produire un seul fichier de données personnelles sur ce citoyen que votre organisation détient. Ce fichier doit être portable vers une autre entité, et vous devez pouvoir supprimer toutes les données personnelles de ce citoyen sur demande. Cela inclut les données des employés, ajoute Mark Settel d'Okta.

- Un programme de gestion des risques tiers. « Si le RSSI ne dispose pas d'un bon processus pour effectuer des évaluations de sécurité par des tiers, vous allez devoir vous démener pour le faire ».

- La portabilité et l'effacement : « les DSI doivent réfléchir à identifier des dizaines, voire des centaines d'endroits où les données personnelles sont stockées. Ils vont recevoir des demandes très précises pour les retrouver à partir de sources disparates. »

- Privacy by design : Dan Frank explique que les DSI doivent s'assurer que tout processus de gestion des changements informatiques va intégrer la confidentialité dès sa conception. Cela inclut les évaluations d'impact sur la protection des données.

Thor Olavsrud / IDG News Service (Traduit et adapté par Didier Barathon)